Поделиться через

Обзор управления критически важными ресурсами

Управление рисками Microsoft Security упрощает идентификацию и определение приоритетов критически важных для бизнеса активов, позволяя менеджерам по рискам и командам SOC сосредоточить усилия там, где они наиболее важны, и снизить общий риск атаки. Классификация активов определяется собственными классификаторами, которые можно настроить вручную для отражения контекста организации. В этой статье подробно описаны базовые механизмы, используемые для идентификации и классификации ресурсов в рамках платформы защиты критических ресурсов.

  • Microsoft Defender XDR автоматически обнаруживает и классифицирует критически важные ресурсы, упрощая идентификацию и обеспечивая немедленную защиту.
  • Ваша команда безопасности может приоритизировать исследования безопасности, рекомендации по настройке и шаги по исправлению, чтобы в первую очередь сосредоточиться на критически важных ресурсах и системах.

Предопределенные классификации

Управление рисками предоставляет готовый каталог стандартных классификаций критических ресурсов для ресурсов, включая устройства, удостоверения и облачные ресурсы. К предопределенным классификациям относятся:

  • Критически важные ресурсы кибербезопасности, такие как файловые серверы и контроллеры домена
  • Базы данных с конфиденциальными данными
  • Группы удостоверений, такие как опытные пользователи
  • Роли пользователей, такие как администратор привилегированных ролей

Кроме того, вы можете создать настраиваемые критически важные ресурсы, чтобы определить приоритеты, которые ваша организация считает критически важными при оценке рисков и рисков.

Определение критически важных ресурсов

Критически важные ресурсы можно определить различными способами:

  • Автоматически: Решение использует расширенную аналитику для автоматического определения критически важных ресурсов в организации в соответствии с предопределенными классификациями. Это упрощает процесс идентификации, позволяя точно определить ресурсы, требующие повышенной защиты и немедленного внимания.
  • С пользовательскими запросами: Написание пользовательских запросов позволяет точно определить "жемчужины" вашей организации на основе ваших уникальных критериев. Благодаря детальному управлению вы можете сосредоточить усилия по обеспечению безопасности именно там, где они необходимы.
  • Вручную:
    • Просмотрите ресурсы в инвентаризации устройств , отсортированные по уровню важности, и определите ресурсы, требующие внимания.
    • Проверять и утверждать ресурсы, классифицированные автоматически, но с меньшей достоверностью.

Классификация ресурсов

После определения и идентификации критически важных для бизнеса ресурсов появится критичность активов со сведениями об активах. Критичность активов интегрирована в другие возможности на портале Defender, например при расширенной охоте, инвентаризации устройств и в путях атак, в которых задействованы критически важные ресурсы.

Например, в разделе Инвентаризация устройств отображается уровень важности.

Снимок экрана: окно инвентаризации устройств. Изображение содержит акцент на разделе уровня важности.

В другом примере на карте области атаки, когда вы ищете подверженность угрозам и определяете точки дроссея, цвет ореола, окружающий значок актива, и индикатор коронки визуально указывают на высокий уровень важности.

Снимок экрана: ресурс, просматриваемый на карте экспозиции в контексте других подключений. Два устройства на карте показывают высокий критический уровень.

Работа с классификациями активов

С параметрами критических ресурсов можно работать следующим образом:

  • Создание пользовательских классификаций. Вы можете создать новые критически важные классификации ресурсов для устройств, удостоверений и облачных ресурсов, адаптированные к вашей организации.
    • Построитель запросов используется для определения новой классификации. Например, можно создать запрос для определения устройств с определенным соглашением об именовании как критически важных.
    • Создание запросов классификации критически важных ресурсов также полезно в ограниченных случаях, когда не все интересующие ресурсы определены.
  • Добавление ресурсов в классификации. Вы можете вручную добавить ресурсы в критически важные классификации ресурсов.
  • Изменение уровней важности. Вы можете изменить уровни критичности в соответствии с профилем риска вашей организации.
  • Изменение пользовательских классификаций. Вы можете изменять, удалять и отключать пользовательские классификации. Предопределенные классификации нельзя изменить. Функция "отключить" правило доступна для предопределенных запросов. Однако некоторые пользователи могут не видеть его из-за определенных проблем.

Просмотр критически важных ресурсов

Логика классификации критически важных активов использует поведение активов из Microsoft Defender рабочих нагрузок и сторонних интеграций. Чтобы реализовать другую логику, отключите правило и создайте пользовательское правило, подходящее для ваших сценариев.

Некоторые ресурсы, соответствующие классификации, могут не соответствовать пороговой важности. Например, ресурс может быть контроллером домена, но он не может считаться критически важным для вашего бизнеса. Используйте функцию проверки ресурсов, чтобы добавить эти ресурсы в определенную классификацию. Эта функция позволяет включать ресурсы на основе конкретных критериев важности вашей организации.

Инициатива по защите критических активов

Инициатива по защите критически важных активов помогает определить приоритеты критически важных для бизнеса систем и ресурсов, сосредоточивая усилия команды SOC на повышении устойчивости, мониторинге и реагировании на инциденты. Эта инициатива доступна в разделе Инициативы на портале Microsoft Defender.

  • Эта инициатива постоянно отслеживает устойчивость безопасности критически важных ресурсов, предоставляя аналитические сведения об эффективности мер защиты в режиме реального времени. Используйте оценку инициативы, чтобы сравнить устойчивость критически важных ресурсов в разных средах, чтобы определить области, требующие большего внимания и улучшения.
  • Эта инициатива обеспечивает видимость всех критически важных ресурсов в организации, выявляет потенциальные пробелы в обнаружении критически важных активов и соответствующим образом настраивает классификации. Эта инициатива объединяет сведения о критически важных ресурсах и их устойчивости безопасности в единое представление. Этот всеобъемлющий отчет позволяет принимать обоснованные решения и принимать упреждающие меры для защиты критически важных ресурсов.

Дальнейшие действия

Классификация критически важных ресурсов.