Поделиться через

Изучение рекомендаций по обеспечению безопасности

В Microsoft Defender для облака ресурсы и рабочие нагрузки оцениваются по встроенным и пользовательским стандартам безопасности, которые применяются в ваших подписках Azure, учетных записях Amazon Web Services (AWS) и проектах Google Cloud Platform (GCP). На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

Defender для облака заранее использует динамический механизм, который оценивает риски в вашей среде, в то время как он рассматривает потенциал для эксплуатации и потенциальный бизнес-эффект для вашей организации. Подсистема определяет приоритеты рекомендаций по безопасности на основе факторов риска каждого ресурса. Контекст среды определяет эти факторы риска. Этот контекст включает конфигурацию ресурса, сетевые подключения и состояние безопасности.

Предпосылки

Просмотр страницы рекомендаций

Просмотрите рекомендации и убедитесь, что все сведения верны перед их разрешением.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. На странице рекомендаций просмотрите следующие сведения:

    • Уровень риска: уязвимость и бизнес-эффект базовой проблемы безопасности, учитывая контекст экологических ресурсов, такие как воздействие интернета, конфиденциальные данные, боковое перемещение и многое другое.
    • Факторы риска: экологические факторы ресурса, затронутые рекомендацией, которые влияют на уязвимость и деловой эффект базовой проблемы безопасности. Примеры факторов риска включают воздействие в Интернете, конфиденциальные данные и потенциал бокового перемещения.
    • Ресурс: имя затронутого ресурса.
    • Состояние: состояние рекомендации, например: не назначено, своевременно или просрочено.
    • Описание: краткое описание проблемы безопасности.
    • Пути атаки: количество путей атаки.
    • Область: затронутая подписка или ресурс.
    • Актуальность: временной интервал актуальности рекомендации.
    • Дата последнего изменения: дата последнего изменения этой рекомендации.
    • Серьезность: серьезность рекомендации: высокий, средний или низкий. Дополнительные сведения приведены далее в этой статье.
    • Владелец: человек, назначенный рекомендации.
    • Дата выполнения: назначенная дата выполнения для разрешения рекомендации.
    • Тактика и методы: тактика и методы, сопоставленные с MITRE ATT&CK.

Исследовать рекомендацию

Вы можете взаимодействовать с рекомендациями несколькими способами. Если параметр недоступен, это означает, что это не относится к рекомендации.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. В рекомендации можно выполнить следующие действия:

    • Чтобы просмотреть подробные сведения о затронутых ресурсах с помощью запроса обозревателя ресурсов Azure, выберите "Открыть запрос".
    • Чтобы просмотреть запись политики Azure для базовой рекомендации (при необходимости), выберите "Просмотреть определение политики".
    • Чтобы просмотреть все ресурсы, к ним относится рекомендация, выберите "Просмотреть рекомендацию" для всех ресурсов.

  5. В Предпримите действия:

    • Исправление. Описание действий вручную, необходимых для устранения проблемы безопасности в затронутых ресурсах. Для рекомендаций с параметром «Исправление» вы можете выбрать Просмотр логики исправления перед применением предлагаемого исправления к вашим ресурсам.
    • Владелец рекомендаций и дата выполнения. Если включить правило управления для рекомендации, можно назначить владельца и дату выполнения.
    • Исключение. Вы можете исключить ресурсы из рекомендации или отключить определенные результаты с помощью правил отключения.
    • Автоматизация рабочих процессов: настройте приложение логики для активации с помощью рекомендации.

    Снимок экрана, на котором показано, что можно увидеть в рекомендации при выборе вкладки

  6. В результатах можно просмотреть связанные результаты по серьезности.

    Снимок экрана, на котором показана вкладка результатов в рекомендации, включая все пути атаки для этой рекомендации.

  7. В Graph вы можете просматривать и исследовать весь контекст, используемый для приоритизации рисков, включая пути атаки. Узел можно выбрать в пути атаки, чтобы просмотреть сведения о выбранном узле.

    Снимок экрана: вкладка Graph в рекомендации, включая все пути атаки для этой рекомендации.

  8. Чтобы просмотреть дополнительные сведения, выберите узел.

    Снимок экрана: вкладка Graph с выбранным узлом, отображающая дополнительные сведения.

  9. Выберите Insights.

  10. Чтобы просмотреть сведения, выберите уязвимость в раскрывающемся меню.

    Снимок экрана: вкладка

  11. (Необязательно) Чтобы просмотреть связанную страницу рекомендаций, нажмите кнопку "Открыть страницу уязвимости".

  12. Исправьте рекомендацию.

Групповые рекомендации по названию

Вы можете группировать рекомендации по заголовку с помощью страницы рекомендаций Defender для облака. Эта функция полезна, если требуется устранить рекомендацию, которая влияет на несколько ресурсов из-за конкретной проблемы безопасности.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите группу по названию.

    Снимок экрана страницы рекомендаций, показывающий расположение переключателя 'Группировать по заголовку'.

Управляйте назначенными рекомендациями

Defender for Cloud поддерживает правила управления рекомендациями. Вы можете назначить ответственного за выполнение рекомендации или указать срок выполнения. Вы можете обеспечить подотчетность с помощью правил управления, которые также поддерживают соглашение об уровне обслуживания (SLA) для рекомендаций.

  • Рекомендации отображаются как «Вовремя» до истечения их срока действия. Затем они меняются на Просрочено.
  • Если рекомендация не классифицируется как просроченная, она не влияет на оценку безопасности Майкрософт.
  • Вы также можете применить льготный период, чтобы просроченные рекомендации не влияли на оценку безопасности.

Узнайте больше о настройке правил управления.

Чтобы просмотреть все назначенные рекомендации, выполните следующее:

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите Добавить фильтр>Владелец.

  4. Выберите запись пользователя.

  5. Выберите Применить.

  6. В результатах рекомендаций просмотрите рекомендации, включая затронутые ресурсы, факторы риска, пути атаки, даты выполнения и состояние.

  7. Выберите рекомендацию для дальнейшего просмотра.

Чтобы внести изменения в назначение, выполните следующие действия.

  1. Перейдите к Take action>Изменить владельца и дату выполнения.

  2. Выберите "Изменить назначение" , чтобы изменить владельца рекомендации или дату выполнения.

  3. Если выбрать новую дату исправления, укажите, почему исправление должно быть завершено по этой дате в обоснование.   

  4. Выберите Сохранить.

    Замечание

    При изменении ожидаемой даты завершения срок выполнения рекомендации не изменяется, но партнеры по безопасности могут видеть, что планируется обновить ресурсы по указанной дате.

По умолчанию владелец ресурса получает еженедельное сообщение электронной почты, отображающее все рекомендации, назначенные им.

Вы также можете использовать параметр "Задать уведомления электронной почты ", чтобы:

  • Переопределите установленную по умолчанию еженедельную электронную почту владельца.
  • Уведомляйте владельцев еженедельно со списком открытых или просроченных задач.
  • Уведомите прямого руководителя владельца об открытом списке задач.

Просмотр рекомендаций в Azure Resource Graph

Вы можете использовать Azure Resource Graph, чтобы написать запрос на языке запросов Kusto (KQL) для анализа данных о безопасности в облаке из Defender по нескольким подпискам. Azure Resource Graph позволяет эффективно запрашивать данные в разных облачных средах, просматривая, фильтруя, группирование и сортировку данных.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. Выберите Открыть запрос.

  5. Запрос можно открыть одним из двух способов:

    • Запрос, возвращающий затронутый ресурс: возвращает список всех ресурсов, влияющих на рекомендацию.
    • Запрос, возвращающий результаты безопасности: возвращает список всех проблем безопасности, обнаруженных рекомендацией.

  6. Выберите выполнить запрос.

    Снимок экрана Azure Resource Graph Explorer, показывающий результаты рекомендации на предыдущем снимке экрана.

  7. Проверка результатов.

Как классифицируются рекомендации?

Каждая рекомендация безопасности в Defender для Cloud получает одну из трех оценок серьезности.

Высокая степень тяжести

Рекомендуется немедленно обратиться к этим рекомендациям. Они указывают на то, что существует критическая уязвимость безопасности, которую злоумышленник может использовать для получения несанкционированного доступа к системам или данным.

Примеры рекомендаций высокого уровня серьезности:

  • Незащищенные секреты на компьютере.
  • Слишком либеральные правила безопасности для входящего сетевого трафика.
  • Кластеры, позволяющие развертывать образы из ненадежных реестров.
  • Неограниченный общедоступный доступ к учетным записям хранения или базам данных.

Средняя степень тяжести

Эти рекомендации указывают на потенциальный риск безопасности. Мы рекомендуем своевременно решить эти рекомендации, но они могут не требовать немедленного внимания.

Ниже приведены примеры рекомендаций по средней серьезности.

  • Контейнеры, использующие конфиденциальные пространства имен узлов.
  • Веб-приложения, которые не используют управляемые удостоверения.
  • Компьютеры Linux, не требующие ключей SSH во время проверки подлинности.
  • Неиспользуемые учетные данные остаются в системе через 90 дней бездействия.

Низкий уровень серьезности

Эти рекомендации указывают на относительно незначительные проблемы безопасности, которые можно устранить в удобном режиме.

Ниже приведены примеры рекомендаций с низкой степенью серьезности.

  • Использование локальной проверки подлинности вместо идентификатора Microsoft Entra.
  • Проблемы со работоспособностью решения для защиты конечных точек.
  • Пользователи не следуют лучшим практикам с сетевыми группами безопасности.
  • Неправильно настроенные параметры ведения журнала, которые могут усложнить обнаружение и реагирование на инциденты безопасности.

Внутренние политики организации могут отличаться от классификации майкрософт конкретной рекомендации. Мы рекомендуем всегда тщательно проверять каждую рекомендацию и учитывать её потенциальное влияние на состояние безопасности, прежде чем решить, как действовать.

Замечание

Клиенты CSPM Defender имеют доступ к более богатой системе классификации, где рекомендации предоставляют определение уровня риска , использующее контекст ресурса и все связанные ресурсы. Дополнительные сведения о приоритете рисков.

Пример

В этом примере на странице сведений о рекомендациях показаны 15 затронутых ресурсов:

Снимок экрана: кнопка

При открытии и запуске базового запроса Обозреватель ресурсов Azure возвращает те же затронутые ресурсы для этой рекомендации.

Связанный контент

  • Last updated on