Поделиться через

Изучение рекомендаций по обеспечению безопасности

  • Статья

В Microsoft Defender для облака ресурсы и рабочие нагрузки оцениваются на основе встроенных и настраиваемых стандартов безопасности, включенных в ваши подписки Azure, учетных записей Amazon Web Services (AWS) и проектов Google Cloud Platform (GCP). На основе этих оценок рекомендации по безопасности предоставляют практические шаги по устранению проблем безопасности и улучшению состояния безопасности.

Defender для облака заранее использует динамический механизм, который оценивает риски в вашей среде при рассмотрении возможности эксплуатации и потенциального влияния бизнеса на вашу организацию. Подсистема определяет приоритеты рекомендаций по безопасности на основе факторов риска каждого ресурса. Контекст среды определяет эти факторы риска. Этот контекст включает конфигурацию ресурса, сетевые подключения и состояние безопасности.

Предпосылки

Замечание

Рекомендации включены по умолчанию в Defender для облака, но вы не можете видеть приоритеты риска без включения CSPM Defender в вашей среде.

Просмотр страницы рекомендаций

Просмотрите все сведения, связанные с рекомендацией, прежде чем пытаться понять процесс, необходимый для устранения этой рекомендации. Перед разрешением рекомендации убедитесь, что все сведения о рекомендации правильны.

Чтобы просмотреть сведения о рекомендации, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. На странице рекомендаций просмотрите следующие сведения:

    • Уровень риска — уязвимость и бизнес-эффект базовой проблемы безопасности, учитывая контекст экологических ресурсов, например интернет-воздействие, конфиденциальные данные, боковое перемещение и многое другое.
    • Факторы риска — экологические факторы ресурса, затронутые рекомендацией, которая влияет на уязвимость и деловой эффект базовой проблемы безопасности. Примеры факторов риска включают воздействие в Интернете, конфиденциальные данные и потенциал бокового перемещения.
    • Ресурс — имя затронутого ресурса.
    • Статус — состояние рекомендации, например, не назначено, вовремя или просрочено.
    • Описание — краткое описание проблемы безопасности.
    • Пути атаки — количество путей атаки.
    • Область — затронутая подписка или ресурс.
    • Свежесть — интервал свежести рекомендации.
    • Дата последнего изменения — дата последнего изменения этой рекомендации.
    • Серьезность - степень важности рекомендации (высокая, средняя или низкая). Дополнительные сведения предоставляются.
    • Владелец — лицо, назначенное для выполнения рекомендации.
    • Дата выполнения — назначенная дата выполнения для разрешения рекомендации.
    • Тактика и методы - тактика и методы, связанные с MITRE ATT&CK.

Исследовать рекомендацию

Вы можете выполнять различные действия для взаимодействия с рекомендациями. Если параметр недоступен, он не относится к рекомендации.

Чтобы изучить рекомендацию, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. В рекомендации можно выполнить следующие действия:

    • Выберите "Открыть запрос" , чтобы просмотреть подробные сведения о затронутых ресурсах с помощью запроса Обозревателя ресурсов Azure.

    • Выберите "Просмотреть определение политики ", чтобы просмотреть запись политики Azure для базовой рекомендации, если это необходимо.

    • Выберите "Просмотреть рекомендацию" для всех ресурсов, чтобы просмотреть все ресурсы, затронутые рекомендацией.

  5. В Предпримите действия:

    • Исправление. Описание действий вручную, необходимых для устранения проблемы безопасности в затронутых ресурсах. Для рекомендаций с параметром «Исправление» вы можете выбрать Просмотр логики исправления перед применением предлагаемого исправления к вашим ресурсам.

    • Владелец рекомендаций и дата выполнения. Если для рекомендации включено правило управления , можно назначить владельца и дату выполнения.

    • Исключение. Вы можете исключить ресурсы из рекомендации или отключить определенные выводы с помощью правил отключения.

    • Автоматизация рабочих процессов: настройте приложение логики для активации с помощью рекомендации.

    Снимок экрана, на котором показано, что можно увидеть в рекомендации при выборе вкладки действий.

  6. В результатах можно просмотреть связанные результаты по серьезности.

    Снимок экрана: вкладка

  7. В Graph можно просматривать и исследовать весь контекст, используемый для приоритизации рисков, включая пути атаки. Узел можно выбрать в пути атаки, чтобы просмотреть сведения о выбранном узле.

    Снимок экрана: вкладка графа в рекомендации, в котором показаны все пути атаки для этой рекомендации.

  8. Просмотрите дополнительные сведения, выбрав узел.

    Снимок экрана: узел, расположенный на выбранной вкладке графа и показывающий дополнительные сведения.

  9. Выберите Insights.

  10. В раскрывающемся меню уязвимостей выберите уязвимость для просмотра сведений.

    Снимок экрана: вкладка

  11. (Необязательно) Нажмите кнопку "Открыть страницу уязвимостей", чтобы просмотреть связанную страницу рекомендаций.

  12. Исправьте рекомендацию.

Групповые рекомендации по названию

Страница рекомендаций Defender для Облака позволяет группировать рекомендации по названию. Эта функция полезна, если требуется устранить рекомендацию, которая влияет на несколько ресурсов из-за конкретной проблемы безопасности.

Группирование рекомендаций по названию:

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>рекомендации.

  3. Выберите группу по названию.

    Снимок экрана страницы рекомендаций, показывающий, где на экране находится переключатель группировки по заголовку.

Управление рекомендациями, назначенными вам

Defender для облака поддерживает правила управления для рекомендаций, назначьте владельца рекомендаций или дату выполнения действия. Правила управления помогают обеспечить подотчетность и соглашение об уровне обслуживания для рекомендаций.

  • Рекомендации отображаются как В срок до истечения установленного срока, после чего они меняются на Просроченные.
  • До того как рекомендация станет просроченной, она не оказывает влияния на оценку безопасности.
  • Вы также можете применить льготный период, в течение которого просроченные рекомендации не влияют на оценку безопасности.

Дополнительные сведения о настройке правил управления.

Чтобы управлять рекомендациями, назначенными вам, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите Добавить фильтр>Владелец.

  4. Выберите запись пользователя.

  5. Выберите Применить.

  6. В результатах рекомендаций просмотрите рекомендации, включая затронутые ресурсы, факторы риска, пути атаки, даты выполнения и состояние.

  7. Выберите рекомендацию для дальнейшего просмотра.

  8. В "Take action">"Изменить владельца и срок" выберите "Редактировать назначение", чтобы изменить владельца рекомендации и дату выполнения при необходимости.     — По умолчанию владелец ресурса получает еженедельный список рекомендаций, назначенных им.     — Если вы выберете новую дату исправления, укажите причины исправления по этой дате в обоснование.     — В установках уведомлений по электронной почте можно: — изменить еженедельное электронное письмо по умолчанию владельцу.         — уведомлять владельцев еженедельно со списком открытых или просроченных задач.         — нужно уведомлять непосредственного руководителя владельца об открытом списке задач.

  9. Выберите Сохранить.

Замечание

Изменение ожидаемой даты завершения не изменяет дату выполнения рекомендации, но партнеры по безопасности могут видеть, что планируется обновить ресурсы по указанной дате.

Просмотр рекомендаций в Azure Resource Graph

С помощью Azure Resource Graph можно написать язык запросов Kusto (KQL) для запроса данных Defender для облачной безопасности в нескольких подписках. Azure Resource Graph позволяет эффективно запрашивать данные в разных облачных средах, просматривая, фильтруя, группирование и сортировку данных.

Чтобы просмотреть рекомендации в Azure Resource Graph, выполните приведенные ниже действия.

  1. Войдите на портал Azure.

  2. Перейдите в Defender для облака>Рекомендации.

  3. Выберите рекомендацию.

  4. Выберите Открыть запрос.

  5. Запрос можно открыть одним из двух способов:

    • Запрос, возвращающий затронутый ресурс . Возвращает список всех ресурсов, затронутых этой рекомендацией.
    • Запрос, возвращающий результаты безопасности . Возвращает список всех проблем безопасности, обнаруженных рекомендацией.

  6. Выберите выполнить запрос.

    Снимок экрана: обозреватель Azure Resource Graph, показывающий результаты рекомендации, показанной на предыдущем снимке экрана.

  7. Проверка результатов.

Как классифицируются рекомендации?

Каждая рекомендация по безопасности от Defender для облака получает одну из трёх оценок серьезности.

  • Высокий уровень серьезности: немедленно обратитесь к этим рекомендациям, так как они указывают на критическое уязвимость безопасности, которую злоумышленник может использовать для несанкционированного доступа к системам или данным. Примеры рекомендаций высокого уровня серьезности включают незащищенные секреты на компьютере, чрезмерно разрешительные правила входящего NSG, кластеры, позволяющие развертывать образы из ненадежных реестров и неограниченный общедоступный доступ к учетным записям хранения или базам данных.

  • Средняя серьезность. Эти рекомендации указывают на потенциальный риск безопасности, который следует своевременно решать, но не может потребовать немедленного внимания. Примеры рекомендаций по средней серьезности включают контейнеры, использующие пространства имен конфиденциальных узлов, веб-приложения, которые не используют управляемые удостоверения, компьютеры Linux, не требующие ключей SSH во время проверки подлинности, и неиспользуемые учетные данные, оставшиеся в системе после 90 дней бездействия.

  • Низкая серьезность. Эти рекомендации указывают на относительно незначительные проблемы безопасности, которые можно устранить в удобном режиме. Примеры рекомендаций с низкой степенью серьезности включают необходимость отключения локальной проверки подлинности в пользу Microsoft Entra ID, проблемы с работоспособностью решения для защиты конечных точек, несоблюдение лучших практик для групп безопасности сети или неправильную настройку параметров ведения журнала, что может затруднить обнаружение и реагирование на инциденты безопасности.

Внутренние представления организации могут отличаться от классификации майкрософт конкретной рекомендации. Таким образом, всегда рекомендуется внимательно просматривать каждую рекомендацию и учитывать его потенциальное влияние на состояние безопасности перед решением о том, как устранить его.

Замечание

Клиенты CSPM Defender имеют доступ к более богатой системе классификации, где рекомендации отображаются более динамическим уровнем риска , который использует контекст ресурса и все связанные ресурсы. Дополнительные сведения о приоритете рисков.

Пример

В этом примере на странице сведений об этой рекомендации показаны 15 затронутых ресурсов:

Снимок экрана: кнопка

Когда вы открываете базовый запрос и запускаете его, обозреватель Azure Resource Graph возвращает те же затронутые ресурсы для этой рекомендации.

Следующий шаг

Исправление рекомендаций по безопасности