Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione dell'esposizione in Microsoft Security mantiene gli asset aziendali critici sicuri e disponibili. Gli asset critici consentono al team soc di assegnare priorità agli sforzi per migliorare il comportamento di sicurezza dell'organizzazione. Concentrarsi sugli asset critici garantisce che gli asset più importanti siano protetti dal rischio di violazioni dei dati e interruzioni operative. Questo articolo descrive come usare gli asset critici.
Criticità degli asset
La criticità degli asset è una misura dell'importanza di un asset per le operazioni e il comportamento di sicurezza dell'organizzazione. Riflette una combinazione del suo ruolo informatico, del contesto di produzione e del sistema o sottosistema.
Gli asset sono suddivisi in quattro livelli di criticità:
- Molto alto - Gli asset di criticità molto elevati sono essenziali per la sopravvivenza e la continuità della tua attività. Il loro compromesso potrebbe comportare conseguenze catastrofiche.
- Elevata : gli asset con criticità elevata sono fondamentali per le operazioni di base dell'organizzazione. Il loro compromesso potrebbe causare interruzioni significative.
- Gli asset di criticità medio-medio hanno un impatto moderato e possono influire su determinate funzioni o processi.
- Bassa : gli asset con bassa criticità hanno un impatto minimo sulle operazioni aziendali e sulla sicurezza, se compromessi.
La comprensione e la categorizzazione degli asset in base alla loro criticità consente di assegnare priorità alle attività di sicurezza e garantisce che gli asset più importanti ricevano il massimo livello di protezione.
L'analisi di impatto e l'analisi dei gioielli della corona sono metodologie essenziali per identificare e assegnare priorità agli asset critici. Il National Institute of Standards and Technology (NIST) fornisce linee guida per l'analisi della criticità, disponibili in NIST IR 8179.
NIST Cybersecurity Framework (CSF) 800-53 evidenzia anche le linee guida per la gestione degli asset e l'analisi della criticità, come descritto in ID.AM-05, disponibile all'indirizzo: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.
Prerequisiti
Prima di iniziare, assicurarsi di soddisfare i requisiti seguenti per l'uso di asset critici in Gestione dell'esposizione in Microsoft Security.
- Prima di iniziare, informazioni sulla gestione degli asset critici in Gestione esposizione.
- Esaminare le autorizzazioni necessarie per l'uso di asset critici.
- Per consentire ai dati di telemetria di sicurezza di supportare i casi d'uso msem, gli endpoint devono eseguire la versione 10.3740.XXXX o successiva dell'agente Microsoft Defender per endpoint. È consigliabile usare la versione più recente dell'agente, come indicato nella pagina Novità di Defender per endpoint.
È possibile controllare quale versione dell'agente è in esecuzione un dispositivo come indicato di seguito:
In un dispositivo specifico passare al file MsSense.exe in C:\Programmi\Windows Defender Advanced Threat Protection. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà. Nella scheda Dettagli controllare la versione del file.
Per più dispositivi, è più semplice eseguire una query Kusto di ricerca avanzata per controllare le versioni dei sensori del dispositivo, come indicato di seguito:
DeviceInfo | project DeviceName, ClientVersion
Esaminare gli asset critici
Esaminare gli asset critici come indicato di seguito.
- Nel portale di Microsoft Defender selezionare Impostazioni > Gestione asset critici regole > XDR > Microsoft.
- Nella pagina Gestione asset critici esaminare le classificazioni degli asset critici predefinite e personalizzate, incluso il numero di asset nella classificazione, se gli asset sono attivi o disattivati e i livelli di criticità.
Nota
È anche possibile visualizzare gli asset critici in Dispositivi >asset >Classificare l'asset critico. È anche possibile visualizzare l'iniziativa Critical Asset Protection in Exposure Insights - Initiatives (Informazioni dettagliate sull'esposizione -> Iniziative).
Richiedere una nuova classificazione predefinita
Suggerire una nuova classificazione ai team di ricerca e sviluppo consente di espandere i rilevamenti predefiniti per includere classificazioni e ruoli che possono essere applicati nell'ecosistema. Questo migliora notevolmente il prodotto e Microsoft esegue tutto il lavoro.
Richiedere una nuova classificazione predefinita come indicato di seguito:
- Nella pagina Gestione asset critici selezionare Suggerisci nuova classificazione.
- Compilare la classificazione che si vuole visualizzare e quindi selezionare Invia richiesta.
Creare una classificazione personalizzata
Le classificazioni personalizzate consentono di ottimizzare la logica di assegnazione dei ruoli e il livello di criticità per allinearsi ai criteri di criticità dell'organizzazione. Ad esempio, classificare gli asset in una rete specifica o tipi di asset che devono avere un livello di criticità diverso rispetto al valore predefinito.
Creare una classificazione personalizzata come indicato di seguito:
Nella pagina Gestione asset critici selezionare Crea una nuova classificazione.
Nella pagina Creare una classificazione degli asset critici completare le informazioni seguenti per impostare i criteri di classificazione:
- Nome : nuovo nome di classificazione.
- Descrizione : nuova descrizione della classificazione.
-
Generatore di query
- Usare generatore di query per definire una nuova classificazione, ad esempio "contrassegnare tutti i dispositivi con una determinata convenzione di denominazione come critici".
- Aggiungere uno o più filtri booleani definiti per dispositivo, identità o risorsa cloud.
Dopo aver impostato i criteri, selezionare Avanti.
Nelle pagine seguenti visualizzare in anteprima gli asset interessati e assegnare il livello di criticità.
Impostare i livelli di asset critici
Impostare i livelli come indicato di seguito.
- Nella pagina Gestione asset critici selezionare una classificazione degli asset critici.
- Nella scheda Panoramica selezionare il livello di criticità desiderato.
- Seleziona Salva.
Nota
È possibile impostare manualmente i livelli critici nell'inventario dei dispositivi. È consigliabile creare regole di criticità che consentano un'ampia applicazione dei livelli critici tra gli asset.
Modificare classificazioni personalizzate
Modificare le classificazioni personalizzate come indicato di seguito.
- Nella pagina Gestione asset critici passare alla classificazione che si vuole modificare. Solo le classificazioni personalizzate possono essere modificate o eliminate.
- Selezionare Modifica, Elimina o Disattiva.
Aggiungere asset a classificazioni predefinite
- Nella pagina Gestione asset critici selezionare la classificazione degli asset pertinente. La colonna Approvazione in sospeso consente di trovare classificazioni con asset che non hanno soddisfatto la soglia di classificazione automatica e richiedono l'approvazione dell'utente.
- Per visualizzare tutti gli asset nella classificazione attualmente considerati critici, selezionare la scheda Asset .
- Per approvare gli asset che si adattano alla classificazione ma che sono fuori soglia, passare a Approvazione in sospeso.
- Esaminare gli asset elencati. Selezionare il pulsante più accanto agli asset da aggiungere.
Nota
L'approvazione in sospeso viene visualizzata solo quando sono presenti asset da esaminare.
È possibile modificare i livelli di criticità e disattivare la classificazione per tutti gli asset. È anche possibile modificare ed eliminare asset critici personalizzati.
Rimuovere gli asset approvati dalle classificazioni predefinite
- Nella pagina Gestione asset critici selezionare la classificazione degli asset pertinente.
- Per visualizzare tutti gli asset nella classificazione attualmente considerati critici, selezionare la scheda Asset .
- Selezionare la X accanto agli asset da rimuovere.
Ordinare in base alla criticità
- Selezionare Dispositivinell'inventario dei dispositivi.
- Ordinare in base al livello di criticità per visualizzare gli asset critici aziendali con un livello di criticità "molto elevato".
Assegnare priorità alle raccomandazioni per gli asset critici
Per assegnare priorità alle raccomandazioni di sicurezza e ai passaggi di correzione per concentrarsi sugli asset critici, la somma degli asset critici esposti per una raccomandazione può essere visualizzata dalla pagina Raccomandazioni sulla sicurezza nel portale di Microsoft Defender.
Per visualizzare la somma degli asset critici esposti, passare alla pagina Consigli di sicurezza :
Passaggi successivi
Informazioni sulla simulazione dei percorsi di attacco.