識別及補救攻擊路徑

適用於雲端的 Defender 採用 專有演算法,針對你的多雲環境定位潛在攻擊路徑。 適用於雲端的 Defender 專注於真實、外部驅動且可被利用的威脅,而非廣泛的情境。 該演算法可偵測從組織外部開始並進展到關鍵業務目標的攻擊路徑,幫助您消除噪音並更快地採取行動。

您可以使用攻擊路徑分析來解決會造成立即威脅,且在您的環境具有最大惡意探索潛力的安全性問題。 適用於雲端的 Defender 會分析哪些安全問題屬於外部暴露的攻擊路徑,攻擊者可能利用這些路徑入侵你的環境。 它也會指出您需要解決才能排除問題的安全性建議。

根據預設,攻擊路徑會依風險等級排列。 風險層級是由考慮每個資源風險因素的內容感知風險優先順序引擎所決定。 了解更多關於 適用於雲端的 Defender 如何優先處理安全建議

先決條件

備註

你可能會看到一個空白的攻擊路徑頁面,因為攻擊路徑現在聚焦於真實、外部驅動且可被利用的威脅,而非廣泛的情境。 這有助於減少噪音並優先考慮迫在眉睫的風險。

若要檢視容器的相關攻擊路徑

  • 您必須在 Defender CSPM 啟用無代理程式容器態勢擴充功能,或

  • 你可以啟用容器 Defender,並安裝相關代理程式,以查看與容器相關的攻擊路徑。 這也可讓您在安全性總管查詢容器資料平面工作負載。

  • 必要角色和權限:安全性讀者、安全性管理員、讀者、參與者或擁有者。

識別攻擊路徑

您可以使用攻擊路徑分析找出環境的最大風險,並加以補救。

攻擊路徑頁面會顯示所有攻擊路徑的概觀。 您也可以查看受影響的資源,以及作用中的攻擊路徑清單。

螢幕擷取畫面為攻擊路徑首頁範例。

用以識別Azure傳送門中的攻擊路徑

  1. 登入 Azure 入口網站

  2. 導航至 適用於雲端的 Microsoft Defender>攻擊路徑分析

    螢幕擷取畫面所示為主畫面的攻擊路徑分析頁面。

  3. 選取攻擊路徑。

  4. 選取節點。

    攻擊路徑的螢幕擷取畫面所示為可供選取的節點位置。

    備註

    如果您有有限的許可權,特別是跨訂用帳戶,您可能看不到完整的攻擊路徑詳細數據。 這是設計來保護敏感數據的預期行為。 若要檢視所有詳細數據,請確定您具有必要的許可權。

  5. 選取 [深入解析] 以檢視該節點的關聯深入解析。

    螢幕擷取畫面為特定節點的深入解析索引標籤。

  6. 選取 建議

    螢幕擷取畫面所示為在畫面上選取建議的位置。

  7. 選取建議。

  8. 補救建議

以識別Defender傳送門中的攻擊路徑

  1. 登入Microsoft Defender入口網站

  2. 導航至暴露管理>攻擊面>攻擊路徑。 你會看到攻擊路徑的概覽。

    攻擊路徑經驗提供多種觀點:

    • 概覽標籤:查看攻擊路徑隨時間變化、前五大瓶頸點、前五大攻擊路徑情境、熱門目標及最佳入口點
    • 攻擊路徑列表:動態且可篩選所有攻擊路徑,具備進階過濾功能
    • 瓶頸點:多條攻擊路徑匯聚的節點列表,標記為高風險瓶頸

    截圖顯示Defender入口攻擊路徑概覽。

    備註

    在 Defender 入口網站中,攻擊路徑分析是更廣泛的暴露管理功能的一部分,提供與其他 Microsoft 安全解決方案的強化整合及統一事件關聯。

  3. 選擇攻擊 路徑 標籤。

    截圖,顯示Defender入口攻擊路徑頁面。

  4. 在攻擊路徑列表中使用進階過濾,專注於特定攻擊路徑:

    • 風險等級:依照高、中、低風險攻擊路徑篩選
    • 資產類型:專注於特定資源類型
    • 修復狀態:查看已解決、進行中或待處理的攻擊路徑
    • 時間框架:依特定時間段篩選(例如,過去30天)

  5. 選擇攻擊路徑以查看攻擊路徑地圖,這是一個基於圖形的視圖,重點顯示:

    • 易受攻擊節點:有安全問題的資源
    • 入侵點:攻擊可能開始的外部接取點
    • 目標資產:攻擊者試圖觸及的關鍵資源
    • 瓶頸點:多條攻擊路徑交會的匯聚點

  6. 選擇節點以調查詳細資訊:

    Defender入口攻擊路徑畫面截圖,顯示節點選擇。

    備註

    如果您有有限的許可權,特別是跨訂用帳戶,您可能看不到完整的攻擊路徑詳細數據。 這是設計來保護敏感數據的預期行為。 若要檢視所有詳細數據,請確定您具有必要的許可權。

  7. 審查節點細節包括:

    • MITRE AT&CK 戰術與技術:理解攻擊方法論
    • 風險因素:環境因素對風險的影響
    • 相關建議:安全改進以緩解此問題

  8. 選取 [深入解析] 以檢視該節點的關聯深入解析。

  9. 選擇 建議 以查看可執行的指導及整治狀態追蹤。

    截圖,顯示在Defender入口中選擇推薦的位置。

  10. 選取建議。

  11. 補救建議

    完成攻擊路徑調查,並檢查過所有關聯結果和建議之後,您就可以開始補救攻擊路徑。

  12. 補救建議

解決攻擊路徑之後,系統最多可能需要 24 小時的時間,才會從清單中移除攻擊路徑。

補救攻擊路徑

完成攻擊路徑調查,並檢查過所有關聯結果和建議之後,您就可以開始補救攻擊路徑。

要修復Azure入口中的攻擊路徑

  1. 導航至 適用於雲端的 Microsoft Defender>攻擊路徑分析

  2. 選取攻擊路徑。

  3. 選取 [補救]

    攻擊路徑的螢幕擷取畫面所示為選取補救的位置。

  4. 選取建議。

  5. 補救建議

解決攻擊路徑之後,系統最多可能需要 24 小時的時間,才會從清單中移除攻擊路徑。

補救攻擊路徑內的所有建議

攻擊路徑分析可讓您查看個別攻擊路徑的所有建議,不需要個別檢查每個節點。 您可以直接解決所有建議,不需要個別檢視每個節點。

補救路徑包含兩種建議類型:

  • 建議 - 排除攻擊路徑的建議。
  • 額外建議 ——降低被利用風險,但不減緩攻擊路徑的建議。

要解決Azure入口網站中的所有建議

  1. 登入 Azure 入口網站

  2. 導航至 適用於雲端的 Microsoft Defender>攻擊路徑分析

  3. 選取攻擊路徑。

  4. 選取 [補救]

    螢幕擷取畫面所示為在畫面選取後可查看攻擊路徑完整建議清單的位置。

  5. 展開 [其他建議]

  6. 選取建議。

  7. 補救建議

解決攻擊路徑之後,系統最多可能需要 24 小時的時間,才會從清單中移除攻擊路徑。

若要解決 Defender 入口網站的所有建議

  1. 登入Microsoft Defender入口網站

  2. 導覽至 暴露管理>攻擊路徑分析

  3. 選取攻擊路徑。

  4. 選取 [補救]

    備註

    Defender 入口網站提供更強的修復進度追蹤,並能將修復活動與更廣泛的安全作業及事件管理工作流程相關聯。

  5. 展開 [其他建議]

  6. 選取建議。

  7. 補救建議

解決攻擊路徑之後,系統最多可能需要 24 小時的時間,才會從清單中移除攻擊路徑。

增強的曝光管理能力

Defender 入口網站透過其整合的暴露管理框架,提供額外的攻擊路徑分析功能:

  • 統一事件關聯:攻擊路徑會自動與您Microsoft安全生態系統中的安全事件相關聯。
  • 跨產品洞察:攻擊路徑資料與適用於端點的 Microsoft Defender、Microsoft Sentinel及其他Microsoft安全解決方案的發現整合。
  • Advanced Threat Intelligence:強化Microsoft威脅情報來源的上下文,以更深入了解攻擊模式與行為者行為。
  • 整合式修復工作流程:簡化的修復流程,能觸發多種安全工具的自動回應。
  • 高階報告:強化資安領導的報告能力,並提供業務影響評估。

這些功能提供更全面的安全態勢視圖,並能更有效回應透過攻擊路徑分析識別的潛在威脅。

在適用於雲端的 Defender中了解更多關於攻擊路徑

後續步驟

使用雲端安全性總管建置查詢

  • Last updated on