Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление рисками Microsoft Security обеспечивает безопасность и доступность критически важных для бизнеса ресурсов. Критически важные ресурсы помогают команде SOC определять приоритеты усилий по максимальному влиянию на улучшение состояния безопасности организации. В этой статье описываются встроенные классификаторы критически важных ресурсов, предоставляемые по умолчанию, которые автоматически обновляются группами microsoft security Research.
Вы можете просматривать и классифицировать критически важные ресурсы, при необходимости включая и отключая их.
Чтобы предложить новые классификации критически важных ресурсов, используйте кнопку Обратная связь .
Текущие типы активов:
Примечание.
Встроенная логика классификации критически важных ресурсов классифицирует ресурсы на основе поведения ресурсов, накопленных из Microsoft Defender рабочих нагрузок и сторонних интеграций, настроенных в вашей среде.
Устройство
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Microsoft Entra ID Connect | Устройство | Высокая | Сервер Microsoft Entra ID Connect отвечает за синхронизацию данных и паролей локального каталога с клиентом Microsoft Entra ID. Компрометация может нарушить синхронизацию удостоверений, что приведет к проблемам проверки подлинности и потенциальным нарушениям безопасности. |
| ADCS | Устройство | Высокая | Сервер ADCS позволяет администраторам полностью реализовать инфраструктуру открытых ключей (PKI) и выдавать цифровые сертификаты для защиты нескольких сетевых ресурсов. Компрометация может подорвать шифрование SSL, проверку подлинности пользователей и безопасную электронную почту, что приведет к значительным уязвимостям системы безопасности. |
| ADFS; | Устройство | Высокая | Сервер ADFS предоставляет пользователям доступ единого входа к системам и приложениям за пределами организации. Она использует модель авторизации управления доступом на основе утверждений для обеспечения безопасности приложений и реализации федеративного удостоверения. Компрометация может привести к несанкционированным доступом и утечке данных. |
| Резервное копирование | Устройство | Средняя | Сервер резервного копирования отвечает за защиту данных с помощью регулярных резервных копий, обеспечивая защиту данных и готовность к аварийному восстановлению. Компрометация может привести к потере данных и помешать усилиям по аварийному восстановлению, что повлияет на непрерывность бизнес-процессов. |
| Устройство Администратор домена | Устройство | Высокая | Устройства администратора домена часто используются администраторами домена и, скорее всего, хранят связанные файлы, документы и учетные данные. Компрометация может привести к несанкционированным доступом к средствам администрирования и конфиденциальной информации. Обнаружено на основе нескольких факторов, включая частое использование средств администрирования. |
| Контроллер домена | Устройство | Очень высокий | Сервер контроллера домена отвечает за проверку подлинности пользователей, авторизацию и централизованное управление сетевыми ресурсами в домене Active Directory. |
| DNS | Устройство | Низкая | DNS-сервер необходим для разрешения доменных имен с IP-адресами, что обеспечивает сетевое взаимодействие и доступ к ресурсам как внутри, так и за пределами. Компрометация может нарушить сетевое взаимодействие и доступ к ресурсам. |
| Exchange | Устройство | Средняя | Сервер Exchange отвечает за весь почтовый трафик в организации. В зависимости от конфигурации и архитектуры каждый сервер может содержать несколько почтовых баз данных, в которых хранятся высоко конфиденциальные сведения организации. Компрометация может привести к несанкционированным доступу к конфиденциальной информации и нарушению работы почтовых служб. |
| УСТРОЙСТВО АДМИНИСТРАТОР ИТ-Администратор | Устройство | Средняя | Критически важные устройства, используемые для настройки, управления и мониторинга ресурсов в организации, имеют жизненно важное значение для ИТ-администрирования и подвергаются высокому риску киберугроз. Для предотвращения несанкционированного доступа им требуется безопасность верхнего уровня. Компрометация может привести к несанкционированным доступом к средствам администрирования и конфиденциальной информации. Обнаруживается по нескольким факторам, включая частое использование средств администрирования. |
| Операции безопасности Администратор устройство | Устройство | Высокая | Критически важные устройства, используемые для настройки, управления и мониторинга безопасности в организации, имеют жизненно важное значение для администрирования операций безопасности и подвергаются высокому риску киберугроз. Для предотвращения несанкционированного доступа им требуются меры безопасности верхнего уровня. Компрометация может привести к несанкционированным доступу к средствам безопасности и конфиденциальной информации. Обнаруживается по нескольким факторам, включая частое использование средств администрирования. |
| Сетевое устройство Администратор | Устройство | Средняя | Критически важные устройства, используемые для настройки, управления и мониторинга сетевых ресурсов в организации, имеют жизненно важное значение для администрирования сети и подвергаются высокому риску киберугроз. Для предотвращения несанкционированного доступа им требуется безопасность верхнего уровня. Компрометация может привести к несанкционированным доступом к сетевым средствам и конфиденциальной информации. Обнаруживается по нескольким факторам, включая частое использование средств администрирования. |
| VMware ESXi | Устройство | Высокая | Гипервизор VMware ESXi необходим для запуска виртуальных машин в вашей инфраструктуре и управления ими. Как низкоуровневая оболочка без операционной системы обеспечивает основу для создания виртуальных ресурсов и управления ими. Компрометация может нарушить работу виртуальных машин и управление ими. |
| VMware vCenter | Устройство | Высокая | VMware vCenter Server имеет решающее значение для управления виртуальными средами. Он обеспечивает централизованное управление виртуальными машинами и узлами ESXi. Если произойдет сбой, это может нарушить администрирование и управление виртуальной инфраструктурой, включая подготовку, миграцию, балансировку нагрузки виртуальных машин и автоматизацию центра обработки данных. Тем не менее, так как часто существуют избыточные серверы vCenter Server и конфигурации высокого уровня доступности, немедленной остановки всех операций может не произойти. Его сбой по-прежнему может вызвать значительные неудобства и потенциальные проблемы с производительностью. |
| Hyper-V Server | Устройство | Высокая | Гипервизор Hyper-V необходим для запуска виртуальных машин в инфраструктуре и управления ими, выступая в качестве основной платформы для их создания и управления. Сбой узла Hyper-V может привести к недоступности размещенных виртуальных машин, что может привести к простою и нарушению бизнес-операций. Кроме того, это может привести к значительному снижению производительности и операционным проблемам. Поэтому обеспечение надежности и стабильности узлов Hyper-V имеет решающее значение для обеспечения бесперебойной работы в виртуальной среде. |
Удостоверение
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Удостоверение с привилегированной ролью | Удостоверение | Высокая | Следующим удостоверениям (User, Group, Service Principal или Managed Identity) назначена встроенная или настраиваемая привилегированная роль Azure RBAC по подписке область, содержащая критически важный ресурс. Роль может включать разрешения для назначений ролей Azure, изменение политик Azure, выполнение сценариев на виртуальной машине с помощью команды Run, доступ на чтение к учетным записям хранения и хранилищам ключей и многое другое. |
| Администратор приложений | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать и управлять всеми аспектами корпоративных приложений, регистраций приложений и параметров прокси-сервера приложения. |
| Разработчик приложения | Удостоверение | Высокая | Удостоверения в этой роли могут создавать регистрации приложений независимо от параметра "Пользователи могут регистрировать приложения". |
| Администратор проверки подлинности | Удостоверение | Очень высокий | Удостоверения в этой роли могут задавать и сбрасывать методы проверки подлинности (включая пароли) для пользователей, не являющихся администраторами. |
| Операторы архивации | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать резервные копии и восстанавливать все файлы на компьютере независимо от разрешений, которые защищают эти файлы. Операторы резервного копирования также могут выполнять вход на компьютер и выключать его, а также выполнять операции резервного копирования и восстановления на контроллерах домена. |
| Операторы сервера | Удостоверение | Очень высокий | Удостоверения в этой роли могут администрировать контроллеры домена. Члены группы операторов сервера могут выполнять следующие действия: интерактивный вход на сервер, создание и удаление общих сетевых ресурсов, запуск и остановка служб, резервное копирование и восстановление файлов, форматирование жесткого диска компьютера и завершение работы компьютера. |
| Администратор набора ключей IEF B2C | Удостоверение | Высокая | Удостоверения в этой роли могут управлять секретами для федерации и шифрования в IEF. |
| Администратор облачных приложений | Удостоверение | Очень высокий | Удостоверения в этой роли могут создавать и управлять всеми аспектами регистрации приложений и корпоративных приложений, кроме App Proxy. |
| Администратор облачных устройств | Удостоверение | Высокая | Удостоверения в этой роли имеют ограниченный доступ к управлению устройствами в Microsoft Entra ID. Они могут включать, отключать и удалять устройства в Microsoft Entra ID и считывать Windows 10 ключи BitLocker (если они есть) в портал Azure. |
| Администратор условного доступа | Удостоверение | Высокая | Удостоверения в этой роли могут управлять Microsoft Entra параметрами условного доступа. |
| Учетные записи синхронизации каталогов | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми параметрами синхронизации каталогов. Должен использоваться только службой Microsoft Entra Connect. |
| Запись каталогов | Удостоверение | Высокая | Удостоверения в этой роли могут считывать и записывать основные сведения о каталоге. Для предоставления доступа к приложениям, не предназначенным для пользователей. |
| Администратор домена | Удостоверение | Очень высокий | Удостоверения в этой роли имеют право администрировать домен. По умолчанию группа "Администраторы домена" является членом группы "Администраторы" на всех компьютерах, присоединенных к домену, включая контроллеры домена. |
| Администратор предприятия | Удостоверение | Очень высокий | Удостоверения в этой роли имеют полный доступ к настройке всех контроллеров домена. Члены этой группы могут изменять членство во всех административных группах. |
| Глобальный администратор | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Microsoft Entra ID и служб Майкрософт, которые используют Microsoft Entra удостоверения. |
| Глобальный читатель | Удостоверение | Высокая | Удостоверения в этой роли могут считывать все, что может глобальный администратор, но ничего не обновлять. |
| Администратор службы поддержки | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для администраторов и администраторов службы технической поддержки. |
| Администратор гибридных удостоверений | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять Active Directory для Microsoft Entra подготовки облака, Microsoft Entra Connect, сквозной проверки подлинности (PTA), синхронизации хэша паролей (PHS), простого единого входа (простой единый вход) и параметров федерации. |
| Администратор Intune | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Intune продукта. |
| Поддержка партнеров уровня 1 | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для пользователей, не являющихся администраторами, обновлять учетные данные для приложений, создавать и удалять пользователей, а также создавать разрешения OAuth2. Эта роль устарела и будет удалена из Microsoft Entra ID в будущем. Не используйте — не предназначено для общего использования. |
| Поддержка партнеров уровня 2 | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для всех пользователей (включая глобальных администраторов), обновлять учетные данные для приложений, создавать и удалять пользователей, а также создавать разрешения OAuth2. Эта роль устарела и будет удалена из Microsoft Entra ID в будущем. Не используйте — не предназначено для общего использования. |
| Администратор паролей | Удостоверение | Очень высокий | Удостоверения в этой роли могут сбрасывать пароли для неадминистраторов и администраторов паролей. |
| Привилегированный администратор проверки подлинности | Удостоверение | Очень высокий | Удостоверения в этой роли могут просматривать, задавать и сбрасывать сведения о методе проверки подлинности для любого пользователя (администратора или другого администратора). |
| Администратор привилегированных ролей | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять назначениями ролей в Microsoft Entra ID и всеми аспектами управление привилегированными пользователями. |
| Операции безопасности Администратор пользователь | Удостоверение | Высокая | Удостоверения в этой роли могут настраивать, контролировать и реагировать на угрозы в организации, а также управлять ими. Примечание. Логика этого правила основана на предопределенной классификации критических устройств "Операции безопасности Администратор устройство". |
| Администратор безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут считывать сведения о безопасности и отчеты, а также управлять конфигурацией в Microsoft Entra ID и Office 365. |
| Оператор безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут создавать события безопасности и управлять ими. |
| Читатель сведений о безопасности | Удостоверение | Высокая | Удостоверения в этой роли могут считывать сведения о безопасности и отчеты в Microsoft Entra ID и Office 365. |
| Администратор пользователей | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами пользователей и групп, включая сброс паролей для ограниченных администраторов. |
| Администратор Exchange | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами продукта Exchange. |
| Администратор SharePoint | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами службы SharePoint. |
| Администратор соответствия требованиям | Удостоверение | Высокая | Удостоверения в этой роли могут считывать конфигурации и отчеты соответствия требованиям и управлять ими в Microsoft Entra ID и Microsoft 365. |
| Администратор групп | Удостоверение | Высокая | Удостоверения в этой роли могут создавать группы и параметры групп, такие как политики именования и истечения срока действия, и управлять ими, а также просматривать отчеты о действиях и аудите групп. |
| Администратор внешнего поставщика удостоверений | Удостоверение | Очень высокий | Удостоверения в этой роли могут настраивать поставщиков удостоверений для использования в прямой федерации. Это означает, что у них есть полномочия по настройке и управлению подключениями между системами удостоверений вашей организации и внешними поставщиками удостоверений. Компрометация этой роли может привести к несанкционированным изменениям конфигурации, влияющим на федеративное управление удостоверениями и доступом. Это может привести к несанкционированном доступу к конфиденциальным системам и данным, что создает серьезную угрозу для безопасности и работы организации. |
| Администратор доменных имен | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять доменными именами в облачных и локальных средах. Доменные имена имеют решающее значение для сетевого взаимодействия и доступа к ресурсам. Компрометация этой роли может привести к несанкционированным изменениям доменного имени, что приведет к перебоям в сетевом обмене данными, неправильному направлению трафика и потенциальному риску фишинговых атак. Это может серьезно повлиять на способность организации эффективно работать и общаться. |
| Администратор Управление разрешениями | Удостоверение | Очень высокий | Удостоверения в этой роли могут управлять всеми аспектами Управление разрешениями Microsoft Entra (EPM). Это включает в себя настройку и изменение разрешений для пользователей и ресурсов в организации. Компрометация этой роли может привести к несанкционированным изменениям в управлении разрешениями, влияющим на управление доступом и политики безопасности. Это может привести к несанкционированный доступ к конфиденциальным данным и системам, что создает значительный риск для безопасности и операционной целостности организации. |
| Администратор выставления счетов | Удостоверение | Высокая | Удостоверения в этой роли могут выполнять общие задачи, связанные с выставлением счетов, такие как обновление сведений об оплате. |
| Администратор лицензий | Удостоверение | Высокая | Удостоверения в этой роли могут управлять лицензиями на продукты для пользователей и групп. |
| Администратор Teams | Удостоверение | Высокая | Удостоверения в этой роли могут управлять службой Microsoft Teams. |
| администратор потока пользователей Внешняя идентификация | Удостоверение | Высокая | Удостоверения в этой роли могут создавать и управлять всеми аспектами потоков пользователей. |
| Администратор атрибутов потока пользователей Внешняя идентификация | Удостоверение | Высокая | Удостоверения в этой роли могут создавать схему атрибутов, доступную всем потокам пользователей, и управлять ею. |
| Администратор политики IEF B2C | Удостоверение | Высокая | Удостоверения в этой роли могут создавать политики платформы доверия и управлять ими в IEF. |
| Администратор данных соответствия требованиям | Удостоверение | Высокая | Удостоверения в этой роли могут создавать содержимое соответствия требованиям и управлять ими. |
| Администратор политики проверки подлинности | Удостоверение | Высокая | Удостоверения в этой роли могут создавать и управлять политикой методов проверки подлинности, параметрами MFA на уровне клиента, политикой защиты паролем и проверяемыми учетными данными. |
| Администратор знаний | Удостоверение | Высокая | Удостоверения в этой роли могут настраивать знания, обучение и другие интеллектуальные функции. |
| Управляющий базой знаний | Удостоверение | Высокая | Удостоверения в этой роли могут упорядочивать, создавать, администрировать и продвигать темы и знания. |
| Администратор определения атрибутов | Удостоверение | Высокая | Удостоверения в этой роли могут определять определения настраиваемых атрибутов безопасности и управлять ими. |
| Администратор назначения атрибутов | Удостоверение | Высокая | Удостоверения в этой роли могут назначать ключи и значения настраиваемых атрибутов безопасности поддерживаемым объектам Microsoft Entra. |
| Администратор управления удостоверениями | Удостоверение | Высокая | Удостоверения в этой роли могут управлять доступом с помощью Microsoft Entra ID для сценариев управления удостоверениями. |
| Администратор Cloud App Security | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами продукта Defender for Cloud Apps. |
| Администратор Windows 365 | Удостоверение | Высокая | Удостоверения в этой роли могут подготавливать все аспекты облачных компьютеров и управлять ими. |
| Администратор Yammer | Удостоверение | Высокая | Удостоверения в этой роли могут управлять всеми аспектами службы Yammer. |
| Администратор расширяемости проверки подлинности | Удостоверение | Высокая | Удостоверения в этой роли могут настраивать возможности входа и регистрации для пользователей путем создания пользовательских расширений проверки подлинности и управления ими. |
| Администратор рабочих процессов жизненного цикла | Удостоверение | Высокая | Удостоверения в этой роли создают все аспекты рабочих процессов и задач, связанных с рабочими процессами жизненного цикла, и управляют ими в Microsoft Entra ID. |
| Старший исполнительный директор (технологии) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области технологий. |
| Старший исполнительный директор (финансы) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области финансов. |
| Старший исполнительный директор (операции) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области операций. |
| Старший руководитель (маркетинг) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области маркетинга. |
| Старший исполнительный директор (информация) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области информации. |
| Старший исполнительный директор (выполнение) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области выполнения. |
| Старший исполнительный директор (отдел кадров) | Удостоверение | Очень высокий | Удостоверения с этой классификацией принадлежат руководителям высшего звена в области кадров. |
Облачный ресурс
| Классификация | Тип ресурса | Уровень важности по умолчанию | Описание |
|---|---|---|---|
| Базы данных с конфиденциальными данными | Облачный ресурс | Высокая | Это хранилище данных, содержащее конфиденциальные данные. Конфиденциальность данных может варьироваться от секретов, конфиденциальных документов, личных сведений и многого другого. |
| Конфиденциальная виртуальная машина Azure | Облачный ресурс | Высокая | Это правило применяется к конфиденциальным виртуальным машинам Azure. Конфиденциальные виртуальные машины обеспечивают повышенную изоляцию, конфиденциальность и шифрование и используются для критически важных или конфиденциальных данных и рабочих нагрузок. |
| Заблокированная виртуальная машина Azure | Облачный ресурс | Средняя | Это виртуальная машина, которая защищена блокировкой. Блокировки используются для защиты ресурсов от удаления и изменения. Обычно администраторы используют блокировки для защиты критически важных облачных ресурсов в своей среде и для защиты от случайного удаления и несанкционированного изменения. |
| Виртуальная машина Azure с высоким уровнем доступности и производительностью | Облачный ресурс | Низкая | Это правило применяется к виртуальным машинам Azure, которые используют хранилище Azure уровня "Премиум" и настраиваются с помощью группы доступности. Хранилище уровня "Премиум" используется для компьютеров с высокими требованиями к производительности, таких как рабочие нагрузки. Группы доступности повышают устойчивость и часто указываются для критически важных для бизнеса виртуальных машин, которым требуется высокий уровень доступности. |
| Неизменяемая служба хранилища Azure | Облачный ресурс | Средняя | Это правило применяется к учетным записям хранения Azure, для которых включена поддержка неизменяемости. Неизменяемость сохраняет бизнес-данные в состоянии записи после чтения (WORM) и обычно указывает, что учетная запись хранения содержит критически важные или конфиденциальные данные, которые должны быть защищены от изменения. |
| Неизменяемое и заблокированное хранилище Azure | Облачный ресурс | Высокая | Это правило применяется к учетным записям хранения Azure, для которых включена поддержка неизменяемости с заблокированной политикой. Неизменяемость сохраняет бизнес-данные в записи, когда много считывается (WORM). Защита данных увеличивается с помощью заблокированной политики, чтобы гарантировать невозможность удаления данных или сократить время их хранения. Эти параметры обычно указывают на то, что учетная запись хранения содержит критически важные или конфиденциальные данные, которые должны быть защищены от изменения или удаления. Данные также могут быть согласованы с политиками соответствия для защиты данных. |
| Виртуальная машина Azure с критически важным пользователем, вошедшего в систему | Облачный ресурс | Высокая | Это правило применяется к виртуальным машинам, защищенным с помощью Defender для конечной точки, где пользователь с высоким или очень высоким уровнем важности входит в систему. Вошедшего пользователя можно использовать присоединенное или зарегистрированное устройство, активный сеанс браузера или другие средства. |
| Azure Key Vault с множеством подключенных удостоверений | Облачный ресурс | Высокая | Это правило определяет Azure Key Vault, к которым можно получить доступ с помощью большого количества удостоверений по сравнению с другими Key Vault. Это часто указывает на то, что Key Vault используется критическими рабочими нагрузками, такими как рабочие службы. |
| Azure Key Vault с большим количеством операций | Облачный ресурс | Высокая | Это правило определяет Azure Key Vault с большим объемом операций, помечая их как критически важные. Эти метрики выделяют Key Vault, необходимые для обеспечения безопасности и операционной стабильности. |
| Заблокированный кластер Служба Azure Kubernetes | Облачный ресурс | Низкая | Это Служба Azure Kubernetes кластер, защищенный блокировкой. Блокировки используются для защиты ресурсов от удаления и изменения. Обычно администраторы используют блокировки для защиты критически важных облачных ресурсов в своей среде и для защиты от случайного удаления и несанкционированного изменения. |
| Кластер Служба Azure Kubernetes уровня "Премиум" | Облачный ресурс | Высокая | Это правило применяется к Служба Azure Kubernetes кластерам с управлением кластерами уровня "Премиум". Уровни "Премиум" рекомендуется использовать для выполнения рабочих нагрузок или критически важных рабочих нагрузок, которым требуется высокий уровень доступности и надежности. |
| Служба Azure Kubernetes кластер с несколькими узлами | Облачный ресурс | Высокая | Это правило применяется к кластерам Служба Azure Kubernetes с большим количеством узлов. Это часто указывает на то, что кластер используется для критически важных рабочих нагрузок, таких как рабочие нагрузки. |
| Кластер Kubernetes Azure Arc с несколькими узлами | Облачный ресурс | Высокая | Это правило применяется к кластерам Kubernetes Azure Arc с большим количеством узлов. Это часто указывает на то, что кластер используется для критически важных рабочих нагрузок, таких как рабочие нагрузки. |