使用 Microsoft Defender for Cloud 安全分数和清单识别和修正安全风险
安全分数概述
Microsoft Defender for Cloud 有两个主要目标:
- 帮助你了解当前的安全状况
- 帮助你高效且有效地提高安全性
Defender for Cloud 中用于实现这些目标的核心功能是“安全分数”。
Defender for Cloud 会持续评估跨云资源的安全问题。 然后,它将所有调查结果汇总成一个分数,让你可以一目了然地了解当前的安全状况:分数越高,识别出的风险级别就越低。
- 在 Azure 门户页中,安全功能分数显示为百分比值,且原值也一目了然:
- 在 Azure 移动应用中,安全功能分数显示为百分比值,可以点击该安全功能分数来查看分数解释的详细信息:
若要提高安全性,请查看 Defender for Cloud 的“建议”页,并通过实现每个问题的修正说明,根据建议进行修正。 建议会被分组到各项安全控制中。 每个控制措施都是相关安全建议的一个逻辑组,反映了易受攻击的攻击面。 只有修正控制中针对单个资源的所有建议后,分数才会提高。 若要查看你的组织对每个单独攻击面的保护力度,请查看每个安全控件的分数。
如何计算安全功能分数
若要获得某个安全控制所有可能的分数,你的所有资源都必须符合该安全控制中的所有安全建议。 例如,Defender for Cloud 针对如何保护管理端口提供了多条建议。 现在必须修正所有建议,才能改变安全评分。
控制的示例分数
在本示例中:
修正漏洞安全控制 - 此控制组包含多个与发现和解决已知漏洞相关的建议。
最高分 - 完成某个控制中的所有建议后可获得的最高分数。 控制的最高分表明该控制的相对重要性,并且对于每个环境都是固定的。 可使用最高分值来会审要优先处理的问题。
当前分数 - 此控件的当前分数。
当前分数 = [每个资源的分数] * [正常运行的资源数]
每个控制都为总分贡献分数。 在此示例中,该控制为当前安全功能总分贡献了 2.00 分。
潜在分数增加 - 控制可提供剩余分值。 如果实现此控制中的所有建议,分数将增加 9%。
潜在分数增加 = [每个资源的分数] * [运行不正常的资源数]
见解 - 为你提供每个建议的额外详细信息,例如:
预览建议 - 此建议在正式发布 (GA) 之前不会影响你的安全功能分数。
修复 - 在“建议详细信息”页面中使用“修复”来解决此问题。
强制执行 - 在“建议详细信息”页面中,当所创建资源不合规时,可以自动部署策略来解决此问题。
拒绝 - 在“建议详细信息”页面中阻止创建具有此问题的新资源。
安全功能分数计算中包括哪些建议?
- 只有内置建议才会影响安全评分。
- 计算安全分数时不包括标记为“预览”的建议。 但仍应尽可能按这些建议进行修正,这样在预览期结束时,它们会有助于提升分数。
- 预览建议标有:
提高安全功能分数
若要提高安全评分,请修正建议列表中的安全建议。 可以为每个资源手动修正每个建议,也可以使用“修复”选项(若可用)快速解决多个资源上的问题。
还可以在相关建议上配置“强制”和“拒绝”选项,以提高分数并确保用户不会创建对分数产生负面影响的资源。
安全功能分数的常见问题解答 (FAQ)
如果只处理某个安全控制四分之三的建议,安全功能分数是否会发生变化?
不是。 为单个资源修正所有建议后,安全评分才会变化。 若要获得某个控制的最高分,必须为所有资源修正所有建议。
如果某个建议对我不适用,我在策略中禁用它,我能否达到安全控制的要求,我的安全评分是否会更新?
是的。 如果建议不适用于你的环境,建议禁用它们。
如果某个安全控制为安全功能分数贡献的分数为零,我应该忽略它吗?
在某些情况下,你会看到某个控制的最高分大于零,但影响为零。 如果通过修复资源增加的分数可忽略不计,则会将其舍入为零。 请勿忽略这些建议,因为它们仍然可以改善安全性。 唯一的例外是“其他最佳做法”控制。 修正这些建议不会提高分数,但会提高整体安全性。