Priorização de riscos

  • Artigo

O Microsoft Defender for Cloud utiliza proativamente um mecanismo dinâmico que avalia os riscos em seu ambiente, levando em consideração o potencial de exploração e o potencial impacto nos negócios para sua organização. O mecanismo prioriza recomendações de segurança com base nos fatores de risco de cada recurso, que são determinados pelo contexto do ambiente, incluindo a configuração do recurso, conexões de rede e postura de segurança.

Quando o Defender for Cloud realiza uma avaliação de risco dos seus problemas de segurança, o mecanismo identifica os riscos de segurança mais significativos, distinguindo-os dos problemas menos arriscados. As recomendações são então classificadas com base em seu nível de risco, permitindo que você resolva os problemas de segurança que representam ameaças imediatas com o maior potencial de serem exploradas em seu ambiente.

Em seguida, o Defender for Cloud analisa quais problemas de segurança fazem parte de possíveis caminhos de ataque que os invasores podem usar para invadir seu ambiente. Também destaca as recomendações de segurança que precisam ser resolvidas para mitigar esses riscos. Essa abordagem ajuda você a se concentrar em preocupações urgentes de segurança e torna os esforços de correção mais eficientes e eficazes. Embora a priorização de risco não afete a pontuação segura, ela ajuda você a resolver os problemas de segurança mais críticos em seu ambiente.

Recomendações

Os recursos e cargas de trabalho do Microsoft Defender for Cloud são avaliados em relação aos padrões de segurança internos e personalizados habilitados em suas assinaturas do Azure, contas da AWS e projetos GCP. Com base nessas avaliações, as recomendações de segurança fornecem etapas práticas para remediar problemas de segurança e melhorar a postura de segurança.

Nota

As recomendações estão incluídas no plano CSPM Foundational, que está incluído no Defender for Cloud. No entanto, a priorização de risco e a governança são suportadas apenas com o plano CSPM do Defender.

Se o seu ambiente não estiver protegido pelo plano CSPM do Defender, as colunas com os recursos de priorização de risco aparecerão desfocadas.

Recursos diferentes podem ter a mesma recomendação com diferentes níveis de risco. Por exemplo, uma recomendação para habilitar a MFA em uma conta de usuário pode ter um nível de risco diferente para usuários diferentes. O nível de risco é determinado pelos fatores de risco de cada recurso, como sua configuração, conexões de rede e postura de segurança. O nível de risco é calculado com base no impacto potencial do problema de segurança que está sendo violado, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte.

No Defender for Cloud, navegue até o painel Recomendações para exibir uma visão geral das recomendações existentes para seus ambientes priorizados pela análise de risco em seus ambientes.

Nesta página pode rever o:

  • Título - O título da recomendação.

  • Recurso afetado - O recurso ao qual a recomendação se aplica.

  • Nível de risco - A capacidade de exploração e o impacto comercial do problema de segurança subjacente, tendo em conta o contexto dos recursos ambientais, tais como: exposição à Internet, dados sensíveis, movimento lateral e muito mais.

  • Fatores de risco - Fatores ambientais do recurso afetado pela recomendação, que influenciam a capacidade de exploração e o impacto comercial do problema de segurança subjacente. Exemplos de fatores de risco incluem exposição à Internet, dados sensíveis, potencial de movimento lateral.

  • Caminhos de ataque - O número de caminhos de ataque dos quais a recomendação faz parte com base na pesquisa do mecanismo de segurança para todos os caminhos de ataque potenciais com base nos recursos existentes no ambiente e na relação que existe entre eles. Cada ambiente apresentará seus próprios caminhos de ataque exclusivos.

  • Proprietário - A pessoa à qual a recomendação é atribuída.

  • Status - O status atual da recomendação. Por exemplo, não atribuído, dentro do prazo, vencido.

  • Insights - Informações relacionadas à recomendação, como, por exemplo, se ela está em visualização, se pode ser negada, se há uma opção de correção disponível e muito mais.

    Captura de tela do painel de recomendações que mostra recomendações priorizadas por seu risco.

Ao selecionar uma recomendação, você pode visualizar os detalhes da recomendação, incluindo a descrição, caminhos de ataque, escopo, atualização, data da última alteração, proprietário, data de vencimento, gravidade, táticas e técnicas e muito mais.

  • Descrição - Uma breve descrição do problema de segurança.

  • Caminhos de ataque - O número de caminhos de ataque.

  • Âmbito - A subscrição ou recurso afetado.

  • Frescura - O intervalo de frescura para a recomendação.

  • Data da última alteração - A data da última alteração desta recomendação

  • Proprietário - A pessoa designada para esta recomendação.

  • Data de vencimento - A data atribuída à recomendação deve ser resolvida.

  • Severidade - A gravidade da recomendação (Alta, Média ou Baixa). Mais detalhes abaixo.

  • Táticas e técnicas - As táticas e técnicas mapeadas para MITRE ATT&CK.

    Captura de ecrã da página de detalhes da recomendação com etiquetas para cada elemento.

O que são fatores de risco?

O Defender for Cloud utiliza o contexto de um ambiente, incluindo a configuração do recurso, as conexões de rede e a postura de segurança, para realizar uma avaliação de risco de possíveis problemas de segurança. Ao fazê-lo, identifica os riscos de segurança mais significativos, distinguindo-os de problemas menos arriscados. As recomendações são então ordenadas com base no seu nível de risco.

Esse mecanismo de avaliação de risco considera fatores de risco essenciais, como exposição à internet, sensibilidade aos dados, movimento lateral e possíveis caminhos de ataque. Essa abordagem prioriza preocupações urgentes de segurança, tornando os esforços de remediação mais eficientes e eficazes.

Como é calculado o risco?

O Defender for Cloud usa um mecanismo de priorização de risco sensível ao contexto para calcular o nível de risco de cada recomendação de segurança. O nível de risco é determinado pelos fatores de risco de cada recurso, como sua configuração, conexões de rede e postura de segurança. O nível de risco é calculado com base no impacto potencial do problema de segurança que está sendo violado, nas categorias de risco e no caminho de ataque do qual o problema de segurança faz parte.

Níveis de risco

As recomendações podem ser classificadas em cinco categorias com base no seu nível de risco:

  • Crítica: recomendações que indicam uma vulnerabilidade de segurança crítica que pode ser explorada por um invasor para obter acesso não autorizado aos seus sistemas ou dados.

  • Alto: recomendações que indicam um risco potencial de segurança que deve ser abordado em tempo hábil, mas pode não exigir atenção imediata.

  • Médio: Recomendações que indicam um problema de segurança relativamente pequeno que pode ser resolvido de acordo com a sua conveniência.

  • Baixo: Recomendações que indicam um problema de segurança relativamente pequeno que pode ser resolvido de acordo com a sua conveniência.

  • Não avaliado: Recomendações que ainda não foram avaliadas. Isso pode ser devido ao recurso não estar coberto pelo plano Defender CSPM, que é um pré-requisito para o nível de risco.

O nível de risco é determinado por um mecanismo de priorização de risco sensível ao contexto que considera os fatores de risco de cada recurso. Saiba mais sobre como o Defender for Cloud identifica e corrige caminhos de ataque.

Conteúdos relacionados