分享方式:

檢閱安全性建議

  • 文章

在適用於雲端的 Microsoft Defender 中,會根據 Azure 訂用帳戶、AWS 帳戶和 GCP 專案中啟用的內建和自訂安全性標準,評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟來補救安全性問題,並改善安全性狀態。

適用於雲端的 Defender 會主動利用動態引擎來評估環境中的風險,同時考慮到惡意探索的可能性,以及對貴組織的潛在業務影響。 該引擎會根據環境內容所決定的每個資源風險因素 (包括資源的設定、網路連線和安全性態勢),來排定安全性建議的優先順序。

必要條件

注意

適用於雲端的 Defender 會包含建議,但如果未在環境中啟用 Defender CSPM,就無法看到風險優先要務。

檢閱建議詳細資料

請務必先檢閱與建議相關的所有詳細資料,再嘗試了解解決建議所需的程序。 建議您先確定所有建議詳細資料都正確無誤,再解決建議。

若要檢閱建議的詳細資料

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender]>[建議]

  3. 選取建議。

  4. 在建議頁面中,檢閱詳細資料:

    • 風險層級:基礎安全性問題的可利用性和業務效果,考量環境資源內容,例如:網際網路暴露、敏感性資料、橫向移動等等。
    • 風險因素:受建議影響之資源的環境因素,這會影響基礎安全性問題的可利用性和業務效果。 風險因素的範例包括網際網路暴露、敏感性資料、橫向移動可能性。
    • 資源:受影響資源的名稱。
    • 狀態:建議的狀態。 例如,未指派、準時、逾期。
    • 描述:安全性問題的簡短描述。
    • 攻擊路徑 - 攻擊路徑的數目。
    • 範圍 - 受影響的訂用帳戶或資源。
    • 時效性 - 建議的重新整理間隔。
    • 上次變更日期 - 此建議上次變更的日期
    • 嚴重性 - 建議的嚴重性 (高、中或低)。 以下提供更多詳細資料。
    • 擁有者 - 指派給此建議的人員。
    • 到期日 - 建議必須在此之前解決的指派日期。
    • 策略與技術 - 對應至 MITRE ATT&CK 的策略和技術。

探索建議

您可以執行許多動作來與建議互動。 如果無法使用選項,則與建議無關。

若要探索建議

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender]>[建議]

  3. 選取建議。

  4. 在建議中,您可以執行下列動作:

    • 選取 [開啟查詢] 以使用 Azure Resource Graph Explorer 查詢檢視受影響資源的詳細資訊。

    • 選取 [檢視原則定義] 以檢視基礎建議的 Azure 原則項目 (如果相關)。

  5. 在 [採取動作] 中:

    • 補救:說明補救受影響資源的安全性問題所需的手動步驟。 如需 [修正] 選項的建議,您可以選取 [檢視補救邏輯],然後將建議的修正套用至您的資源。

    • 指派擁有者和到期日:如果您已針對建議開啟治理規則,您可以指派擁有者和到期日。

    • 豁免:您可以免除建議的資源,或使用停用規則來停用特定結果。

    • 工作流程自動化:使用此建議設定要觸發的邏輯應用程式。

    螢幕擷取畫面,其中顯示您在選取 [採取動作] 索引標籤時,可在建議中看到的內容。

  6. 在 [結果] 中,您可以依嚴重性檢閱附屬結果。

    建議中 [發現結果] 索引標籤的螢幕擷取畫面,其中顯示該建議的所有攻擊路徑。

  7. Graph 中,您可以檢視及調查用於風險優先順序的所有內容,包括攻擊路徑。 您可以在攻擊路徑中選取節點,以檢視所選節點的詳細資料。

    建議中 [圖表] 索引標籤的螢幕擷取畫面,其中顯示該建議的所有攻擊路徑。

  8. 選取節點以檢視其他詳細資料。

    所選圖表索引標籤中節點,以及顯示其他詳細資料的螢幕擷取畫面。

  9. 選取深入解析

  10. 在 [弱點] 下拉式功能表中,選取弱點以檢視詳細資料。

    特定節點之 [見解] 索引標籤的螢幕擷取畫面。

  11. (選用) 選取 [開啟弱點頁面],以檢視相關的建議頁面。

  12. 修復建議

依標題將建議分組

適用於雲端的 Defender 建議頁面可讓您依標題將建議分組。 當您想要修復因特定安全性問題,而對多個資源造成影響的建議時,這項功能很有用。

若要依標題將建議分組

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender]>[建議]

  3. 選取 [依標題分組]

    [建議] 頁面的螢幕擷取畫面,其中顯示畫面上依標題切換群組的位置。

管理指派給您的建議

適用於雲端的 Defender 支援建議的治理規則,以指定建議擁有者或行動的到期日。 治理規則有助於確保責任,以及建議的 SLA。

  • 當建議變更為 [逾期] 時,建議會在其到期日過去前列為 [準時]
  • 在建議逾期之前,建議不會影響安全分數。
  • 您也可以套用寬限期,在此期間,逾期建議會繼續不影響安全分數。

深入了解如何設定治理規則。

若要管理指派給您的建議

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender]>[建議]

  3. 選取 [新增篩選]>[擁有者]

  4. 選取您的使用者項目。

  5. 選取套用

  6. 在建議結果中檢閱建議,包括受影響的資源、風險因素、攻擊路徑、到期日和狀態。

  7. 選取建議以進一步檢閱。

  8. 在 [採取動作]>[變更擁有者與到期日] 中,選取 [編輯指派] 以視需要變更建議擁有者和到期日。

    • 依預設,資源擁有者會取得每週電子郵件,其中列出指派給他們的建議。
    • 如果您選取新的補救日期,請在 [理由] 中指定在該日期前補救的原因。
    • 在 [設定電子郵件通知] 中,您可以:
      • 覆寫擁有者的預設每週電子郵件。
      • 每週通知擁有者,並列出未完成/逾期的工作。
      • 使用未完成工作清單通知擁有者的主管。

  9. 選取 [儲存]

注意

變更預期的完成日期不會變更建議的到期日,但安全性合作夥伴可以看到您計劃依指定的日期更新資源。

檢閱 Azure Resource Graph 中的建議

您可以使用 Azure Resource Graph 撰寫 Kusto 查詢語言 (KQL),以跨多個訂用帳戶查詢適用於雲端的 Defender 安全性狀態資料。 Azure Resource Graph 透過檢視、篩選、分組和排序資料,提供有效率的方式在雲端環境中大規模查詢。

若要檢閱 Azure Resource Graph 中的建議

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender]>[建議]

  3. 選取建議。

  4. 選取 [開啟查詢]

  5. 您可以使用下列兩種方式之一開啟查詢:

    • 查詢傳回受影響的資源 - 傳回受此建議影響之所有資源的清單。
    • 傳回安全性結果的查詢 - 傳回建議找到的所有安全性問題清單。

  6. 選取 [執行查詢]

    Azure Resource Graph 總管的螢幕擷取畫面,其中顯示前一個螢幕擷取畫面中所示建議的結果。

  7. 檢閱結果。

建議如何分類?

適用於雲端的 Defender 的每個安全性建議都會獲指派三個嚴重性評等之一:

  • 高嚴重性:這些建議應立即解決,因為它們指出攻擊者可能惡意探索的重要安全性弱點,從而未經授權存取您的系統或資料。 高嚴重性建議的範例是,當我們在電腦上探索到未受保護的祕密、過度寬鬆的輸入 NSG 規則、允許映像從不受信任登錄部署的叢集,以及儲存體帳戶或資料庫的不受限制公用存取時。

  • 中嚴重性:這些建議指出應及時解決的潛在安全性風險,但可能不需要立即注意。 中嚴重性建議的範例可能包括共用敏感性主機命名空間的容器、未使用受控識別的 Web 應用程式、驗證期間不需要 SSH 金鑰的 Linux 電腦,以及系統中 90 天未使用後的認證。

  • 低嚴重性:這些建議表示在方便時可解決的相對次要安全性問題。 低嚴重性建議的範例可能包括需要停用本機驗證,以利於 Microsoft Entra ID、端點保護解決方案的健康情況問題、未遵循網路安全性群組的最佳做法,或設定錯誤的記錄設定,讓偵測及回應安全性事件變得困難。

當然,組織的內部檢視可能會因 Microsoft 對特定建議的分類而有所不同。 因此,請務必仔細檢閱每個建議,並在決定如何處理之前,先考慮其對安全性狀態的潛在影響。

注意

Defender CSPM 客戶可以存取更豐富的分類系統,其中的建議會顯示更動態的風險層級,以利用資源和所有相關資源的內容。 深入了解風險優先順序

範例

在此範例中,此建議詳細資料頁面會顯示 15 個受影響的資源:

螢幕擷取畫面:建議詳細資料頁面上的 [開啟查詢] 按鈕。

當您開啟基礎查詢並加以執行時,Azure Resource Graph Explorer 會針對此建議傳回相同受影響的資源。

後續步驟

補救安全性建議