Поделиться через

Обзор управления критически важными ресурсами

Управление рисками Microsoft Security упрощает идентификацию и определение приоритетов критически важных для бизнеса ресурсов во всех доменах, включая устройства, удостоверения и облачные ресурсы, позволяя менеджерам по рискам и командам SOC сосредоточить усилия там, где они имеют наибольшее значение, и снизить общий риск атаки. Благодаря интеграции Defender для облака на портале Defender классификация активов теперь охватывает единые запасы конечных точек, облачных сред и внешних направлений атак. Классификация активов определяется собственными классификаторами, которые можно настроить вручную для отражения контекста организации. В этой статье подробно описаны базовые механизмы, используемые для идентификации и классификации ресурсов в рамках платформы защиты критических ресурсов.

  • Microsoft Defender XDR автоматически обнаруживает и классифицирует критически важные ресурсы, упрощая идентификацию и обеспечивая немедленную защиту.
  • Ваша команда безопасности может приоритизировать исследования безопасности, рекомендации по настройке и шаги по исправлению, чтобы в первую очередь сосредоточиться на критически важных ресурсах и системах.

Предопределенные классификации

Управление рисками предоставляет готовый каталог стандартных классификаций критически важных активов для ресурсов, включающих устройства, удостоверения и облачные ресурсы в единой инвентаризации. К предопределенным классификациям относятся:

  • Критически важные ресурсы кибербезопасности, такие как файловые серверы и контроллеры домена
  • Базы данных с конфиденциальными данными
  • Группы удостоверений, такие как опытные пользователи
  • Роли пользователей, такие как администратор привилегированных ролей
  • Облачные ресурсы из сред Azure, AWS и GCP
  • Внешние ресурсы, обнаруженные в рамках интеграции со сторонними разработчиками

Кроме того, вы можете создавать настраиваемые критически важные ресурсы, чтобы определить приоритеты, которые ваша организация считает критически важными при оценке рисков и рисков для всех типов активов в единой инвентаризации.

Определение критически важных ресурсов

Критически важные ресурсы можно определить различными способами:

  • Автоматически: Решение использует расширенную аналитику для автоматического определения критически важных ресурсов в организации в соответствии с предопределенными классификациями. Это упрощает процесс идентификации, позволяя точно определить ресурсы, требующие повышенной защиты и немедленного внимания.
  • С пользовательскими запросами: Написание пользовательских запросов позволяет точно определить "жемчужины" вашей организации на основе ваших уникальных критериев. Благодаря детальному управлению вы можете сосредоточить усилия по обеспечению безопасности именно там, где они необходимы.
  • Вручную:
    • Просмотрите ресурсы в инвентаризации устройств , отсортированные по уровню важности, и определите ресурсы, требующие внимания.
    • Проверять и утверждать ресурсы, классифицированные автоматически, но с меньшей достоверностью.

Классификация ресурсов

После определения и идентификации критически важных для бизнеса ресурсов появится критичность активов со сведениями об активах. Критичность активов интегрирована в другие возможности на портале Defender, например при расширенной охоте, инвентаризации устройств и в путях атак, в которых задействованы критически важные ресурсы.

Например, в разделе Инвентаризация устройств отображается уровень важности.

Снимок экрана: окно инвентаризации устройств. Изображение содержит акцент на разделе уровня важности.

В другом примере на карте области атаки, когда вы ищете подверженность угрозам и определяете точки дроссея, цвет ореола, окружающий значок актива, и индикатор коронки визуально указывают на высокий уровень важности.

Снимок экрана: ресурс, просматриваемый на карте экспозиции в контексте других подключений. Два устройства на карте показывают высокий критический уровень.

Работа с классификациями активов

С параметрами критических ресурсов можно работать следующим образом:

  • Создание пользовательских классификаций. Вы можете создавать новые критически важные классификации ресурсов для устройств, удостоверений и облачных ресурсов из любого домена (Azure, AWS, GCP или локальной среды), адаптированных для вашей организации.
    • Построитель запросов используется для определения новой классификации. Например, можно создать запрос, чтобы определить устройства с определенным соглашением об именовании как критические, или облачные ресурсы с определенными тегами как критически важными.
    • Создание запросов классификации критически важных активов также полезно в ограниченных случаях, когда не все интересующие ресурсы определяются в едином инвентаре.
  • Добавление ресурсов в классификации. Вы можете вручную добавить ресурсы из любого домена в критически важные классификации ресурсов в едином интерфейсе управления ресурсами.
  • Изменение уровней важности. Вы можете изменить уровни важности в соответствии с профилем риска вашей организации для всех типов активов.
  • Изменение пользовательских классификаций. Вы можете изменять, удалять и отключать пользовательские классификации. Предопределенные классификации нельзя изменить. Функция "отключить" правило доступна для предопределенных запросов. Однако некоторые пользователи могут не видеть его из-за определенных проблем.
  • Интеграция сторонних данных. Ресурсы, обнаруженные через сторонние соединители (например, ServiceNow CMDB), можно автоматически помечать как критические, если они соответствуют определенным критериям, что повышает идентификацию критически важных ресурсов в рамках единой инвентаризации.

Просмотр критически важных ресурсов

Логика классификации критически важных активов использует поведение ресурсов из Microsoft Defender рабочих нагрузок, облачных сред (Azure, AWS, GCP) и сторонних интеграций. Интеграция Defender для облака на портале Defender теперь включает ресурсы из единой инвентаризации во всех доменах. Чтобы реализовать другую логику, отключите правило и создайте пользовательское правило, подходящее для ваших сценариев.

Некоторые ресурсы, соответствующие классификации, могут не соответствовать пороговой важности. Например, ресурс может быть контроллером домена или облачным ресурсом, но он не может считаться критически важным для вашего бизнеса. Используйте функцию проверки ресурсов, чтобы добавить эти ресурсы в определенную классификацию. Эта функция позволяет включать ресурсы, основанные на конкретных критериях важности вашей организации, в рамках всего единого инвентаризации ресурсов, обеспечивая надлежащее управление всеми критически важными ресурсами на разных устройствах, удостоверениях и облачных ресурсах в одном месте.

Инициатива по защите критических активов

Инициатива по защите критически важных активов помогает определить приоритеты критически важных для бизнеса систем и ресурсов, сосредоточивая усилия команды SOC на повышении устойчивости, мониторинге и реагировании на инциденты. Эта инициатива доступна в разделе Инициативы на портале Microsoft Defender.

  • Эта инициатива постоянно отслеживает устойчивость безопасности критически важных ресурсов, предоставляя аналитические сведения об эффективности мер защиты в режиме реального времени. Используйте оценку инициативы, чтобы сравнить устойчивость критически важных ресурсов в разных средах, чтобы определить области, требующие большего внимания и улучшения.
  • Эта инициатива обеспечивает видимость всех критически важных ресурсов в организации, выявляет потенциальные пробелы в обнаружении критически важных активов и соответствующим образом настраивает классификации. Эта инициатива объединяет сведения о критически важных ресурсах и их устойчивости безопасности в единое представление. Этот всеобъемлющий отчет позволяет принимать обоснованные решения и принимать упреждающие меры для защиты критически важных ресурсов.

Дальнейшие действия

Классификация критически важных ресурсов.

  • Last updated on