Microsoft 安全性暴露風險管理 簡化業務關鍵資產的識別和優先順序,讓風險管理員和SOC小組能夠專注於最重要的工作,並降低整體攻擊面風險。 資產分類是由專屬分類器所驅動,可手動微調以反映組織內容。 本文詳細說明用於識別及分類重要資產保護架構內資產的基礎機制。
- Microsoft Defender 全面偵測回應 會自動偵測及分類重要資產、簡化識別並啟用立即保護。
- 您的安全性小組可以優先處理安全性調查、狀態建議和補救步驟,以先專注於重要的資產和系統。
預先定義的分類
安全性暴露風險管理 針對包含裝置、身分識別和雲端資源的資產,提供預先定義之重要資產分類的現成目錄。 預先定義的分類包括:
- 重要的網路安全性資產,例如文件伺服器和域控制器
- 具有敏感數據的資料庫
- 身分識別群組,例如Power Users
- 使用者角色,例如特殊許可權角色管理員
此外,您可以建立自定義重要資產,以優先處理組織在評估暴露和風險時認為重要的資產。
識別重要資產
重要資產可以透過不同的方式來識別:
- 自然而然: 此解決方案會採用進階分析,根據預先定義的分類來自動識別組織內的重要資產。 這可簡化識別程式,讓您能夠找出需要加強保護和立即注意的資產。
- 使用自訂查詢: 撰寫自定義查詢可讓您根據您唯一的準則,找出組織的「佇列」。 透過細微的控制,您可以確保能夠精確地將安全性工作專注在所需的位置。
-
手動地:
- 檢閱 裝置清查 中依重要性層級排序的資產,並識別需要注意的資產。
- 檢閱並核准自動分類但信賴度較低的資產。
分類資產
定義並識別業務關鍵資產之後,資產重要性會隨資產資訊一起出現。 資產重要性已整合到 Defender 入口網站中的其他體驗,例如進階搜捕、裝置清查,以及涉及重要資產的攻擊路徑。
例如,在 裝置清查中,會顯示重要性層級。
![[裝置清查] 視窗的螢幕快照。影像包含重要性層級區段的強調。](media/critical-asset-management/device-inventory-criticality-level.png#lightbox)
在另一個範例中,當您在 [攻擊面] 地圖上尋找暴露於威脅並識別交通點、資產圖示周圍的光暈色彩,以及標記指示器時,會以可視化方式指出高重要性等級。
使用資產分類
您可以使用重要資產設定,如下所示:
-
建立自定義分類:您可以為為組織量身訂做的裝置、身分識別和雲端資源建立新的重要資產分類。
- 您可以使用查詢產生器來定義新的分類。 例如,您可以建置查詢,以將具有特定命名慣例的裝置定義為重要。
- 建立重要資產分類查詢也適用於識別並非所有相關資產的有限案例。
- 將資產新增至分類:您可以手動將資產新增至重要的資產分類。
- 修改重要性層級:您可以選擇根據組織的風險配置檔來編輯重要性層級。
- 編輯自訂分類:您可以編輯、刪除和關閉自定義分類。 無法修改預先定義的分類。 「關閉」規則功能適用於預先定義的查詢。 不過,某些使用者可能因為特定問題而看不到它。
檢閱重要資產
重要的資產分類邏輯會使用來自 Microsoft Defender 工作負載和第三方整合的資產行為。 若要實作不同的邏輯,請關閉規則,並建立適合您案例的自定義規則。
某些符合分類的資產可能不符合重要性臨界值。 例如,資產可能是域控制器,但可能不會被視為對您的業務很重要。 使用資產檢閱功能,將這些資產新增至您定義的分類。 這項功能可讓您根據組織的特定重要性準則來包含資產。
重要資產保護計劃
關鍵資產保護計劃可協助排定業務關鍵系統和資產的優先順序,並將SOC小組的工作重點放在增強復原能力、監視和事件回應。 此方案可在 Microsoft Defender 入口網站的Exposure Insights的 [計劃] 區段中取得。
- 此計劃會持續監視重要資產的安全性復原能力,提供保護措施有效性的即時深入解析。 使用計劃分數來比較不同環境中重要資產的安全性復原能力,協助您找出需要更多焦點和改進的區域。
- 此方案可讓您查看組織內的所有重要資產、識別重大資產探索中的潛在缺口,並據以微調您的分類。 此方案會將重要資產及其安全性復原能力的相關信息合併成單一檢視。 這份完整的報告可讓您做出明智的決策,並採取主動措施來保護重要資產。