Udostępnij za pośrednictwem


Omówienie krytycznego zarządzania zasobami

Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft usprawnia identyfikację i priorytetyzację zasobów o znaczeniu krytycznym dla działalności biznesowej, umożliwiając menedżerom ryzyka i zespołom SOC skoncentrowanie wysiłków tam, gdzie mają największe znaczenie, i zmniejszenie ogólnego ryzyka związanego z atakiem. Klasyfikacja zasobów jest oparta na zastrzeżonych klasyfikatorach, które można dostosować ręcznie w celu odzwierciedlenia kontekstu organizacyjnego. W tym artykule szczegółowo opisano podstawowe mechanizmy używane do identyfikowania i klasyfikowania zasobów w ramach struktury Ochrona zasobów krytycznych.

  • Microsoft Defender XDR automatycznie wykrywa i kategoryzuje krytyczne zasoby, usprawniając identyfikację i umożliwiając natychmiastową ochronę.
  • Twój zespół ds. zabezpieczeń może najpierw określić priorytety badań zabezpieczeń, zaleceń dotyczących stanu i kroków korygowania, aby skoncentrować się na krytycznych zasobach i systemach.

Wstępnie zdefiniowane klasyfikacje

Zarządzanie stopniem zagrożenia bezpieczeństwa udostępnia wbudowany wykaz wstępnie zdefiniowanych klasyfikacji zasobów krytycznych dla zasobów obejmujących urządzenia, tożsamości i zasoby w chmurze. Wstępnie zdefiniowane klasyfikacje obejmują:

  • Krytyczne zasoby zabezpieczeń cybernetycznych, takie jak serwery plików i kontrolery domeny
  • Bazy danych z danymi poufnymi
  • Grupy tożsamości, takie jak użytkownicy usługi Power Users
  • Role użytkowników, takie jak administrator ról uprzywilejowanych

Ponadto można tworzyć niestandardowe zasoby krytyczne, aby określić priorytety organizacji jako krytyczne podczas oceny narażenia i ryzyka.

Identyfikowanie krytycznych zasobów

Zasoby krytyczne można zidentyfikować na różne sposoby:

  • Automatycznie: Rozwiązanie wykorzystuje zaawansowaną analizę do automatycznego identyfikowania krytycznych zasobów w organizacji zgodnie ze wstępnie zdefiniowanymi klasyfikacjami. Usprawnia to proces identyfikacji, umożliwiając określenie zasobów wymagających zwiększonej ochrony i natychmiastowej uwagi.
  • W przypadku zapytań niestandardowych: Pisanie zapytań niestandardowych umożliwia określenie "klejnotów koronnych" organizacji na podstawie unikatowych kryteriów. Dzięki szczegółowej kontroli możesz upewnić się, że możesz skoncentrować swoje działania związane z zabezpieczeniami dokładnie tam, gdzie są potrzebne.
  • Ręcznie:
    • Przejrzyj zasoby w spisie urządzeń posortowane według poziomu krytyczności i zidentyfikuj zasoby wymagające uwagi.
    • Przejrzyj i zatwierdź zasoby sklasyfikowane automatycznie, ale z mniejszą pewnością.

Klasyfikowanie zasobów

Po zdefiniowaniu i zidentyfikowaniu zasobów o krytycznym znaczeniu biznesowym zostanie wyświetlona informacja o krytycznym znaczeniu zasobu. Krytyczne znaczenie zasobów jest zintegrowane z innymi środowiskami w portalu usługi Defender, takimi jak zaawansowane wyszukiwanie zagrożeń, spis urządzeń i ścieżki ataku obejmujące krytyczne zasoby.

Na przykład w spisie urządzeń jest wyświetlany poziom krytyczności.

Zrzut ekranu przedstawiający okno Spis urządzeń. Obraz zawiera nacisk na sekcję dotyczącą poziomu krytyczności.

W innym przykładzie na mapie Obszar ataków, gdy szukasz narażenia na zagrożenia i identyfikujesz punkty zadławienia, kolor aureoli otaczający ikonę zasobu i wskaźnik korony, wizualnie wskazujesz wysoki poziom krytyczności.

Zrzut ekranu przedstawiający zasób wyświetlany na mapie ekspozycji w kontekście innych połączeń. Dwa urządzenia na mapie pokazują wysoki poziom krytyczny.

Praca z klasyfikacjami zasobów

Możesz pracować z krytycznymi ustawieniami zasobów w następujący sposób:

  • Tworzenie klasyfikacji niestandardowych: możesz tworzyć nowe krytyczne klasyfikacje zasobów dla urządzeń, tożsamości i zasobów w chmurze dostosowane do twojej organizacji.
    • Konstruktor zapytań służy do definiowania nowej klasyfikacji. Na przykład możesz utworzyć zapytanie, aby zdefiniować urządzenia z określoną konwencją nazewnictwa jako krytyczną.
    • Tworzenie krytycznych zapytań klasyfikacji zasobów jest również przydatne w ograniczonych przypadkach, w których nie wszystkie interesujące zasoby są identyfikowane.
  • Dodawanie zasobów do klasyfikacji: możesz ręcznie dodawać zasoby do klasyfikacji zasobów krytycznych.
  • Modyfikowanie poziomów krytyczności: możesz edytować poziomy krytyczności zgodnie z profilem ryzyka organizacji.
  • Edytuj klasyfikacje niestandardowe: możesz edytować, usuwać i wyłączać klasyfikacje niestandardowe. Nie można modyfikować wstępnie zdefiniowanych klasyfikacji. Funkcja reguły "wyłącz" jest dostępna dla wstępnie zdefiniowanych zapytań. Jednak może nie być widoczny dla niektórych użytkowników z powodu określonych problemów.

Przeglądanie krytycznych zasobów

Logika klasyfikacji zasobów krytycznych używa zachowania zasobów z Microsoft Defender obciążeń i integracji innych firm. Aby zaimplementować inną logikę, wyłącz regułę i utwórz regułę niestandardową dopasowaną do twoich scenariuszy.

Niektóre zasoby zgodne z klasyfikacją mogą nie spełniać progu krytyczności. Na przykład zasób może być kontrolerem domeny, ale może nie zostać uznany za krytyczny dla Twojej firmy. Użyj funkcji przeglądu zasobów, aby dodać te zasoby do zdefiniowanej klasyfikacji. Ta funkcja umożliwia uwzględnienie zasobów na podstawie określonych kryteriów krytyczności organizacji.

Krytyczna inicjatywa ochrony zasobów

Inicjatywa Critical Asset Protection pomaga nadać priorytet systemom i zasobom o znaczeniu krytycznym dla działania firmy, koncentrując wysiłki zespołu SOC na zwiększaniu odporności, monitorowania i reagowania na zdarzenia. Ta inicjatywa jest dostępna w sekcji Inicjatywy usługi Exposure Insights w portalu Microsoft Defender.

  • Inicjatywa stale monitoruje odporność zabezpieczeń krytycznych zasobów, zapewniając w czasie rzeczywistym wgląd w skuteczność środków ochrony. Użyj oceny inicjatywy, aby porównać odporność zabezpieczeń krytycznych zasobów w różnych środowiskach, pomagając zidentyfikować obszary, które wymagają większej koncentracji uwagi i poprawy.
  • Inicjatywa zapewnia wgląd we wszystkie krytyczne zasoby w organizacji, identyfikuje potencjalne luki w krytycznym odnajdywaniem zasobów i odpowiednio dopasuje klasyfikacje. Inicjatywa konsoliduje informacje o krytycznych zasobach i ich odporności na zabezpieczenia w jednym widoku. Ten kompleksowy raport umożliwia podejmowanie świadomych decyzji i podejmowanie proaktywnych środków w celu ochrony krytycznych zasobów.

Następne kroki

Klasyfikowanie krytycznych zasobów.