Изучение рекомендаций по обеспечению безопасности

В Microsoft Defender для облака ресурсы и рабочие нагрузки оцениваются по встроенным и пользовательским стандартам безопасности, включенным в подписках Azure, учетных записях AWS и проектах GCP. На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

В этой статье описывается, как просмотреть рекомендации по безопасности в развертывании Defender для облака с помощью последней версии портала.

Получить общие сведения

В Defender для облака перейдите на панель мониторинга "Обзор", чтобы получить целостный обзор сред, включая:

  • Активные рекомендации: Рекомендации, которые активны в вашей среде.
  • Неназначенные рекомендации. Сведения о том, какие рекомендации не назначены владельцам.
  • Просроченные рекомендации: Рекомендации с истекшим сроком действия.
  • Пути атаки: см. количество путей атаки.

Просмотр рекомендаций

Важно!

На этой странице описывается, как использовать новый интерфейс рекомендаций, где у вас есть возможность определять приоритеты рекомендаций по их эффективному уровню риска. Чтобы просмотреть этот интерфейс, необходимо выбрать команду "Попробовать сейчас".

Screenshot that shows where the try it now button is located on the recommendation page.

Чтобы просмотреть рекомендации, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Для каждой рекомендации просмотрите следующее:

    • Уровень риска — указывает, является ли риск рекомендации критическим, высоким, средним или низким.
    • Затронутый ресурс — указанные затронутые ресурсы.
    • Факторы риска — экологические факторы ресурса, затронутые рекомендацией, которая влияет на эксплуатируемость и деловой эффект базовой проблемы безопасности. Например, интернет-экспозиция, конфиденциальные данные, потенциал бокового перемещения и многое другое.
    • Пути атаки — количество путей атаки.
    • Владелец — человек, назначенный этой рекомендации.
    • Дата выполнения— указывает дату выполнения для исправления рекомендации.
    • Состояние рекомендации указывает, назначена ли рекомендация, а также состояние даты выполнения для исправления рекомендации.

Просмотр сведений о рекомендации

Перед попыткой понять процесс, необходимый для разрешения этой рекомендации, важно просмотреть все сведения, связанные с рекомендацией. Перед разрешением рекомендации рекомендуется убедиться, что все сведения о рекомендации верны.

Чтобы просмотреть сведения о рекомендации, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. На странице рекомендаций просмотрите сведения:

    • Описание – краткое описание проблемы безопасности.

    • Пути атаки — количество путей атаки.

    • Область — затронутая подписка или ресурс.

    • Свежесть — интервал свежести для рекомендации.

    • Дата последнего изменения — дата последнего изменения этой рекомендации

    • Владелец — человек, назначенный этой рекомендации.

    • Дата выполнения — назначенная дата, с помощью которую должна быть разрешена рекомендация.

    • Серьезность — серьезность рекомендации (высокий, средний или низкий). Дополнительные сведения приведены ниже.

    • Тактика и методы - тактика и методы , сопоставленные с MITRE ATT&CK.

      Screenshot of the recommendation details page with labels for each element.

Изучение рекомендации

Вы можете выполнять множество действий для взаимодействия с рекомендациями. Если параметр недоступен, он не относится к рекомендации.

Чтобы изучить рекомендацию, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. В рекомендации можно выполнить следующие действия:

    • Выберите "Открыть запрос", чтобы просмотреть подробные сведения о затронутых ресурсах с помощью запроса Azure Resource Graph Обозреватель.

    • Выберите "Просмотреть определение политики", чтобы просмотреть запись Политика Azure для базовой рекомендации (если это необходимо).

  5. В результатах можно просмотреть связанные результаты по серьезности.

    Screenshot of the findings tab in a recommendation that shows all of the attack paths for that recommendation.

  6. В действии:

    • Исправление. Описание действий вручную, необходимых для устранения проблемы безопасности в затронутых ресурсах. Для рекомендаций с параметром "Исправление " можно выбрать логику просмотра исправлений перед применением предлагаемого исправления к ресурсам.

    • Назначьте владельца и дату выполнения: если у вас есть правило управления, включенное для рекомендации, можно назначить владельца и дату выполнения.

    • Исключение. Вы можете исключить ресурсы из рекомендации или отключить определенные выводы с помощью правил отключения.

    • Автоматизация рабочих процессов: настройте приложение логики для активации с помощью этой рекомендации.

    Screenshot that shows what you can see in the recommendation when you select the take action tab.

  7. В Graph можно просматривать и исследовать весь контекст, используемый для приоритизации рисков, включая пути атаки. Узел можно выбрать в пути атаки, чтобы просмотреть сведения о выбранном узле.

    Screenshot of the graph tab in a recommendation that shows all of the attack paths for that recommendation.

Как классифицируются рекомендации?

Каждая рекомендация по безопасности из Defender для облака назначается один из трех оценок серьезности:

  • Высокий уровень серьезности. Эти рекомендации следует немедленно устранить, так как они указывают на критически важную уязвимость безопасности, которая может быть использована злоумышленником для получения несанкционированного доступа к системам или данным. Примерами рекомендаций по высокой серьезности являются обнаружение незащищенных секретов на компьютере, чрезмерно разрешительных правил NSG для входящего трафика, кластеров, позволяющих развертывать образы из ненадежных реестров, а также неограниченный общедоступный доступ к учетным записям хранения или базам данных.

  • Средняя серьезность: эти рекомендации указывают на потенциальный риск безопасности, который следует своевременно устранить, но не может потребовать немедленного внимания. Примеры рекомендаций по средней серьезности могут включать контейнеры, использующие пространства имен конфиденциальных узлов, веб-приложения, не использующие управляемые удостоверения, компьютеры Linux, не требующие ключей SSH во время проверки подлинности, и неиспользуемые учетные данные остаются в системе через 90 дней бездействия.

  • Низкая серьезность. Эти рекомендации указывают на относительно незначительные проблемы безопасности, которые можно устранить в удобном режиме. Примеры рекомендаций с низкой степенью серьезности могут включать необходимость отключения локальной проверки подлинности в пользу идентификатора Microsoft Entra, проблем со работоспособностью решения для защиты конечных точек, рекомендаций, не отслеживаемых группами безопасности сети, или неправильно настроенных параметров ведения журнала, которые могут усложнять обнаружение и реагирование на инциденты безопасности.

Конечно, внутренние представления организации могут отличаться от классификации майкрософт конкретной рекомендации. Поэтому всегда рекомендуется внимательно просматривать каждую рекомендацию и учитывать его потенциальное влияние на состояние безопасности перед решением о том, как решить, как это сделать.

Управление рекомендациями, назначенными вам

Defender для облака поддерживает правила управления для рекомендаций, чтобы указать владельца рекомендации или дату выполнения действия. Правила управления помогают обеспечить подотчетность и соглашение об уровне обслуживания для рекомендаций.

  • Рекомендации перечислены как Время до истечения срока их выполнения, когда они будут изменены на Overdue.
  • Прежде чем рекомендация просрочена, рекомендация не влияет на оценку безопасности.
  • Вы также можете применить льготный период, в течение которого просроченные рекомендации продолжают не влиять на оценку безопасности.

Дополнительные сведения о настройке правил управления.

Чтобы управлять рекомендациями, назначенными вам, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите "Добавить владельца фильтра>".

  4. Выберите запись пользователя.

  5. Нажмите Применить.

  6. В результатах рекомендаций просмотрите рекомендации, включая затронутые ресурсы, факторы риска, пути атаки, даты выполнения и состояние.

  7. Выберите рекомендацию для дальнейшего просмотра.

  8. В действии>"Изменить владельца" и дате выполнения выберите "Изменить назначение", чтобы изменить владельца рекомендации и дату выполнения при необходимости.

    • По умолчанию владелец ресурса получает еженедельное описание рекомендаций, назначенных им.
    • Если выбрать новую дату исправления, в обоснование укажите причины исправления по этой дате.
    • В set Уведомления по электронной почте можно:
      • Переопределите еженедельную электронную почту владельца по умолчанию.
      • Уведомляйте владельцев еженедельно со списком открытых или просроченных задач.
      • Уведомите прямого руководителя владельца с открытым списком задач.
  9. Выберите Сохранить.

Примечание.

Изменение ожидаемой даты завершения не изменяет дату выполнения рекомендации, но партнеры по безопасности могут видеть, что планируется обновить ресурсы по указанной дате.

Просмотр рекомендаций в Azure Resource Graph

Azure Resource Graph можно использовать для записи язык запросов Kusto (KQL) для запроса Defender для облака данных о безопасности в нескольких подписках. Azure Resource Graph позволяет эффективно запрашивать данные в разных облачных средах, просматривая, фильтруя, группирование и сортировку данных.

Чтобы просмотреть рекомендации в Azure Resource Graph, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. Выберите Открыть запрос.

  5. Запрос можно открыть одним из двух способов:

    • Запрос, возвращающий затронутый ресурс . Возвращает список всех ресурсов, затронутых этой рекомендацией.
    • Запрос, возвращающий результаты безопасности. Возвращает список всех проблем безопасности, обнаруженных рекомендацией.
  6. Выберите запрос запуска.

    Screenshot of Azure Resource Graph Explorer showing the results for the recommendation shown in the previous screenshot.

  7. Проверка результатов.

Пример

В этом примере на странице сведений об этой рекомендации показаны 15 затронутых ресурсов:

Screenshot of the Open Query button on the recommendation details page.

Когда вы открываете базовый запрос и запускаете его, Azure Resource Graph Обозреватель возвращает те же затронутые ресурсы для этой рекомендации.

Следующие шаги

Исправление рекомендаций по безопасности