Изучение рекомендаций по обеспечению безопасности

  • Статья

В Microsoft Defender для облака ресурсы и рабочие нагрузки оцениваются по встроенным и пользовательским стандартам безопасности, включенным в подписках Azure, учетных записях AWS и проектах GCP. На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

Defender для облака использует динамический механизм, который оценивает риски в вашей среде, учитывая потенциал эксплуатации и потенциальное влияние бизнеса на вашу организацию. Подсистема определяет рекомендации по безопасности на основе факторов риска каждого ресурса, которые определяются контекстом среды, включая конфигурацию ресурса, сетевые подключения и состояние безопасности.

Необходимые компоненты

Примечание.

Рекомендации включены по умолчанию с Defender для облака, но вы не сможете видеть приоритет риска без включения CSPM Defender в вашей среде.

Просмотр сведений о рекомендации

Перед попыткой понять процесс, необходимый для разрешения этой рекомендации, важно просмотреть все сведения, связанные с рекомендацией. Перед разрешением рекомендации рекомендуется убедиться, что все сведения о рекомендации верны.

Чтобы просмотреть сведения о рекомендации, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. На странице рекомендаций просмотрите сведения:

    • Уровень риска — эксплуатируемость и влияние бизнес-проблем, связанных с безопасностью, учитывая контекст экологических ресурсов, такие как воздействие Интернета, конфиденциальные данные, боковое перемещение и многое другое.
    • Факторы риска — экологические факторы ресурса, затронутые рекомендацией, которые влияют на эксплуатируемость и влияние на бизнес-проблему безопасности. Примеры факторов риска включают воздействие в Интернете, конфиденциальные данные, потенциал бокового перемещения.
    • Ресурс — имя затронутого ресурса.
    • Состояние — состояние рекомендации. Например, не назначено время, просроченный.
    • Описание – краткое описание проблемы безопасности.
    • Пути атаки — количество путей атаки.
    • Область — затронутая подписка или ресурс.
    • Свежесть — интервал свежести для рекомендации.
    • Дата последнего изменения — дата последнего изменения этой рекомендации
    • Владелец — человек, назначенный этой рекомендации.
    • Дата выполнения — назначенная дата, с помощью которую должна быть разрешена рекомендация.
    • Тактика и методы - тактика и методы , сопоставленные с MITRE ATT&CK.

Изучение рекомендации

Вы можете выполнять множество действий для взаимодействия с рекомендациями. Если параметр недоступен, он не относится к рекомендации.

Чтобы изучить рекомендацию, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. В рекомендации можно выполнить следующие действия:

    • Выберите "Открыть запрос", чтобы просмотреть подробные сведения о затронутых ресурсах с помощью запроса Azure Resource Graph Обозреватель.

    • Выберите "Просмотреть определение политики", чтобы просмотреть запись Политика Azure для базовой рекомендации (если это необходимо).

  5. В действии:

    • Исправление. Описание действий вручную, необходимых для устранения проблемы безопасности в затронутых ресурсах. Для рекомендаций с параметром "Исправление " можно выбрать логику просмотра исправлений перед применением предлагаемого исправления к ресурсам.

    • Назначьте владельца и дату выполнения: если у вас есть правило управления, включенное для рекомендации, можно назначить владельца и дату выполнения.

    • Исключение. Вы можете исключить ресурсы из рекомендации или отключить определенные выводы с помощью правил отключения.

    • Автоматизация рабочих процессов: настройте приложение логики для активации с помощью этой рекомендации.

    Снимок экрана, на котором показано, что можно увидеть в рекомендации при выборе вкладки действий.

  6. В результатах можно просмотреть связанные результаты по серьезности.

    Снимок экрана: вкладка

  7. В Graph можно просматривать и исследовать весь контекст, используемый для приоритизации рисков, включая пути атаки. Узел можно выбрать в пути атаки, чтобы просмотреть сведения о выбранном узле.

    Снимок экрана: вкладка графа в рекомендации, в котором показаны все пути атаки для этой рекомендации.

  8. Выберите узел для просмотра дополнительных сведений.

    Снимок экрана: узел, расположенный на выбранной вкладке графа и показывающий дополнительные сведения.

  9. Выберите Insights (Аналитика).

  10. В раскрывающемся меню уязвимостей выберите уязвимость для просмотра сведений.

    Снимок экрана: вкладка

  11. (Необязательно) Нажмите кнопку "Открыть страницу уязвимостей", чтобы просмотреть связанную страницу рекомендаций.

  12. Исправьте рекомендацию.

Групповые рекомендации по названию

страница рекомендаций Defender для облака позволяет группировать рекомендации по названию. Эта функция полезна, если требуется устранить рекомендацию, которая влияет на несколько ресурсов, вызванных определенной проблемой безопасности.

Группирование рекомендаций по названию:

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите группу по названию.

    Снимок экрана: страница рекомендаций, показывющая расположение группы по заголовку на экране.

Управление рекомендациями, назначенными вам

Defender для облака поддерживает правила управления для рекомендаций, чтобы указать владельца рекомендации или дату выполнения действия. Правила управления помогают обеспечить подотчетность и соглашение об уровне обслуживания для рекомендаций.

  • Рекомендации перечислены как Время до истечения срока их выполнения, когда они будут изменены на Overdue.
  • Прежде чем рекомендация просрочена, рекомендация не влияет на оценку безопасности.
  • Вы также можете применить льготный период, в течение которого просроченные рекомендации продолжают не влиять на оценку безопасности.

Дополнительные сведения о настройке правил управления.

Чтобы управлять рекомендациями, назначенными вам, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите "Добавить владельца фильтра>".

  4. Выберите запись пользователя.

  5. Выберите Применить.

  6. В результатах рекомендаций просмотрите рекомендации, включая затронутые ресурсы, факторы риска, пути атаки, даты выполнения и состояние.

  7. Выберите рекомендацию для дальнейшего просмотра.

  8. В действии>"Изменить владельца" и дате выполнения выберите "Изменить назначение", чтобы изменить владельца рекомендации и дату выполнения при необходимости.

    • По умолчанию владелец ресурса получает еженедельное описание рекомендаций, назначенных им.
    • Если выбрать новую дату исправления, в обоснование укажите причины исправления по этой дате.
    • В set Уведомления по электронной почте можно:
      • Переопределите еженедельную электронную почту владельца по умолчанию.
      • Уведомляйте владельцев еженедельно со списком открытых или просроченных задач.
      • Уведомите прямого руководителя владельца с открытым списком задач.

  9. Выберите Сохранить.

Примечание.

Изменение ожидаемой даты завершения не изменяет дату выполнения рекомендации, но партнеры по безопасности могут видеть, что планируется обновить ресурсы по указанной дате.

Просмотр рекомендаций в Azure Resource Graph

Azure Resource Graph можно использовать для записи язык запросов Kusto (KQL) для запроса Defender для облака данных о безопасности в нескольких подписках. Azure Resource Graph позволяет эффективно запрашивать данные в разных облачных средах, просматривая, фильтруя, группирование и сортировку данных.

Чтобы просмотреть рекомендации в Azure Resource Graph, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите к Defender для облака> Рекомендации.

  3. Выберите рекомендацию.

  4. Выберите Открыть запрос.

  5. Запрос можно открыть одним из двух способов:

    • Запрос, возвращающий затронутый ресурс . Возвращает список всех ресурсов, затронутых этой рекомендацией.
    • Запрос, возвращающий результаты безопасности. Возвращает список всех проблем безопасности, обнаруженных рекомендацией.

  6. Выберите запрос запуска.

    Снимок экрана: azure Resource Graph Обозреватель с результатами рекомендации, показанной на предыдущем снимке экрана.

  7. Проверка результатов.

Пример

В этом примере на странице сведений об этой рекомендации показаны 15 затронутых ресурсов:

Снимок экрана: кнопка

Когда вы открываете базовый запрос и запускаете его, Azure Resource Graph Обозреватель возвращает те же затронутые ресурсы для этой рекомендации.

Следующий шаг

Исправление рекомендаций по безопасности