Delen via

Overzicht van inzichten in blootstelling en beveiligingsscore

  • Artikel

Exposure-inzichten in Microsoft Security Exposure Management aggregeren voortdurend gegevens over beveiligingspostuur en inzichten in alle workloads, in één pijplijn.

Security Exposure Management is momenteel in openbare preview.

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Inzichten in blootstelling

Inzichten in blootstelling bieden uitgebreide context over de status van de beveiligingsstatus van uw assetinventaris.

Chief Information Security Officers (CISO's), besluitvormers, risico-eigenaren en beveiligingsteams kunnen beveiligingsinzichten en -context gebruiken om blootstellingsrisico's in de hele organisatie te beheren en prioriteit te geven aan beveiligingsinspanningen en investeringen.

Inzichten in blootstelling omvatten beveiligingsevenementen, aanbevelingen, metrische gegevens en initiatieven. Deze onderdelen bouwen op elkaar voort om gedetailleerde context te bieden rond de status van de beveiligingspostuur. Met inzichten kunt u het volgende doen:

  • De beveiligingspostuur van de organisatie opsplitsen in initiatieven met prioriteit.
  • De blootstelling van belangrijke beveiligingselementen binnen initiatieven meten en bijhouden.
  • Prioriteit geven aan gebieden van beveiligingsfocus op basis van initiatieven en metrische gegevens.
  • Volg bruikbare herstelstappen om de beveiligingspostuur te verbeteren en risico's te verminderen.
  • Houd verbeteringen in beveiligingsinitiatieven bij om het verminderen van beveiligingsrisico's bij te houden.

Initiatieven

Beveiligingsinitiatieven vereenvoudigen het beheer van beveiligingspostuur en helpen u bij het beoordelen van de gereedheid en volwassenheid op specifieke gebieden van beveiligingsrisico's.

Security Exposure Management biedt vooraf gedefinieerde initiatieven. Elk vooraf gedefinieerd initiatief bevat een of meer metrische beveiligingsgegevens die relevant zijn voor dat initiatief.

Initiatieven kunnen betrekking hebben op specifieke workloaddomeinen, het meten van een specifiek gebied, zoals eindpunt, identiteit en cloudbeveiliging. Ze kunnen bijdragen aan een bedreigingsanalyse door te koppelen aan een specifieke bedreiging in meerdere categorieën. Bijvoorbeeld ransomware-beveiliging of bescherming tegen kritieke activa. Initiatieven kunnen ook gericht zijn op specifieke nalevingsstandaarden.

U kunt prioriteit geven aan welke initiatieven u wilt zien op het dashboard Overzicht . De initiatiefscore geeft de blootstellingsstatus van het initiatief weer. U kunt ook inzoomen op initiatieven om de bijbehorende metrische gegevens te bekijken en te begrijpen waar hiaten of risico's zich bevinden. De initiatiefscore en aanbevelingen zijn afgeleid van metrische gegevens binnen het initiatief.

Initiatiefscore

De initiatiefscore wordt berekend op basis van de waarde en het gewicht van de metrische gegevens die aan het initiatief zijn gekoppeld. Naarmate metrische gegevens verbeteren, stijgt de initiatiefscore, wat een betere houding in het initiatiefdomein weerspiegelt.

  • Metrische gegevens verbeteren grotendeels door de aanbevelingen toe te passen die zijn gekoppeld aan het initiatief.
  • Aanbevelingen zijn vast, metrische gegevens stijgen en op hun beurt stijgen de initiatiefscores om een verbeterde beveiligingspostuur weer te geven.
  • Wijzigingen in metrische gegevens, waaronder afschaffing/verwijdering, waarde en metrische eigenschappen, kunnen van invloed zijn op de initiatiefscore.

Geschiedenis

U kunt de geschiedenis bijhouden van wijzigingen groter dan 2,5% die van invloed zijn op de initiatiefscore. U kunt filteren op specifieke tijdpunten en inzoomen op specifieke wijzigingen. Geschiedenis toont de procentuele effecten van metrische gegevens in de initiatiefscore, samen met de reden van de wijziging, waaronder:

  • Eigenschapswijziging : een wijziging in het gewicht van de metrische waarde in de score.
  • Waardewijziging : een wijziging in de waarde van de metrische waarde in de initiatiefscore.
  • Metrisch gegeven verwijderd : de metrische waarde is niet langer relevant voor dat specifieke initiatief. Bijvoorbeeld als er een betere suggestie wordt geïntroduceerd of deze niet relevant wordt.
  • Afgeschreven metrische gegevens : de metrische waarde wordt globaal verwijderd.

Schermopname van het tabblad Initiatiefgeschiedenis met de grafiek en datums van wijzigingen.

Als u de metrische waarde selecteert die is gewijzigd, vindt u meer informatie over de wijziging. Het kan bijvoorbeeld het nieuwe gewicht van een eigenschapswijziging of het aantal betrokken assets vóór of na de wijziging weergeven.

Schermopname van het zijpaneel voor metrische wijzigingen op het tabblad Geschiedenis van initiatieven.

U kunt de metrische of scorewijzigingen niet vooraf beheren.

Statistieken

Metrische gegevens groeperen aanbevelingen voor vergelijkbare activa en meten de beveiligingsblootstelling rond deze activa, van zeer hoge blootstelling tot geen blootstelling geïdentificeerd.

Bijvoorbeeld:

  • Percentage van macOS-eindpunten ontbreekt een agent voor eindpuntbeveiligingsoplossingen
  • Percentage cloudresources met kritieke beveiligingsproblemen

Elke metrische waarde toont het volgende:

  • Het percentage van de betrokken activa, het relatieve belang van de metrische waarde en het effect dat de metrische waarde heeft op een initiatief.
  • Het toont ook het gewicht of de urgentie van de metrische waarde en het effect ervan op de initiatiefscore als een getal. Eén is de laagste en 10 de hoogste.
  • Metrische gewicht kan worden aangepast om meer of minder effect te hebben, op basis van de bedrijfsprioriteiten van uw organisatie.
  • Het bewerken van metrische gewichtswaarde is van invloed op de metrische gegevens en alle gerelateerde initiatieven.

De meeste metrische gegevens hebben ten minste één aanbeveling gekoppeld.

Werken met metrische gegevens

U kunt inzoomen op afzonderlijke metrische aanbevelingen om deze te herstellen. Metrische scores stijgen naarmate aanbevelingen worden hersteld.

Gebruik metrische gegevens om de blootstellingsstatus van een initiatief te beoordelen en blootgestelde gebieden of gebieden te identificeren die niet voldoen aan interne standaarden. Deze informatie kan worden gebruikt om prioriteit te geven aan inspanningen rond risicobeperking.

Metrische gegevens worden alleen weergegeven als onderliggende gegevens voor de metrische gegevens beschikbaar zijn.

Eigenschappen van metrische gegevens

Metrische gegevens bevatten verschillende eigenschappen waarmee ze kunnen worden gecontextualiseerd en ze kunnen worden uitgevoerd:

Eigenschap Omschrijving
Huidige waarde Het percentage van de betrokken activa van het totale vermogen. Nul procent is het beste omdat er geen blootstelling is, terwijl 100% het slechtst is.
Betrokken items Het aantal items dat voldoet aan de logica van de metrische gegevens. In de meeste gevallen zijn deze items activa die beschikbaar zijn of die een risicofactor creëren. In andere gevallen is het aantal ontbrekende Microsoft-beveiligingsscorepunten om aanbevolen besturingselementen effectief te implementeren.
Totaal Het aantal assets dat is afgestemd op de metrische waarde. Voor een bepaalde metrische waarde kunnen het bijvoorbeeld alle eindpunten zijn. Voor een andere kunnen alle Windows-eindpunten zijn.
Gewicht Het belang van de metrische waarde en het effect ervan op de initiatiefscore. Eén is de laagste, terwijl 10 de hoogste is. Gewicht kan worden aangepast om meer of minder effect te hebben op basis van de unieke bedrijfsprioriteiten en overwegingen van uw organisatie. Het bewerken van uw metrische gewichtswaarde is van invloed op de metrische gegevens en alle gerelateerde initiatieven.
Impact scoren Het effect dat het voltooien van de metrische waarde heeft op de initiatiefscore. Dit betekent dat als een bepaalde metrische waarde is voltooid, de score-impact de toevoeging aan de initiatiefscore is.

Deze eigenschappen worden weergegeven bij het weergeven van alle metrische gegevens in de sectie Exposure Insights.

Het weergeven van alle metrische gegevens op de pagina met metrische gegevens voegt het volgende toe:

  • Trend van 14 dagen toont de metrische waardewijzigingen in de afgelopen 14 dagen als percentage en grafiek.
  • Status zoals:
    • Heeft aandacht nodig of vereist beperking.
    • Risico geaccepteerd door een beheerder om aan te geven dat het risico is beperkt op een niet-meetbare manier die geen invloed heeft op de initiatiefscore.
    • Het doel is bereikt of de blootstelling is beperkt.
  • Totaal aantal items.
  • Laatst bijgewerkt toont de laatste datum waarop de metrische gegevens zijn bijgewerkt.

Niet-beschikbare metrische gegevens

In sommige gevallen worden metrische gegevens grijs weergegeven omdat de onderliggende gegevens die nodig zijn voor deze metrische waarde niet bestaan. Bijvoorbeeld wanneer de vereiste workload niet is onboarded of wanneer een metrische beveiligingsscore in Beveiligingsscore is ingesteld op voltooid of risico is geaccepteerd, zodat Security Exposure Management geen toegang heeft tot de metrische gegevens.

Grijs weergegeven metrische gegevens worden niet in aanmerking genomen voor het berekenen van de score.

Problemen die u moet noteren

Enkele metrische specifieke problemen zijn belangrijk om op te merken:

  • Sommige exemplaren van informatie over beïnvloede assets (grotendeels informatie afkomstig uit beveiligingsscore) worden niet weergegeven op het tabblad Betrokken items in een afzonderlijke metrische waarde.
  • Bepaalde kritieke assetgegevens voor assets op het tabblad Betrokken items worden niet weergegeven.
  • Assetdetails worden op aanvraag berekend.
  • Cloudgerelateerde metrische gegevens zijn alleen beschikbaar als Microsoft Defender voor Cloud beschikbaar is in het abonnement en het CsPM-plan (Defender Cloud Security Posture Management) is ingeschakeld.
  • In sommige gevallen zijn metrische gegevens specifieker dan het bereik van de gerelateerde aanbevelingen. In dit geval komt de weergegeven assetdetails niet overeen met de assetdetails van de gerelateerde aanbevelingen.
  • Als u een workload verwijdert, kunt u de metrische status en de assetdetails voor de gerelateerde metrische gegevens van de workload niet vernieuwen.

Beveiligingsaanbeveling

Assets en workloads worden beoordeeld aan de hand van beveiligingsmetingen en -standaarden, en beveiligingsaanbevelingen worden op basis van deze evaluaties uitgegeven.

Aanbevelingen bieden praktische stappen om u te helpen de beveiligingspostuur en gedetecteerde problemen te verbeteren en op te lossen.

In Security Exposure Management fungeert de catalogus met aanbevelingen als een gecentraliseerde opslagplaats voor beveiligingsaanbevelingsaanbeveling.

Aanbevelingenbronnen

Security Exposure Management integreert aanbevelingen van Microsoft Defender voor Cloud met het CSPM-plan (Defender for Cloud Security Posture Management), Defender XDR Secure Score en van andere Microsoft-workloads. Het biedt ook aanbevelingen met betrekking tot niet-Microsoft-workloads.

Werken met aanbevelingen

U kunt afzonderlijke aanbevelingen, hun status, impact, bron, details over blootgestelde entiteiten en gerelateerde initiatieven en metrische gegevens bekijken. Elke aanbeveling bevat herstelstappen om gedetecteerde problemen op te lossen.

Elke actie die wordt ondernomen op basis van een beveiligingsaanaanveling, helpt de blootstelling te verminderen en heeft rechtstreeks invloed op gerelateerde beveiligingsgegevens en -initiatieven.

Schermopname van de details van de aanbeveling voor geavanceerde beveiliging van ransomware

Naleving

Security Exposure Management categoriseert beveiliging op nalevingsstatus voor de hele organisatie.

  • Compatibel geeft aan dat de aanbeveling is geïmplementeerd.
  • Verzacht door organisatie geeft aan wanneer stappen voor het beperken van aanbevelingen elders zijn uitgevoerd en Beveiligingsrisicobeheer kan niet weten of aanbevelingen compatibel zijn. Bijvoorbeeld door een status te wijzigen in De beveiligingsscore.
  • Niet beschikbaar betekent dat er onvoldoende informatie is om de nalevingsstatus te bepalen.

Beveiligingsevenementen

Beveiligingsevenementen consolideren informatie over wijzigingen in houdingsbeheer die worden gedetecteerd. Als reactie op wijzigingen kunt u dienovereenkomstig aanpassen om een robuuste beveiligingspostuur te behouden.

Gebeurtenissen meten de daling of verslechtering van de score in de metrische status.

  • Metrische scorevervalgebeurtenissen stellen klanten op de hoogte wanneer er een nieuwe blootstelling is gemeten op basis van de metrische beveiligingsgegevens. Ze worden geëvalueerd op basis van het effect op de score en het gewicht ervan. Als er een afname is van ten minste 2% sinds gisteren, wat betekent dat de blootstelling met 2% is gestegen, wordt de wijziging beschouwd als een scoredaling.
  • Gebeurtenissen voor het verwijderen van initiatiefscores stellen klanten op de hoogte wanneer beveiligingsinitiatieven afnemen. We beoordelen gebeurtenissen voor het verwijderen van initiatiefscores op basis van hoe dit van invloed is op de score. Als er een daling is van ten minste 2% sinds gisteren, wordt de wijziging geclassificeerd als een gebeurtenis voor het verlagen van de score. Beveiligingsevenementen die aanwezig zijn en worden bijgehouden, zowel initiatief- als metrische score-incidenten laten vallen om te bepalen hoe ze de beveiligingspostuur van de organisatie beïnvloeden.

Nieuwe gebeurtenissen worden boven aan de tabel weergegeven en kunnen een nieuwe initiatief-gebeurtenis bevatten.

Veiligheidsscore

Microsoft Secure Score helpt organisaties bij het plannen en verbeteren van de algehele beveiligingspostuur met behulp van Secure Score als meetwaarde voor bijhouden.

Security Exposure Management gebruikt Secure Score als een van de bronnen voor initiatiefscores.

  • Beveiligingsscore heeft 'aanbevolen acties' voor een aantal producten.
  • Als u een aanbeveling selecteert om te controleren, kunt u het probleem in het specifieke product oplossen, inclusief aanbevelingen die zijn afgeleid van de beveiligingsscore.
  • Voor aanbevelingen waarbij de beveiligingsscore relevant is, wordt deze aanbeveling niet weergegeven als de beveiligingsscore niet actief is.

Volgende stappen