Проверка и классификация критически важных ресурсов

Управление рисками Microsoft Security обеспечивает безопасность и доступность критически важных для бизнеса ресурсов. Критически важные ресурсы помогают команде SOC определять приоритеты усилий по улучшению состояния безопасности организации. Сосредоточение внимания на критически важных ресурсах обеспечивает защиту наиболее важных ресурсов от риска нарушения безопасности данных и сбоев в работе. В этой статье описывается, как работать с критически важными ресурсами.

Критичность активов

Критичность активов — это мера важности ресурса для операций и безопасности вашей организации. Он отражает сочетание киберроли, производственного контекста и системы или подсистемы.

Ресурсы классифицируются по четырем уровням важности:

• Очень высокий - Очень высокая критичность активов имеет важное значение для выживания и непрерывности вашего бизнеса. Их компромисс может привести к катастрофическим последствиям.
• Высокий — ресурсы с высокой степенью важности имеют решающее значение для основных операций вашей организации. Их компромисс может привести к значительным нарушениям.
• Средний — ресурсы средней важности оказывают умеренное влияние и могут повлиять на определенные функции или процессы.
• Низкий уровень — ресурсы с низкой критичностью оказывают минимальное влияние на бизнес-операции и безопасность в случае компрометации.

Понимание и классификация ресурсов на основе их важности помогает приоритизировать усилия по обеспечению безопасности и гарантирует, что наиболее важные ресурсы получают наивысший уровень защиты.

Анализ влияния и анализ драгоценных камней являются основными методологиями для выявления и приоритезирования критически важных активов. Национальный институт стандартов и технологий (NIST) предоставляет рекомендации по анализу критичности, которые можно найти в NIST IR 8179.

NIST Cybersecurity Framework (CSF) 800-53 также подчеркивает руководство по управлению активами и анализу важности, как описано в ID.AM-05, которое можно найти по адресу : https://csf.tools/reference/nist-cybersecurity-framework/v2-0/id/id-am/id-am-05/.

Предварительные условия

Прежде чем начать, убедитесь, что вы соответствуете следующим требованиям для работы с критически важными ресурсами в Управление рисками Microsoft Security.

• Прежде чем начать, ознакомьтесь с критически важными ресурсами в разделе Управление экспозицией.
• Просмотрите необходимые разрешения для работы с критически важными ресурсами.
• Чтобы данные телеметрии безопасности поддерживали варианты использования MSEM, конечные точки должны работать под управлением агента Microsoft Defender для конечной точки версии 10.3740.XXXX или более поздней. Рекомендуется использовать последнюю версию агента, как указано на странице Новые возможности Defender для конечной точки.

Вы можете проверка, какая версия агента работает на устройстве, следующим образом:

• На определенном устройстве перейдите к файлу MsSense.exe в папке C:\Program Files\Advanced Threat Protection в Защитнике Windows. Щелкните файл правой кнопкой мыши и выберите пункт Свойства. На вкладке Сведения проверка версию файла.

• Для нескольких устройств проще выполнить расширенный запрос Kusto для проверка версий датчика устройства, как показано ниже.

  DeviceInfo | project DeviceName, ClientVersion

Проверка критических ресурсов

Просмотрите критически важные ресурсы следующим образом.

1. На портале Microsoft Defender выберите Параметры > Правила Microsoft XDR > Критически > важное управление ресурсами.

2. На странице Критическое управление активами просмотрите предопределенные и настраиваемые классификации критических активов, включая количество активов в классификации, включение или отключение ресурсов, а также уровни важности.

   

Запрос новой предопределенной классификации

Предложение новой классификации для наших исследовательских и разработчиков помогает расширить наши встроенные обнаружения, чтобы включить классификации и роли, которые могут быть применены в экосистеме. Это значительно улучшает продукт, и корпорация Майкрософт выполняет всю работу.

Запросите новую предопределенную классификацию следующим образом:

1. На странице Управление критическими ресурсами выберите Предложить новую классификацию.
2. Укажите, какую классификацию вы хотите увидеть, а затем выберите Отправить запрос.

Создание пользовательской классификации

Пользовательские классификации позволяют точно настроить логику назначения ролей и уровень важности в соответствии с политикой важности организации. Например, классифицируйте ресурсы в определенной сети или типах ресурсов, уровень важности которых должен отличаться от уровня важности по умолчанию.

Создайте пользовательскую классификацию следующим образом:

1. На странице Критическое управление ресурсами выберите Создать новую классификацию.

2. На странице Создание классификации критически важных ресурсов укажите следующие сведения, чтобы задать критерии классификации:

   • Имя — новое имя классификации.
   • Описание — новое описание классификации.
   • Построитель запросов
     • Используйте построитель запросов, чтобы определить новую классификацию, например "пометить все устройства с определенным соглашением об именовании как критические".
     • Добавьте один или несколько логических фильтров, определенных для каждого устройства, удостоверения или облачного ресурса.

   

3. Задав условия, нажмите кнопку Далее.

4. На следующих страницах просмотрите затронутые ресурсы и назначьте уровень важности.

Установка критических уровней ресурсов

Задайте уровни следующим образом.

1. На странице Критическое управление ресурсами выберите классификацию критических ресурсов.

2. На вкладке Обзор выберите требуемый уровень важности.

3. Выберите Сохранить.

   

Изменение пользовательских классификаций

Измените пользовательские классификации следующим образом.

1. На странице Управление критически важными ресурсами перейдите к классификации, которую требуется изменить. Изменить или удалить можно только пользовательские классификации.
2. Выберите Изменить, Удалить или Отключить.

Добавление ресурсов в предопределенные классификации

1. На странице Критическое управление ресурсами выберите соответствующую классификацию ресурсов. Столбец Ожидание утверждения помогает найти классификации с ресурсами, которые не соответствуют порогу автоматической классификации и требуют утверждения пользователем.

   

2. Чтобы просмотреть все ресурсы в классификации, которые в настоящее время считаются критическими, перейдите на вкладку Активы .

3. Чтобы утвердить ресурсы, которые соответствуют классификации, но не соответствуют пороговым значениям, перейдите в папку Ожидание утверждения.

4. Просмотрите перечисленные ресурсы. Нажмите кнопку "плюс " рядом с ресурсами, которые нужно добавить.

   Примечание.

   Ожидание утверждения отображается только при наличии ресурсов для проверки.

   

Вы можете изменить уровни важности и отключить классификацию для всех ресурсов. Вы также можете изменять и удалять пользовательские критически важные ресурсы.

Удаление утвержденных ресурсов из предопределенных классификаций

1. На странице Критическое управление ресурсами выберите соответствующую классификацию ресурсов.

2. Чтобы просмотреть все ресурсы в классификации, которые в настоящее время считаются критическими, перейдите на вкладку Активы .

3. Выберите X рядом с ресурсами, которые нужно удалить.

   

Сортировка по важности

1. Выберите Устройства в разделе Инвентаризация устройств.

2. Сортировка по уровню критичности для просмотра критически важных для бизнеса ресурсов с "очень высоким" уровнем важности.

   

Определение приоритетов рекомендаций для критически важных ресурсов

Чтобы определить приоритеты рекомендаций по безопасности и действий по исправлению, чтобы сосредоточиться на критически важных ресурсах, сумму доступных критических ресурсов для рекомендации можно просмотреть на странице Рекомендации по безопасности на портале Microsoft Defender.

Чтобы просмотреть сумму доступных критических ресурсов, перейдите на страницу Рекомендации по безопасности :

Дальнейшие действия

Сведения о моделировании путей атаки.