Kontrola doporučení zabezpečení
V Programu Microsoft Defender pro cloud se prostředky a úlohy posuzují na základě předdefinovaných a vlastních standardů zabezpečení povolených v předplatných Azure, účtech AWS a projektech GCP. Na základě těchto posouzení doporučení zabezpečení poskytují praktické kroky k nápravě problémů se zabezpečením a zlepšení stavu zabezpečení.
Defender for Cloud proaktivně využívá dynamický modul, který vyhodnocuje rizika ve vašem prostředí a bere v úvahu potenciál zneužití a potenciální obchodní dopad na vaši organizaci. Modul upřednostňuje doporučení zabezpečení na základě rizikových faktorů jednotlivých prostředků, které jsou určeny kontextem prostředí, včetně konfigurace prostředku, síťových připojení a stavu zabezpečení.
Požadavky
- Ve svém prostředí musíte povolit csPM v programu Defender.
Poznámka:
Doporučení jsou ve výchozím nastavení zahrnutá v programu Defender for Cloud, ale ve vašem prostředí neuvidíte stanovení priority rizik bez povoleného nástroje CSPM v programu Defender.
Kontrola podrobností o doporučení
Než se pokusíte porozumět procesu potřebnému k vyřešení doporučení, je důležité si projít všechny podrobnosti související s doporučením. Před vyřešením doporučení doporučujeme zajistit správnost všech podrobností doporučení.
Kontrola podrobností o doporučení:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
Na stránce doporučení si projděte podrobnosti:
- Úroveň rizika – zneužitelnost a obchodní dopad základního problému zabezpečení s ohledem na kontext zdrojů životního prostředí, jako je například vystavení internetu, citlivá data, laterální pohyb a další.
- Rizikové faktory – environmentální faktory prostředku ovlivněného doporučením, které ovlivňují zneužitelnost a obchodní dopad základního problému zabezpečení. Mezi příklady rizikových faktorů patří ohrožení internetu, citlivá data, potenciál laterálního pohybu.
- Prostředek – název ovlivněného prostředku.
- Stav – stav doporučení. Například nepřiřazeno, včas, po termínu.
- Popis – stručný popis problému se zabezpečením.
- Cesty útoku – počet cest útoku.
- Rozsah – ovlivněné předplatné nebo prostředek
- Aktuálnost – interval aktuálnosti doporučení.
- Datum poslední změny – datum poslední změny tohoto doporučení
- Závažnost – závažnost doporučení (vysoká, střední nebo nízká). Další podrobnosti najdete níže.
- Vlastník – osoba přiřazená k tomuto doporučení.
- Termín splnění – Přiřazené datum, kterým musí být doporučení vyřešeno.
- Taktiky a techniky – taktiky a techniky mapované na MITRE ATT&CK.
Prozkoumání doporučení
K interakci s doporučeními můžete provádět mnoho akcí. Pokud není dostupná možnost, není pro doporučení relevantní.
Prozkoumání doporučení:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
V doporučení můžete provést následující akce:
Výběrem možnosti Otevřít dotaz zobrazíte podrobné informace o ovlivněných prostředcích pomocí dotazu Azure Resource Graph Exploreru.
Výběrem možnosti Zobrazit definici zásad zobrazíte položku Azure Policy pro podkladové doporučení (pokud je to relevantní).
V akci:
Náprava: Popis ručních kroků potřebných k nápravě problému se zabezpečením u ovlivněných prostředků. U doporučení s možností Opravit můžete před použitím navrhované opravy u prostředků vybrat logiku zobrazit nápravu.
Přiřadit vlastníka a termín splnění: Pokud máte pro doporučení zapnuté pravidlo zásad správného řízení, můžete přiřadit vlastníka a termín splnění.
Výjimka: Prostředky můžete z doporučení vyloučit nebo zakázat konkrétní zjištění pomocí pravidel zákazu.
Automatizace pracovního postupu: Nastavte aplikaci logiky, která se má s tímto doporučením aktivovat.
V nástroji Findings můžete zkontrolovat přidružená zjištění podle závažnosti.
V Graphu můžete zobrazit a prozkoumat veškerý kontext, který se používá pro stanovení priority rizik, včetně cest útoku. Pokud chcete zobrazit podrobnosti vybraného uzlu, můžete vybrat uzel v cestě útoku.
Výběrem uzlu zobrazíte další podrobnosti.
Vyberte Přehledy.
V rozevírací nabídce ohrožení zabezpečení vyberte ohrožení zabezpečení, abyste zobrazili podrobnosti.
(Volitelné) Výběrem možnosti Otevřít stránku ohrožení zabezpečení zobrazte přidruženou stránku doporučení.
Seskupení doporučení podle názvu
Stránka doporučení Defenderu pro cloud umožňuje seskupit doporučení podle názvu. Tato funkce je užitečná, když chcete napravit doporučení, které má vliv na více prostředků způsobených konkrétním problémem se zabezpečením.
Seskupení doporučení podle názvu:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte Seskupovat podle názvu.
Správa doporučení přiřazených vám
Defender for Cloud podporuje pravidla zásad správného řízení pro doporučení, která určují vlastníka doporučení nebo termín splnění pro akci. Pravidla zásad správného řízení pomáhají zajistit odpovědnost a smlouvu SLA pro doporučení.
- Doporučení jsou uvedená včas, dokud se nepředá termín splnění, když se změní na Po splatnosti.
- Před překročením doporučení doporučení nemá doporučení vliv na skóre zabezpečení.
- Můžete také použít období odkladu, během kterého doporučení po uplynutí lhůty nebudou mít vliv na skóre zabezpečení.
Přečtěte si další informace o konfiguraci pravidel zásad správného řízení.
Správa doporučení přiřazených vám:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte Přidat vlastníka filtru>.
Vyberte položku uživatele.
Vyberte Použít.
Ve výsledcích doporučení zkontrolujte doporučení, včetně ovlivněných prostředků, rizikových faktorů, cest útoku, termínů splnění a stavu.
Vyberte doporučení, abyste ho mohli dále zkontrolovat.
V části Provést akci>Změnit vlastníka a termín splnění vyberte Upravit přiřazení a v případě potřeby změňte vlastníka doporučení a termín splnění.
- Ve výchozím nastavení dostane vlastník prostředku týdenní e-mail se seznamem doporučení přiřazených k nim.
- Pokud vyberete nové datum nápravy, v odůvodnění zadejte důvody nápravy do tohoto data.
- V nastavení e-mailových oznámení můžete:
- Přepište výchozí týdenní e-mail vlastníkovi.
- Upozorněte vlastníky týdně se seznamem otevřených nebo pohlcených úkolů.
- Upozorněte přímého nadřízený vlastníka pomocí otevřeného seznamu úkolů.
Zvolte Uložit.
Poznámka:
Změna očekávaného data dokončení nezmění termín splnění doporučení, ale partneři zabezpečení uvidí, že plánujete aktualizovat prostředky podle zadaného data.
Kontrola doporučení v Azure Resource Graphu
Pomocí Azure Resource Graphu můžete napsat dotazovací jazyk Kusto (KQL) k dotazování na data stavu zabezpečení cloudu v programu Defender pro více předplatných. Azure Resource Graph nabízí efektivní způsob, jak dotazovat v cloudových prostředích zobrazením, filtrováním, seskupováním a řazením dat.
Kontrola doporučení v Azure Resource Graphu:
Přihlaste se k portálu Azure.
Přejděte do programu Defender for Cloud>Recommendations.
Vyberte doporučení.
Vyberte Otevřít dotaz.
Dotaz můžete otevřít jedním ze dvou způsobů:
- Dotaz vracející ovlivněný prostředek – vrátí seznam všech prostředků ovlivněných tímto doporučením.
- Dotaz vracející zjištění zabezpečení – vrátí seznam všech problémů se zabezpečením nalezených doporučením.
Vyberte spustit dotaz.
Zkontrolujte výsledky.
Jak jsou doporučení klasifikovaná?
Každé doporučení zabezpečení z Defenderu pro cloud má přiřazené jedno ze tří hodnocení závažnosti:
Vysoká závažnost: Tato doporučení by se měla okamžitě vyřešit, protože značí kritickou chybu zabezpečení, kterou by mohl útočník zneužít k získání neoprávněného přístupu k vašim systémům nebo datům. Mezi příklady doporučení s vysokou závažností patří zjištění nechráněných tajných kódů na počítači, příliš omezující příchozí pravidla NSG, clustery umožňující nasazení imagí z nedůvěryhodných registrů a neomezený veřejný přístup k účtům úložiště nebo databázím.
Střední závažnost: Tato doporučení označují potenciální bezpečnostní riziko, které by se mělo řešit včas, ale nemusí vyžadovat okamžitou pozornost. Příkladem doporučení střední závažnosti můžou být kontejnery, které sdílejí citlivé obory názvů hostitele, webové aplikace nepoužívají spravované identity, počítače s Linuxem nevyžadují klíče SSH během ověřování a nepoužívané přihlašovací údaje zůstanou v systému po 90 dnech nečinnosti.
Nízká závažnost: Tato doporučení značí relativně malý problém se zabezpečením, který je možné vyřešit při usnadnění. Mezi příklady doporučení s nízkou závažností může patřit potřeba zakázat místní ověřování ve prospěch Microsoft Entra ID, problémy se stavem vašeho řešení ochrany koncových bodů, osvědčené postupy, které se nedodržují skupin zabezpečení sítě nebo nesprávně nakonfigurovaná nastavení protokolování, která by mohla znesnadnit detekci bezpečnostních incidentů a reagovat na ně.
Interní zobrazení organizace se samozřejmě můžou lišit podle klasifikace konkrétního doporučení od Microsoftu. Proto je vždy vhodné pečlivě zkontrolovat každé doporučení a zvážit jeho potenciální dopad na stav zabezpečení, než se rozhodnete, jak ho řešit.
Poznámka:
Zákazníci CSPM defenderu mají přístup k bohatšímu klasifikačnímu systému, kde se doporučení zobrazují dynamičtější úroveň rizika, která využívá kontext prostředku a všech souvisejících prostředků. Přečtěte si další informace o stanovení priorit rizik.
Příklad
V tomto příkladu se na této stránce s podrobnostmi o doporučení zobrazuje 15 ovlivněných prostředků:
Když otevřete podkladový dotaz a spustíte ho, Azure Resource Graph Explorer vrátí stejné ovlivněné prostředky pro toto doporučení.