Поделиться через

Оценка безопасности в Defender для облака

Оценка безопасности в Microsoft Defender для Облака поможет улучшить состояние облачной безопасности. Оценка безопасности объединяет результаты безопасности в одну оценку, чтобы вы могли оценить текущую ситуацию безопасности. Чем выше оценка, тем ниже идентифицированный уровень риска.

При включении Defender для облака в подписке стандарт microsoft cloud security benchmark (MCSB) по умолчанию применяется в подписке. Начинается оценка ресурсов в области по стандарту MCSB.

MCSB выдает рекомендации на основе результатов оценки. Только встроенные рекомендации из MCSB влияют на оценку безопасности. В настоящее время приоритет риска не влияет на оценку безопасности.

Примечание.

Две модели оценки безопасности: Microsoft Defender для облака теперь предлагает две разные модели оценки безопасности. Новая оценка Cloud Secure (на основе рисков) доступна на портале Microsoft Defender и включает факторы риска активов и критическое значение для более точной приоритетности. Классическая оценка безопасности остается доступной на портале Azure. Это совершенно разные модели с разными вычислениями и значениями. Дополнительные сведения о новой модели смотрите в разделе интерфейса портала Defender этой статьи.

Рекомендации, помеченные как предварительная версия , не включены в вычисления оценки безопасности. Эти рекомендации по-прежнему следует исправлять везде, где это возможно, так что при завершении периода предварительной версии они будут способствовать оценке. Предварительные версии рекомендаций помечаются значком: Зрелость рекомендаций [предварительная версия] не изменяет пользовательский интерфейс оценки безопасности или модель взвешивания; он классифицирует только рекомендации. Помимо исключения рекомендаций предварительной версии, формулы оценки безопасности и значения пользовательского интерфейса остаются неизменными.

Просмотр оценки безопасности

При просмотре панели мониторинга Defender для облака Обзор можно просмотреть оценку безопасности для всех сред. На панели мониторинга отображается оценка безопасности в виде процентного значения и содержатся базовые значения.

Снимок экрана: панель мониторинга портала с общим показателем безопасности и базовыми значениями.

Мобильное приложение Azure показывает оценку безопасности в процентах. Коснитесь его, чтобы просмотреть сведения, объясняющие оценку.

Снимок экрана: мобильное приложение Azure с общим показателем безопасности и подробными сведениями.

Изучите состояние безопасности

Страница состояния безопасности в Defender для облака показывает оценку безопасности для сред в целом и для каждой среды отдельно.

Снимок экрана: страница Defender для облака для защиты.

На этой странице вы увидите подписки, учетные записи и проекты, влияющие на общую оценку, сведения о неработоспособных ресурсах и соответствующие рекомендации. Вы можете фильтровать по средам, таким как Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) и Azure DevOps. Затем вы можете выполнить детализацию по каждой подписке Azure, учетной записи AWS и проекту GCP.

Снимок экрана: нижняя половина страницы сведений о состоянии безопасности.

Вычисление оценки безопасности

На странице рекомендаций в Defender для облака на вкладке "Рекомендации по оценке безопасности" показано, как элементы управления соответствием в MCSB вносят свой вклад в общую оценку безопасности.

Снимок экрана: элементы управления безопасностью, влияющие на оценку безопасности.

Defender для облака вычисляет каждый элемент управления каждые восемь часов для каждой подписки Azure или для каждого облачного соединителя AWS или GCP.

Внимание

Рекомендации в элементе управления обновляются чаще, чем сам элемент управления. Вы можете найти несоответствия между количеством ресурсов по рекомендациям и количеству ресурсов в элементе управления.

Пример оценок для элемента управления

В следующем примере рассматриваются рекомендации по оценке безопасности для уязвимостей исправления.

Снимок экрана: рекомендации по оценке безопасности для элемента управления

В этом примере показаны следующие поля в рекомендациях.

Поле Сведения
Исправление уязвимостей Группировка рекомендаций по обнаружению и устранению известных уязвимостей.
Максимальная оценка Максимальное количество точек, которые можно получить, выполнив все рекомендации в элементе управления.

Максимальная оценка для элемента управления обозначает его относительную важность для каждой среды.

Используйте значения в этом столбце, чтобы определить, какие проблемы необходимо сначала выполнить.
Текущая оценка Текущая оценка для этого элемента управления.

Текущая оценка = [оценка за один ресурс] × [число работоспособных ресурсов]

Каждый элемент управления влияет на общую оценку. В этом примере элемент управления вносит 3,33 пункта в текущую общую оценку.
Возможное увеличение оценки Количество нераспределенных баллов, доступных в этом элементе управления. При исправлении всех рекомендаций в этом элементе управления оценка увеличивается на 4%.

Возможное увеличение оценки = [оценка за одни ресурс] × [число неработоспособных ресурсов]
Статистика Дополнительные сведения для каждой рекомендации, например:

- Рекомендация по предварительной версии. Эта рекомендация влияет на оценку безопасности, только если она общедоступна.

- Исправление. Устранение этой проблемы.

- Принудительное применение. Автоматическое развертывание политики для устранения этой проблемы всякий раз, когда кто-то создает несоответствующий ресурс.

- Запрет. Запретить создание новых ресурсов с помощью этой проблемы.

Уравнения вычисления оценки

Вот как вычисляются оценки.

Элемент управления безопасностью

Уравнение для определения оценки для элемента управления безопасностью:

Снимок экрана: уравнение для вычисления оценки системы управления безопасностью.

Текущая оценка для каждого элемента управления — это мера состояния ресурсов в этом элементе управления. Каждый отдельный элемент управления безопасностью способствует оценке безопасности. Каждый ресурс, затронутый рекомендацией в элементе управления, способствует текущей оценке элемента управления. Оценка безопасности не включает ресурсы, найденные в предварительных версиях рекомендаций.

В следующем примере максимальный показатель 6 делится на 78, так как это сумма работоспособных и неработоспособных ресурсов. Итак, 6 /78 = 0,0769. Умножение на число здоровых ресурсов (4) приводит к текущему счету: 0,0769 * 4 = 0,31.

Снимок экрана: подсказки, показывающие значения, используемые при вычислении текущей оценки элемента управления безопасностью.

Отдельная подписка или соединитель

Уравнение для определения оценки безопасности для одной подписки или соединителя:

Снимок экрана: уравнение для вычисления оценки безопасности подписки.

Снимок экрана: оценка безопасности с одной подпиской со всеми включенными элементами управления.

Снимок экрана: список элементов управления и потенциальное увеличение оценки.

Это же уравнение для соединителя, а просто подписка на слово, замененная соединителем слова.

Несколько подписок и соединителей

Уравнение для определения оценки безопасности для нескольких подписок и соединителей:

Снимок экрана: уравнение для вычисления оценки безопасности для нескольких подписок.

Объединенная оценка для нескольких подписок и соединителей включает вес для каждой подписки и соединителя. Defender для Облака определяет относительные весовые значения для подписок и соединителей на основе линейной весовой модели, используя объединенное количество работоспособных и неработоспособных ресурсов для каждой подписки (за исключением ресурсов, которые находятся в статусе «Неприменимо»). Текущая оценка для каждой подписки и соединителя вычисляется так же, как для одной подписки или соединителя, а затем применяется его вес (см. уравнение). Если у подписки или соединителя нет оценок (ни работоспособных, ни неработоспособных ресурсов) для данного контроля, он исключается при подсчете оценки для этой подписки или соединителя. В этом случае ни текущие, ни максимальные потенциальные баллы, связанные с элементом управления, не учитываются в оценке данной подписки. Агрегированная оценка безопасности, показанная в пользовательском интерфейсе, не является простой арифметической средней по процентам подписки или количеству элементов управления; это взвешенная сумма, охватывающая все подписки. Таким образом, номера ресурсов для каждого элемента управления, отображаемые в пользовательском интерфейсе, нельзя использовать для ручной повторной компиляции общей оценки безопасности в нескольких подписках.

При просмотре нескольких подписок и соединителей оценка безопасности оценивает все ресурсы во всех включенных политиках и группах. Группирование показывает, как они влияют на максимальную оценку каждого элемента управления безопасностью.

Снимок экрана: оценка безопасности для нескольких подписок со всеми включенными элементами управления.

Улучшение оценки безопасности

MCSB состоит из ряда элементов управления соответствием. Каждый элемент управления содержит логически связанную группу рекомендаций по безопасности и отражает уязвимые для атак области.

Чтобы понять, насколько хорошо ваша организация защищает каждую уязвимую область, просмотрите баллы для каждого элемента управления безопасностью. Оценка улучшается только при исправлении всех рекомендаций.

Чтобы получить все возможные баллы для элемента управления безопасностью, все ваши ресурсы должны соответствовать всем рекомендациям по безопасности для этого элемента управления безопасностью. Например, Defender для облака содержит несколько рекомендаций по защите портов управления. Вам нужно исправить их все, чтобы сделать разницу в оценке безопасности.

Вы можете улучшить оценку безопасности с помощью любого из следующих методов:

  • Выполните рекомендации по безопасности из списка. Каждую рекомендацию можно исправить отдельно для каждого ресурса вручную или сразу для нескольких ресурсов с помощью параметра Исправление (если он доступен).
  • Принудительное применение или запрет рекомендаций по улучшению оценки и обеспечение того, чтобы пользователи не создавали ресурсы, которые негативно влияют на оценку.

Элементы управления оценкой безопасности

В следующей таблице перечислены элементы управления безопасностью в Microsoft Defender для облака. Для каждого элемента управления можно увидеть максимальное количество точек, которые можно добавить в оценку безопасности, если устранить все рекомендации, перечисленные в элементе управления, для всех ресурсов.

оценка безопасности; Управление безопасностью
10 Включение MFA: Defender для облака помещает большое значение в MFA. Используйте эти рекомендации, чтобы защитить пользователей подписок.

Существует три способа включить MFA и соответствовать рекомендациям: по умолчанию безопасности, назначению на пользователя и политике условного доступа.
8 Безопасные порты управления: атака подбора часто нацелена на порты управления. Следуйте нашим рекомендациям, чтобы сократить риски с помощью таких инструментов, как JIT-доступ к виртуальным машинам и группы безопасности сети.
6 Применение обновлений системы. Не применять обновления оставляют неотставленные уязвимости и приводят к средам, которые подвержены атакам. Используйте эти рекомендации для обеспечения эффективности работы, уменьшения уязвимостей системы безопасности и обеспечения более стабильной среды для пользователей. Для развертывания обновлений системы можно использовать Диспетчер обновлений Azure для управления исправлениями и обновлениями для компьютеров.
6 Исправление уязвимостей. Когда средство оценки уязвимостей сообщает об уязвимостях в Defender для облака, Defender для облака представлены результаты и связанные сведения в качестве рекомендаций. Используйте эти рекомендации для устранения обнаруженных уязвимостей.
4 Исправьте конфигурации безопасности. Неправильно настроенные ИТ-ресурсы имеют более высокий риск атаки. Используйте эти рекомендации для защиты от выявленных ошибок конфигурации в инфраструктуре.
4 Управление доступом и разрешениями. Основная часть программы безопасности гарантирует, что у пользователей есть только необходимый доступ для выполнения своих заданий: модель доступа с наименьшими привилегиями. Используйте эти рекомендации для управления вашими удостоверениями и требованиями к доступу.
4 Включите шифрование неактивных данных. Используйте эти рекомендации, чтобы устранить ошибки конфигурации вокруг защиты хранимых данных.
4 Шифрование передаваемых данных. Используйте эти рекомендации для защиты данных, перемещающихся между компонентами, расположениями или программами. Такие данные уязвимы для атак типа «злоумышленник в середине», перехвата и перехвата сеансов.
4 Ограничение несанкционированного доступа к сети: Azure предлагает набор средств, которые помогают обеспечить высокий уровень безопасности для доступа к сети.

Используйте эти рекомендации для управления адаптивной безопасностью сети в Defender для облака, убедитесь, что вы настроили Приватный канал Azure для всех соответствующих служб как службы (PaaS), включите Брандмауэр Azure в виртуальных сетях и многое другое.
3 Применить адаптивный элемент управления приложениями: адаптивный элемент управления приложениями — это интеллектуальное, автоматизированное, комплексное решение для управления тем, какие приложения могут выполняться на компьютерах. Оно также помогает защитить компьютеры от вредоносных программ.
2 Защита приложений от атак DDoS: расширенные решения сетевой безопасности в Azure включают Azure DDoS Protection, Azure Брандмауэр веб-приложений и надстройку Политика Azure для Kubernetes. Используйте эти рекомендации для защиты приложений с помощью этих средств и других.
2 Включение защиты конечных точек: Defender для облака проверяет конечные точки вашей организации для активных решений обнаружения угроз и реагирования, таких как Microsoft Defender для конечной точки или любой из основных решений, показанных в этом списке.

Если решение обнаружение и нейтрализация атак на конечные точки (EDR) не включено, используйте эти рекомендации для развертывания Microsoft Defender для конечной точки. Defender для конечной точки включен в план Defender для серверов.

Другие рекомендации в этом элементе управления помогают развертывать агенты и настраивать мониторинг целостности файлов.
1 Включение аудита и ведения журнала. Подробные журналы являются важной частью расследований инцидентов и многих других операций устранения неполадок. Рекомендации в этом элементе управления сосредоточены на обеспечении включения журналов диагностики, где бы они ни находились.
0 Включение расширенных функций безопасности. Используйте эти рекомендации для включения любых планов Defender для облака.
0 Реализуйте рекомендации по безопасности. Эта коллекция рекомендаций важна для безопасности организации, но не влияет на оценку безопасности.

Отслеживайте свою оценку безопасности

Общую оценку безопасности и оценку для каждой подписки можно найти на портале Azure или программно, как описано в следующих разделах:

Подсказка

Подробное описание того, как вычисляются оценки, см. в разделе "Вычисления" — понимание оценки.

Получение оценки безопасности на портале

Defender для облака отображает оценку на портале Azure. При выборе плитки оценки безопасности на странице обзора вы перейдете на выделенную страницу оценки безопасности, где отображается оценка по подписке. Выберите одну подписку, чтобы просмотреть подробный список приоритетных рекомендаций и потенциальный эффект, который их исправление будет иметь на оценку подписки.

Оценка безопасности отображается в следующих расположениях на страницах портала Azure Defender для Облака:

  • На плитке в Обзоре Microsoft Defender для облака (главная панель мониторинга):

    Оценка безопасности на панели мониторинга Defender для облака

  • На выделенной странице оценки безопасности вы увидите оценку безопасности для подписки и групп управления:

    Оценка безопасности подписок на странице оценки безопасности Defender для Облака

    Оценка безопасности для групп управления на странице оценки безопасности Defender для Облака

    Примечание.

    Все группы управления, для которых у вас нет достаточных разрешений, будут отображать свой балл как "Ограниченный".

  • В верхней части страницы рекомендаций :

    Оценка безопасности на странице рекомендаций Defender для облака

Получение оценки безопасности из REST API

Вы можете получить доступ к своей оценке через API безопасной оценки. Методы этого API позволяют гибко выполнять запросы к данным и создавать собственные механизмы создания отчетов об оценках безопасности за разные периоды. Например, вы можете использовать API оценки безопасности для получения оценки для определенной подписки. Кроме того, API Secure Score Controls можно использовать для отображения элементов управления безопасностью и текущего балла ваших подписок.

Получение одной оценки безопасности через API.

Примеры инструментов, созданных на основе API оценки безопасности, см. в области оценки безопасности нашего сообщества GitHub.

Получите свою оценку безопасности из Azure Resource Graph

Azure Resource Graph предоставляет мгновенный доступ к сведениям о ресурсах в облачных средах с надежными возможностями фильтрации, группировки и сортировки. Это быстрый и эффективный способ запросить сведения по подпискам Azure программно или с помощью портала Azure. Узнайте больше об Azure Resource Graph.

Чтобы получить доступ к оценке безопасности для нескольких подписок с помощью Azure Resource Graph:

  1. На портале Azure откройте обозреватель Azure Resource Graph.

    Запуск страницы рекомендаций Обозревателя ресурсов Azure.

  2. Введите запрос Kusto (используя приведенные ниже примеры для получения рекомендаций).

    • Этот запрос возвращает идентификатор подписки, текущую оценку в точках и в процентах, а также максимальную оценку для подписки.

      SecurityResources 
| where type == 'microsoft.security/securescores' 
| extend current = properties.score.current, max = todouble(properties.score.max)
| project subscriptionId, current, max, percentage = ((current / max)*100)

    • Этот запрос возвращает состояние всех элементов управления безопасностью. Для каждого элемента управления вы получаете количество неисправных ресурсов, текущую оценку и максимальную оценку.

      SecurityResources 
| where type == 'microsoft.security/securescores/securescorecontrols'
| extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max
| project SecureControl , unhealthy, currentscore, maxscore

  3. Выберите Запустить запрос.

Отслеживайте свою оценку безопасности с течением времени

Отчет об оценке безопасности в динамике на странице рабочей книги

Страница книг Defender для Облака содержит готовый отчет для визуального отслеживания показателей подписок, элементов управления безопасностью и т. д. Дополнительные сведения см. в разделе "Создание расширенных интерактивных отчетов Defender для облачных данных".

Раздел отчета об оценке безопасности с течением времени из коллекции книг Microsoft Defender для облака

Панели мониторинга Power BI Pro

Если вы являетесь пользователем Power BI с учетной записью Pro, вы можете использовать панель мониторинга Power BI для отслеживания оценки безопасности с течением времени и изучения любых изменений.

Подсказка

Эту панель мониторинга и другие средства для программной работы с оценкой безопасности можно найти в выделенной области сообщества Microsoft Defender для облака на GitHub: https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score

Панель мониторинга содержит следующие два отчета, которые помогут вам проанализировать состояние безопасности:

  • Сводка по ресурсам — предоставляет сводные данные о работоспособности ресурсов.

  • Сводка по оценке безопасности предоставляет сводные данные о ходе оценки. Используйте диаграмму "Оценка безопасности по подпискам с течением времени", чтобы просмотреть изменения в оценке. Если вы заметили резкое изменение вашей оценки, проверьте таблицу "Обнаруженные изменения, которые могут повлиять на вашу оценку безопасности" на предмет изменений, которые могли стать причиной этого. В этой таблице представлены удаленные ресурсы, новые развернутые ресурсы и ресурсы, для которых изменился статус безопасности в одной из рекомендаций.

Необязательная панель мониторинга Оценки безопасности с течением времени Power BI для отслеживания оценки безопасности с течением времени и изучения изменений.

Следующие шаги

Примечание.

Две модели оценки безопасности: Microsoft Defender для облака теперь предлагает две разные модели оценки безопасности. Новая оценка Cloud Secure (на основе рисков) доступна на портале Microsoft Defender и включает факторы риска активов и критическое значение для более точной приоритетности. Классическая оценка безопасности остается доступной на портале Azure. Это совершенно разные модели с разными вычислениями и значениями. Дополнительные сведения о классической модели см. в портале Azure в этой статье.

Сейчас эта возможность доступна в предварительной версии. Дополнительные сведения о текущих пробелах и ограничениях см. в разделе "Известные ограничения".

Оценка безопасности облака на портале Defender

Оценка безопасности облака (на основе рисков) — это оценка состояния облачной безопасности. Оценка позволяет объективно оценивать и отслеживать состояние облачной безопасности и измерять усилия по устранению рисков.

Оценка безопасности облака вводит факторы риска активов и критичность активов в вычисление, что делает оценку более точной и позволяет разумно расставлять приоритеты рекомендаций высокого уровня риска. 

Модель оценки безопасности облака

Оценка безопасности облака основана на количестве и уровне риска открытых рекомендаций в Defender для облака. Чтобы улучшить оценку, сосредоточьтесь на рекомендациях с более высоким уровнем риска, так как они вносят наибольший вклад в оценку.

Схема нового потока вычислений оценки безопасности Cloud, включая факторы риска для активов и их критичность.

Формула оценки безопасности облака

Оценка Cloud Secure Составляет от 0 до 100, а 100 — это оптимальное состояние безопасности. Оценка — это агрегирование выбранной оценки активов.

Чтобы вычислить оценку окружающей среды для данной организации в любой области, формула оценивает риск активов (сочетание вероятности и влияния). Для каждого ресурса формула вычисляет взвешенный средний уровень риска рекомендаций по этому ресурсу, учитывая факторы риска актива (например, воздействие в Интернете, конфиденциальность данных и т. д.), а также критически важное значение актива для организации.

Схема формулы, показывающая оценку cloud secure, включающую факторы риска активов и критические показатели активов.

Условные обозначения (формула оценки Cloud Secure)

  • n = количество ресурсов
  • Критичность = критически важное значение актива для организации
  • Rec. Low = Рекомендации с низким уровнем риска
  • Rec. Средний = Рекомендации с средним уровнем риска
  • Rec. High = Рекомендации с высоким уровнем риска
  • Rec. Критическое = рекомендации с критическим уровнем риска

Доступ к оценке безопасности облака (портал Защитника)

Оценки безопасности объединяются в единое решение Microsoft Security, предоставляя единую точку входа для получения представления о состоянии удостоверений, устройств, облачных приложений, данных и инфраструктуры. Оценка безопасности облака — это компонент облачной защиты в этом более широком наборе.

Снимок экрана: целевая страница оценки безопасности

Пути навигации к оценке облачной безопасности (инициатива облака)

  • Управление экспозицией>Оценка безопасности> Просмотр облачной инициативы
  • Управление экспозицией>Инициативы> Просмотр инициативы облака
  • Облачная инфраструктура>Обзор> карточка с главными метриками или виджет Состояние безопасности> для просмотра инициативы в облаке

Панель мониторинга инициатив

Перейдите кинициативам> для консолидированного представления состояния облачной безопасности. Эта панель мониторинга агрегирует:

  • Основные инициативы и их относительный статус
  • Недавняя история показателей безопасности и уязвимости (тренды за 14 дней)
  • Аналитика между доменами (SaaS, конечная точка, облако, удостоверение, защита от программ-шантажистов)
  • Показатели конкретной рабочей нагрузки для отслеживания темпов исправления

Откройте страницу инициативы облачных технологий

  1. Перейдите кинициативам>.
  2. Выберите Cloud Security.
  3. На боковой панели выберите страницу открытой инициативы.
  4. Просмотрите элементы панели мониторинга обзора:
    • Текущая оценка безопасности облака
    • Тенденция оценки безопасности с течением времени
    • Оценка безопасности по среде (Azure, AWS, GCP) для быстрого сравнения с несколькими облаками
    • Оценка безопасности по рабочей нагрузке для выделения различий между основными категориями рабочих нагрузок
    • Сводка рекомендаций
    • Наиболее распространенные рекомендации по критичности, на которых следует сосредоточить усилия на исправлении, чтобы обеспечить наибольшее влияние на оценку и снижение риска.

Снимок экрана: домашняя страница облачной инициативы

Примечание.

Предыдущая (классическая) оценка безопасности по-прежнему доступна на портале Azure с помощью классического представления рекомендаций. Навигация: портал Azure → Microsoft Defender для облака → рекомендации → перейти к классическому представлению.

Контекст оценки безопасности Майкрософт

Оценка безопасности Майкрософт — это более широкая унифицированная концепция, охватывая несколько доменов безопасности. На этой странице основное внимание уделяется оценке облачной безопасности (управление безопасностью облака в Defender для облака). Другие оценки безопасности Майкрософт отображаются на порталах безопасности Майкрософт.

Типы оценки безопасности

Тип оценки Область или домен Основные исходные продукты и данные
Оценка безопасности Майкрософт Позиция идентификации Рекомендации Microsoft Entra (Azure AD)
Оценка уровня безопасности экспозиции Состояние устройства или конечной точки Microsoft Defender для конечной точки (конфигурация устройства, защита от угроз)
Оценка безопасности облака Облачное состояние (многооблачная среда) Microsoft Defender для облака (Azure, AWS, GCP)

Примечание.

Рекомендации, помеченные как предварительная версия , не включены в вычисления оценки безопасности. Эти рекомендации по-прежнему следует исправлять везде, где это возможно, так что при завершении периода предварительной версии они будут способствовать оценке. Предварительные версии рекомендаций помечаются значком: Зрелость рекомендаций [предварительная версия] не изменяет пользовательский интерфейс оценки безопасности или модель взвешивания; он классифицирует только рекомендации. Помимо исключения рекомендаций предварительной версии, формулы оценки безопасности и значения пользовательского интерфейса остаются неизменными.

Следующие шаги

  • Last updated on