Microsoft 安全功能分数
注意
想要体验Microsoft Defender XDR? 详细了解如何评估和试点Microsoft Defender XDR。
Microsoft 安全功能分数是组织安全状况的度量值,其数字越大,表示已采取的建议操作越多。 可以在Microsoft Defender门户中的 Microsoft 安全功能分数中找到它。
执行安全功能分数建议可保护组织免遭威胁。 从Microsoft Defender门户中的集中式仪表板,组织可以监视和处理其 Microsoft 365 标识、应用和设备的安全性。
安全功能分数可帮助组织:
- 报告组织安全状况的当前状态。
- 通过提供可发现性、可见性、指导和控制来提升安全性。
- 与基准进行比较,并建立关键绩效指标 (KPI)。
观看此视频,快速了解安全功能分数。
组织可以访问可靠的指标和趋势可视化效果、与其他 Microsoft 产品的集成、与类似组织的比较评分等。 当非 Microsoft 解决方案处理了建议的操作时,分数也会反映出来。
运作方式
你将获得以下操作的积分:
- 配置建议的安全功能
- 执行与安全相关的任务
- 使用非 Microsoft 应用程序或软件或备用缓解措施解决建议的操作
某些建议的操作仅在完全完成时提供分数。 如果为某些设备或用户完成部分分数,则提供部分分数。 如果无法或不想实施建议的操作之一,可以选择接受风险或剩余风险。
如果你有某个受支持的 Microsoft 产品的许可证,则会看到这些产品的建议。 无论许可证版本、订阅或计划如何,我们都会向你展示产品的完整可能建议集。 这样,就可以了解安全最佳做法并提高分数。 由安全功能分数表示的绝对安全态势保持不变,无论你的组织拥有特定产品的许可证是什么。 请记住,安全性应该与可用性相平衡,同时请注意不是每个建议都适合您的环境。
你的分数将实时更新,以反映可视化效果和建议操作页中显示的信息。 此外,安全功能分数还会每天进行同步,以接收有关每个操作已获得分数的系统数据。
注意
对于 Microsoft Teams 和Microsoft Entra相关建议,当配置状态发生更改时,建议状态将更新。 此外,建议状态将分别每月或每周刷新一次。
关键方案
如何对建议的操作进行评分
每个建议的操作都价值 10 分或更低,并且大多数操作都以二元方式得分。 如果实现建议的操作(例如创建新策略或打开特定设置),将获得 100% 的积分。 对于其他建议的操作,以总配置百分比的形式提供分数。
例如,建议的操作指出,通过多重身份验证保护所有用户,可以获得 10 分。 总共 100 个用户中只有 50 个受保护,因此, (50 个受保护用户/100 个总分 * 10 个最大 pts = 5 pts) 的部分分数。
安全功能分数中包含的产品
目前有针对以下产品的建议:
- 应用治理
- Microsoft Entra ID
- Citrix ShareFile
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender for Office
- Docusign
- Exchange Online
- GitHub
- Microsoft Defender for Cloud Apps
- Microsoft 信息保护
- Microsoft Teams
- Okta
- Salesforce
- ServiceNow
- SharePoint Online
- 缩放
即将推出针对其他安全产品的建议。 这些建议不会涵盖与每个产品关联的所有攻击面,但它们是一个很好的基线。 还可以将建议的操作标记为第三方或备用缓解措施涵盖。
安全性默认值
Microsoft 安全功能分数更新了建议的操作,以支持Microsoft Entra ID中的安全默认值,从而更轻松地通过预配置的安全设置来保护组织,以防范常见攻击。
如果启用安全默认值,你将获得以下建议操作的完整积分:
- 确保所有用户都可以完成多重身份验证, (9 点)
- 要求管理角色的 MFA (10 点)
- 启用策略以阻止旧式身份验证 (7 点)
重要
安全默认值包括提供与“登录风险策略”和“用户风险策略”建议操作类似的安全性的安全功能。 建议将其状态更新为“已通过替代缓解解决”,而不是在安全默认值的基础上设置这些策略。
安全功能分数权限
使用Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 管理权限
使用 Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) ,你可以为安全功能分数创建具有特定权限的自定义角色。 这允许你控制哪些用户有权访问安全功能分数数据,他们将看到安全功能分数数据 (例如,Microsoft Defender for Endpoint) 及其对数据的权限级别。
还可以管理用户权限,以从其他数据源(例如安全功能分数支持的其他产品)访问安全功能分数数据,有关详细信息,请参阅 安全功能分数中包含的产品。 可以单独查看其他数据源或与其他数据源一起查看安全功能分数数据。
若要开始使用 Microsoft Defender XDR Unified RBAC 来管理安全功能分数权限,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 。
注意
目前,模型仅在Microsoft Defender门户中受支持。 如果要使用 GraphAPI (例如,对于内部仪表板或 Defender for Identity 安全功能分数) 应继续使用Microsoft Entra角色。 稍后计划支持 GraphAPI。
Microsoft Entra全局角色权限
例如,Microsoft Entra全局角色 (,仍可使用全局管理员) 访问安全功能分数。 具有受支持的Microsoft Entra全局角色,但未在 Microsoft Defender XDR统一 RBAC 中分配给自定义角色的用户将继续有权查看 (和管理允许的位置) 安全功能分数数据,如所述:
以下角色具有读取和写入访问权限,可以进行更改、直接与安全功能分数交互,并且可以向其他用户分配只读访问权限:
- 全局管理员
- 安全管理员
- Exchange 管理员
- SharePoint 管理员
以下角色具有只读访问权限,无法编辑建议操作的状态或备注、编辑分数区域或编辑自定义比较:
- 支持人员管理员
- 用户管理员
- 服务支持管理员
- 安全读者
- 安全操作员
- 全局读取者
注意
如果你想要遵循最低特权访问原则 (你只向用户和组授予权限,他们需要) 完成其工作,Microsoft 建议删除为用户和/或安全组分配了具有安全功能分数权限的自定义角色的任何现有提升Microsoft Entra全局角色。 这将确保自定义Microsoft Defender XDR统一 RBAC 角色生效。
风险意识
Microsoft 安全功能分数是基于系统配置、用户行为和其他安全相关衡量标准的数值摘要。 它不是系统或数据被泄露的可能性的绝对度量值。 相反,它表示你在 Microsoft 环境中采用安全控制措施的程度,可帮助抵消被泄露的风险。 任何在线服务都不受安全漏洞的影响,安全分数不应被解释为以任何方式防止安全漏洞的保证。
欢迎提出宝贵意见
如果有任何疑问,请通过在 安全性、隐私 & 合规性 社区发布内容来告知我们。 我们正在监视社区,并将提供帮助。
相关资源
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈