Определение и исправление путей атаки

Defender для облака использует собственный алгоритм для поиска потенциальных путей атак, относящихся к вашей среде с несколькими облаками. Defender для облака фокусируется на реальных, внешних и эксплойтируемых угрозах, а не на широких сценариях. Алгоритм обнаруживает пути атаки, которые начинаются за пределами вашей организации и продвигаются к критически важным бизнес-целям, помогая отсеять лишние помехи и действовать быстрее.

Вы можете использовать анализ пути атаки для решения проблем безопасности, которые представляют немедленные угрозы и имеют наибольший потенциал для эксплуатации в вашей среде. Defender для облака анализирует, какие проблемы безопасности являются частью внешних путей атак, которые злоумышленники могут использовать для нарушения вашей среды. В нем также рассматриваются рекомендации по безопасности, необходимые для устранения этих проблем.

По умолчанию пути атаки упорядочены по уровню риска. Уровень риска определяется подсистемой приоритета риска с учетом контекста, которая учитывает факторы риска каждого ресурса. Узнайте больше о том, как Defender для облака приоритеты рекомендаций по безопасности.

Замечание

Сейчас эта возможность доступна в предварительной версии.
Дополнительные сведения о текущих пробелах и ограничениях см. в разделе "Известные ограничения".

Необходимые компоненты

• Необходимо включить службу управления posture Defender Cloud Security (CSPM) и включить проверку без агента.

• Необходимые роли и разрешения: читатель безопасности, администратор безопасности, читатель, участник или владелец.

Замечание

Вы можете увидеть пустую страницу пути атаки, так как пути атаки теперь сосредоточены на реальных, внешних и эксплойтируемых угрозах, а не на широких сценариях. Это помогает снизить шум и определить приоритеты неизбежных рисков.

Чтобы просмотреть пути атаки, связанные с контейнерами, выполните следующие действия.

• Необходимо включить расширение состояния контейнера без агента в CSPM в Defender или

• Вы можете включить Defender для контейнеров и установить соответствующие агенты, чтобы просмотреть пути атаки, связанные с контейнерами. Это также дает возможность запрашивать рабочие нагрузки плоскости данных контейнеров в обозревателе безопасности.

• Необходимые роли и разрешения: читатель безопасности, администратор безопасности, читатель, участник или владелец.

Определение путей атаки

Вы можете использовать анализ пути атаки, чтобы найти самые большие риски для вашей среды и устранить их.

На странице пути атаки отображается обзор всех путей атаки. Вы также можете просмотреть затронутые ресурсы и список активных путей атаки.

Чтобы определить пути атаки на портале Azure, выполните следующие действия.

1. Войдите на портал Azure.

2. Перейдите к анализу пути Microsoft Defender для облака> Attack.

   

3. Выберите путь атаки.

4. Выберите узел.

   

   Замечание

   Если у вас есть ограниченные разрешения, особенно в подписках, возможно, не отображаются полные сведения о пути атаки. Это ожидаемое поведение, предназначенное для защиты конфиденциальных данных. Чтобы просмотреть все сведения, убедитесь, что у вас есть необходимые разрешения.

5. Выберите "Аналитика", чтобы просмотреть связанные аналитические сведения для этого узла.

   

6. Выберите Рекомендации.

   

7. Выберите рекомендацию.

8. Исправьте рекомендацию.

Чтобы определить пути атаки на портале Defender, выполните следующие действия.

1. Войдите на портал Microsoft Defender.

2. Перейдите в Управление воздействием>поверхность атаки>пути атак. Вы увидите обзор путей атаки.

   Пути атаки предоставляют несколько представлений:

   • Вкладка обзора: просмотр путей атаки с течением времени, топ-5 узких мест, топ-5 сценариев путей атаки, топ-целевых объектов и топ-точек входа
   • Список путей атак: динамическое, фильтруемое представление всех путей атаки с расширенными возможностями фильтрации
   • Узкие места: список узлов, где сходятся несколько путей атаки, отмеченные как узкие места с высоким риском.

   

   Замечание

   На портале Defender анализ пути атаки является частью более широких возможностей управления экспозицией, обеспечивая расширенную интеграцию с другими решениями по обеспечению безопасности Майкрософт и единой корреляцией инцидентов.

3. Перейдите на вкладку "Пути атаки ".

   

4. Используйте расширенную фильтрацию в списке путей атак, чтобы сосредоточиться на определенных путях атак:

   • Уровень риска: фильтрация по путям атак "Высокий", "Средний" или "Низкий риск"
   • Тип ресурса: фокус на определенных типах ресурсов
   • Состояние исправления: просмотр разрешенных, выполняемых или ожидающих путей атаки
   • Интервал времени: фильтрация по определенным периодам времени (например, за последние 30 дней)

5. Выберите путь атаки, чтобы просмотреть карту пути атаки — графическое представление, подчеркивающее:

   • Уязвимые узлы: ресурсы с проблемами безопасности
   • Точки входа: внешние точки доступа, где могут начинаться атаки
   • Целевые ресурсы: критически важные ресурсы злоумышленники пытаются достичь
   • Узкие места: точки конвергенции, в которых пересекаются несколько путей атаки

6. Выберите узел для изучения подробных сведений:

   

   Замечание

   Если у вас есть ограниченные разрешения, особенно в подписках, возможно, не отображаются полные сведения о пути атаки. Это ожидаемое поведение, предназначенное для защиты конфиденциальных данных. Чтобы просмотреть все сведения, убедитесь, что у вас есть необходимые разрешения.

7. Просмотрите сведения о узле, включая следующие:

   • Тактика и методы MITRE ATT&CK: понимание методологии атаки
   • Факторы риска: факторы окружающей среды, влияющие на риск
   • Связанные рекомендации. Улучшения безопасности для устранения проблемы

8. Выберите "Аналитика", чтобы просмотреть связанные аналитические сведения для этого узла.

9. Выберите рекомендации для просмотра практических рекомендаций с отслеживанием состояния исправления.

   

10. Выберите рекомендацию.

11. Исправьте рекомендацию.

    После завершения исследования пути атаки и просмотра всех связанных результатов и рекомендаций вы можете начать исправление пути атаки.

12. Исправьте рекомендацию.

После разрешения пути атаки может потребоваться до 24 часов, чтобы путь атаки был удален из списка.

---

Исправление путей атаки

После завершения исследования пути атаки и просмотра всех связанных результатов и рекомендаций вы можете начать исправление пути атаки.

Чтобы устранить путь атаки на портале Azure, выполните следующие действия.

1. Перейдите к анализу пути Microsoft Defender для облака> Attack.

2. Выберите путь атаки.

3. Выберите "Исправление".

   

4. Выберите рекомендацию.

5. Исправьте рекомендацию.

После разрешения пути атаки может потребоваться до 24 часов, чтобы путь атаки был удален из списка.

Исправление всех рекомендаций в пути атаки

Анализ пути атаки предоставляет возможность просматривать все рекомендации по пути атаки без необходимости проверять каждый узел по отдельности. Все рекомендации можно разрешить без необходимости просматривать каждый узел по отдельности.

Путь исправления содержит два типа рекомендаций:

• Рекомендации. Рекомендации, которые устраняют путь атаки.
• Дополнительные рекомендации . Рекомендации , которые снижают риски эксплуатации, но не устраняют путь атаки.

Чтобы устранить все рекомендации на портале Azure, выполните следующие действия.

1. Войдите на портал Azure.

2. Перейдите к анализу пути Microsoft Defender для облака> Attack.

3. Выберите путь атаки.

4. Выберите "Исправление".

   

5. Разверните дополнительные рекомендации.

6. Выберите рекомендацию.

7. Исправьте рекомендацию.

После разрешения пути атаки может потребоваться до 24 часов, чтобы путь атаки был удален из списка.

Чтобы устранить все рекомендации на портале Defender, выполните следующие действия.

1. Войдите на портал Microsoft Defender.

2. Перейдите к управлению уязвимостью>анализу пути атаки.

3. Выберите путь атаки.

4. Выберите "Исправление".

   Замечание

   Портал Defender обеспечивает расширенное отслеживание хода выполнения исправления и может сопоставлять действия по исправлению с более широкими операциями безопасности и рабочими процессами управления инцидентами.

5. Разверните дополнительные рекомендации.

6. Выберите рекомендацию.

7. Исправьте рекомендацию.

После разрешения пути атаки может потребоваться до 24 часов, чтобы путь атаки был удален из списка.

---

Расширенные возможности управления экспозицией

Портал Defender предоставляет дополнительные возможности для анализа путей атаки с помощью интегрированной платформы управления экспозицией:

• Единая корреляция инцидентов: пути атак автоматически коррелируются с инцидентами безопасности в экосистеме безопасности Майкрософт.
• Аналитика между продуктами: данные пути атаки интегрированы с результатами Microsoft Defender для конечной точки, Microsoft Sentinel и другими решениями по обеспечению безопасности Microsoft.
• Расширенная интеллектная информация об угрозах: Расширенный контекст из источников аналитики угроз Microsoft, чтобы лучше понять шаблоны атак и поведение актеров.
• Интегрированные рабочие процессы исправления: упрощенные процессы исправления, которые могут активировать автоматические ответы в нескольких средствах безопасности.
• Исполнительный отчет: расширенные возможности создания отчетов для руководства по обеспечению безопасности с оценкой влияния на бизнес.

Эти возможности обеспечивают более полное представление о безопасности и обеспечивают более эффективный ответ на потенциальные угрозы, выявленные с помощью анализа пути атаки.

Дополнительные сведения о путях атак в Defender для облака.

---

Следующий шаг

Создание запросов с помощью облачного обозревателя безопасности.