Поделиться через


Определение приоритетов риска

Microsoft Defender для облака активно использует динамический механизм, который оценивает риски в вашей среде, учитывая потенциал эксплуатации и потенциальное влияние бизнеса на вашу организацию. Подсистема определяет рекомендации по безопасности на основе факторов риска каждого ресурса, которые определяются контекстом среды, включая конфигурацию ресурса, сетевые подключения и состояние безопасности.

Когда Defender для облака выполняет оценку рисков проблем безопасности, подсистема определяет наиболее значительные риски безопасности, отличая их от менее рискованных проблем. Затем рекомендации сортируются на основе их уровня риска, что позволяет решать проблемы безопасности, которые представляют непосредственные угрозы с наибольшим потенциалом использования в вашей среде.

Defender для облака затем анализирует, какие проблемы безопасности являются частью потенциальных путей атак, которые злоумышленники могут использовать для нарушения среды. В нем также рассматриваются рекомендации по обеспечению безопасности, которые необходимо устранить для устранения этих рисков. Этот подход помогает сосредоточиться на срочных проблемах безопасности и делает усилия по исправлению более эффективными и эффективными. Несмотря на то, что приоритет риска не влияет на оценку безопасности, она помогает устранить наиболее важные проблемы безопасности в вашей среде.

Рекомендации

ресурсы и рабочие нагрузки Microsoft Defender для облака оцениваются по встроенным и пользовательским стандартам безопасности, включенным в подписках Azure, учетных записях AWS и проектах GCP. На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

Примечание.

Рекомендации включены в план Foundational CSPM, который входит в состав Defender для облака. Однако приоритет и управление рисками поддерживается только с планом CSPM Defender.

Если среда не защищена CSPM Defender, спланируйте столбцы с функциями приоритизации риска, будут размыты.

Разные ресурсы могут иметь одну и ту же рекомендацию с разными уровнями риска. Например, рекомендация по включению MFA в учетной записи пользователя может иметь другой уровень риска для разных пользователей. Уровень риска определяется факторами риска каждого ресурса, например конфигурацией, сетевыми подключениями и состоянием безопасности. Уровень риска вычисляется на основе потенциального влияния проблемы безопасности, категории риска и пути атаки, из-за которой проблема безопасности является частью.

В Defender для облака перейдите на панель мониторинга рекомендаций, чтобы просмотреть общие сведения о рекомендациях, которые существуют для ваших сред, определяемых рисками.

На этой странице можно просмотреть следующее:

  • Заголовок — заголовок рекомендации.

  • Затронутый ресурс — ресурс , к которому применяется рекомендация.

  • Уровень риска — эксплуатируемость и влияние бизнес-проблем, связанных с безопасностью, учитывая контекст экологических ресурсов, такие как воздействие Интернета, конфиденциальные данные, боковое перемещение и многое другое.

  • Факторы риска — экологические факторы ресурса, затронутые рекомендацией, которые влияют на эксплуатируемость и влияние на бизнес-проблему безопасности. Примеры факторов риска включают воздействие в Интернете, конфиденциальные данные, потенциал бокового перемещения.

  • Пути атаки — количество путей атаки, которые рекомендация является частью поиска подсистемы безопасности всех потенциальных путей атак на основе ресурсов, существующих в среде и связях между ними. Каждая среда будет представлять собственные уникальные пути атаки.

  • Владелец — пользователю, которому назначена рекомендация.

  • Состояние — текущее состояние рекомендации. Например, не назначено время, просроченный.

  • Аналитика — информация, связанная с рекомендацией, например, если она находится в предварительной версии, если она может быть отклонена, если есть вариант исправления и многое другое.

    Снимок экрана: панель мониторинга рекомендаций, в которой показаны рекомендации, приоритетные по их риску.

При выборе рекомендации можно просмотреть сведения о рекомендации, включая описание, пути атаки, область, свежесть, дату последнего изменения, дату владельца, дату выполнения, серьезность, тактику и методы и многое другое.

  • Описание – краткое описание проблемы безопасности.

  • Пути атаки — количество путей атаки.

  • Область — затронутая подписка или ресурс.

  • Свежесть — интервал свежести для рекомендации.

  • Дата последнего изменения — дата последнего изменения этой рекомендации

  • Владелец — человек, назначенный этой рекомендации.

  • Дата выполнения — назначенная дата, с помощью которую должна быть разрешена рекомендация.

  • Серьезность — серьезность рекомендации (высокий, средний или низкий). Дополнительные сведения приведены ниже.

  • Тактика и методы - тактика и методы , сопоставленные с MITRE ATT&CK.

    Снимок экрана: страница сведений о рекомендациях с подписями каждого элемента.

Каковы факторы риска?

Defender для облака использует контекст среды, включая конфигурацию ресурса, сетевые подключения и состояние безопасности, для оценки риска потенциальных проблем безопасности. Таким образом, он определяет наиболее значительные риски безопасности, отличая их от менее рискованных проблем. Затем рекомендации сортируются на основе их уровня риска.

Этот механизм оценки рисков рассматривает основные факторы риска, такие как воздействие в Интернете, конфиденциальность данных, боковое перемещение и потенциальные пути атаки. Этот подход определяет приоритеты срочных проблем безопасности, что делает усилия по исправлению более эффективным и эффективным.

Как вычисляется риск?

Defender для облака использует подсистему приоритета риска с учетом контекста для вычисления уровня риска каждой рекомендации по безопасности. Уровень риска определяется факторами риска каждого ресурса, например конфигурацией, сетевыми подключениями и состоянием безопасности. Уровень риска вычисляется на основе потенциального влияния проблемы безопасности, категории риска и пути атаки, из-за которой проблема безопасности является частью.

Уровни риска

Рекомендации можно классифицировать по пяти категориям на основе их уровня риска:

  • Критическое. Рекомендации, указывающие на критически важную уязвимость безопасности, которая может быть использована злоумышленником для получения несанкционированного доступа к системам или данным.

  • Высокий уровень: рекомендации, которые указывают на потенциальный риск безопасности, который следует своевременно решать, но не может потребовать немедленного внимания.

  • Средний: рекомендации, указывающие относительно незначительные проблемы безопасности, которые можно устранить в удобном режиме.

  • Низкий: рекомендации, указывающие относительно незначительные проблемы безопасности, которые можно устранить в удобном режиме.

  • Не оценено: рекомендации, которые еще не оценены. Это может быть связано с тем, что ресурс не охватывается планом CSPM Defender, который является обязательным условием для уровня риска.

Уровень риска определяется подсистемой приоритета риска с учетом контекста, которая учитывает факторы риска каждого ресурса. Узнайте больше о том, как Defender для облака идентифицирует и исправляет пути атаки.