查看和分类关键资产

Microsoft 安全暴露管理 有助于确保业务关键资产的安全和可用。 本文介绍如何使用关键资产。

安全公开管理目前以公共预览版提供。

重要

本文中的某些信息与预发行的产品有关，该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

先决条件

• 在开始之前，请在安全公开管理中了解 关键资产管理 。

• 查看使用关键资产所需的权限。

• 对关键资产进行分类时，我们支持运行 Defender for Endpoint 传感器版本 10.3740.XXXX 或更高版本的设备。 建议运行更新的传感器版本，如 Defender for Endpoint 新增功能页上所列。

  可以检查设备运行的传感器版本，如下所示：

  • 在特定设备上，浏览到 C：\Program Files\Windows Defender Advanced Threat Protection 中的 MsSense.exe 文件。 右键单击该文件并选择“属性”。 在“详细信息”选项卡上，检查文件版本。

  • 对于多个设备，可以更轻松地运行高级搜寻 Kusto 查询来检查设备传感器版本，如下所示：

    DeviceInfo | project DeviceName, ClientVersion

查看关键资产

按如下所示查看关键资产。

1. 在Microsoft Defender门户中，选择“设置 > Microsoft XDR > 规则>关键资产管理”。
2. 在 “关键资产管理 ”页上，查看预定义和自定义关键资产分类，包括分类中的资产数、资产是打开还是关闭，以及关键性级别。

注意

还可以在“资产>设备>分类关键资产”中查看关键资产。 此外，还可以在“公开见解 -> 计划”中查看“关键资产保护”计划。

请求新的预定义分类

请求新的预定义分类，如下所示。

1. 在 “关键资产管理 ”页上，选择“ 建议新分类”。

2. 填写要查看的分类，然后选择“ 提交请求”。

Create自定义分类

Create自定义分类，如下所示。

1. 在“关键资产管理”页上，选择“Create新分类”。

2. 在“Create关键资产分类”页上，完成以下信息以设置分类条件：

   • 名称 - 新的分类名称。
   • 说明 - 新的分类说明。
   • 查询生成器
     • 使用查询生成器定义新分类，例如，“将所有具有特定命名约定的设备标记为关键”。
     • 添加一个或多个按设备、标识或云资源定义的布尔筛选器。

1. 设置条件后，选择“ 下一步”。
2. 在以下页面上，预览受影响的资产，并分配关键性级别。

设置关键资产级别

按如下所示设置级别。

1. 在“ 关键资产管理 ”页上，选择关键资产分类。

2. 在“ 概述 ”选项卡中，选择所需的严重性级别。

3. 选择“保存”。

注意

可以在设备清单中手动设置关键级别。 建议创建允许跨资产广泛应用关键级别的严重性规则。

编辑自定义分类

编辑自定义分类，如下所示。

1. 在 “关键资产管理 ”页上，浏览到要修改的分类。 只能编辑或删除自定义分类。
2. 选择 “编辑”、“ 删除”或 “关闭”。

将资产添加到分类

1. 在 “关键资产管理 ”页上，选择相关的资产分类。

2. 若要查看分类中的所有资产，请选择“ 概述 ”或“ 资产 ”选项卡。

3. 查看资产列表。

4. 若要批准适合分类但超出阈值的资产，请浏览到 “资产”进行查看。

5. 查看列出的资产。 选择要添加的资产旁边的 加号 按钮。

注意

仅当有要审阅的资产时，才会显示要审阅的资产。

可以更改严重性级别并关闭所有资产。 还可以编辑和删除自定义关键资产。

按严重性排序

1. 在 “设备 清单”中选择“ 设备”。
2. 按 关键性级别 排序，查看具有“非常高”关键级别的业务关键资产。

后续步骤

了解如何模拟 攻击路径。