分享方式:


風險優先順序 (部分機器翻譯)

「適用於雲端的 Microsoft Defender」會主動利用動態引擎來評估環境中的風險,同時考慮到惡意探索的可能性,以及對您組織的潛在業務影響。 該引擎會根據環境內容所決定的每個資源的風險因素 (包括資源的設定、網路連線和安全性態勢) 來排定安全性建議的優先順序。

當「適用於雲端的 Defender」對您的安全性問題執行風險評估時,該引擎會識別最重要的安全性風險,同時將它們與風險較低的問題區別開來。 然後,建議會根據其風險層級進行排序,讓您能夠解決在您的環境中最有可能被利用的直接威脅的安全性問題。

「適用於雲端的 Defender」接著會分析哪些安全性問題是攻擊者可能會用來入侵您的環境的潛在攻擊路徑的一部分。 它也會強調需要解決以降低這些風險的安全性建議。 這種方法可以幫助您專注於緊急的安全性問題,並讓補救工作更有效率和有效。 儘管風險優先順序不會影響安全分數,但它可以幫助您解決您環境中最重要的安全性問題。

建議

「適用於雲端的 Microsoft Defender」的資源和工作負載是根據您的 Azure 訂用帳戶、AWS 帳戶和 GCP 專案中啟用的內建和自訂安全性標準進行評估的。 安全性建議會根據這些評估提供實際步驟,以補救安全性問題並改善安全性狀態。

注意

建議隨附於基礎 CSPM 方案中,該方案包含在「適用於雲端的 Defender」中。 不過,只有 Defender CSPM 方案才支援風險優先順序和治理。

如果您的環境不受 Defender CSPM 方案保護,則具有風險優先順序功能的資料行將會顯示為模糊狀態。

不同的資源可以具有不同風險層級的相同建議。 例如,在使用者帳戶上啟用 MFA 的建議對於不同的使用者可能具有不同的風險層級。 風險層級由每個資源的風險因素決定,例如其設定、網路連線和安全性態勢。 風險層級是根據被入侵的安全性問題的潛在影響、風險類別以及安全性問題所屬的攻擊路徑來計算的。

在「適用於雲端的 Defender」中,瀏覽至 [建議] 儀表板,以檢視針對您的環境按風險優先順序排列的建議概觀。

在此頁面上,您可以檢閱:

  • 標題 - 建議的標題。

  • 受影響的資源 - 建議適用的資源。

  • 風險層級:基礎安全性問題的可利用性和業務效果,並考量環境資源內容,例如:網際網路暴露、敏感性資料、橫向移動等等。

  • 風險因素:受建議影響之資源的環境因素,這會影響基礎安全性問題的可利用性和業務效果。 風險因素的範例包括網際網路暴露、敏感性資料、橫向移動可能性。

  • 攻擊路徑 - 根據安全性引擎在環境中的資源及其之間的關聯性所搜尋到的所有潛在攻擊路徑,建議所屬的攻擊路徑數目。 每個環境都會呈現自己的唯一攻擊路徑。

  • 擁有者 - 將建議指派給他的人。

  • 狀態 - 建議的目前狀態。 例如,未指派、準時、逾期。

  • 深入解析 - 與建議相關的資訊,例如它是否處於預覽狀態、它是否可以拒絕、是否有可用的修正選項等等。

    建議儀表板的螢幕擷取畫面,其中顯示了按其風險排列優先順序的建議。

當您選取建議時,您可以檢視建議的詳細資料,包括描述、攻擊路徑、範圍、新鮮度、上次變更日期、擁有者、到期日、嚴重性、策略和技術等。

  • 描述:安全性問題的簡短描述。

  • 攻擊路徑 - 攻擊路徑的數目。

  • 範圍 - 受影響的訂用帳戶或資源。

  • 時效性 - 建議的重新整理間隔。

  • 上次變更日期 - 此建議上次變更的日期

  • 擁有者 - 指派給此建議的人員。

  • 到期日 - 建議必須在此之前解決的指派日期。

  • 嚴重性 - 建議的嚴重性 (高、中或低)。 以下提供更多詳細資料。

  • 策略與技術 - 對應至 MITRE ATT&CK 的策略和技術。

    [建議詳細資料] 頁面的螢幕擷取畫面,其中包含每個元素的標籤。

什麼是風險因素?

「適用於雲端的 Defender」會利用環境的內容 (包括資源的設定、網路連線和安全性態勢) 來執行潛在安全性問題的風險評估。 透過這樣做,它可以識別最重要的安全性風險,同時將它們與風險較低的問題區別開來。 然後,建議會根據其風險層級進行排序。

此風險評估引擎會考慮基本的風險因素,例如網際網路暴露、資料敏感度、橫向移動,以及潛在的攻擊路徑。 這種方法會優先處理緊急的安全性問題,讓補救工作更有效率且有效。

如何計算風險?

「適用於雲端的 Defender」會使用內容感知風險優先順序引擎來計算每個安全性建議的風險層級。 風險層級由每個資源的風險因素決定,例如其設定、網路連線和安全性態勢。 風險層級是根據被入侵的安全性問題的潛在影響、風險類別以及安全性問題所屬的攻擊路徑來計算的。

風險層級

建議可根據其風險層級分類為五個類別:

  • 重大:表示有嚴重安全性弱點的建議,攻擊者可能會利用該弱點對您的系統或資料取得未經授權的存取。

  • :表示有潛在安全性風險的建議,該風險應及時解決,但可能不需要立即關注。

  • :表示有相對次要的安全性問題的建議,該問題可以在您方便的時候解決。

  • :表示有相對次要的安全性問題的建議,該問題可以在您方便的時候解決。

  • 未評估:尚未評估的建議。 這可能是因為 Defender CSPM 方案未涵蓋該資源,而該方案是風險層級的必要條件。

風險層級是由考慮每個資源風險因素的內容感知風險優先順序引擎所決定。 深入了解「適用於雲端的 Defender」如何識別和補救攻擊路徑