Przegląd zaleceń dotyczących zabezpieczeń

  • Artykuł

W Microsoft Defender dla Chmury zasoby i obciążenia są oceniane pod kątem wbudowanych i niestandardowych standardów zabezpieczeń włączonych w subskrypcjach platformy Azure, kontach platformy AWS i projektach GCP. Na podstawie tych ocen zalecenia dotyczące zabezpieczeń zawierają praktyczne kroki rozwiązywania problemów z zabezpieczeniami i poprawy stanu zabezpieczeń.

Defender dla Chmury aktywnie wykorzystuje aparat dynamiczny, który ocenia zagrożenia w danym środowisku, biorąc pod uwagę potencjał wykorzystania i potencjalnego wpływu biznesowego na organizację. Aparat określa priorytety zaleceń dotyczących zabezpieczeń na podstawie czynników ryzyka poszczególnych zasobów, które są określane przez kontekst środowiska, w tym konfigurację zasobu, połączenia sieciowe i stan zabezpieczeń.

Wymagania wstępne

Uwaga

Rekomendacje są domyślnie uwzględniane w Defender dla Chmury, ale nie będzie można zobaczyć priorytetyzacji ryzyka bez włączenia CSPM w usłudze Defender w środowisku.

Przeglądanie szczegółów rekomendacji

Przed podjęciem próby zrozumienia procesu potrzebnego do rozwiązania zalecenia należy przejrzeć wszystkie szczegóły związane z zaleceniem. Zalecamy upewnienie się, że wszystkie szczegóły rekomendacji są poprawne przed rozwiązaniem zalecenia.

Aby przejrzeć szczegóły rekomendacji:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Defender dla Chmury> Rekomendacje.

  3. Wybierz zalecenie.

  4. Na stronie rekomendacji przejrzyj szczegóły:

    • Poziom ryzyka — możliwość wykorzystania i wpływ biznesowy bazowego problemu z zabezpieczeniami, uwzględniając kontekst zasobów środowiskowych, taki jak: narażenie na Internet, poufne dane, ruch poprzeczny i inne.
    • Czynniki ryzyka — czynniki środowiskowe zasobu, na które ma wpływ zalecenie, które wpływają na możliwości wykorzystania i wpływ biznesowy bazowego problemu z zabezpieczeniami. Przykłady czynników ryzyka obejmują narażenie na internet, poufne dane, potencjał przenoszenia bocznego.
    • Zasób — nazwa zasobu, którego dotyczy problem.
    • Status — stan zalecenia. Na przykład nieprzypisane, na czas, zaległe.
    • Opis — krótki opis problemu z zabezpieczeniami.
    • Ścieżki ataków — liczba ścieżek ataku.
    • Zakres — subskrypcja lub zasób, którego dotyczy problem.
    • Świeżość — interwał świeżości zalecenia.
    • Data ostatniej zmiany — data ostatniej zmiany tej rekomendacji
    • Właściciel — osoba przypisana do tego zalecenia.
    • Data ukończenia — przypisana data rozwiązania zalecenia.
    • Taktyka i techniki — taktyka i techniki mapowane na MITRE ATT&CK.

Eksplorowanie rekomendacji

W celu interakcji z zaleceniami można wykonać wiele akcji. Jeśli opcja jest niedostępna, nie jest odpowiednia dla zalecenia.

Aby zapoznać się z zaleceniem:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Defender dla Chmury> Rekomendacje.

  3. Wybierz zalecenie.

  4. W rekomendacji można wykonać następujące akcje:

    • Wybierz pozycję Otwórz zapytanie , aby wyświetlić szczegółowe informacje o zasobach, których dotyczy problem, przy użyciu zapytania Eksploratora usługi Azure Resource Graph.

    • Wybierz pozycję Wyświetl definicję zasad, aby wyświetlić wpis usługi Azure Policy dla zalecenia bazowego (jeśli jest to istotne).

  5. W obszarze Wykonaj akcję:

    • Korygowanie: opis ręcznych kroków wymaganych do rozwiązania problemu z zabezpieczeniami w zasobach, których dotyczy problem. W przypadku zaleceń z opcją Napraw możesz wybrać pozycję Wyświetl logikę korygowania przed zastosowaniem sugerowanej poprawki do zasobów.

    • Przypisz właściciela i datę ukończenia: jeśli masz włączoną regułę ładu dla zalecenia, możesz przypisać właściciela i datę ukończenia.

    • Wyklucz: możesz wykluczyć zasoby z zalecenia lub wyłączyć określone wyniki przy użyciu reguł wyłączania.

    • Automatyzacja przepływu pracy: ustaw aplikację logiki do wyzwolenia za pomocą tego zalecenia.

    Zrzut ekranu pokazujący, co można zobaczyć w rekomendacji po wybraniu karty Podejmowanie akcji.

  6. W obszarze Wyniki możesz przejrzeć powiązane ustalenia według ważności.

    Zrzut ekranu przedstawiający kartę ustaleń w rekomendacji pokazującej wszystkie ścieżki ataku dla tego zalecenia.

  7. W programie Graph można wyświetlać i badać cały kontekst używany do określania priorytetów ryzyka, w tym ścieżek ataków. Możesz wybrać węzeł w ścieżce ataku, aby wyświetlić szczegóły wybranego węzła.

    Zrzut ekranu przedstawiający kartę grafu w rekomendacji pokazującej wszystkie ścieżki ataków dla tego zalecenia.

  8. Wybierz węzeł, aby wyświetlić dodatkowe szczegóły.

    Zrzut ekranu przedstawiający węzeł znajdujący się na wybranej karcie grafu i pokazujący dodatkowe szczegóły.

  9. Wybierz Analiza.

  10. W menu rozwijanym luk w zabezpieczeniach wybierz lukę w zabezpieczeniach, aby wyświetlić szczegóły.

    Zrzut ekranu przedstawiający kartę szczegółowych informacji dla określonego węzła.

  11. (Opcjonalnie) Wybierz pozycję Otwórz stronę luki w zabezpieczeniach, aby wyświetlić skojarzona strona rekomendacji.

  12. Koryguj zalecenie.

Rekomendacje grupowania według tytułu

strona rekomendacji Defender dla Chmury umożliwia grupowanie zaleceń według tytułu. Ta funkcja jest przydatna, gdy chcesz skorygować zalecenie, które ma wpływ na wiele zasobów spowodowanych przez określony problem z zabezpieczeniami.

Aby pogrupować zalecenia według tytułu:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Defender dla Chmury> Rekomendacje.

  3. Wybierz pozycję Grupuj według tytułu.

    Zrzut ekranu przedstawiający stronę zaleceń, na której znajduje się przełącznik grupowania według tytułu na ekranie.

Zarządzanie przypisanymi zaleceniami

Defender dla Chmury obsługuje reguły ładu dla zaleceń, aby określić właściciela rekomendacji lub datę ukończenia akcji. Reguły ładu pomagają zapewnić odpowiedzialność i umowę SLA dla zaleceń.

  • Rekomendacje są wyświetlane jako Na czas do daty ukończenia, kiedy zostaną one zmienione na Zaległe.
  • Zanim zalecenie zostanie zaległe, zalecenie nie ma wpływu na wskaźnik bezpieczeństwa.
  • Można również zastosować okres prolongaty, w którym zaległe zalecenia nadal nie wpływają na wskaźnik bezpieczeństwa.

Dowiedz się więcej na temat konfigurowania reguł ładu.

Aby zarządzać przypisanymi zaleceniami:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Defender dla Chmury> Rekomendacje.

  3. Wybierz pozycję Dodaj właściciela filtru>.

  4. Wybierz wpis użytkownika.

  5. Wybierz Zastosuj.

  6. W wynikach rekomendacji przejrzyj zalecenia, w tym zasoby, czynniki ryzyka, ścieżki ataków, daty ukończenia i stan.

  7. Wybierz zalecenie, aby przejrzeć je dalej.

  8. W obszarze Podejmij akcję>Zmień właściciela i datę ukończenia wybierz pozycję Edytuj przypisanie, aby zmienić właściciela rekomendacji i datę ukończenia w razie potrzeby.

    • Domyślnie właściciel zasobu otrzymuje cotygodniową wiadomość e-mail z listą przypisanych do nich zaleceń.
    • Jeśli wybierzesz nową datę korygowania, w polu Uzasadnienie określ przyczyny korygowania do tej daty.
    • W obszarze Ustawianie powiadomień e-mail możesz:
      • Zastąpij domyślną cotygodniowa wiadomość e-mail do właściciela.
      • Powiadamianie właścicieli co tydzień o liście otwartych/zaległych zadań.
      • Powiadom menedżera bezpośredniego właściciela o otwartej liście zadań.

  9. Wybierz pozycję Zapisz.

Uwaga

Zmiana oczekiwanej daty ukończenia nie zmienia daty ukończenia zalecenia, ale partnerzy zabezpieczeń mogą zobaczyć, że planujesz zaktualizować zasoby według określonej daty.

Przeglądanie zaleceń w usłudze Azure Resource Graph

Za pomocą usługi Azure Resource Graph możesz napisać język zapytań Kusto (KQL) w celu wykonywania zapytań dotyczących Defender dla Chmury danych stanu zabezpieczeń w wielu subskrypcjach. Usługa Azure Resource Graph zapewnia wydajny sposób wykonywania zapytań na dużą skalę w różnych środowiskach chmury przez wyświetlanie, filtrowanie, grupowanie i sortowanie danych.

Aby przejrzeć zalecenia w usłudze Azure Resource Graph:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Defender dla Chmury> Rekomendacje.

  3. Wybierz zalecenie.

  4. Wybierz pozycję Otwarte zapytanie.

  5. Zapytanie można otworzyć na jeden z dwóch sposobów:

    • Zapytanie zwracające zasób, którego dotyczy problem — zwraca listę wszystkich zasobów, których dotyczy to zalecenie.
    • Zapytanie zwracające wyniki zabezpieczeń — zwraca listę wszystkich problemów z zabezpieczeniami znalezionych przez zalecenie.

  6. Wybierz pozycję Uruchom zapytanie.

    Zrzut ekranu przedstawiający Eksploratora usługi Azure Resource Graph z wynikami zalecenia pokazanego na poprzednim zrzucie ekranu.

  7. Przejrzyj wyniki.

Przykład

W tym przykładzie ta strona szczegółów rekomendacji zawiera 15 zasobów, których dotyczy problem:

Zrzut ekranu przedstawiający przycisk Otwórz zapytanie na stronie szczegółów zalecenia.

Po otwarciu bazowego zapytania i uruchomieniu go Eksplorator usługi Azure Resource Graph zwraca te same zasoby, których dotyczy to zalecenie.

Następny krok

Korygowanie zaleceń dotyczących zabezpieczeń