Microsoft 安全风险管理确保业务关键型资产的安全和可用。 关键资产可帮助 SOC 团队确定工作优先级,以改进组织的安全状况。 专注于关键资产可确保保护最重要的资产免受数据泄露和运营中断的风险。 本文介绍如何使用关键资产。
资产关键性
资产关键性是衡量资产对组织运营和安全状况的重要性的度量值。 它反映了其网络角色、生产上下文以及系统或子系统的组合。
资产分为四种关键性级别:
- 非常高 - 非常高的关键性资产对于业务的生存和连续性至关重要。 他们的妥协可能导致灾难性后果。
- 高 - 高关键性资产对组织的核心运营至关重要。 他们的妥协可能导致重大中断。
- 中等 - 中等关键性资产具有中等影响,可能会影响某些功能或进程。
- 低 - 如果遭到入侵,低关键性资产对业务运营和安全性的影响最小。
根据资产的重要性了解资产并将其分类有助于确定安全工作的优先级,并确保最重要的资产获得最高级别的保护。
影响分析和皇冠珠宝分析是识别关键资产和确定其优先级的基本方法。 国家标准与技术研究所 (NIST) 提供关键性分析指南,可在 NIST IR 8179 中找到。
NIST 网络安全框架 (CSF) 800-53 也强调资产管理和关键性分析的指导,如 ID.AM-05 中所述,可在 以下位置找到。 https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/
先决条件
在开始之前,请确保满足以下要求,以便在Microsoft 安全风险管理中使用关键资产。
- 在开始之前,请先了解曝光 管理中的关键资产管理 。
- 查看使用关键资产所需的权限。
- 若要支持 MSEM 用例的安全遥测,终结点必须运行版本 10.3740.XXXX 或更高版本的 Microsoft Defender for Endpoint 代理。 我们建议使用最新的代理版本,如 Defender for Endpoint 的新增功能页上所列。
可以检查设备运行的代理版本,如下所示:
在特定设备上,浏览到 C:\Program Files\Windows Defender 高级威胁防护中的 MsSense.exe 文件。 右键单击该文件,然后选择“ 属性”。 在“详细信息”选项卡上,检查文件版本。
对于多个设备,可以更轻松地运行高级搜寻 Kusto 查询来检查设备传感器版本,如下所示:
DeviceInfo | project DeviceName, ClientVersion
查看关键资产
按如下所示查看关键资产。
- 在Microsoft Defender门户中,选择“设置”>Microsoft“XDR > 规则>”“关键资产管理”。
- 在 “关键资产管理 ”页上,查看预定义和自定义关键资产分类,包括分类中的资产数、资产是打开还是关闭,以及关键性级别。
注意
还可以在“资产>设备>分类关键资产”中查看关键资产。 此外,还可以在“公开见解 -> 计划”中查看“关键资产保护”计划。
请求新的预定义分类
向研发团队建议新分类有助于扩展开箱即用的检测,以包括可跨生态系统应用的分类和角色。 这极大地增强了产品,并且Microsoft完成所有工作。
请求新的预定义分类,如下所示:
- 在 “关键资产管理 ”页上,选择“ 建议新分类”。
- 填写要查看的分类,然后选择“ 提交请求”。
创建自定义分类
通过自定义分类,可以微调角色分配逻辑和关键性级别,以便与组织的关键性策略保持一致。 例如,对特定网络中的资产或应具有与默认值不同的关键级别的资产类型进行分类。
创建自定义分类,如下所示:
在“ 关键资产管理 ”页上,选择“ 创建新分类”。
在 “创建关键资产分类 ”页上,完成以下信息以设置分类条件:
- 名称 - 新的分类名称。
- 说明 - 新的分类说明。
-
查询生成器
- 使用查询生成器定义新分类,例如,“将所有具有特定命名约定的设备标记为关键”。
- 添加一个或多个按设备、标识或云资源定义的布尔筛选器。
设置条件后,选择“ 下一步”。
在以下页面上,预览受影响的资产,并分配关键性级别。
设置关键资产级别
按如下所示设置级别。
- 在“ 关键资产管理 ”页上,选择关键资产分类。
- 在“ 概述 ”选项卡中,选择所需的严重性级别。
- 选择“保存”。
注意
可以在设备清单中手动设置关键级别。 建议创建允许跨资产广泛应用关键级别的严重性规则。
编辑自定义分类
编辑自定义分类,如下所示。
- 在 “关键资产管理 ”页上,浏览到要修改的分类。 只能编辑或删除自定义分类。
- 选择 “编辑”、“ 删除”或 “关闭”。
将资产添加到预定义分类
- 在 “关键资产管理 ”页上,选择相关的资产分类。 “ 待审批” 列可帮助查找资产不符合自动分类阈值且需要用户批准的分类。
- 若要查看分类中当前被视为关键的所有资产,请选择“ 资产 ”选项卡。
- 若要批准适合分类但超出阈值的资产,请浏览到 “等待审批”。
- 查看列出的资产。 选择要添加的资产旁边的 加号 按钮。
注意
仅当有要审查的资产时,才会显示“待审批”。
可以更改严重性级别并关闭所有资产的分类。 还可以编辑和删除自定义关键资产。
从预定义分类中删除已批准的资产
- 在 “关键资产管理 ”页上,选择相关的资产分类。
- 若要查看分类中当前被视为关键的所有资产,请选择“ 资产 ”选项卡。
- 选择要删除的资产旁边的 X 。
按严重性排序
- 在 “设备 清单”中选择“ 设备”。
- 按 关键性级别 排序,查看具有“非常高”关键级别的业务关键资产。
为关键资产设置建议的优先级
为了帮助确定安全建议的优先级以及专注于关键资产的修正步骤,可以从Microsoft Defender门户中的“安全建议”页查看建议的公开关键资产的总和。
若要查看公开的关键资产的总和,请转到 “安全建议 ”页:
后续步骤
了解如何模拟 攻击路径。