Aanbevelingen voor beveiliging controleren

  • Artikel

In Microsoft Defender voor Cloud worden resources en workloads beoordeeld op basis van ingebouwde en aangepaste beveiligingsstandaarden die zijn ingeschakeld in uw Azure-abonnementen, AWS-accounts en GCP-projecten. Op basis van deze evaluaties bieden beveiligingsaanvelingen praktische stappen om beveiligingsproblemen op te lossen en het beveiligingspostuur te verbeteren.

Defender voor Cloud proactief een dynamische engine gebruikt waarmee de risico's in uw omgeving worden beoordeeld, terwijl rekening wordt gehouden met het potentieel voor de exploitatie en de mogelijke impact op uw bedrijf. De engine geeft prioriteit aan beveiligingsaankopen op basis van de risicofactoren van elke resource, die worden bepaald door de context van de omgeving, waaronder de configuratie, netwerkverbindingen en beveiligingspostuur van de resource.

Vereisten

Notitie

Aanbevelingen standaard zijn opgenomen in Defender voor Cloud, maar u kunt risico-prioriteitstelling niet zien zonder Defender CSPM ingeschakeld voor uw omgeving.

Details van aanbeveling bekijken

Het is belangrijk om alle details met betrekking tot een aanbeveling te bekijken voordat u het proces begrijpt dat nodig is om de aanbeveling op te lossen. We raden u aan ervoor te zorgen dat alle details van de aanbeveling juist zijn voordat u de aanbeveling oplost.

Ga als volgt te werk om de details van een aanbeveling te bekijken:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Aanbevelingen.

  3. Selecteer een aanbeveling.

  4. Bekijk de details op de aanbevelingspagina:

    • Risiconiveau : de exploiteerbaarheid en de bedrijfsimpact van het onderliggende beveiligingsprobleem, waarbij rekening wordt gehouden met de context van de omgevingsresource, zoals: blootstelling aan internet, gevoelige gegevens, zijdelingse verplaatsing en meer.
    • Risicofactoren : omgevingsfactoren van de resource die worden beïnvloed door de aanbeveling, die invloed hebben op de exploiteerbaarheid en de bedrijfsimpact van het onderliggende beveiligingsprobleem. Voorbeelden voor risicofactoren zijn internetblootstelling, gevoelige gegevens, laterale verplaatsingsmogelijkheden.
    • Resource : de naam van de betreffende resource.
    • Status : de status van de aanbeveling. Bijvoorbeeld, niet toegewezen, op tijd, te laat.
    • Beschrijving : een korte beschrijving van het beveiligingsprobleem.
    • Aanvalspaden : het aantal aanvalspaden.
    • Bereik : het betrokken abonnement of de betrokken resource.
    • Versheid : het versheidsinterval voor de aanbeveling.
    • Datum van laatste wijziging : de datum waarop deze aanbeveling het laatst is gewijzigd
    • Eigenaar : de persoon die aan deze aanbeveling is toegewezen.
    • Einddatum : de toegewezen datum waarop de aanbeveling moet worden opgelost.
    • Tactieken en technieken - De tactieken en technieken die zijn toegewezen aan MITRE ATT&CK.

Een aanbeveling verkennen

U kunt veel acties uitvoeren om te communiceren met aanbevelingen. Als een optie niet beschikbaar is, is deze niet relevant voor de aanbeveling.

Een aanbeveling verkennen:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Aanbevelingen.

  3. Selecteer een aanbeveling.

  4. In de aanbeveling kunt u de volgende acties uitvoeren:

    • Selecteer Query openen om gedetailleerde informatie over de betrokken resources weer te geven met behulp van een Azure Resource Graph Explorer-query.

    • Selecteer Beleidsdefinitie weergeven om de Azure Policy-vermelding voor de onderliggende aanbeveling weer te geven (indien relevant).

  5. In Actie ondernemen:

    • Herstellen: een beschrijving van de handmatige stappen die nodig zijn om het beveiligingsprobleem op de betrokken resources op te lossen. Voor aanbevelingen met de optie Fix kunt u herstellogica weergeven selecteren voordat u de voorgestelde oplossing toepast op uw resources.

    • Eigenaar en einddatum toewijzen: Als u een governanceregel hebt ingeschakeld voor de aanbeveling, kunt u een eigenaar en einddatum toewijzen.

    • Uitgesloten: U kunt resources uitsluiten van de aanbeveling of specifieke bevindingen uitschakelen met behulp van regels voor uitschakelen.

    • Werkstroomautomatisering: stel een logische app in om te activeren met deze aanbeveling.

    Schermopname van wat u in de aanbeveling kunt zien wanneer u het tabblad Actie ondernemen selecteert.

  6. In Bevindingen kunt u gekoppelde bevindingen bekijken op ernst.

    Schermopname van het tabblad Bevindingen in een aanbeveling waarin alle aanvalspaden voor die aanbeveling worden weergegeven.

  7. In Graph kunt u alle contexten bekijken en onderzoeken die worden gebruikt voor prioriteitstelling van risico's, inclusief aanvalspaden. U kunt een knooppunt in een aanvalspad selecteren om de details van het geselecteerde knooppunt weer te geven.

    Schermopname van het grafiektabblad in een aanbeveling met alle aanvalspaden voor die aanbeveling.

  8. Selecteer een knooppunt om aanvullende details weer te geven.

    Schermopname van een knooppunt op het grafiektabblad dat is geselecteerd en met de aanvullende details.

  9. Selecteer Inzichten.

  10. Selecteer in het vervolgkeuzemenu voor beveiligingsproblemen een beveiligingsprobleem om de details weer te geven.

    Schermopname van het tabblad Inzichten voor een specifiek knooppunt.

  11. (Optioneel) Selecteer De pagina Beveiligingsproblemen openen om de bijbehorende aanbevelingspagina weer te geven.

  12. Herstel de aanbeveling.

Aanbevelingen groeperen op titel

met de aanbevelingspagina van Defender voor Cloud kunt u aanbevelingen groeperen op titel. Deze functie is handig als u een aanbeveling wilt oplossen die van invloed is op meerdere resources die worden veroorzaakt door een specifiek beveiligingsprobleem.

Aanbevelingen groeperen op titel:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Aanbevelingen.

  3. Selecteer Groeperen op titel.

    Schermopname van de pagina met aanbevelingen die laat zien waar de wisselknop groeperen op titel zich op het scherm bevindt.

Aanbevelingen beheren die aan u zijn toegewezen

Defender voor Cloud ondersteunt governanceregels voor aanbevelingen om een aanbevelingseigenaar of einddatum voor actie op te geven. Governanceregels zorgen voor verantwoordelijkheid en een SLA voor aanbevelingen.

  • Aanbevelingen worden weergegeven als Op tijd totdat de vervaldatum is verstreken, wanneer ze worden gewijzigd in Achterstallig.
  • Voordat de aanbeveling te laat is, heeft de aanbeveling geen invloed op de beveiligingsscore.
  • U kunt ook een respijtperiode toepassen waarin de te laat uitgevoerde aanbevelingen niet van invloed blijven op de beveiligingsscore.

Meer informatie over het configureren van governanceregels.

Aanbevelingen beheren die aan u zijn toegewezen:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Aanbevelingen.

  3. Selecteer Filtereigenaar toevoegen>.

  4. Selecteer uw gebruikersvermelding.

  5. Selecteer Toepassen.

  6. Bekijk in de aanbevelingenresultaten de aanbevelingen, waaronder betrokken resources, risicofactoren, aanvalspaden, einddatums en status.

  7. Selecteer een aanbeveling om deze verder te bekijken.

  8. Selecteer in Actie>Eigenaar en einddatum wijzigen de opdracht bewerken om de eigenaar van de aanbeveling en einddatum te wijzigen, indien nodig.

    • Standaard ontvangt de eigenaar van de resource een wekelijks e-mailbericht met de aanbevelingen die eraan zijn toegewezen.
    • Als u een nieuwe hersteldatum selecteert, geeft u in De reden de redenen op voor herstel op die datum.
    • In E-mailmeldingen instellen kunt u het volgende doen:
      • Overschrijf de standaard wekelijkse e-mail naar de eigenaar.
      • Informeer eigenaren wekelijks met een lijst met openstaande/te laat uitgevoerde taken.
      • Informeer de directe manager van de eigenaar met een geopende takenlijst.

  9. Selecteer Opslaan.

Notitie

Als u de verwachte voltooiingsdatum wijzigt, wordt de einddatum voor de aanbeveling niet gewijzigd, maar beveiligingspartners kunnen zien dat u van plan bent om de resources op de opgegeven datum bij te werken.

Aanbevelingen bekijken in Azure Resource Graph

U kunt Azure Resource Graph gebruiken om een Kusto-querytaal (KQL) te schrijven om query's uit te voeren op Defender voor Cloud beveiligingspostuurgegevens voor meerdere abonnementen. Azure Resource Graph biedt een efficiënte manier om query's op schaal uit te voeren in cloudomgevingen door gegevens weer te geven, te filteren, te groeperen en te sorteren.

Aanbevelingen bekijken in Azure Resource Graph:

  1. Meld u aan bij het Azure-portaal.

  2. Ga naar Defender voor Cloud> Aanbevelingen.

  3. Selecteer een aanbeveling.

  4. Select Query openen.

  5. U kunt de query op twee manieren openen:

    • Query die de betrokken resource retourneert: retourneert een lijst met alle resources die worden beïnvloed door deze aanbeveling.
    • Query retourneert beveiligingsresultaten : retourneert een lijst met alle beveiligingsproblemen die zijn gevonden door de aanbeveling.

  6. Selecteer de uitvoeringsquery.

    Schermopname van Azure Resource Graph Explorer met de resultaten voor de aanbeveling die wordt weergegeven in de vorige schermopname.

  7. Controleer de resultaten.

Opmerking

In dit voorbeeld toont deze pagina met aanbevelingsgegevens 15 betrokken resources:

Schermopname van de knop Query openen op de pagina met aanbevelingsgegevens.

Wanneer u de onderliggende query opent en deze uitvoert, retourneert Azure Resource Graph Explorer dezelfde betrokken resources voor deze aanbeveling.

Volgende stap

Aanbevelingen voor beveiliging herstellen