Condividi tramite

Esaminare e classificare gli asset critici

Gestione dell'esposizione in Microsoft Security mantiene gli asset aziendali critici sicuri e disponibili. Gli asset critici consentono al team soc di assegnare priorità agli sforzi per migliorare il comportamento di sicurezza dell'organizzazione. Concentrarsi sugli asset critici garantisce che gli asset più importanti siano protetti dal rischio di violazioni dei dati e interruzioni operative. Questo articolo descrive come usare gli asset critici.

Criticità degli asset

La criticità degli asset è una misura dell'importanza di un asset per le operazioni e il comportamento di sicurezza dell'organizzazione. Riflette una combinazione del suo ruolo informatico, del contesto di produzione e del sistema o sottosistema.

Screenshot di un diagramma di flusso che mostra la criticità degli asset.

Gli asset sono suddivisi in quattro livelli di criticità:

  • Molto alto - Gli asset di criticità molto elevati sono essenziali per la sopravvivenza e la continuità della tua attività. Il loro compromesso potrebbe comportare conseguenze catastrofiche.
  • Elevata : gli asset con criticità elevata sono fondamentali per le operazioni di base dell'organizzazione. Il loro compromesso potrebbe causare interruzioni significative.
  • Gli asset di criticità medio-medio hanno un impatto moderato e possono influire su determinate funzioni o processi.
  • Bassa : gli asset con bassa criticità hanno un impatto minimo sulle operazioni aziendali e sulla sicurezza, se compromessi.

Screenshot del diagramma dei livelli di criticità.

La comprensione e la categorizzazione degli asset in base alla loro criticità consente di assegnare priorità alle attività di sicurezza e garantisce che gli asset più importanti ricevano il massimo livello di protezione.

L'analisi di impatto e l'analisi dei gioielli della corona sono metodologie essenziali per identificare e assegnare priorità agli asset critici. Il National Institute of Standards and Technology (NIST) fornisce linee guida per l'analisi della criticità, disponibili in NIST IR 8179.

NIST Cybersecurity Framework (CSF) 800-53 evidenzia anche le linee guida per la gestione degli asset e l'analisi della criticità, come descritto in ID.AM-05, disponibile all'indirizzo: https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.

Prerequisiti

Prima di iniziare, assicurarsi di soddisfare i requisiti seguenti per l'uso di asset critici in Gestione dell'esposizione in Microsoft Security.

  • Prima di iniziare, informazioni sulla gestione degli asset critici in Gestione esposizione.
  • Esaminare le autorizzazioni necessarie per l'uso di asset critici.
  • Per consentire ai dati di telemetria di sicurezza di supportare i casi d'uso msem, gli endpoint devono eseguire la versione 10.3740.XXXX o successiva dell'agente Microsoft Defender per endpoint. È consigliabile usare la versione più recente dell'agente, come indicato nella pagina Novità di Defender per endpoint.

È possibile controllare quale versione dell'agente è in esecuzione un dispositivo come indicato di seguito:

  • In un dispositivo specifico passare al file MsSense.exe in C:\Programmi\Windows Defender Advanced Threat Protection. Fare clic con il pulsante destro del mouse sul file e scegliere Proprietà. Nella scheda Dettagli controllare la versione del file.

  • Per più dispositivi, è più semplice eseguire una query Kusto di ricerca avanzata per controllare le versioni dei sensori del dispositivo, come indicato di seguito:

    DeviceInfo | project DeviceName, ClientVersion

Esaminare gli asset critici

Esaminare gli asset critici come indicato di seguito.

  1. Nel portale di Microsoft Defender selezionare Impostazioni > Gestione asset critici regole > XDR > Microsoft.
  2. Nella pagina Gestione asset critici esaminare le classificazioni degli asset critici predefinite e personalizzate, incluso il numero di asset nella classificazione, se gli asset sono attivi o disattivati e i livelli di criticità.

Screenshot della finestra Gestione asset critici.

Nota

È anche possibile visualizzare gli asset critici in Dispositivi >asset >Classificare l'asset critico. È anche possibile visualizzare l'iniziativa Critical Asset Protection in Exposure Insights - Initiatives (Informazioni dettagliate sull'esposizione -> Iniziative).

Richiedere una nuova classificazione predefinita

Suggerire una nuova classificazione ai team di ricerca e sviluppo consente di espandere i rilevamenti predefiniti per includere classificazioni e ruoli che possono essere applicati nell'ecosistema. Questo migliora notevolmente il prodotto e Microsoft esegue tutto il lavoro.

Richiedere una nuova classificazione predefinita come indicato di seguito:

  1. Nella pagina Gestione asset critici selezionare Suggerisci nuova classificazione.
  2. Compilare la classificazione che si vuole visualizzare e quindi selezionare Invia richiesta.

Creare una classificazione personalizzata

Le classificazioni personalizzate consentono di ottimizzare la logica di assegnazione dei ruoli e il livello di criticità per allinearsi ai criteri di criticità dell'organizzazione. Ad esempio, classificare gli asset in una rete specifica o tipi di asset che devono avere un livello di criticità diverso rispetto al valore predefinito.

Creare una classificazione personalizzata come indicato di seguito:

  1. Nella pagina Gestione asset critici selezionare Crea una nuova classificazione.

  2. Nella pagina Creare una classificazione degli asset critici completare le informazioni seguenti per impostare i criteri di classificazione:

    • Nome : nuovo nome di classificazione.
    • Descrizione : nuova descrizione della classificazione.
    • Generatore di query
      • Usare generatore di query per definire una nuova classificazione, ad esempio "contrassegnare tutti i dispositivi con una determinata convenzione di denominazione come critici".
      • Aggiungere uno o più filtri booleani definiti per dispositivo, identità o risorsa cloud.

    Screenshot della pagina in cui si creano classificazioni di asset critiche.

  3. Dopo aver impostato i criteri, selezionare Avanti.

  4. Nelle pagine seguenti visualizzare in anteprima gli asset interessati e assegnare il livello di criticità.

Impostare i livelli di asset critici

Impostare i livelli come indicato di seguito.

  1. Nella pagina Gestione asset critici selezionare una classificazione degli asset critici.
  2. Nella scheda Panoramica selezionare il livello di criticità desiderato.
  3. Seleziona Salva.

Screenshot della funzionalità di modifica della criticità di gestione degli asset critici.

Nota

È possibile impostare manualmente i livelli critici nell'inventario dei dispositivi. È consigliabile creare regole di criticità che consentano un'ampia applicazione dei livelli critici tra gli asset.

Modificare classificazioni personalizzate

Modificare le classificazioni personalizzate come indicato di seguito.

  1. Nella pagina Gestione asset critici passare alla classificazione che si vuole modificare. Solo le classificazioni personalizzate possono essere modificate o eliminate.
  2. Selezionare Modifica, Elimina o Disattiva.

Aggiungere asset a classificazioni predefinite

  1. Nella pagina Gestione asset critici selezionare la classificazione degli asset pertinente. La colonna Approvazione in sospeso consente di trovare classificazioni con asset che non hanno soddisfatto la soglia di classificazione automatica e richiedono l'approvazione dell'utente.

Screenshot delle classificazioni predefinite nell'interfaccia di gestione degli asset.

  1. Per visualizzare tutti gli asset nella classificazione attualmente considerati critici, selezionare la scheda Asset .
  2. Per approvare gli asset che si adattano alla classificazione ma che sono fuori soglia, passare a Approvazione in sospeso.
  3. Esaminare gli asset elencati. Selezionare il pulsante più accanto agli asset da aggiungere.

Nota

L'approvazione in sospeso viene visualizzata solo quando sono presenti asset da esaminare.

Screenshot della scheda di approvazione in sospeso in Gestione asset.

È possibile modificare i livelli di criticità e disattivare la classificazione per tutti gli asset. È anche possibile modificare ed eliminare asset critici personalizzati.

Rimuovere gli asset approvati dalle classificazioni predefinite

  1. Nella pagina Gestione asset critici selezionare la classificazione degli asset pertinente.
  2. Per visualizzare tutti gli asset nella classificazione attualmente considerati critici, selezionare la scheda Asset .
  3. Selezionare la X accanto agli asset da rimuovere.

Screenshot della scheda asset in Gestione asset.

Ordinare in base alla criticità

  1. Selezionare Dispositivinell'inventario dei dispositivi.
  2. Ordinare in base al livello di criticità per visualizzare gli asset critici aziendali con un livello di criticità "molto elevato".

Screenshot della finestra Inventario dispositivi che mostra l'ordinamento della criticità.

Assegnare priorità alle raccomandazioni per gli asset critici

Per assegnare priorità alle raccomandazioni di sicurezza e ai passaggi di correzione per concentrarsi sugli asset critici, la somma degli asset critici esposti per una raccomandazione può essere visualizzata dalla pagina Raccomandazioni sulla sicurezza nel portale di Microsoft Defender.

Per visualizzare la somma degli asset critici esposti, passare alla pagina Consigli di sicurezza :

Screenshot della colonna degli asset critici nella pagina delle raccomandazioni sulla sicurezza.

Passaggi successivi

Informazioni sulla simulazione dei percorsi di attacco.