Berburu risiko dengan penjelajah keamanan cloud
Tim keamanan Contoso Healthcare telah meninjau rekomendasi dan jalur serangan, mendapatkan wawasan tentang risiko yang diketahui. Sekarang mereka ingin melaju lebih jauh—secara proaktif berburu pola risiko yang mungkin belum muncul dalam daftar rekomendasi standar. Misalnya, apakah ada VM dengan kerentanan yang diketahui yang juga memiliki paparan internet dan akses ke akun penyimpanan sensitif? Apakah ada izin identitas yang dapat mengaktifkan pergerakan lateral ke layanan AI? Di sini, Anda belajar menggunakan Cloud Security Explorer untuk membangun kueri berbasis grafik kustom yang mengungkap kombinasi risiko tersembunyi di lingkungan Anda.
| Komponen Kueri | Kegunaan | Example |
|---|---|---|
| Jenis sumber daya | Titik awal untuk pertanyaan Anda | Mesin virtual, akun penyimpanan, layanan AI Azure |
| Kondisi Penyaringan | Kriteria yang mempersempit hasil | Internet yang terekspos, memiliki kerentanan, berisi data sensitif |
| Filter hubungan | Koneksi antar sumber daya | VM "memiliki akses ke" Akun penyimpanan |
| Hasil | Aset yang cocok dengan semua kondisi | Sumber daya tertentu yang memerlukan remediasi |
Memahami penjelajah keamanan cloud dan grafik keamanan
Cloud Security Explorer menggunakan grafik keamanan cloud, mesin konteks Defender untuk Cloud yang memetakan hubungan antara sumber daya, identitas, data, paparan jaringan, dan temuan keamanan. Tidak seperti rekomendasi yang memunculkan risiko yang ditentukan secara algoritma, penjelajah memungkinkan Anda membawa pertanyaan Anda sendiri ke data.
Grafik keamanan diperbarui melalui penerbitan rekam jepret, metode refresh data secara berkala. Penerbitan rekam jepret memastikan bahwa data konfigurasi beban kerja Anda tetap segar dengan pembaruan harian.
Dengan fondasi ini, Anda membangun kueri multi-sumber daya kustom untuk menemukan kombinasi risiko yang mungkin terlewatkan oleh rekomendasi standar. Misalnya, Anda dapat mengkueri "menemukan semua VM dengan kerentanan tingkat keparahan tinggi yang terekspos internet dan memiliki akses ke akun penyimpanan yang berisi data sensitif." Jenis kueri ini mengungkapkan risiko majemuk — situasi di mana beberapa faktor digabungkan untuk menciptakan paparan yang signifikan.
Menavigasi dan membangun kueri di Cloud Security Explorer
Cloud Security Explorer diakses melalui portal Azure, menyediakan antarmuka khusus untuk perburuan risiko proaktif.
Nota
Cloud Security Explorer tersedia di portal Azure. Masuk di portal.azure.com dan navigasi ke Microsoft Defender untuk Cloud>Cloud Security Explorer.
Membangun kueri mengikuti alur kerja terstruktur yang mengubah pertanyaan keamanan menjadi hasil yang dapat ditindaklanjuti:
- Pilih jenis sumber daya dari menu dropdown (misalnya, Komputer virtual, akun Penyimpanan, Layanan Azure AI).
- Pilih tombol + untuk menambahkan kondisi filter (misalnya, internet terekspos, memiliki kerentanan tingkat keparahan tinggi, terhubung ke penyimpanan).
- Tambahkan jenis sumber daya tambahan dan filter hubungan sesuai kebutuhan untuk membuat kondisi berantai.
- Pilih Cari untuk menjalankan kueri terhadap grafik keamanan.
- Tinjau hasilnya—setiap baris mewakili aset yang cocok dengan semua kondisi yang ditentukan.
- Pilih Unduh laporan CSV untuk mengekspor hasil untuk pelacakan remediasi atau pelaporan kepada pemangku kepentingan.
Filter dikelompokkan ke dalam kategori logis termasuk jenis aset, paparan, izin, kerentanan, koneksi jaringan, dan potensi pergerakan lateral.
Anda dapat menautkan beberapa jenis sumber daya menggunakan filter hubungan untuk memodelkan skenario serangan nyata. Misalnya, buat kueri untuk VM yang "memiliki akses ke" akun penyimpanan, yang "berisi" data sensitif. Kemampuan penautan ini mencerminkan bagaimana penyerang bergerak melalui lingkungan, mengeksploitasi hubungan antara sumber daya untuk mencapai target bernilai tinggi.
Menggunakan templat kueri untuk pola risiko umum
Bagian bawah halaman Cloud Security Explorer menyediakan templat kueri bawaan yang mencakup skenario risiko umum yang telah dikonfigurasi sebelumnya untuk penggunaan segera. Templat menghilangkan kebutuhan untuk membuat kueri dari awal, menawarkan titik awal praktis untuk membangun praktik berburu proaktif reguler.
Templat mencakup skenario seperti:
- VM yang terekspos internet dengan kerentanan tingkat keparahan tinggi
- Akun penyimpanan dengan data sensitif yang dapat diakses dari internet
- Sumber daya dengan rahasia yang diekspos (kredensial, token, atau kunci yang ditemukan dalam variabel atau kode lingkungan)
- Sumber daya dengan izin identitas terkelola yang dapat memungkinkan pergerakan lateral di seluruh tenant
Untuk menggunakan templat, temukan di bagian bawah halaman Cloud Security Explorer dan pilih Buka kueri. Templat telah mengisi penyusun kueri dengan filter dan kondisi, yang bisa Anda ubah sebelum memilih Cari.
Saat konektor cloud AWS atau GCP aktif dan Defender CSPM diaktifkan pada akun tersebut, antarmuka penjelajah yang sama mendukung kueri multicloud. Organisasi dengan arsitektur cloud hibrid dapat memperluas praktik perburuan ini di semua platform cloud yang terhubung.
Berbagi dan mengekspor hasil kueri
Kueri dapat dibagikan dengan anggota tim menggunakan tombol Bagikan tautan kueri , yang menyalin URL yang dapat dibagikan ke clipboard Anda. Saat kueri mengungkapkan kluster risiko, bagikan tautan dengan pemilik beban kerja atau tim tata kelola untuk memastikan respons terkoordinasi. Pilih Unduh laporan CSV untuk mengekspor hasil untuk pelacakan atau pelaporan remediasi.