Microsoft 安全分數

注意事項

想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應

Microsoft 安全分數是組織安全性狀態的度量,具有較高的數位,表示採取更多建議的動作。 您可以在 Microsoft Defender 入口網站的Microsoft 安全分數找到。

遵循安全分數建議可保護貴組織免受威脅。 從 Microsoft Defender 入口網站中的集中式儀錶板,組織可以監視並處理其 Microsoft 365 身分識別、應用程式和裝置的安全性。

安全分數可協助組織:

  • 報告組織安全性態勢的目前狀態。
  • 提供可搜索性、可見度、指引和控制措施,以改善其安全性態勢。
  • 與基準比較並建立關鍵績效指標 (KPI)。

觀看這段影片以取得安全分數的快速概觀。

組織可以存取計量和趨勢的強固視覺效果、與其他 Microsoft 產品整合、與類似組織的分數比較等等。 非 Microsoft 解決方案解決建議動作時,分數也可以反映。

顯示 Microsoft Defender 入口網站中 Microsoft 安全分數首頁的螢幕快照

運作方式

您會取得下列動作的要點:

  • 設定建議的安全性功能
  • 執行安全性相關工作
  • 使用非 Microsoft 應用程式或軟體,或替代風險降低措施來解決建議的動作

某些建議的動作只會在完全完成時提供點。 如果某些裝置或使用者已完成部分點,則會提供部分點。 如果您不能或不想制定其中一個建議的動作,您可以選擇接受風險或剩餘的風險。

如果您有其中一個受支援 Microsoft 產品的授權,則會看到這些產品的建議。 不論授權版本、訂用帳戶或方案為何,我們都會向您顯示一組完整的產品可能建議。 如此一來,您就可以瞭解安全性最佳做法並改善分數。 無論貴組織為特定產品擁有何種授權,以安全分數表示的絕對安全性狀態都會維持不變。 請記位,安全性應該與可用性達成平衡,並非每個建議都適用於您的環境。

您的分數會即時更新,以反映視覺效果和建議動作頁面中顯示的資訊。 安全分數還會每天進行同步,以接收有關每個動作之得分的系統資料。

注意事項

針對 Microsoft Teams 和 Microsoft Entra 相關建議,當設定狀態發生變更時,建議狀態將會更新。 此外,建議狀態會分別每月重新整理一次或每周重新整理一次。

重要案例

每個建議的動作都值得 10 點或更少,而且大部分都是以二進位方式進行評分。 如果您實作建議的動作,例如建立新原則或開啟特定設定,您會取得 100% 的點。 對於其他建議的動作,點會以總組態的百分比表示。

例如,建議的動作會指出您可以使用多重要素驗證來保護所有使用者,以取得 10 點。 受保護的用戶總數只有 100 個,因此 (50 個受保護/100 個總計 * 10 個最大 pts = 5 個 pts) ,您會得到五個分數的部分分數。

安全分數中包含的產品

目前有下列產品的建議:

  • 應用程式控管
  • Microsoft Entra ID
  • Citrix ShareFile
  • 適用於端點的 Microsoft Defender
  • 適用於身分識別的 Microsoft Defender
  • 適用於 Office 的 Microsoft Defender
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft 雲端 App 安全性
  • Microsoft 資訊保護
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • 縮放

即將推出針對其他安全性產品的建議。 這些建議不會涵蓋與每個產品相關聯的所有受攻擊面,但它們是很好的基準。 您也可以將建議的動作標示為第三方或替代風險降低措施所涵蓋。

安全性預設

Microsoft 安全分數已更新建議的動作,以支援 Microsoft Entra ID 中的安全性預設值,讓您更輕鬆地使用針對常見攻擊預先設定的安全性設定來協助保護您的組織。

如果您開啟安全性預設值,您將會獲得下列建議動作的完整點數:

  • 確定所有使用者都可以完成多重要素驗證,以安全存取 (9 點)
  • 系統管理角色需要 MFA (10 點)
  • 啟用原則以封鎖舊版驗證 (7 點)

重要事項

安全性預設值包括與「登入風險原則」和「用戶風險原則」建議動作提供類似安全性的安全性功能。 建議您不要在安全性預設值之上設定這些原則,而是將其狀態更新為「透過替代風險降低解決」。

安全分數許可權

使用 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 來管理許可權

使用 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ,您可以建立具有安全分數特定許可權的自定義角色。 這可讓您控制哪些使用者可以存取安全分數數據、他們會看到安全分數數據的產品 (例如,適用於端點的 Microsoft Defender) 及其數據的許可權等級。

您也可以管理從其他數據源存取安全分數數據的用戶權力,例如安全分數支援的其他產品,如需詳細資訊,請參閱 安全分數中包含的產品。 您可以單獨或與其他數據源一起檢視來自其他數據源的安全分數數據。

若要開始使用 Microsoft Defender 全面偵測回應 Unified RBAC 來管理您的安全分數許可權,請參閱 Microsoft Defender 全面偵測回應 (RBAC) 整合角色型訪問控制

注意事項

目前,只有 Microsoft Defender 入口網站支援此模型。 例如,如果您想要使用 GraphAPI (,針對內部儀錶板或適用於身分識別的 Defender 安全分數) 您應該繼續使用 Microsoft Entra 角色。 支援 GraphAPI 計劃日後。

Microsoft Entra 全域角色許可權

Microsoft Entra 全域角色 (例如,全域管理員) 仍然可以用來存取安全分數。 具有支援 Microsoft Entra 全域角色,但未在 Microsoft Defender 全面偵測回應 Unified RBAC 中指派自定義角色的使用者,仍可繼續存取檢視 (並管理允許) 安全分數數據,如下所述:

下列角色具有讀取和寫入存取權,而且可以進行變更、直接與安全分數互動,並可將唯讀存取權指派給其他使用者:

  • 全域管理員
  • 安全性系統管理員
  • Exchange 系統管理員
  • SharePoint 系統管理員

下列角色具有只讀取權,且無法編輯建議動作的狀態或附註、編輯分數區域或編輯自定義比較:

  • 技術支援管理員
  • 使用者系統管理員
  • 服務支援系統管理員
  • 安全性讀取者
  • 安全性操作員
  • 全域讀取者

注意事項

如果您想要遵循最低許可權存取 (原則,其中您只授與使用者和群組許可權,他們必須執行其工作) ,Microsoft 建議您移除任何現有的提升許可權 Microsoft Entra 使用者的全域角色,以及/或指派具有安全分數許可權之自定義角色的安全組。 這可確保自定義 Microsoft Defender 全面偵測回應 整合 RBAC 角色會生效。

風險感知

Microsoft 安全分數是根據系統設定、使用者行為和其他安全性相關度量的安全性態勢的數字摘要。 這不是系統或數據遭到入侵的可能性絕對測量。 相反地,它代表您在 Microsoft 環境中採用安全性控件的程度,有助於降低遭到入侵的風險。 沒有在線服務可免於安全性缺口,安全分數不應以任何方式解譯為安全性缺口的保證。

我們想知道您的想法

如果您有任何問題,請張貼在 安全性、隱私權 & 合規性 社群中,讓我們知道。 我們正在監視社群,並提供協助。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。