你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看安全建议

在 Microsoft Defender for Cloud 中,资源和工作负载是根据 Azure 订阅、AWS 帐户和 GCP 项目中启用的内置和自定义安全性标准进行评估的。 根据这些评估,安全性建议提供实际步骤来修正安全性问题,并提高安全性状况。

Defender for Cloud 主动利用动态引擎来评估环境中的风险,同时考虑恶意利用可能性,及其对组织业务的潜在影响。 该引擎根据每个资源的风险因素对安全建议进行优先级排序,这些风险因素由环境上下文确定,包括资源的配置、网络连接和安全状况。

先决条件

注意

默认情况下,Defender for Cloud 中包含建议,但在环境中未启用 Defender CSPM 的情况下无法查看风险优先级。

查看建议详细信息

请务必先查看与建议相关的所有详细信息,然后再尝试了解解决建议所需的过程。 建议在解决建议之前先确保所有建议详细信息都正确无误。

查看建议的详细信息

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“建议”。

  3. 选择一条建议。

  4. 在建议页面中,查看详细信息:

    • 风险级别 - 潜在安全问题的可恶意利用性和业务影响,其中考虑了环境资源上下文,例如:Internet 暴露、敏感数据、横向移动等
    • 风险因素 - 受建议影响的资源环境因素,该资源影响潜在安全问题的可恶意利用性和业务影响。 风险因素的示例包括 Internet 暴露、敏感数据、横向移动可能性。
    • 资源 - 受影响资源的名称。
    • 状态 - 建议的当前状态。 例如,未分配、准时、逾期。
    • “描述”- 安全问题简述。
    • 攻击路径 - 攻击路径的数量。
    • 范围 - 受影响的订阅或资源。
    • 时效性 - 建议的时效性间隔。
    • 上次更改日期 - 此建议上次更改的日期
    • 严重性 - 建议的严重性(高、中等或低)。 下面提供了更多详细信息。
    • 所有者 - 分配给此建议的人员。
    • 截止日期 - 必须在指定日期之前解决建议。
    • 策略和技术 - 映射到 MITRE ATT&CK 的策略和技术。

浏览建议

你可以执行许多操作来与建议进行交互。 如果没有可用的选项,则该选项与建议无关。

浏览建议

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“建议”。

  3. 选择一条建议。

  4. 在建议中,可以执行以下操作:

    • 选择“打开查询”以使用 Azure Resource Graph 浏览器查询来查看有关受影响资源的详细信息。

    • 选择“查看策略定义”以查看基础建议的 Azure Policy 条目(如果相关)。

  5. 在“执行操作”中:

    • 修正 - 修正受影响资源的安全性问题时所需的手动步骤的说明。 对于带有“修复”选项的建议,可以先选择“查看修正逻辑”,然后再为资源应用建议的修补程序。

    • 分配所有者和截止日期:如果为建议打开了治理规则,则可以分配所有者和截止日期。

    • 豁免:可以豁免建议中的资源,或者使用禁用规则禁用特定结果。

    • 工作流自动化:设置逻辑应用以触发此建议。

    显示选择“执行操作”选项卡时在建议中看到的内容的屏幕截图。

  6. 在“结果”中,可以按严重性查看附属结果。

    建议中“结果”选项卡的屏幕截图,其中显示了该建议的所有攻击路径。

  7. Graph 中,可以查看和调查用于风险优先级的所有上下文,包括攻击路径。 你可以在攻击路径中选择一个节点,以查看所选节点的详细信息。

    建议中“图形”选项卡的屏幕截图,其中显示了该建议的所有攻击路径。

  8. 选择一个节点以查看其他详细信息。

    选中的“图形”选项卡中的节点的屏幕截图,其中显示了其他详细信息。

  9. 选择见解

  10. 在“漏洞”下拉菜单中,选择漏洞以查看详细信息。

    特定节点的“见解”选项卡的屏幕截图。

  11. (可选)选择打开漏洞页以查看相关的建议页。

  12. 修正建议

按标题对建议进行分组

Defender for Cloud 的建议页允许按标题对建议进行分组。 要修正影响特定安全问题导致的多个资源的建议时,此功能非常有用。

按标题对建议进行分组:

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“建议”。

  3. 选择“按标题分组”。

    “建议”页的屏幕截图,其中显示了按标题切换的组位于屏幕上的位置。

管理分配给你的建议

Defender for Cloud 支持建议的治理规则,以指定建议所有者或操作的截止日期。 治理规则有助于确保问责制和建议的 SLA。

  • 在到达截止日期之前,建议显示为“按时”,之后将变更为“过期”。
  • 在建议过期之前,建议不会影响安全分数。
  • 还可以应用宽限期,在此期间,过期建议仍不会影响安全功能分数。

深入了解配置治理规则。

管理分配给你的建议

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“建议”。

  3. 选择“添加筛选器”>“所有者”。

  4. 选择用户条目。

  5. 选择“应用”。

  6. 在建议结果中,查看建议,包括受影响的资源、风险因素、攻击路径、截止日期和状态。

  7. 选择建议以进一步查看。

  8. 如果需要,在“执行操作”>“更改所有者和截止日期”中选择“编辑分配”,以更改建议所有者和截止日期。

    • 默认情况下,资源所有者每周都会收到一封电子邮件,其中列出分配给他们的建议。
    • 如果选择了新的修正日期,请在“理由”中指定在该日期之前进行修正的原因。
    • 在“设置电子邮件通知”中,可以:
      • 替代发送给所有者的默认每周电子邮件。
      • 每周通知所有者未完成/过期任务的列表。
      • 将未完成的任务列表通知所有者的直属经理。
  9. 选择“保存”。

注意

更改预期完成日期不会更改建议的截止日期,但安全性合作伙伴可以看到你计划在指定日期前更新资源。

查看 Azure Resource Graph 中的建议

你可以使用 Azure Resource Graph 来编写 Kusto 查询语言 (KQL),以在多个订阅中查询 Defender for Cloud 云安全态势数据。 Azure Resource Graph 通过查看、筛选、分组和排序数据,提供了跨云环境进行大规模查询的有效方法。

查看 Azure Resource Graph 中的建议

  1. 登录 Azure 门户

  2. 导航到“Defender for Cloud”>“建议”。

  3. 选择一条建议。

  4. 选择“打开查询”。

  5. 可以通过以下两种方式之一打开查询:

    • 查询返回受影响的资源 - 返回受此建议影响的所有资源的列表。
    • 查询返回的安全性结果 - 返回建议发现的所有安全性问题的列表。
  6. 选择“运行查询”

    Azure Resource Graph 资源管理器的屏幕截图,显示了上一屏幕截图中所示的建议的结果。

  7. 查看结果。

如何对建议进行分类?

Defender for Cloud 中的每个安全建议都分配有三个严重性分级之一:

  • 高严重性:应立即解决这些建议,因为它们表明存在严重安全漏洞,攻击者可能利用这些漏洞来未经授权地访问你的系统或数据。 高严重性建议的示例是,我们在计算机上发现了未受保护的机密、入站 NSG 规则过于宽松、有群集允许从不受信任的注册表部署映像,以及不受限制地公共访问存储帐户或数据库。

  • 中等严重性:这些建议表明可能存在安全风险,应及时解决此风险,但可能不需要立即注意。 中等严重性建议的示例可能包括,容器共享敏感主机命名空间、Web 应用不使用托管标识、Linux 计算机在身份验证期间不要求 SSH 密钥,以及未使用的凭据在处于非活动状态 90 天后留在系统中。

  • 低严重性:这些建议表明存在相对较小的安全问题,你可在方便时解决。 低严重性建议的示例可能包括,需要禁用本地身份验证以支持 Microsoft Entra ID、终结点保护解决方案存在运行状况问题、网络安全组未遵循最佳做法,或者日志记录设置配置错误,使得更难检测和响应安全事件。

当然,组织的内部视图可能与 Microsoft 对特定建议的分类不同。 因此,最好仔细查看每个建议,并在决定如何解决之前考虑它对安全状况的潜在影响。

注意

Defender CSPM 客户有权访问更丰富的分类系统,其中建议显示为更具动态的风险级别,该级别会利用资源与所有相关资源的上下文。 详细了解确定风险优先级

示例

在本例中,此建议详细信息页面显示了 15 个受影响的资源:

建议详细信息页上的“打开查询”按钮的屏幕截图。

打开基础查询并运行它后,Azure Resource Graph 浏览器会返回与此建议相同的受影响资源。

下一步