Поделиться через

Обзор аналитики экспозиции и оценки безопасности

  • Статья

Аналитика экспозиции в Microsoft Security Exposure Management непрерывно объединяет данные о безопасности и аналитические сведения для рабочих нагрузок в одном конвейере.

Управление уязвимостью безопасности в настоящее время находится в общедоступной предварительной версии.

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Аналитика экспозиции

Аналитика экспозиции предоставляет широкий контекст о состоянии безопасности инвентаризации активов.

Руководители отдела информационной безопасности (CISOs), лица, принимающие решения, владельцы рисков и группы безопасности могут использовать аналитические сведения о безопасности и контекст для управления рисками раскрытия во всей организации, а также для определения приоритетов усилий по обеспечению безопасности и инвестиций.

Аналитические сведения о воздействии включают события безопасности, рекомендации, метрики и инициативы. Эти компоненты опираются друг на друга для обеспечения детализированного контекста состояния безопасности. Аналитика позволяет:

  • Разбейте состояние безопасности организации на приоритетные инициативы.
  • Измерение и отслеживание раскрытия ключевых элементов безопасности в рамках инициатив.
  • Определение приоритетов в областях безопасности на основе инициатив и метрик.
  • Выполните действия по исправлению, чтобы улучшить состояние безопасности и снизить риск.
  • Отслеживайте улучшения в инициативах по обеспечению безопасности, чтобы отслеживать снижение рисков безопасности.

Инициативы

Инициативы по обеспечению безопасности упрощают управление состоянием безопасности и помогают оценить готовность и зрелость в конкретных областях риска безопасности.

Управление уязвимостью безопасности предоставляет предопределенные инициативы. Каждая предопределенная инициатива содержит одну или несколько метрик безопасности, относящихся к этой инициативе.

Инициативы могут относиться к определенным доменам рабочей нагрузки, измеряя определенную область, например конечную точку, удостоверение и облачную безопасность. Они могут способствовать анализу угроз, связав определенную угрозу в нескольких категориях. Например, защита от программ-шантажистов или защита критических ресурсов. Инициативы также могут быть сосредоточены на конкретных стандартах соответствия.

Вы можете определить приоритеты, какие инициативы следует просматривать на панели мониторинга "Обзор ". Оценка инициативы отражает состояние воздействия инициативы. Вы также можете детализировать инициативы, чтобы увидеть связанные с ними метрики и понять, где находятся пробелы или риски. Оценка инициативы и рекомендации на основе метрик в рамках инициативы.

Оценка инициативы

Оценка инициативы вычисляется на основе значения и веса метрик, связанных с инициативой. По мере того как метрики улучшаются, оценка инициативы растет, что отражает улучшение положения в области инициативы.

  • Метрики в значительной степени улучшаются за счет применения рекомендаций, связанных с инициативой.
  • Рекомендации фиксируются, метрики растут, а оценки инициатив, в свою очередь, растут в соответствии с улучшением состояния безопасности.
  • Изменения в метриках, включая устаревание или удаление, значение и свойства метрик, могут повлиять на оценку инициативы.

Журнал

Вы можете отслеживать журнал изменений, превышающих 2,5 %, влияющих на оценку инициативы. Вы можете отфильтровать определенные точки времени и детализировать определенные изменения. Журнал показывает процентное влияние метрик в оценке инициативы, а также причину изменения, в том числе:

  • Изменение свойства — изменение веса метрики в оценке.
  • Изменение значения — изменение значения метрики в оценке инициативы.
  • Удаленная метрика — метрика больше не имеет отношения к этой конкретной инициативе. Например, если введено лучшее предложение или оно становится неактуальным.
  • Метрика устарела — метрика удаляется глобально.

Снимок экрана: вкладка

Если выбрать измененную метрику, можно получить дополнительные сведения об изменении. Например, он может отображать новый вес изменения свойства или количество затронутых ресурсов до или после изменения.

Снимок экрана: боковая панель изменения метрик на вкладке

Вы не можете заранее контролировать изменения метрик или оценки.

Метрики

Метрики группируют рекомендации для аналогичных активов и измеряют степень уязвимости безопасности для этих ресурсов, начиная с очень высокого уровня до отсутствия выявленных рисков.

Например:

  • В процентах конечных точек macOS отсутствует агент решения для обеспечения безопасности конечных точек
  • Процент облачных ресурсов с критическими уязвимостями

Каждая метрика показывает:

  • Процент затронутых ресурсов, относительная важность метрики и влияние метрики на инициативу.
  • Он также показывает вес или важность метрики и ее влияние на оценку инициативы в виде числа. Один из них является самым низким и 10 самым высоким.
  • Вес метрик можно настроить так, чтобы они имели большее или меньшее влияние на основе бизнес-приоритетов организации.
  • Изменение значения веса метрики влияет на метрику и все связанные инициативы.

Большинство метрик имеют по крайней мере одну связанную рекомендацию.

Работа с метриками

Вы можете детализировать отдельные рекомендации по метрикам, чтобы исправить их. Оценки метрик растут по мере исправления рекомендаций.

Используйте метрики для оценки состояния воздействия инициативы и определения открытых областей или областей, которые не соответствуют внутренним стандартам. Эти сведения можно использовать для определения приоритетов в усилиях по устранению рисков.

Метрики отображаются, только если доступны базовые данные для метрики.

Свойства метрик

Метрики включают несколько свойств, которые помогают контекстуализировать их и сделать их практическими:

Свойство Описание
Текущее значение Процент затронутых ресурсов от общего объема ресурсов. Нулевой процент является лучшим, так как нет воздействия, в то время как 100% является худшим.
Затронутые элементы Количество элементов, соответствующих логике метрики. В большинстве случаев эти элементы будут активами, которые предоставляются или создают фактор риска. В других случаях затронутыми элементами будет количество отсутствующих баллов оценки безопасности Майкрософт для эффективной реализации рекомендуемых элементов управления.
Total Количество ресурсов, на которые распространяется метрика. Например, для данной метрики это могут быть все конечные точки. С другой, это могут быть все конечные точки Windows.
Weight (Вес) Важность метрики и ее влияние на оценку инициативы. Один из них является самым низким, а 10 — самым высоким. Вес можно настроить, чтобы иметь большее или меньшее влияние на основе уникальных бизнес-приоритетов и рекомендаций вашей организации. Изменение значения веса метрики влияет на метрику и все связанные с ней инициативы.
Оценка влияния Влияние метрики на оценку инициативы. То есть, если заданная метрика завершена, влияние на оценку — это добавление к оценке инициативы.

Эти свойства отображаются при просмотре всех метрик в разделе Аналитика экспозиции.

При просмотре всех метрик на странице метрик добавляется:

  • Тенденция за 14 дней показывает изменения значения метрик за последние 14 дней в виде процента и графика.
  • Состояние , например:
    • Требуется внимание или требуется устранение рисков.
    • Риск, принятый администратором, чтобы указать, что риск был смягчен неизмеримым способом, который не влияет на оценку инициативы.
    • Целевой объект достигнут или экспозиция была устранена.
  • Общее количество элементов.
  • В последнем обновлении отображается дата последнего обновления метрики.

Недоступные метрики

В некоторых случаях метрики отображаются серым цветом, так как базовые данные, необходимые для этой метрики, не существуют. Например, если требуемая рабочая нагрузка не подключена или если метрика оценки безопасности была задана в параметре Оценка безопасности как завершенная или риск принят, чтобы управление уязвимостью безопасности не смогла получить доступ к данным метрик.

Неактивные метрики не учитываются для вычисления оценки.

Проблемы, которые следует отметить

Важно отметить некоторые проблемы, связанные с метрикой:

  • Некоторые экземпляры сведений о затронутых ресурсах (в основном информация, полученная в оценке безопасности) не отображаются на вкладке Затронутые элементы в отдельной метрике.
  • Некоторые критически важные сведения о ресурсах на вкладке Затронутые элементы не отображаются.
  • Сведения об активе вычисляются по запросу.
  • Метрики, связанные с облаком, доступны только в том случае, если в подписке доступна Microsoft Defender для облака и включен план Управления состоянием безопасности в Защитнике облака (CSPM).
  • В некоторых случаях метрики более точны, чем область связанных рекомендаций. В этом случае отображаемые сведения об активе не соответствуют сведениям о ресурсах связанных рекомендаций.
  • При удалении рабочей нагрузки вы не сможете обновить состояние метрики и сведения об активе для связанных метрик рабочей нагрузки.

Рекомендации по безопасности

Активы и рабочие нагрузки оцениваются по измерениям безопасности и стандартам, и на основе этих оценок выдаются рекомендации по безопасности.

Рекомендации содержат практические шаги по улучшению и исправлению состояния безопасности и обнаруженных проблем.

В разделе Управление уязвимостью безопасности каталог рекомендаций служит централизованным репозиторием для рекомендаций по безопасности.

Источники рекомендаций

Управление рисками безопасности объединяет рекомендации из Microsoft Defender для облака, выполняющих план Управления состоянием безопасности Defender для облака (CSPM), Defender XDR оценка безопасности, а также из других рабочих нагрузок Майкрософт. В нем также содержатся рекомендации, связанные с рабочими нагрузками, не относящимися к корпорации Майкрософт.

Работа с рекомендациями

Вы можете просматривать отдельные рекомендации, их состояние, влияние, источник, сведения о предоставляемых сущностях, а также связанные инициативы и метрики. Каждая рекомендация содержит шаги по исправлению обнаруженных проблем.

Каждое действие, выполняемое с рекомендацией по безопасности, помогает снизить уязвимость и напрямую влияет на связанные метрики и инициативы безопасности.

Снимок экрана: сведения о рекомендациях по расширенной защите от программ-шантажистов

Соответствие требованиям

Управление уязвимостью безопасности классифицирует безопасность по состоянию соответствия для всей организации.

  • Соответствует указывает, что рекомендация была успешно реализована.
  • При устранении последствий организацией отображается, когда шаги по устранению рекомендаций были приняты в другом месте, и управление экспозицией безопасности не может знать, соответствуют ли рекомендации. Например, изменив состояние в разделе Оценка безопасности.
  • Недоступно означает, что недостаточно сведений для определения состояния соответствия.

События безопасности

События безопасности объединяют сведения об обнаруженных изменениях управления состоянием. В ответ на изменения можно соответствующим образом настроить для поддержания надежного состояния безопасности.

События измеряют снижение или ухудшение состояния метрики.

  • События падения показателей метрик уведомляют клиентов о новом воздействии, измеряемом метриками безопасности. Они оцениваются на основе влияния на оценку и его вес. Если со вчерашнего дня произошло снижение по крайней мере на 2%, то есть экспозиция выросла на 2%, то изменение считается событием падения оценки.
  • События удаления оценки инициативы уведомляют клиентов о снижении инициатив безопасности. Мы оцениваем события падения оценки инициативы в зависимости от того, как это влияет на оценку. Если со вчерашнего дня произошло снижение по крайней мере на 2%, изменение классифицируется как событие падения оценки. События безопасности представляют и отслеживают инциденты падения как инициативы, так и метрики, чтобы определить, как они влияют на состояние безопасности организации.

Новые события отображаются в верхней части таблицы и могут включать новое событие инициативы.

Оценка безопасности

Оценка безопасности Майкрософт помогает организациям планировать и улучшать общий уровень безопасности с помощью оценки безопасности в качестве метрики отслеживания.

Управление уязвимостью безопасности использует оценку безопасности в качестве одного из источников для оценки инициатив.

  • Оценка безопасности содержит рекомендуемые действия для ряда продуктов.
  • Выбор рекомендации для проверки позволяет устранить проблему в конкретном продукте, включая рекомендации, полученные из оценки безопасности.
  • Если оценка безопасности не активна, эта рекомендация не отображается для рекомендаций, в которых оценка безопасности актуальна.

Дальнейшие действия