Изучение рекомендаций по обеспечению безопасности

Просмотрите рекомендации и убедитесь, что все сведения верны перед их разрешением.

1. Войдите на портал #REF!.

2. Перейдите в Defender для облакаРекомендации.

3. Примените такие фильтры, как:

   • Уязвимый актив: фильтрация по активам, подверженным угрозам.
   • Факторы риска активов: фильтрация по определенным условиям риска.
   • Environment: фильтрация по #REF!, AWS или GCP.
   • Рабочая нагрузка: фильтрация по определенным типам рабочих нагрузок.
   • Зрелость рекомендаций. Фильтрация по уровню готовности рекомендаций.

4. В левой части страницы можно просмотреть рекомендации по категориям безопасности:

   • Все рекомендации. Полный список рекомендаций по безопасности.
   • Неправильно настроены: проблемы безопасности, связанные с конфигурацией.
   • Уязвимости: уязвимости программного обеспечения, требующие исправлений.
   • Открытые секреты: учетные данные и секреты, которые могут быть скомпрометированы.

Эти вкладки категорий помогут вам сосредоточиться на представлении по категориям безопасности, чтобы можно было просмотреть все сразу или детализировать определенные области.

1. Выберите рекомендацию.

Представления рекомендаций

Портал #REF! предоставляет три различных способа просмотра и взаимодействия с рекомендациями:

Представление неструктурированного списка

В этом представлении отображается список всех рекомендаций, организованных отдельными активами, упорядоченными по уровню риска. Каждая строка представляет одну рекомендацию, влияющую на определенный ресурс.

Скриншот портала #REF! в виде плоского списка, показывающий список рекомендаций для критически важных учетных записей хранения по ресурсам.

При выборе строки рекомендаций откроется боковая панель:

• Обзор. Общие сведения о рекомендации, включая его описание, сведения о предоставленном ресурсе и другие важные особенности рекомендаций
• Действия по исправлению. Рекомендации по устранению проблемы с безопасностью
• Предварительная версия карты: отображает все связанные пути атаки, проходящие через ресурс, агрегированные по типу целевого узла. Вы можете:
  • Выберите агрегированный путь для отображения всех связанных атак и дополнительных путей
  • Выберите конкретный путь для просмотра подробной визуализации
• Связанные инициативы: инициативы безопасности и платформы соответствия требованиям, связанные с рекомендацией
• Дополнительные вкладки могут отображаться для конкретных рекомендаций с соответствующими контекстными сведениями

Просмотры ресурсов

Помимо Группировки по названию, портал #REF! поддерживает Группировку по ресурсу. Это группирует все выводы для одного и того же ресурса в одном месте, что полезно, когда один владелец отвечает за актив и должен получать все свои выводы вместе.

Просмотр заголовка рекомендаций

Это представление объединяет рекомендации по заголовку, показывающее консолидированный список, упорядоченный по уровню риска. Каждая строка представляет все экземпляры конкретной рекомендации в вашей среде.

1. Войдите на портал #REF!.

2. Перейдите в Defender для облакаРекомендации.

3. Выберите группу по названию.

   Снимок экрана страницы рекомендаций, показывающий расположение переключателя 'Группировать по заголовку'.

При выборе агрегированной строки рекомендаций откроется боковая панель:

• Обзор. Общие сведения, включая описание рекомендаций, распределение на уровне риска между затронутыми ресурсами, состоянием управления и другими соответствующими сведениями
• Действия по исправлению. Рекомендации по устранению проблемы с безопасностью
• Обнаруженные активы: список всех ресурсов, затронутых этой рекомендацией
• Связанные инициативы: инициативы безопасности и платформы соответствия требованиям, связанные с рекомендацией
• Дополнительные вкладки могут отображаться для конкретных рекомендаций с соответствующими контекстными сведениями

Страница рекомендаций в службе "Управление экспозицией" предоставляет приоритетный список действий безопасности, предназначенных для улучшения состояния облачной безопасности путем устранения уязвимостей, неправильной настройки и предоставления секретов. Эти рекомендации ранжируются по эффективному риску, помогая группам безопасности сосредоточиться на наиболее критически важных угрозах.

1. Войдите на портал Microsoft Defender.

2. Перейдите на вкладку Управление экспозициейРекомендацииОблако.

   Снимок экрана: страница рекомендаций на портале Defender.

3. Примените такие фильтры, как:

   • Уязвимый актив: фильтрация по активам, подверженным угрозам.
   • Факторы риска активов: фильтрация по определенным условиям риска.
   • Environment: фильтрация по #REF!, AWS или GCP.
   • Рабочая нагрузка: фильтрация по определенным типам рабочих нагрузок.
   • Зрелость рекомендаций. Фильтрация по уровню готовности рекомендаций.

4. В левой части страницы можно просмотреть рекомендации по категориям безопасности:

   • Все рекомендации. Полный список рекомендаций по безопасности.
   • Неправильно настроены: проблемы безопасности, связанные с конфигурацией.
   • Уязвимости: уязвимости программного обеспечения, требующие исправлений.
   • Открытые секреты: учетные данные и секреты, которые могут быть скомпрометированы.

   Замечание

   При выборе фильтра категории безопасности список рекомендаций и сводные карточки обновляются, чтобы отображать только рекомендации из этой категории.

Сводные карточки рекомендаций

Для каждого представления на странице отображаются сводные карточки, предоставляющие краткий обзор состояния облачной безопасности:

• Оценка безопасности в облаке. Показывает общую работоспособность облачной безопасности на основе рекомендаций по безопасности в вашей среде.
• Журнал показателей: отслеживает изменения оценки безопасности за последние семь дней, помогая выявлять тенденции и улучшение мер.
• Рекомендации по уровню риска: суммирует количество активных рекомендаций по безопасности, классифицированных по серьезности (критические, высокие, средние, низкие).
• Как вычисляется уровень риска: объясняет, как объединяются оценки серьезности и факторы риска для конкретных активов, чтобы определить общий уровень риска для каждой рекомендации.

Представления рекомендаций

Портал Defender предоставляет два различных способа просмотра и взаимодействия с рекомендациями:

Рекомендация по виду отображения активов

В этом представлении отображается список всех рекомендаций, организованных отдельными активами, упорядоченными по уровню риска. Каждая строка представляет одну рекомендацию, влияющую на определенный ресурс.

При выборе строки рекомендаций откроется боковая панель:

• Обзор. Общие сведения о рекомендации, включая его описание, сведения о предоставленном ресурсе и другие важные особенности рекомендаций
• Действия по исправлению. Рекомендации по устранению проблемы с безопасностью
• Предварительная версия карты: отображает все связанные пути атаки, проходящие через ресурс, агрегированные по типу целевого узла. Вы можете:
  • Выберите агрегированный путь для отображения всех связанных атак и дополнительных путей
  • Выберите конкретный путь для просмотра подробной визуализации
• Связанные инициативы: инициативы безопасности и платформы соответствия требованиям, связанные с рекомендацией
• Дополнительные вкладки могут отображаться для конкретных рекомендаций с соответствующими контекстными сведениями

Просмотр заголовка рекомендаций

Это представление объединяет рекомендации по заголовку, показывающее консолидированный список, упорядоченный по уровню риска. Каждая строка представляет все экземпляры конкретной рекомендации в вашей среде.

При выборе агрегированной строки рекомендаций откроется боковая панель:

• Обзор. Общие сведения, включая описание рекомендаций, распределение на уровне риска между затронутыми ресурсами, состоянием управления и другими соответствующими сведениями
• Действия по исправлению. Рекомендации по устранению проблемы с безопасностью
• Обнаруженные активы: список всех ресурсов, затронутых этой рекомендацией
• Связанные инициативы: инициативы безопасности и платформы соответствия требованиям, связанные с рекомендацией
• Дополнительные вкладки могут отображаться для конкретных рекомендаций с соответствующими контекстными сведениями

Рекомендация по каждому представлению ресурсов

В дополнение к группе по названию портал поддерживает группу по ресурсу. Это группирует все выводы для одного и того же ресурса в одном месте, что полезно, когда один владелец отвечает за актив и должен получать все свои выводы вместе.

Снимок экрана: боковая область рекомендаций.

Альтернативные пути доступа к рекомендациям:

• Облачная инфраструктураОбзорСостояние безопасностиРекомендации по безопасностиПросмотр рекомендаций
• Управление экспозициейИнициативыCloud SecurityСтраница "Открыть инициативу"Вкладка "Рекомендации по безопасности"

Вы можете взаимодействовать с рекомендациями несколькими способами. Если параметр недоступен, этот параметр не относится к рекомендации.

1. Войдите на портал #REF!.

2. Перейдите в Defender для облакаРекомендации.

3. Выберите рекомендацию.

4. В Предпримите действия:

   • Исправление. Описание действий вручную, необходимых для устранения проблемы безопасности в затронутых ресурсах. Для рекомендаций с параметром «Исправление» вы можете выбрать Просмотр логики исправления перед применением предлагаемого исправления к вашим ресурсам.
   • Владелец рекомендаций и дата выполнения. Если включить правило управления для рекомендации, можно назначить владельца и дату выполнения.
   • Исключение. Вы можете исключить ресурсы из рекомендации или отключить определенные результаты с помощью правил отключения.
   • Автоматизация рабочих процессов: настройте приложение логики для активации с помощью рекомендации.

   Замечание

   С новым форматом отдельных рекомендаций управление работает на уровне поиска. Вы можете назначить владельцев и сроки выполнения конкретным выводам, и вы можете использовать правила управления с тегами ресурсов (например, Team: DataPlatform) для автоматического направления рекомендаций к нужному владельцу или в нужную очередь.

Снимок экрана: вкладка "Предпринять действие" с параметрами исправления, назначения владельца и даты выполнения, исключения и автоматизации рабочих процессов.

1. В Graph просмотрите и изучите весь контекст, используемый для приоритизации рисков, включая пути атаки. Узел можно выбрать в пути атаки, чтобы просмотреть сведения о выбранном узле.

   Снимок экрана: вкладка Graph в рекомендации, включая все пути атаки для этой рекомендации.

2. Чтобы просмотреть дополнительные сведения, выберите узел.

   Снимок экрана: вкладка Graph с выбранным узлом, отображающая дополнительные сведения.

3. Выберите Insights.

4. Чтобы просмотреть сведения, выберите уязвимость в раскрывающемся меню.

   Снимок экрана: вкладка "Аналитика" для узла.

5. (Необязательно) Чтобы просмотреть связанную страницу рекомендаций, нажмите кнопку "Открыть страницу уязвимости".

6. Исправьте рекомендацию.

На портале Defender можно взаимодействовать с рекомендациями несколькими способами с помощью интерфейса управления экспозицией. Выбрав рекомендацию на вкладке"Рекомендации экспозицией", вы можете ознакомиться с подробными и принять меры.

Применение фильтров и наборов фильтров, таких как предоставленный ресурс, факторы риска активов, среда, рабочая нагрузка, зрелость рекомендаций и другие.

В области навигации слева можно просмотреть все рекомендации или просмотреть по определенной категории.

Отдельные представления существуют для типов проблем:

• Неправильные конфигурации
• Уязвимые места
• Открытые секреты

Для каждого представления вы увидите Оценку безопасности облака, Историю оценки, Рекомендации по уровню риска и как вычисляется риск.

Интегрируя Defender для облака на портале Defender, вы также можете получить доступ к расширенным облачным рекомендациям через единый интерфейс.

Основные улучшения в опыте облачных рекомендаций включают:

• Факторы риска для каждого ресурса: оцените более широкий контекст воздействия каждой рекомендации для обоснованных решений.
• Оценка на основе рисков: новая оценка, которая взвешивает рекомендации на основе серьезности, контекста активов и потенциального влияния.
• Enhanced data: основные данные рекомендаций из #REF! Recommendations, дополненные дополнительными полями и возможностями управления экспозицией.
• Приоритеты по важности: большее внимание уделяется критическим проблемам, которые представляют наибольший риск для вашей организации.

Унифицированный интерфейс гарантирует контекстуализацию рекомендаций по безопасности облака в более широком ландшафте безопасности, что обеспечивает более информированное принятие решений и эффективные рабочие процессы исправления.

Управляйте назначенными рекомендациями

Defender for Cloud поддерживает правила управления рекомендациями. Вы можете назначить ответственного за выполнение рекомендации или указать срок выполнения. Вы можете обеспечить подотчетность с помощью правил управления, которые также поддерживают соглашение об уровне обслуживания (SLA) для рекомендаций.

• Рекомендации отображаются как «Вовремя» до истечения их срока действия. Затем они меняются на Просрочено.
• Если рекомендация не классифицируется как Overdue, это не влияет на Оценка безопасности (Майкрософт).
• Вы также можете применить льготный период, чтобы просроченные рекомендации не влияли на оценку безопасности.

Узнайте больше о настройке правил управления.

Чтобы просмотреть все назначенные рекомендации, выполните следующее:

1. Войдите на портал #REF!.

2. Перейдите в Defender для облакаРекомендации.

3. Выберите Добавить фильтрВладелец.

4. Выберите запись пользователя.

5. Выберите Применить.

6. В результатах рекомендаций просмотрите рекомендации, включая затронутые ресурсы, факторы риска, пути атаки, даты выполнения и состояние.

7. Выберите рекомендацию для дальнейшего просмотра.

Чтобы внести изменения в назначение, выполните следующие действия.

1. Перейдите к Take actionИзменить владельца и дату выполнения.

2. Выберите "Изменить назначение" , чтобы изменить владельца рекомендации или дату выполнения.

3. Если выбрать новую дату исправления, укажите, почему исправление должно быть завершено по этой дате в обоснование.   

4. Выберите Сохранить.

   Замечание

   При изменении ожидаемой даты завершения срок выполнения рекомендации не изменяется, но партнеры по безопасности могут видеть, что планируется обновить ресурсы по указанной дате.

По умолчанию владелец ресурса получает еженедельное сообщение электронной почты, отображающее все рекомендации, назначенные им.

Используйте параметр "Задать уведомления электронной почты ", чтобы:

• Переопределите установленную по умолчанию еженедельную электронную почту владельца.
• Уведомляйте владельцев еженедельно со списком открытых или просроченных задач.
• Уведомите прямого руководителя владельца об открытом списке задач.

Просмотр рекомендаций в Azure Resource Graph

Вы можете использовать Azure Resource Graph для написания запроса на языке Kusto Query Language (KQL) для получения данных о состоянии безопасности в рамках Defender for Cloud по нескольким подпискам. Используя Azure Resource Graph, вы можете эффективно запрашивать данные в разных облачных средах, просматривая, фильтруя, группирование и сортировку данных.

1. Войдите на портал #REF!.

2. Перейдите в Defender для облакаРекомендации.

3. Выберите рекомендацию.

4. Выберите Открыть запрос.

5. Запрос можно открыть одним из двух способов:

   • Запрос, возвращающий затронутый ресурс: возвращает список всех ресурсов, влияющих на рекомендацию.
   • Запрос, возвращающий результаты безопасности: возвращает список всех проблем безопасности, обнаруженных рекомендацией.

6. Выберите выполнить запрос.

   

7. Проверка результатов.