Udostępnij za pośrednictwem

Omówienie krytycznego zarządzania zasobami

Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft usprawnia identyfikację i priorytetyzację zasobów krytycznych dla działania firmy we wszystkich domenach, w tym urządzeniach, tożsamościach i zasobach w chmurze, umożliwiając menedżerom ryzyka i zespołom SOC skoncentrowanie wysiłków tam, gdzie mają największe znaczenie, i zmniejszenie ogólnego ryzyka związanego z atakiem. Dzięki integracji usługi Defender for Cloud w portalu Defender klasyfikacja zasobów obejmuje teraz ujednolicone spisy obejmujące punkty końcowe, środowiska chmury i zewnętrzne powierzchnie ataków. Klasyfikacja zasobów jest oparta na zastrzeżonych klasyfikatorach, które można dostosować ręcznie w celu odzwierciedlenia kontekstu organizacyjnego. W tym artykule szczegółowo opisano podstawowe mechanizmy używane do identyfikowania i klasyfikowania zasobów w ramach struktury Ochrona zasobów krytycznych.

  • Microsoft Defender XDR automatycznie wykrywa i kategoryzuje krytyczne zasoby, usprawniając identyfikację i umożliwiając natychmiastową ochronę.
  • Twój zespół ds. zabezpieczeń może najpierw określić priorytety badań zabezpieczeń, zaleceń dotyczących stanu i kroków korygowania, aby skoncentrować się na krytycznych zasobach i systemach.

Wstępnie zdefiniowane klasyfikacje

Zarządzanie stopniem zagrożenia bezpieczeństwa udostępnia wbudowany katalog wstępnie zdefiniowanych klasyfikacji zasobów krytycznych dla zasobów obejmujących urządzenia, tożsamości i zasoby w chmurze w ramach ujednoliconego spisu. Wstępnie zdefiniowane klasyfikacje obejmują:

  • Krytyczne zasoby zabezpieczeń cybernetycznych, takie jak serwery plików i kontrolery domeny
  • Bazy danych z danymi poufnymi
  • Grupy tożsamości, takie jak użytkownicy usługi Power Users
  • Role użytkowników, takie jak administrator ról uprzywilejowanych
  • Zasoby w chmurze ze środowisk Azure, AWS i GCP
  • Zasoby zewnętrzne odnalezione za pośrednictwem integracji innych firm

Ponadto można tworzyć niestandardowe zasoby krytyczne, aby określić priorytety organizacji jako krytyczne podczas oceny narażenia i ryzyka we wszystkich typach zasobów w ujednoliconym spisie.

Identyfikowanie krytycznych zasobów

Zasoby krytyczne można zidentyfikować na różne sposoby:

  • Automatycznie: Rozwiązanie wykorzystuje zaawansowaną analizę do automatycznego identyfikowania krytycznych zasobów w organizacji zgodnie ze wstępnie zdefiniowanymi klasyfikacjami. Usprawnia to proces identyfikacji, umożliwiając określenie zasobów wymagających zwiększonej ochrony i natychmiastowej uwagi.
  • W przypadku zapytań niestandardowych: Pisanie zapytań niestandardowych umożliwia określenie "klejnotów koronnych" organizacji na podstawie unikatowych kryteriów. Dzięki szczegółowej kontroli możesz upewnić się, że możesz skoncentrować swoje działania związane z zabezpieczeniami dokładnie tam, gdzie są potrzebne.
  • Ręcznie:
    • Przejrzyj zasoby w spisie urządzeń posortowane według poziomu krytyczności i zidentyfikuj zasoby wymagające uwagi.
    • Przejrzyj i zatwierdź zasoby sklasyfikowane automatycznie, ale z mniejszą pewnością.

Klasyfikowanie zasobów

Po zdefiniowaniu i zidentyfikowaniu zasobów o krytycznym znaczeniu biznesowym zostanie wyświetlona informacja o krytycznym znaczeniu zasobu. Krytyczne znaczenie zasobów jest zintegrowane z innymi środowiskami w portalu usługi Defender, takimi jak zaawansowane wyszukiwanie zagrożeń, spis urządzeń i ścieżki ataku obejmujące krytyczne zasoby.

Na przykład w spisie urządzeń jest wyświetlany poziom krytyczności.

Zrzut ekranu przedstawiający okno Spis urządzeń. Obraz zawiera nacisk na sekcję dotyczącą poziomu krytyczności.

W innym przykładzie na mapie Obszar ataków, gdy szukasz narażenia na zagrożenia i identyfikujesz punkty zadławienia, kolor aureoli otaczający ikonę zasobu i wskaźnik korony, wizualnie wskazujesz wysoki poziom krytyczności.

Zrzut ekranu przedstawiający zasób wyświetlany na mapie ekspozycji w kontekście innych połączeń. Dwa urządzenia na mapie pokazują wysoki poziom krytyczny.

Praca z klasyfikacjami zasobów

Możesz pracować z krytycznymi ustawieniami zasobów w następujący sposób:

  • Tworzenie klasyfikacji niestandardowych: możesz utworzyć nowe krytyczne klasyfikacje zasobów dla urządzeń, tożsamości i zasobów w chmurze z dowolnej domeny (Azure, AWS, GCP lub lokalnie), dostosowanej do organizacji.
    • Konstruktor zapytań służy do definiowania nowej klasyfikacji. Możesz na przykład utworzyć zapytanie definiujące urządzenia z określoną konwencją nazewnictwa jako krytyczne lub zasoby w chmurze z określonymi tagami jako krytycznymi.
    • Tworzenie krytycznych zapytań klasyfikacji zasobów jest również przydatne w ograniczonych przypadkach, w których nie wszystkie interesujące zasoby są identyfikowane w ramach ujednoliconego spisu.
  • Dodawanie zasobów do klasyfikacji: możesz ręcznie dodawać zasoby z dowolnej domeny do klasyfikacji zasobów krytycznych w środowisku ujednoliconego zarządzania zasobami.
  • Modyfikowanie poziomów krytyczności: możesz edytować poziomy krytyczności zgodnie z profilem ryzyka organizacji we wszystkich typach zasobów.
  • Edytuj klasyfikacje niestandardowe: możesz edytować, usuwać i wyłączać klasyfikacje niestandardowe. Nie można modyfikować wstępnie zdefiniowanych klasyfikacji. Funkcja reguły "wyłącz" jest dostępna dla wstępnie zdefiniowanych zapytań. Jednak może nie być widoczny dla niektórych użytkowników z powodu określonych problemów.
  • Integracja danych innych firm: Zasoby odnalezione za pośrednictwem łączników innych firm (takich jak cmdb usługi ServiceNow) mogą być automatycznie oznaczane jako krytyczne, jeśli spełniają określone kryteria, zwiększając krytyczną identyfikację zasobów w ramach ujednoliconego spisu.

Przeglądanie krytycznych zasobów

Krytyczna logika klasyfikacji zasobów używa zachowania zasobów z Microsoft Defender obciążeń, środowisk w chmurze (Azure, AWS, GCP) i integracji innych firm. Dzięki integracji usługi Defender for Cloud w portalu usługi Defender obejmuje ona teraz zasoby ze ujednoliconego spisu we wszystkich domenach. Aby zaimplementować inną logikę, wyłącz regułę i utwórz regułę niestandardową dopasowaną do twoich scenariuszy.

Niektóre zasoby zgodne z klasyfikacją mogą nie spełniać progu krytyczności. Na przykład zasób może być kontrolerem domeny lub zasobem w chmurze, ale może nie zostać uznany za krytyczny dla Twojej firmy. Użyj funkcji przeglądu zasobów, aby dodać te zasoby do zdefiniowanej klasyfikacji. Ta funkcja umożliwia uwzględnienie zasobów na podstawie określonych kryteriów krytyczności organizacji w całym ujednoliconym spisie zasobów, zapewniając prawidłowe zarządzanie wszystkimi krytycznymi zasobami na urządzeniach, tożsamościach i zasobach w chmurze w jednym miejscu.

Krytyczna inicjatywa ochrony zasobów

Inicjatywa Critical Asset Protection pomaga nadać priorytet systemom i zasobom o znaczeniu krytycznym dla działania firmy, koncentrując wysiłki zespołu SOC na zwiększaniu odporności, monitorowania i reagowania na zdarzenia. Ta inicjatywa jest dostępna w sekcji Inicjatywy usługi Exposure Insights w portalu Microsoft Defender.

  • Inicjatywa stale monitoruje odporność zabezpieczeń krytycznych zasobów, zapewniając w czasie rzeczywistym wgląd w skuteczność środków ochrony. Użyj oceny inicjatywy, aby porównać odporność zabezpieczeń krytycznych zasobów w różnych środowiskach, pomagając zidentyfikować obszary, które wymagają większej koncentracji uwagi i poprawy.
  • Inicjatywa zapewnia wgląd we wszystkie krytyczne zasoby w organizacji, identyfikuje potencjalne luki w krytycznym odnajdywaniem zasobów i odpowiednio dopasuje klasyfikacje. Inicjatywa konsoliduje informacje o krytycznych zasobach i ich odporności na zabezpieczenia w jednym widoku. Ten kompleksowy raport umożliwia podejmowanie świadomych decyzji i podejmowanie proaktywnych środków w celu ochrony krytycznych zasobów.

Następne kroki

Klasyfikowanie krytycznych zasobów.

  • Last updated on