查看和分类关键资产
Microsoft 安全暴露管理 有助于确保业务关键资产的安全和可用。 本文介绍如何使用关键资产。
安全公开管理目前以公共预览版提供。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
先决条件
在开始之前,请在安全公开管理中了解 关键资产管理 。
查看使用关键资产所需的权限。
对关键资产进行分类时,我们支持运行 Defender for Endpoint 传感器版本 10.3740.XXXX 或更高版本的设备。 建议运行更新的传感器版本,如 Defender for Endpoint 新增功能页上所列。
可以检查设备运行的传感器版本,如下所示:
在特定设备上,浏览到 C:\Program Files\Windows Defender Advanced Threat Protection 中的 MsSense.exe 文件。 右键单击该文件并选择“属性”。 在“详细信息”选项卡上,检查文件版本。
对于多个设备,可以更轻松地运行高级搜寻 Kusto 查询来检查设备传感器版本,如下所示:
DeviceInfo | project DeviceName, ClientVersion
查看关键资产
按如下所示查看关键资产。
- 在Microsoft Defender门户中,选择“设置 > Microsoft XDR > 规则>关键资产管理”。
- 在 “关键资产管理 ”页上,查看预定义和自定义关键资产分类,包括分类中的资产数、资产是打开还是关闭,以及关键性级别。
注意
还可以在“资产>设备>分类关键资产”中查看关键资产。 此外,还可以在“公开见解 -> 计划”中查看“关键资产保护”计划。
请求新的预定义分类
请求新的预定义分类,如下所示。
在 “关键资产管理 ”页上,选择“ 建议新分类”。
填写要查看的分类,然后选择“ 提交请求”。
Create自定义分类
Create自定义分类,如下所示。
在“关键资产管理”页上,选择“Create新分类”。
在“Create关键资产分类”页上,完成以下信息以设置分类条件:
- 名称 - 新的分类名称。
- 说明 - 新的分类说明。
- 查询生成器
- 使用查询生成器定义新分类,例如,“将所有具有特定命名约定的设备标记为关键”。
- 添加一个或多个按设备、标识或云资源定义的布尔筛选器。
- 设置条件后,选择“ 下一步”。
- 在以下页面上,预览受影响的资产,并分配关键性级别。
设置关键资产级别
按如下所示设置级别。
在“ 关键资产管理 ”页上,选择关键资产分类。
在“ 概述 ”选项卡中,选择所需的严重性级别。
选择“保存”。
注意
可以在设备清单中手动设置关键级别。 建议创建允许跨资产广泛应用关键级别的严重性规则。
编辑自定义分类
编辑自定义分类,如下所示。
- 在 “关键资产管理 ”页上,浏览到要修改的分类。 只能编辑或删除自定义分类。
- 选择 “编辑”、“ 删除”或 “关闭”。
将资产添加到分类
在 “关键资产管理 ”页上,选择相关的资产分类。
若要查看分类中的所有资产,请选择“ 概述 ”或“ 资产 ”选项卡。
查看资产列表。
若要批准适合分类但超出阈值的资产,请浏览到 “资产”进行查看。
查看列出的资产。 选择要添加的资产旁边的 加号 按钮。
注意
仅当有要审阅的资产时,才会显示要审阅的资产。
可以更改严重性级别并关闭所有资产。 还可以编辑和删除自定义关键资产。
按严重性排序
- 在 “设备 清单”中选择“ 设备”。
- 按 关键性级别 排序,查看具有“非常高”关键级别的业务关键资产。
后续步骤
了解如何模拟 攻击路径。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈