分享方式:

檢閱安全性建議

在適用於雲端的 Microsoft Defender 中,會根據 Azure 訂用帳戶、Amazon Web Services (AWS) 帳戶和 Google Cloud Platform (GCP) 專案中啟用的內建和自定義安全性標準,評估資源和工作負載。 根據這些評估,安全性建議會提供實際步驟來補救安全性問題並改善安全性狀態。

適用於雲端的 Defender 會主動使用動態引擎來評估您環境中的風險,同時考慮惡意探索的可能性,以及對您組織的潛在業務影響。 引擎會根據每個資源的風險因素來排定安全性建議的優先順序。 環境的內容會決定這些風險因素。 此內容包含資源的設定、網路連線和安全性狀態。

先決條件

備註

適用於雲端的 Defender 會包含建議,但如果未在環境中啟用 Defender CSPM,就無法看到風險優先要務

檢閱建議頁面

在嘗試瞭解解決建議所需的程式之前,請先檢閱與建議相關的所有詳細數據。 在解決建議之前,請確定所有建議詳細數據都正確無誤。

若要檢閱建議的詳細數據

  1. 登入 Azure 入口網站

  2. 流覽至 Defender for Cloud>建議

  3. 選擇建議。

  4. 在建議頁面上,檢閱下列詳細數據:

    • 風險層級 - 基礎安全性問題的弱點和業務效果,考慮環境資源內容,例如因特網暴露、敏感數據、橫向移動等等。
    • 風險因素 - 受建議影響之資源的環境因素,這會影響基礎安全性問題的弱點和業務效果。 風險因素的範例包括因特網暴露、敏感數據和橫向移動潛力。
    • 資源 - 受影響資源的名稱。
    • 狀態 - 建議的狀態,例如未指派、準時或逾期。
    • 描述 - 安全性問題的簡短描述。
    • 攻擊路徑 - 攻擊路徑的數目。
    • 範圍 - 受影響的訂用帳戶或資源。
    • 時效性 - 建議的重新整理間隔。
    • 上次變更日期 - 此建議上次變更的日期。
    • 嚴重性 - 建議的嚴重性(高、中或低)。 提供更多詳細數據。
    • 擁有者 - 指派給建議的人員。
    • 到期日 - 指派解決建議的到期日。
    • 策略與技術 - 對應至 MITRE ATT&CK 的策略和技術。

探索建議

您可以執行各種動作來與建議互動。 如果無法使用選項,則與建議無關。

若要探索建議

  1. 登入 Azure 入口網站

  2. 流覽至 Defender for Cloud>建議事項

  3. 選擇建議。

  4. 在建議中,您可以執行下列動作:

    • 選取 [開啟查詢 ] 以使用 Azure Resource Graph Explorer 查詢檢視受影響資源的詳細資訊。

    • 如果相關,請選取 檢視原則定義 以檢視基礎建議的 Azure 原則條目。

    • 選取 [ 檢視所有資源的建議 ],以檢視受建議影響的所有資源。

  5. 在 [採取動作] 中:

    • 補救:說明解決受影響資源的安全性問題所需的手動步驟。 如需 [修正] 選項的建議,您可以在將建議的修正套用至資源之前,先選取 [ 檢視補救邏輯 ]。

    • 建議擁有者並設定到期日:如果您已啟用建議的 治理規則 ,您可以指派擁有者和到期日。

    • 豁免:您可以使用停用規則,將資源從建議中豁免,或停用特定結果。

    • 工作流程自動化:使用建議設定要觸發的邏輯應用程式。

    這是您在選取 [採取動作] 索引標籤時,可在建議中看到的螢幕快照。

  6. [結果] 中,您可以依嚴重性檢閱附屬結果。

    建議中 [結果] 索引標籤的螢幕快照,其中顯示該建議的所有攻擊路徑。

  7. Graph 中,您可以檢視及調查用於風險優先順序的所有內容,包括 攻擊路徑。 您可以在攻擊路徑中選取節點,以檢視所選節點的詳細數據。

    建議中圖表索引標籤的螢幕快照,其中顯示該建議的所有攻擊路徑。

  8. 選取節點以檢視更多詳細數據。

    所選圖表索引標籤中節點的螢幕快照,並顯示其他詳細數據。

  9. 選取 [深入解析]

  10. 在 [弱點] 下拉功能表中,選取弱點以檢視詳細數據。

    特定節點的 [見解] 標籤頁的螢幕截圖。

  11. (選擇性)選取 [開啟弱點頁面 ] 以檢視相關聯的建議頁面。

  12. 執行補救措施建議

依標題分組建議

適用於雲端的 Defender 建議頁面可讓您依標題將建議分組。 當您想要補救因特定安全性問題而影響多個資源的建議時,這項功能很有用。

若要依標題將建議分組

  1. 登入 Azure 入口網站

  2. 導覽至 Defender for Cloud>建議

  3. 選擇依標題分組

    [建議] 頁面的螢幕擷取畫面,其中顯示畫面上依標題切換群組的位置。

管理指派給您的建議

雲端安全防護軟體 Defender 支援建議的治理規則,允許指派建議的負責人或設定行動的截止日期。 治理規則有助於確保責任,以及建議的 SLA。

  • 當建議變更為 [逾期] 時,建議會在其到期日過去前列為 [準時]
  • 在建議逾期之前,建議不會影響安全分數。
  • 您還可以設置一段寬限期,在此期間逾期的建議不會影響安全評分。

深入瞭解 如何設定治理規則。

若要管理指派給您的建議

  1. 登入 Azure 入口網站

  2. 流覽至 Defender for Cloud>建議

  3. 選取 [新增篩選] > [擁有者]

  4. 選取您的使用者項目。

  5. 選取 [套用]

  6. 在建議結果中,檢閱建議,包括受影響的資源、風險因素、攻擊路徑、到期日和狀態。

  7. 選取建議以進一步檢閱。

  8. [採取動作>變更擁有者和到期日] 中,選取 [編輯指派 ] 以視需要變更建議擁有者和到期日。     - 根據預設,資源的擁有者會收到每周的電子郵件,其中列出指派給他們的建議。     - 如果您選取新的補救日期,請在 [理由] 中指定補救原因。     - 在 [設定電子郵件通知] 中,您可以:- 覆蓋預設的每週電子郵件發送給擁有者。         - 每週通知擁有者,提供待辦和逾期工作的列表。         - 使用未完成工作清單通知擁有者的主管。

  9. 選取 [ 儲存]。

備註

變更預期的完成日期不會變更建議的到期日,但安全性合作夥伴可以看到您計劃依指定的日期更新資源。

檢閱 Azure Resource Graph 中的建議

您可以使用 Azure Resource Graph 撰寫 Kusto 查詢語言 (KQL) ,以跨多個訂用帳戶查詢適用於雲端的 Defender 安全性狀態數據。 Azure Resource Graph 透過檢視、篩選、分組和排序數據,提供有效率的方式在雲端環境中大規模查詢。

若要檢閱 Azure Resource Graph 中的建議

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Defender] > [建議]

  3. 選擇建議。

  4. 選取 [開啟查詢]。

  5. 您可以使用下列兩種方式之一開啟查詢:

    • 查詢傳回受影響的資源 - 傳回受此建議影響之所有資源的清單。
    • 傳回安全性結果的查詢 - 傳回建議找到的所有安全性問題清單。

  6. 選取 [執行查詢]。

    Azure Resource Graph 總管的螢幕擷取畫面,其中顯示前一個螢幕擷取畫面中所示建議的結果。

  7. 查看結果。

建議如何分類?

適用於雲端的Defender的每個安全性建議都會獲得三個嚴重性評等之一:

  • 高嚴重性:立即解決這些建議,因為它們指出攻擊者可能利用的重要安全性弱點來取得系統或數據的未經授權存取權。 高嚴重性建議的範例是,包括電腦上未受保護的祕密、過度寬鬆的輸入 NSG 規則、允許映像從不受信任登錄部署的叢集,以及儲存體帳戶或資料庫的不受限制公用存取時。

  • 中嚴重性:這些建議指出應及時解決的潛在安全性風險,但可能不需要立即注意。 中等嚴重性建議的範例包括共用敏感性主機命名空間的容器、不使用受控識別的 Web 應用程式、驗證期間不需要 SSH 金鑰的 Linux 機器,以及 90 天后未使用系統中留下的認證。

  • 低嚴重性:這些建議表示在方便時可解決的相對次要安全性問題。 低嚴重性建議的範例包括需要停用本機驗證,改用Microsoft Entra ID,端點保護解決方案的健康問題,未遵循網路安全組的最佳實務,以及錯誤配置的記錄設定,這些都可能使得安全性事件的偵測和回應更加困難。

組織的內部檢視可能與Microsoft特定建議的分類不同。 因此,請務必仔細檢閱每個建議,並在決定如何處理建議之前,先考慮其可能對安全性狀態產生的影響。

備註

Defender CSPM 客戶可以存取更豐富的分類系統,其中建議會顯示更具動態性的風險層級,以利用資源和所有相關資源的背景。 深入了解 風險優先順序

範例

在此範例中,此建議詳細數據頁面會顯示 15 個受影響的資源:

建議詳細數據頁面上 [開啟查詢] 按鈕的螢幕快照。

當您開啟基礎查詢並執行時,Azure Resource Graph Explorer 會針對此建議列出相同的受影響資源。

後續步驟

補救安全性建議