Granska säkerhetsrekommendationer

  • Artikel

I Microsoft Defender för molnet utvärderas resurser och arbetsbelastningar mot inbyggda och anpassade säkerhetsstandarder som är aktiverade i dina Azure-prenumerationer, AWS-konton och GCP-projekt. Baserat på dessa utvärderingar ger säkerhetsrekommendationer praktiska steg för att åtgärda säkerhetsproblem och förbättra säkerhetsstatusen.

Defender för molnet använder proaktivt en dynamisk motor som utvärderar riskerna i din miljö samtidigt som man tar hänsyn till potentialen för utnyttjandet och den potentiella affärspåverkan för din organisation. Motorn prioriterar säkerhetsrekommendationer baserat på riskfaktorerna för varje resurs, som bestäms av miljöns kontext, inklusive resursens konfiguration, nätverksanslutningar och säkerhetsstatus.

Förutsättningar

Kommentar

Rekommendationer ingår som standard med Defender för molnet, men du kommer inte att kunna se riskprioritering utan att Defender CSPM är aktiverat i din miljö.

Granska rekommendationsinformation

Det är viktigt att granska all information som rör en rekommendation innan du försöker förstå den process som behövs för att lösa rekommendationen. Vi rekommenderar att du ser till att all rekommendationsinformation är korrekt innan du löser rekommendationen.

Så här granskar du en rekommendations information:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Rekommendationer.

  3. Välj en rekommendation.

  4. Granska informationen på rekommendationssidan:

    • Risknivå – Exploabiliteten och affärspåverkan av det underliggande säkerhetsproblemet, med hänsyn till miljöresurskontext som: Internetexponering, känsliga data, lateral förflyttning med mera.
    • Riskfaktorer – Miljöfaktorer för den resurs som påverkas av rekommendationen, vilket påverkar exploaterbarheten och affärspåverkan av det underliggande säkerhetsproblemet. Exempel på riskfaktorer är internetexponering, känsliga data, lateral förflyttningspotential.
    • Resurs – namnet på den berörda resursen.
    • Status – rekommendationens status. Till exempel ej tilldelad, i tid, förfallen.
    • Beskrivning – En kort beskrivning av säkerhetsproblemet.
    • Attackvägar – antalet attackvägar.
    • Omfång – den berörda prenumerationen eller resursen.
    • Freshness – Färskhetsintervallet för rekommendationen.
    • Senaste ändringsdatum – Datumet då den här rekommendationen senast hade en ändring
    • Ägare – den person som tilldelats den här rekommendationen.
    • Förfallodatum – Det tilldelade datumet som rekommendationen måste matchas av.
    • Taktiker och tekniker – Taktiker och tekniker som mappats till MITRE ATT&CK.

Utforska en rekommendation

Du kan utföra många åtgärder för att interagera med rekommendationer. Om ett alternativ inte är tillgängligt är det inte relevant för rekommendationen.

Så här utforskar du en rekommendation:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Rekommendationer.

  3. Välj en rekommendation.

  4. I rekommendationen kan du utföra följande åtgärder:

    • Välj Öppna fråga om du vill visa detaljerad information om de berörda resurserna med hjälp av en Azure Resource Graph Explorer-fråga.

    • Välj Visa principdefinition för att visa Azure Policy-posten för den underliggande rekommendationen (om det är relevant).

  5. I Vidta åtgärder:

    • Åtgärda: En beskrivning av de manuella steg som krävs för att åtgärda säkerhetsproblemet för de berörda resurserna. För rekommendationer med alternativet Åtgärda kan du välja Visa reparationslogik innan du tillämpar den föreslagna korrigeringen på dina resurser.

    • Tilldela ägare och förfallodatum: Om du har aktiverat en styrningsregel för rekommendationen kan du tilldela en ägare och förfallodatum.

    • Undantag: Du kan undanta resurser från rekommendationen eller inaktivera specifika resultat med hjälp av inaktivera regler.

    • Arbetsflödesautomatisering: Ange en logikapp som ska utlösas med den här rekommendationen.

    Skärmbild som visar vad du kan se i rekommendationen när du väljer åtgärdsfliken Vidta.

  6. I Resultat kan du granska anslutna resultat efter allvarlighetsgrad.

    Skärmbild av resultatfliken i en rekommendation som visar alla attackvägar för den rekommendationen.

  7. I Graph kan du visa och undersöka alla kontexter som används för riskprioritering, inklusive attackvägar. Du kan välja en nod i en attacksökväg för att visa information om den valda noden.

    Skärmbild av diagramfliken i en rekommendation som visar alla attackvägar för den rekommendationen.

  8. Välj en nod för att visa ytterligare information.

    Skärmbild av en nod som finns på diagramfliken som är markerad och som visar ytterligare information.

  9. Välj Insikter.

  10. I den nedrullningsbara menyn sårbarhet väljer du en säkerhetsrisk för att visa informationen.

    Skärmbild av fliken Insikter för en specifik nod.

  11. (Valfritt) Välj Öppna sårbarhetssidan för att visa den associerade rekommendationssidan.

  12. Åtgärda rekommendationen.

Gruppera rekommendationer efter rubrik

Defender för molnet rekommendationssida kan du gruppera rekommendationer efter rubrik. Den här funktionen är användbar när du vill åtgärda en rekommendation som påverkar flera resurser som orsakas av ett specifikt säkerhetsproblem.

Gruppera rekommendationer efter rubrik:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Rekommendationer.

  3. Välj Gruppera efter rubrik.

    Skärmbild av sidan med rekommendationer som visar var växlingsknappen grupp efter rubrik finns på skärmen.

Hantera rekommendationer som tilldelats dig

Defender för molnet stöder styrningsregler för rekommendationer för att ange en rekommendationsägare eller förfallodatum för åtgärden. Styrningsregler hjälper till att säkerställa ansvarsskyldighet och ett serviceavtal för rekommendationer.

  • Rekommendationer visas som I tid tills deras förfallodatum har passerats, när de har ändrats till Förfallodatum.
  • Innan rekommendationen är försenad påverkar rekommendationen inte säkerhetspoängen.
  • Du kan också tillämpa en respitperiod under vilken förfallna rekommendationer fortsätter att inte påverka säkerhetspoängen.

Läs mer om hur du konfigurerar styrningsregler.

Så här hanterar du rekommendationer som tilldelats dig:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Rekommendationer.

  3. Välj Lägg till filterägare>.

  4. Välj din användarpost.

  5. Välj Använd.

  6. I rekommendationsresultatet granskar du rekommendationerna, inklusive berörda resurser, riskfaktorer, attackvägar, förfallodatum och status.

  7. Välj en rekommendation för att granska den ytterligare.

  8. I Vidta åtgärd>Ändra ägare och förfallodatum väljer du Redigera tilldelning för att ändra rekommendationens ägare och förfallodatum om det behövs.

    • Som standard får resursens ägare ett veckovis e-postmeddelande med de rekommendationer som tilldelats dem.
    • Om du väljer ett nytt reparationsdatum anger du orsaker till reparationen senast det datumet i Motivering .
    • I Ange e-postaviseringar kan du:
      • Åsidosätt standardmeddelandet för veckovis e-post till ägaren.
      • Meddela ägarna varje vecka med en lista över öppna/försenade uppgifter.
      • Meddela ägarens direkthanterare med en öppen uppgiftslista.

  9. Välj Spara.

Kommentar

Om du ändrar det förväntade slutdatumet ändras inte förfallodatumet för rekommendationen, men säkerhetspartner kan se att du planerar att uppdatera resurserna senast det angivna datumet.

Granska rekommendationerna i Azure Resource Graph

Du kan använda Azure Resource Graph för att skriva en Kusto-frågespråk (KQL) för att fråga Defender för molnet säkerhetsstatusdata i flera prenumerationer. Azure Resource Graph är ett effektivt sätt att köra frågor i stor skala i molnmiljöer genom att visa, filtrera, gruppera och sortera data.

Så här granskar du rekommendationer i Azure Resource Graph:

  1. Logga in på Azure-portalen.

  2. Gå till Defender för molnet> Rekommendationer.

  3. Välj en rekommendation.

  4. Välj Öppna fråga.

  5. Du kan öppna frågan på något av två sätt:

    • Fråga som returnerar den berörda resursen – Returnerar en lista över alla resurser som påverkas av den här rekommendationen.
    • Fråga som returnerar säkerhetsresultat – Returnerar en lista över alla säkerhetsproblem som finns i rekommendationen.

  6. Välj kör fråga.

    Skärmbild av Azure Resource Graph Explorer som visar resultatet för rekommendationen som visades i föregående skärmbild.

  7. Granska resultaten.

Exempel

I det här exemplet visar den här rekommendationsinformationssidan 15 berörda resurser:

Skärmbild av knappen Öppna fråga på sidan med rekommendationsinformation.

När du öppnar den underliggande frågan och kör den returnerar Azure Resource Graph Explorer samma berörda resurser för den här rekommendationen.

Gå vidare

Åtgärda säkerhetsrekommendationer