Mengidentifikasi dan memulihkan jalur serangan

Defender untuk Cloud menggunakan algoritma proprietary untuk menemukan jalur serangan potensial khusus untuk lingkungan multicloud Anda. Defender untuk Cloud berfokus pada ancaman nyata, didorong secara eksternal, dan dapat dieksploitasi daripada skenario yang luas. Algoritma mendeteksi jalur serangan yang dimulai di luar organisasi Anda dan maju ke target penting bisnis, membantu Anda memotong kebisingan dan bertindak lebih cepat.

Anda dapat menggunakan analisis jalur serangan untuk mengatasi masalah keamanan yang menimbulkan ancaman langsung dan memiliki potensi eksploitasi terbesar di lingkungan Anda. Defender untuk Cloud menganalisis masalah keamanan mana yang merupakan bagian dari jalur serangan yang terekspos secara eksternal yang dapat digunakan penyerang untuk melanggar lingkungan Anda. Ini juga menyoroti rekomendasi keamanan yang perlu Anda atasi untuk mengurangi masalah ini.

Secara default jalur serangan diatur berdasarkan tingkat risiko. Tingkat risiko ditentukan oleh mesin prioritas risiko sadar konteks yang mempertimbangkan faktor risiko setiap sumber daya. Pelajari selengkapnya tentang bagaimana Defender untuk Cloud prioritisasi rekomendasi keamanan.

Prasyarat

Nota

Anda mungkin melihat halaman Jalur Serangan kosong, karena jalur serangan sekarang berfokus pada ancaman nyata, didorong secara eksternal, dan dapat dieksploitasi daripada skenario luas. Ini membantu mengurangi kebisingan dan memprioritaskan risiko yang akan segera terjadi.

Untuk melihat jalur serangan yang terkait dengan kontainer:

  • Anda harus mengaktifkan ekstensi postur kontainer tanpa agen di Defender CSPM atau

  • Anda dapat mengaktifkan Defender untuk Kontainer, dan menginstal agen yang relevan untuk melihat path serangan yang terkait dengan kontainer. Ini juga memberi Anda kemampuan untuk menanyakan beban kerja pada lapisan data kontainer di eksplorasi keamanan.

  • Peran dan izin yang diperlukan: Pembaca Keamanan, Admin Keamanan, Pembaca, Kontributor, atau Pemilik.

Mengidentifikasi jalur serangan

Anda dapat menggunakan analisis Jalur serangan untuk menemukan risiko terbesar bagi lingkungan Anda dan untuk memulihkannya.

Halaman jalur serangan menunjukkan gambaran umum semua jalur serangan Anda. Anda juga dapat melihat sumber daya yang terpengaruh dan daftar jalur serangan aktif.

Cuplikan layar beranda jalur serangan sampel.

Untukan mengidentifikasi jalur serangan di portal Azure:

  1. Masuk ke portal Azure.

  2. Navigasi ke Microsoft Defender untuk Cloud>Attack path analysis.

    Cuplikan layar yang memperlihatkan halaman analisis jalur serangan di layar utama.

  3. Pilih jalur serangan.

  4. Pilih simpul.

    Cuplikan layar jalur serangan yang menunjukkan lokasi simpul untuk pilihan.

    Nota

    Jika Anda memiliki izin terbatas—terutama di seluruh langganan—Anda mungkin tidak melihat detail jalur serangan penuh. Ini adalah perilaku yang diharapkan yang dirancang untuk melindungi data sensitif. Untuk melihat semua detail, pastikan Anda memiliki izin yang diperlukan.

  5. Pilih Wawasan untuk melihat wawasan terkait untuk simpul tersebut.

    Cuplikan layar tab wawasan untuk simpul tertentu.

  6. Pilih Rekomendasi.

    Cuplikan layar yang memperlihatkan tempat untuk memilih rekomendasi di layar.

  7. Memilih rekomendasi.

  8. Mengatasi rekomendasi.

Untukan mengidentifikasi jalur serangan di portal Defender:

  1. Masuk ke portal Microsoft Defender.

  2. Navigasi keManajemen Paparan>Permukaan Serangan>Jalur Serangan. Anda akan melihat gambaran umum jalur serangan Anda.

    Pengalaman jalur serangan menyediakan beberapa tampilan:

    • Tab Gambaran Umum: Melihat jalur serangan dari waktu ke waktu, 5 titik tersedak teratas, 5 skenario jalur serangan teratas, target teratas, dan titik masuk teratas
    • Daftar jalur serangan: Tampilan dinamis dan dapat difilter dari semua jalur serangan dengan kemampuan pemfilteran tingkat lanjut
    • Titik tersedak: Daftar simpul di mana beberapa jalur serangan bertemu, ditandai sebagai hambatan berisiko tinggi

    Screenshot memperlihatkan gambaran umum jalur serangan di portal Defender.

    Nota

    Di portal Defender, analisis jalur serangan adalah bagian dari kemampuan Manajemen Paparan yang lebih luas, menyediakan integrasi yang ditingkatkan dengan solusi keamanan Microsoft lainnya dan korelasi insiden terpadu.

  3. Pilih tab Jalur serangan .

    Screenshot yang memperlihatkan halaman jalur serangan di portal Defender.

  4. Gunakan pemfilteran tingkat lanjut di daftar Jalur serangan untuk fokus pada jalur serangan tertentu:

    • Tingkat risiko: Filter menurut jalur serangan risiko Tinggi, Sedang, atau Rendah
    • Jenis aset: Fokus pada jenis sumber daya tertentu
    • Status remediasi: Melihat jalur serangan yang diselesaikan, sedang berlangsung, atau tertunda
    • Jangka waktu: Filter menurut periode waktu tertentu (misalnya, 30 hari terakhir)

  5. Pilih jalur serangan untuk melihat Peta Jalur Serangan, tampilan berbasis grafik yang menyoroti:

    • Simpul rentan: Sumber daya dengan masalah keamanan
    • Titik masuk: Titik akses eksternal tempat serangan dapat dimulai
    • Aset target: Sumber daya penting yang berusaha dijangkau oleh penyerang
    • Titik hambatan: Titik konvergensi di mana beberapa jalur serangan berpotongan

  6. Pilih simpul untuk menyelidiki informasi terperinci:

    Screenshot layar jalur serangan di portal Defender yang memperlihatkan pemilihan node.

    Nota

    Jika Anda memiliki izin terbatas—terutama di seluruh langganan—Anda mungkin tidak melihat detail jalur serangan penuh. Ini adalah perilaku yang diharapkan yang dirancang untuk melindungi data sensitif. Untuk melihat semua detail, pastikan Anda memiliki izin yang diperlukan.

  7. Tinjau detail simpul termasuk:

    • Taktik dan teknik MITRE ATT&CK: Memahami metodologi serangan
    • Faktor risiko: Faktor lingkungan yang berkontribusi terhadap risiko
    • Rekomendasi terkait: Peningkatan keamanan untuk mengurangi masalah

  8. Pilih Wawasan untuk melihat wawasan terkait untuk simpul tersebut.

  9. Pilih Rekomendasi untuk melihat panduan yang dapat ditindaklanjuti dengan pelacakan status remediasi.

    Screenshot yang menunjukkan tempat untuk memilih rekomendasi di portal Defender.

  10. Memilih rekomendasi.

  11. Mengatasi rekomendasi.

    Setelah selesai dengan penyelidikan jalur serangan dan Anda meninjau semua temuan dan rekomendasi terkait, Anda dapat mulai memulihkan jalur serangan.

  12. Mengatasi rekomendasi.

Setelah jalur serangan diselesaikan, diperlukan waktu hingga 24 jam agar jalur serangan dihapus dari daftar.

Memulihkan jalur serangan

Setelah selesai dengan penyelidikan jalur serangan dan Anda meninjau semua temuan dan rekomendasi terkait, Anda dapat mulai memulihkan jalur serangan.

Untuk memulihkan jalur serangan di portal Azure:

  1. Navigasi ke Microsoft Defender untuk Cloud>Attack path analysis.

  2. Pilih jalur serangan.

  3. Pilih Remediasi.

    Cuplikan layar jalur serangan yang menunjukkan tempat untuk memilih remediasi.

  4. Memilih rekomendasi.

  5. Mengatasi rekomendasi.

Setelah jalur serangan diselesaikan, diperlukan waktu hingga 24 jam agar jalur serangan dihapus dari daftar.

Mengatasi semua rekomendasi pada jalur serangan

Analisis jalur serangan memberi Anda kemampuan untuk melihat semua rekomendasi berdasarkan jalur serangan tanpa harus memeriksa setiap simpul satu per satu. Anda dapat menyelesaikan semua rekomendasi tanpa harus melihat setiap simpul satu per satu.

Jalur remediasi berisi dua jenis rekomendasi:

  • Rekomendasi - Rekomendasi yang mengurangi jalur serangan.
  • Rekomendasi tambahan - Rekomendasi yang mengurangi risiko eksploitasi, tetapi tidak mengurangi jalur serangan.

Untukan menyelesaikan semua rekomendasi di portal Azure:

  1. Masuk ke portal Azure.

  2. Navigasi ke Microsoft Defender untuk Cloud>Attack path analysis.

  3. Pilih jalur serangan.

  4. Pilih Remediasi.

    Cuplikan layar yang memperlihatkan tempat di layar untuk dipilih guna melihat daftar lengkap rekomendasi jalur serangan.

  5. Perluas Rekomendasi tambahan.

  6. Memilih rekomendasi.

  7. Mengatasi rekomendasi.

Setelah jalur serangan diselesaikan, diperlukan waktu hingga 24 jam agar jalur serangan dihapus dari daftar.

Untuk menyelesaikan semua rekomendasi di portal Defender:

  1. Masuk ke portal Microsoft Defender.

  2. Navigasi ke Manajemen Paparan>analisis jalur serangan.

  3. Pilih jalur serangan.

  4. Pilih Remediasi.

    Nota

    Portal Defender menyediakan pelacakan kemajuan remediasi yang ditingkatkan dan dapat menghubungkan aktivitas remediasi dengan operasi keamanan yang lebih luas dan alur kerja manajemen insiden.

  5. Perluas Rekomendasi tambahan.

  6. Memilih rekomendasi.

  7. Mengatasi rekomendasi.

Setelah jalur serangan diselesaikan, diperlukan waktu hingga 24 jam agar jalur serangan dihapus dari daftar.

Kemampuan manajemen paparan yang disempurnakan

Portal Defender menyediakan kemampuan tambahan untuk analisis jalur serangan melalui kerangka kerja Manajemen Paparan terintegrasi:

  • Korelasi insiden yang terintegrasi: Jalur serangan secara otomatis berkorelasi dengan insiden keamanan di seluruh ekosistem keamanan Microsoft Anda.
  • Cross-product insights: Data jalur serangan terintegrasi dengan temuan dari Microsoft Defender untuk Titik Akhir, Microsoft Sentinel, dan solusi keamanan Microsoft lainnya.
  • Inteligensi ancaman tingkat lanjut: Konteks yang ditingkatkan dari umpan inteligensi ancaman Microsoft untuk lebih memahami pola serangan dan perilaku aktor.
  • Alur kerja remediasi terintegrasi: Proses remediasi yang disederhanakan yang dapat memicu respons otomatis di beberapa alat keamanan.
  • Pelaporan eksekutif: Kemampuan pelaporan yang ditingkatkan untuk kepemimpinan keamanan dengan penilaian dampak bisnis.

Kemampuan ini memberikan pandangan yang lebih komprehensif tentang postur keamanan Anda dan memungkinkan respons yang lebih efektif terhadap potensi ancaman yang diidentifikasi melalui analisis jalur serangan.

Pelajari selengkapnya tentang jalur attack di Defender untuk Cloud.

Langkah Selanjutnya

Buat kueri dengan penjelajah keamanan cloud.

  • Last updated on