Riskprioritering

Microsoft Defender för molnet använder proaktivt en dynamisk motor som utvärderar riskerna i din miljö samtidigt som man tar hänsyn till potentialen för utnyttjandet och den potentiella affärspåverkan för din organisation. Motorn prioriterar säkerhetsrekommendationer baserat på riskfaktorerna för varje resurs, som bestäms av miljöns kontext, inklusive resursens konfiguration, nätverksanslutningar och säkerhetsstatus.

När Defender för molnet utför en riskbedömning av dina säkerhetsproblem identifierar motorn de viktigaste säkerhetsriskerna samtidigt som de skiljer dem från mindre riskfyllda problem. Rekommendationerna sorteras sedan baserat på deras risknivå, så att du kan hantera de säkerhetsproblem som utgör omedelbara hot med störst potential att utnyttjas i din miljö.

Defender for Cloud analyserar sedan vilka säkerhetsproblem som ingår i potentiella angreppsvägar som angripare kan använda för att bryta mot din miljö. Den belyser också de säkerhetsrekommendationer som måste lösas för att minska dessa risker. Den här metoden hjälper dig att fokusera på akuta säkerhetsproblem och gör reparationsarbetet effektivare och effektivare. Även om riskprioritering inte påverkar säkerhetspoängen hjälper det dig att åtgärda de mest kritiska säkerhetsproblemen i din miljö.

Rekommendationer

Microsoft Defender för molnets resurser och arbetsbelastningar utvärderas mot inbyggda och anpassade säkerhetsstandarder som är aktiverade i dina Azure-prenumerationer, AWS-konton och GCP-projekt. Baserat på dessa utvärderingar ger säkerhetsrekommendationer praktiska steg för att åtgärda säkerhetsproblem och förbättra säkerhetsstatusen.

Kommentar

Rekommendationer ingår i den grundläggande CSPM-planen som ingår i Defender for Cloud. Riskprioritering och styrning stöds dock endast med Defender CSPM-planen.

Om din miljö inte skyddas av Defender CSPM-planen visas kolumnerna med riskprioriteringsfunktionerna suddiga.

Olika resurser kan ha samma rekommendation med olika risknivåer. En rekommendation om att aktivera MFA för ett användarkonto kan till exempel ha en annan risknivå för olika användare. Risknivån bestäms av riskfaktorerna för varje resurs, till exempel dess konfiguration, nätverksanslutningar och säkerhetsstatus. Risknivån beräknas baserat på den potentiella effekten av det säkerhetsproblem som överträds, riskkategorierna och den attackväg som säkerhetsproblemet ingår i.

I Defender för molnet går du till instrumentpanelen Rekommendationer för att visa en översikt över de rekommendationer som finns för dina miljöer som prioriteras av risk och titta på dina miljöer.

På den här sidan kan du granska följande:

  • Rubrik – Rekommendationens rubrik.

  • Påverkad resurs – den resurs som rekommendationen gäller för.

  • Risknivå – Exploabiliteten och affärspåverkan av det underliggande säkerhetsproblemet, med hänsyn till miljöresurskontext som: Internetexponering, känsliga data, lateral förflyttning med mera.

  • Riskfaktorer – Miljöfaktorer för den resurs som påverkas av rekommendationen, vilket påverkar exploaterbarheten och affärspåverkan av det underliggande säkerhetsproblemet. Exempel på riskfaktorer är internetexponering, känsliga data, lateral förflyttningspotential.

  • Attackvägar – Antalet attackvägar som rekommendationen ingår i baserat på säkerhetsmotorns sökning efter alla potentiella attackvägar baserat på de resurser som finns i miljön och relationen som finns mellan dem. Varje miljö presenterar sina egna unika attackvägar.

  • Ägare – den person som rekommendationen tilldelas till.

  • Status – rekommendationens aktuella status. Till exempel ej tilldelad, i tid, förfallen.

  • Insikter – Information som rör rekommendationen, till exempel om den är i förhandsversion, om den kan nekas, om det finns ett tillgängligt korrigeringsalternativ och mycket mer.

    Skärmbild av instrumentpanelen för rekommendationer som visar rekommendationer som prioriteras av deras risk.

När du väljer en rekommendation kan du visa information om rekommendationen, inklusive beskrivning, attackvägar, omfattning, färskhet, senaste ändringsdatum, ägare, förfallodatum, allvarlighetsgrad, taktik och tekniker med mera.

  • Beskrivning – En kort beskrivning av säkerhetsproblemet.

  • Attackvägar – antalet attackvägar.

  • Omfång – den berörda prenumerationen eller resursen.

  • Freshness – Färskhetsintervallet för rekommendationen.

  • Senaste ändringsdatum – Datumet då den här rekommendationen senast hade en ändring

  • Ägare – den person som tilldelats den här rekommendationen.

  • Förfallodatum – Det tilldelade datumet som rekommendationen måste matchas av.

  • Allvarlighetsgrad – rekommendationens allvarlighetsgrad (hög, medel eller låg). Du hittar mer information nedan.

  • Taktiker och tekniker – Taktiker och tekniker som mappats till MITRE ATT&CK.

    Skärmbild av sidan med rekommendationsinformation med etiketter för varje element.

Vad är riskfaktorer?

Defender for Cloud använder kontexten för en miljö, inklusive resursens konfiguration, nätverksanslutningar och säkerhetsstatus, för att utföra en riskbedömning av potentiella säkerhetsproblem. Genom att göra det identifierar den de viktigaste säkerhetsriskerna samtidigt som de skiljer dem från mindre riskfyllda problem. Rekommendationerna sorteras sedan baserat på deras risknivå.

Den här riskbedömningsmotorn tar hänsyn till viktiga riskfaktorer, till exempel internetexponering, datakänslighet, lateral förflyttning och potentiella angreppsvägar. Den här metoden prioriterar brådskande säkerhetsproblem, vilket gör reparationsarbetet effektivare och effektivare.

Hur beräknas risken?

Defender for Cloud använder en kontextmedveten riskprioriteringsmotor för att beräkna risknivån för varje säkerhetsrekommendation. Risknivån bestäms av riskfaktorerna för varje resurs, till exempel dess konfiguration, nätverksanslutningar och säkerhetsstatus. Risknivån beräknas baserat på den potentiella effekten av det säkerhetsproblem som överträds, riskkategorierna och den attackväg som säkerhetsproblemet ingår i.

Risknivåer

Rekommendationer kan klassificeras i fem kategorier baserat på deras risknivå:

  • Kritisk: Rekommendationer som anger en kritisk säkerhetsrisk som kan utnyttjas av en angripare för att få obehörig åtkomst till dina system eller data.

  • Hög: Rekommendationer som anger en potentiell säkerhetsrisk som bör åtgärdas i tid, men som kanske inte kräver omedelbar uppmärksamhet.

  • Medel: Rekommendationer som indikerar ett relativt litet säkerhetsproblem som kan åtgärdas när det passar dig.

  • Låg: Rekommendationer som indikerar ett relativt litet säkerhetsproblem som kan åtgärdas när det passar dig.

  • Inte utvärderad: Rekommendationer som inte har utvärderats ännu. Detta kan bero på att resursen inte omfattas av Defender CSPM-planen, vilket är en förutsättning för risknivån.

Risknivån bestäms av en kontextmedveten riskprioriteringsmotor som tar hänsyn till riskfaktorerna för varje resurs. Läs mer om hur Defender för molnet identifierar och åtgärdar attackvägar.