Delen via

Overzicht van het beheer van kritieke activa

Microsoft Security Exposure Management stroomlijnt de identificatie en prioriteitstelling van bedrijfskritieke activa, waardoor risicomanagers en SOC-teams zich kunnen richten op waar ze het belangrijkst zijn en het totale risico op aanvallen verminderen. Classificatie van activa wordt aangestuurd door eigen classificaties, die handmatig kunnen worden aangepast aan de organisatiecontext. In dit artikel worden de onderliggende mechanismen beschreven die worden gebruikt voor het identificeren en classificeren van assets binnen het framework Critical Assets Protection.

  • Microsoft Defender XDR detecteert en categoriseert kritieke assets automatisch, waardoor de identificatie wordt gestroomlijnd en onmiddellijke beveiliging wordt ingeschakeld.
  • Uw beveiligingsteam kan prioriteit geven aan beveiligingsonderzoeken, houdingsaanbevelingen en herstelstappen om zich eerst te richten op kritieke assets en systemen.

Vooraf gedefinieerde classificaties

Security Exposure Management biedt een out-of-the-box catalogus met vooraf gedefinieerde kritieke assetclassificaties voor assets die apparaten, identiteiten en cloudresources bevatten. Vooraf gedefinieerde classificaties zijn onder andere:

  • Kritieke cyberbeveiligingsassets, zoals bestandsservers en domeincontrollers
  • Databases met gevoelige gegevens
  • Identiteitsgroepen, zoals Power Users
  • Gebruikersrollen zoals Beheerder met bevoorrechte rol

Daarnaast kunt u aangepaste kritieke assets maken om prioriteit te geven aan wat uw organisatie als kritiek beschouwt bij het beoordelen van blootstelling en risico.

Kritieke assets identificeren

Kritieke assets kunnen op verschillende manieren worden geïdentificeerd:

  • Automatisch: De oplossing maakt gebruik van geavanceerde analyses om automatisch kritieke assets binnen uw organisatie te identificeren, in overeenstemming met vooraf gedefinieerde classificaties. Dit stroomlijnt het identificatieproces, zodat u assets kunt aanwijzen die verhoogde bescherming en onmiddellijke aandacht vereisen.
  • Met aangepaste query's: Door aangepaste query's te schrijven, kunt u de kroonjuwelen van uw organisatie aanwijzen op basis van uw unieke criteria. Met gedetailleerde controle kunt u ervoor zorgen dat u uw beveiligingsinspanningen precies kunt richten op waar ze nodig zijn.
  • Manueel:
    • Controleer assets in de apparaatinventaris gesorteerd op kritiekniveau en identificeer assets die aandacht vereisen.
    • Controleer en keur activa die automatisch zijn geclassificeerd, maar met een lagere betrouwbaarheid goed.

Assets classificeren

Nadat bedrijfskritieke assets zijn gedefinieerd en geïdentificeerd, wordt assetkritiek weergegeven met uw assetgegevens. Assetkritiek is geïntegreerd in andere ervaringen in de Defender-portal, zoals bij geavanceerde opsporing, de apparaatinventaris en in aanvalspaden waarbij kritieke assets zijn betrokken.

In apparaatinventaris wordt bijvoorbeeld een kritiekniveau weergegeven.

Schermopname van het venster Apparaatinventarisatie. De afbeelding bevat de nadruk op de sectie kritiekniveau.

In een ander voorbeeld, op de kaart Aanvalsoppervlak, terwijl u zoekt naar blootstelling aan bedreigingen en chokepunten identificeert, de halo-kleur rond het assetpictogram en de kroonindicator, geven visueel het hoge kritiekniveau aan.

Schermopname van een asset die wordt weergegeven in de blootstellingskaart in de context van andere verbindingen. Twee apparaten op de kaart tonen hoge kritieke niveaus.

Werken met assetclassificaties

U kunt als volgt met kritieke assetinstellingen werken:

  • Aangepaste classificaties maken: u kunt nieuwe kritieke assetclassificaties maken voor apparaten, identiteiten en cloudresources, afgestemd op uw organisatie.
    • U gebruikt de opbouwfunctie voor query's om een nieuwe classificatie te definiëren. U kunt bijvoorbeeld een query maken om apparaten met een specifieke naamconventie als kritiek te definiëren.
    • Het maken van kritieke assetclassificatiequery's is ook handig voor beperkte gevallen waarin niet alle activa van belang zijn geïdentificeerd.
  • Assets toevoegen aan classificaties: u kunt handmatig assets toevoegen aan kritieke assetclassificaties.
  • Kritiekniveaus wijzigen: u kunt ervoor kiezen om kritieke niveaus te bewerken op basis van het risicoprofiel van uw organisatie.
  • Aangepaste classificaties bewerken: u kunt aangepaste classificaties bewerken, verwijderen en uitschakelen. Vooraf gedefinieerde classificaties kunnen niet worden gewijzigd. De regelfunctionaliteit 'uitschakelen' is beschikbaar voor vooraf gedefinieerde query's. Het is echter mogelijk dat het niet zichtbaar is voor sommige gebruikers vanwege specifieke problemen.

Kritieke assets beoordelen

De classificatielogica voor kritieke activa maakt gebruik van activagedrag van Microsoft Defender workloads en integraties van derden. Als u andere logica wilt implementeren, schakelt u de regel uit en maakt u een aangepaste regel die geschikt is voor uw scenario's.

Sommige assets die overeenkomen met een classificatie, voldoen mogelijk niet aan de drempelwaarde voor kritiek. Een asset kan bijvoorbeeld een domeincontroller zijn, maar deze wordt mogelijk niet als kritiek beschouwd voor uw bedrijf. Gebruik de functie assetbeoordeling om deze assets toe te voegen aan uw gedefinieerde classificatie. Met deze functie kunt u assets opnemen op basis van de specifieke kritieke criteria van uw organisatie.

Critical Asset Protection-initiatief

Het Critical Asset Protection-initiatief helpt bij het prioriteren van bedrijfskritieke systemen en assets, waarbij de inspanningen van het SOC-team worden gericht op het verbeteren van de tolerantie, bewaking en reactie op incidenten. Dit initiatief is beschikbaar in de sectie Initiatieven van Exposure Insights in de Microsoft Defender portal.

  • Het initiatief bewaakt continu de beveiligingstolerantie van uw kritieke assets en biedt realtime inzicht in de effectiviteit van uw beveiligingsmaatregelen. Gebruik de initiatiefscore om de beveiligingstolerantie van kritieke assets in verschillende omgevingen te vergelijken, zodat u gebieden kunt identificeren die meer aandacht en verbetering vereisen.
  • Het initiatief biedt inzicht in alle kritieke assets binnen uw organisatie, identificeert mogelijke hiaten in de detectie van kritieke activa en past uw classificaties dienovereenkomstig aan. Het initiatief voegt informatie over kritieke assets en hun beveiligingstolerantie samen in één weergave. Met dit uitgebreide rapport kunt u weloverwogen beslissingen nemen en proactieve maatregelen nemen om uw kritieke activa te beschermen.

Volgende stappen

Kritieke assets classificeren.