Microsoft 安全功能分数

Microsoft安全功能分数是衡量组织安全状况的度量值,其数字越大,表示已采取的建议操作越多。 可以在Microsoft Defender门户中的Microsoft安全功能分数中找到它。

执行安全功能分数建议可保护组织免遭威胁。 从Microsoft Defender门户中的集中式仪表板,组织可以监视和处理其Microsoft 365 标识、应用和设备的安全性。

安全功能分数可帮助组织:

  • 报告组织安全状况的当前状态。
  • 通过提供可发现性、可见性、指导和控制来提升安全性。
  • 与基准进行比较,并建立关键绩效指标 (KPI)。

观看此视频,快速了解安全功能分数。

组织可以访问可靠的指标和趋势可视化效果、与其他Microsoft产品的集成、与类似组织的比较评分等。 当非Microsoft解决方案处理了建议的操作时,分数也会反映出来。

显示Microsoft Defender门户中Microsoft安全功能分数主页的屏幕截图

运作方式

可获取以下操作的积分:

  • 配置建议的安全功能
  • 执行与安全相关的任务
  • 使用非Microsoft应用程序或软件或备用缓解措施解决建议的操作

某些建议的操作仅在完全完成时提供分数。 如果某些设备或用户的任务已完成,某些操作会导致部分点数。 如果无法或不想实施建议的操作之一,可以选择接受风险或剩余风险。

如果你有其中一个受支持的Microsoft产品的许可证,则会看到这些产品的建议。 无论许可证版本、订阅或计划如何,我们都会向你展示产品的完整可能建议集。 这样,就可以了解安全最佳做法并提高分数。 由安全功能分数表示的绝对安全态势保持不变,无论你的组织拥有特定产品的许可证是什么。 请记住,安全性应该与可用性相平衡,同时请注意不是每个建议都适合您的环境。

你的分数将实时更新,以反映可视化效果和建议操作页中显示的信息。 此外,安全功能分数还会每天进行同步,以接收有关每个操作已获得分数的系统数据。

注意

对于Microsoft Teams 和Microsoft Entra相关建议,建议状态将在配置状态发生更改时更新。 此外,建议状态将分别每月或每周刷新一次。

关键方案

每个建议的操作都价值 10 分或更低,并且大多数操作都以二元方式得分。 如果实现建议的操作(例如创建新策略或打开特定设置),将获得 100% 的积分。 对于其他建议的操作,以总配置百分比的形式提供分数。

例如,建议的操作表明,通过多重身份验证保护所有用户,可以获得 10 分。 总共 100 个用户中只有 50 个受保护,因此, (50 个受保护用户/100 个总分 * 10 个最大 pts = 5 pts) 的部分分数。

安全功能分数中包含的产品

目前有针对以下产品的建议:

  • 应用治理
  • Microsoft Entra ID
  • Citrix ShareFile
  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office
  • Docusign
  • Exchange Online
  • GitHub
  • Microsoft Defender for Cloud Apps
  • Microsoft Purview 信息保护
  • Microsoft Teams
  • Okta
  • Salesforce
  • ServiceNow
  • SharePoint Online
  • 缩放

即将推出针对其他安全产品的建议。 这些建议并不涵盖与每个产品关联的所有攻击面,但它们是一个很好的基线。 还可以将建议的操作标记为非Microsoft解决方案或备用缓解措施所涵盖。

安全性默认值

Microsoft安全功能分数包括更新的建议操作,以支持 [Microsoft Entra ID 中的安全默认值] (/azure/active-directory/fundamentals/concept-fundamentals-security-defaults,以便通过预配置的安全设置更轻松地帮助保护组织免受常见攻击。

如果启用安全默认值,则会获得以下建议操作的全分:

  • 确保所有用户都可以完成多重身份验证, (9 点)
  • 要求管理角色的 MFA (10 点)
  • 启用策略以阻止旧式身份验证 (七点)

重要

安全默认值包括提供与登录风险策略和用户风险策略建议操作类似的安全性的安全功能。 建议将其状态更新为 Resolved through alternative mitigation,而不是在安全默认值的基础上设置这些策略。

安全功能分数权限

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

使用Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) 管理权限

使用 Microsoft Defender XDR统一的基于角色的访问控制 (RBAC) ,你可以为安全功能分数创建具有特定权限的自定义角色。 这些权限位于 Defender XDR统一 RBAC 权限模型中的“安全态势”类别下,命名为“公开管理” (读取) 以进行只读访问,而“公开管理” (管理) ,以便有权管理安全功能分数建议的用户。

为了使用户访问安全功能分数数据,应为统一 RBAC Defender XDR 中的自定义角色分配Microsoft 安全风险管理数据源。

若要开始使用 Microsoft Defender XDR Unified RBAC 来管理安全功能分数权限,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC)

注意

Defender XDR统一 RBAC 会自动激活安全分数访问。 创建具有其中一个权限的自定义角色后,会立即对分配的用户产生影响。 无需激活它。

目前,模型仅在Microsoft Defender门户中受支持。 如果要使用 GraphAPI (例如,对于内部仪表板或 Defender for Identity 安全功能分数) 应继续使用Microsoft Entra角色。 稍后计划支持 GraphAPI。

Microsoft Entra全局角色权限

例如,Microsoft Entra全局角色 (,仍可使用全局管理员) 访问安全功能分数。 具有受支持的Microsoft Entra全局角色,但未在 Microsoft Defender XDR统一 RBAC 中分配到自定义角色的用户将继续有权查看 (和管理允许的位置) 安全功能分数数据,如所述:

以下角色具有读取和写入访问权限,可以进行更改、直接与安全功能分数交互,并且可以向其他用户分配只读访问权限:

  • 全局管理员
  • 安全管理员
  • Exchange 管理员
  • SharePoint 管理员

以下角色具有只读访问权限,无法编辑建议操作的状态或备注、编辑分数区域或编辑自定义比较:

  • 帮助台管理员
  • 用户管理员
  • 服务支持管理员
  • 安全信息读取者
  • 安全操作员
  • 全局读取者

注意

如果想要遵循最低权限访问原则 (只向用户和组授予权限,则需要) 完成其工作,Microsoft建议删除为用户和/或分配了具有安全功能分数权限的自定义角色的用户和/或安全组的任何现有提升Microsoft Entra全局角色。 这将确保自定义Microsoft Defender XDR统一 RBAC 角色生效。

风险意识

Microsoft 安全功能分数是基于系统配置、用户行为和其他安全相关衡量标准的数值摘要。 它不是系统或数据被泄露的可能性的绝对度量值。 相反,它表示你在Microsoft环境中使用安全控制的程度,以帮助抵消被泄露的风险。 任何在线服务都不受安全漏洞的影响,安全分数不应被解释为以任何方式防止安全漏洞的保证。

欢迎提出宝贵意见

如果有任何疑问,请通过在 安全性、隐私 & 合规性 社区发布内容来告知我们。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区