你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 Microsoft Defender for Cloud 中,会根据内置和自定义安全策略和法规合规性框架(在云环境(Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP)等中应用)评估资源和工作负载。 根据这些评估,安全建议提供了修正安全问题和改善安全状况的实际步骤。
Defender for Cloud 主动使用一个动态引擎来评估环境中的风险,同时考虑开发的潜在潜力以及对组织的潜在业务影响。 引擎根据每个资源的风险因素确定安全建议的优先级。 环境的上下文决定了这些风险因素。
先决条件
- 建议包含在 Defender for Cloud 中,但除非在环境中启用 Defender CSPM,否则看不到 风险优先级 。
查看建议页
查看建议,并确保所有详细信息都正确无误,然后再解决问题。
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择一条建议。
了解风险优先级
Microsoft Defender for Cloud 主动利用动态引擎来评估环境中的风险,同时考虑到开发的潜在潜力以及对组织的潜在业务影响。 该引擎根据每个资源的风险因素对安全建议进行优先级排序,这些风险因素由环境上下文确定,包括资源的配置、网络连接和安全状况。
当 Defender for Cloud 对安全问题进行风险评估时,该引擎会识别最严重的安全风险,同时将其与风险较小的问题区分开来。 然后根据风险级别对建议进行排序,使你能够解决在环境中造成直接威胁并最有可能被恶意利用的安全问题。
什么是风险因素?
Defender for Cloud 利用环境上下文(包括资源配置、网络连接和安全状况)来执行潜在安全问题的风险评估。 这样可以识别最严重的安全风险,同时将其与风险较小的问题区分开来。 然后根据风险级别对建议进行排序。
此风险评估引擎考虑基本风险因素,例如:
- 互联网暴露:是否可以从互联网访问资源
- 数据敏感度:存在敏感数据或机密数据
- 横向移动:攻击者有可能在资源之间移动
- 攻击路径:安全问题是否是潜在攻击方案的一部分
风险级别和计算
Defender for Cloud 使用上下文感知的风险优先级引擎来计算每个安全建议的风险级别。 风险级别由每个资源的风险因素决定,例如其配置、网络连接和安全状况。 风险级别是根据安全违规问题的潜在影响、风险类别以及安全问题所属的攻击路径来计算的。
建议根据其风险级别分为五类:
- 严重:此类建议表明存在严重安全漏洞,攻击者可能会恶意利用该漏洞对系统或数据进行未经授权的访问。
- 高:此类建议表明存在应及时解决,但可能不需要立即关注的潜在安全风险。
- 中:此类建议表明存在相对较小的安全问题,你可在方便时解决。
- 低:此类建议表明存在相对较小的安全问题,你可在方便时解决。
- 未评估:尚未评估的建议。 这可能是因为 Defender CSPM 计划未涵盖该资源,而该资源是确定风险级别所要满足的先决条件。
推荐仪表板详细信息
在建议页上,可以查看以下风险优先级的详细信息:
- 标题:建议的标题
- 受影响的资源:建议应用于的资源
- 风险级别:潜在安全问题的可利用性和业务影响,考虑到环境资源上下文,例如:Internet 暴露、敏感数据、横向移动等
- 风险因素:受建议影响的资源的环境因素,这会影响潜在安全问题的可利用性和业务影响
- 攻击路径:建议所属的攻击路径数,具体取决于安全引擎搜索所有潜在攻击路径
- 所有者:建议分配给的人员
- 状态:建议的当前状态(未分配、时间、逾期)
- 见解:与建议相关的信息(例如,如果处于预览状态,如果可以拒绝)(如果有可用的修复选项)
注释
此功能目前以预览版提供。 有关当前差距和限制的详细信息,请参阅 已知限制。
暴露管理中的“建议”页提供了优先级排序的安全操作列表,旨在通过解决漏洞、配置错误和公开秘密来改善云安全态势。 这些建议按有效风险排名,帮助安全团队首先关注最关键的威胁。
导航到 “公开管理>建议>云 ”选项卡。
应用筛选器,例如:
- 公开的资产:按面临威胁的资产进行筛选
- 资产风险因素:按特定风险条件进行筛选
- 环境:按 Azure、AWS 或 GCP 进行筛选
- 工作负荷:按特定工作负荷类型进行筛选
- 建议成熟度:按建议就绪级别进行筛选
在页面左侧,可以选择按安全类别查看建议:
- 所有建议:安全建议的完整列表
- 配置错误:与配置相关的安全问题
- 漏洞:需要修补程序的软件漏洞
- 暴露的机密:可能被泄露的凭据和机密
注释
选择安全类别筛选器时,建议列表和摘要卡都更新以仅反映该类别中的建议。
建议摘要卡
对于每个视图,页面显示概览卡,以便您快速了解云安全状况的整体情况。
- 云安全功能分数:根据环境中的安全建议显示总体云安全运行状况
- 评分历史记录:跟踪过去 7 天内的安全评分变化,帮助你识别趋势并衡量改进
- 按风险级别划分的建议:汇总活动安全建议的数量,按严重性分类(严重性、高、中、低)
- 如何计算风险级别:说明如何组合严重性评级和特定于资产的风险因素,以确定每个建议的总体风险级别
建议视图
Defender 门户提供了两种不同的方法来查看建议并与之交互。
针对每个资产视图的建议
此视图显示按风险级别排序的各个资产组织的所有建议的列表。 每行表示影响特定资源的单个建议。
选择建议行时,将打开一个侧面板,其中显示:
- 概述:有关建议的一般信息,包括其说明、公开资产的详细信息以及其他相关建议详细信息
- 修正步骤:解决安全问题的可作指南
-
地图预览:显示通过目标节点类型聚合的所有经过资产的相关攻击路径。 您可以:
- 单击聚合路径可显示所有关联的攻击和其他路径
- 选择特定路径以查看其详细可视化效果
- 相关计划:与建议关联的安全计划和符合性框架
- 对于具有相关上下文信息的特定建议,可能会显示其他选项卡
建议标题视图
此视图按标题聚合建议,显示按风险级别排序的合并列表。 每行表示环境中特定建议的所有实例。
选择聚合建议行时,将打开一个侧面板,其中显示:
- 概述:常规信息,包括建议说明、受影响资源的风险级别分布、治理状态和其他相关详细信息
- 修正步骤:解决安全问题的可作指南
- 公开的资产:受此建议影响的所有资源的列表
- 相关计划:与建议关联的安全计划和符合性框架
- 对于具有相关上下文信息的特定建议,可能会显示其他选项卡
建议的替代访问路径:
- 云基础结构>概述>安全状况>安全建议>查看建议
风险管理 计划 云安全 打开计划页面 “安全建议”选项卡
注释
为什么在 Azure 门户和 Defender 门户之间资源会有所不同:
- 已删除的资源:你可能会注意到已删除的资源仍在 Azure 门户中显示。 之所以发生这种情况,是因为 Azure 门户当前显示资源的最后一个已知状态。 我们正在努力解决此问题,以便不再显示已删除的资源。
- Azure Policy 资源:来自 Azure Policy 的某些资源可能不会显示在 Defender 门户中。 在预览期间,我们仅显示具有安全上下文并有助于有意义的安全见解的资源。
- 绑定到免费订阅的资源当前不会显示在 Defender 门户中。
了解 Defender 门户中的风险优先级
Defender 门户的曝光管理体验提供高级风险优先顺序功能,可帮助安全团队专注于最关键的威胁。 Microsoft Defender for Cloud 的动态风险评估引擎评估环境中的风险,同时考虑开发的潜在潜力以及对组织的潜在业务影响。
Defender 门户中的建议根据有效风险自动确定优先级,这考虑到了有关每个资源及其环境的多个上下文因素。 这种基于风险的方法可确保安全团队首先能够解决最关键的安全问题,使修正工作更加高效和有效。
基于风险的筛选和优先级
Defender 门户提供高级筛选功能,可让你专注于基于风险因素的建议:
- 公开的资产:按直接暴露在威胁的资源(如面向 Internet 的资源或具有易受攻击配置的资源)进行筛选
- 资产风险因素:面向特定风险条件,例如数据敏感度、横向移动潜力或关键基础结构暴露
- 风险级别细分:查看按“严重”、“高”、“中”和“低风险”级别分类的建议
- 攻击路径集成:重点介绍属于已识别攻击路径一部分的建议
风险管理中的风险计算
统一的曝光管理体验使用上下文感知引擎计算风险级别,该引擎考虑:
- 环境上下文:资源配置、网络拓扑和安全状况
- 可利用性因素:攻击者如何轻松利用漏洞
- 业务影响:如果安全问题被利用的潜在后果
- 攻击面:资源暴露在潜在威胁中
- 窒息点分析:资源是否充当潜在攻击路径中的关键交汇点
Defender 门户中的风险级别
Defender 门户中的建议分为五个风险级别:
- 严重:具有立即利用性和高业务影响的最严重安全问题,需要紧急关注
- 高:应及时解决但可能不需要立即采取行动的重大安全风险
- 中:可作为定期安全维护的一部分解决的中等安全问题
- 低:在例行操作期间,轻微的安全问题可以在你方便的时候解决
- 未评估:未评估风险的建议,通常是由于资源覆盖率限制
增强的推荐详细信息
Defender 门户中的每个建议都提供全面的风险上下文:
- 风险评估摘要:总体风险计算和贡献因素
- 攻击面映射:资源与潜在攻击方案的关系的直观表示形式
- 措施关联:连接至更广泛的安全措施和合规框架
- CVE 关联:相关常见漏洞和泄露的链接(如果适用)
- 历史背景:风险水平的趋势和随时间的变化
- 在建议页上,查看以下详细信息:
- 风险级别:考虑到 Internet 暴露、敏感数据、横向移动等环境资源上下文,分析根本安全问题的漏洞性质及其对业务的影响。
- 风险因素:受建议影响的资源的环境因素,这会影响潜在安全问题的漏洞和业务影响。 风险因素的示例包括 Internet 暴露、敏感数据和横向移动潜力。
- 资源:受影响的资源的名称。
- 状态:建议的状态,如未分配、按时或逾期。
- 说明:安全问题的简要说明。
- 攻击路径:攻击路径数。
- 范围:受影响的订阅或资源。
- 新鲜度:建议的新鲜度间隔。
- 上次更改日期:上次更改此建议的日期。
- 严重性:建议的严重性: 高、 中或 低。 本文稍后会提供更多详细信息。
- 所有者:负责建议的人员。
- 截止日期:用于解决建议的已分配截止日期。
- 策略和技术:映射到 MITRE ATT&CK 的策略和技术。
浏览建议
可以通过多种方式与建议进行交互。 如果某个选项不可用,这意味着它与建议无关。
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择一条建议。
在 采取行动中:
- 修正:说明解决受影响资源上的安全问题所需的手动步骤。 有关“ 修复 ”选项的建议,可以在将建议的修复应用到资源之前选择 “查看修正逻辑 ”。
- 建议所有者并设置截止日期:如果为建议启用 治理规则 ,则可以分配所有者和截止日期。
- 豁免:可以使用禁用规则从建议中免除资源或禁用特定发现。
- 工作流自动化:设置逻辑应用以触发此建议。
在 “发现”中,可以按严重性查看关联发现。
在 Graph 中,可以查看和调查用于风险优先级的所有上下文,包括 攻击路径。 可以在攻击路径中选择一个节点,以查看所选节点的详细信息。
若要查看更多详细信息,请选择节点。
选择“见解”。
若要查看详细信息,请从下拉菜单中选择漏洞。
(可选)若要查看关联的建议页,请选择 “打开漏洞”页。
修正建议。
在 Defender 门户中,可以通过多种方式通过曝光管理体验与建议进行交互。 从 “公开管理>建议>云 ”选项卡中选择建议后,可以浏览详细信息并采取措施。
应用筛选器和筛选器集,例如 公开的资产、 资产风险因素、 环境、 工作负荷、 建议成熟度 等。
在左侧导航窗格中,您可以选择查看所有建议或按特定类别查看。
针对不同问题类型有各自的视图。
- 配置错误
- 漏洞
- 公开的机密。
对于每个视图,你将查看 云安全功能分数、 评分历史记录、 按风险级别建议 以及如何计算风险。
注释
在 Defender 门户中,以前显示为单个聚合项的一些建议现在显示为多个单个建议。 此更改反映了从一项建议下分组相关结果到单独列出每个建议的转变。
- 与之前相比,你可能会注意到建议列表更长。 组合发现(例如漏洞、公开的机密或配置错误)现在单独显示,而不是嵌套在父建议下。
- 旧的分组建议目前仍与新格式并排显示,但它们最终将被弃用。
- 这些建议标记为预览版。 此标记指示建议处于早期状态,并且尚不会影响安全功能分数。
- 安全功能分数当前只适用于上级建议,不适用于每个单独的项目。
如果你看到这两种格式或建议都带有预览标记,这在过渡期间是预期的情况。 目标是提高清晰度,让客户更轻松地处理特定建议。
借助 Defender 门户中 Defender for Cloud 的集成,还可以通过统一界面访问增强的云建议:
云建议体验中的主要改进包括:
- 每个资产的风险因素:评估每个建议的广泛暴露背景,以便做出明智的决策。
- 基于风险的评分:基于严重性、资产上下文和潜在影响权衡建议的新评分
- 增强型数据:Azure 建议的核心建议数据已扩充,其中包含曝光管理中的其他字段和功能
- 按关键性确定优先级:更强调对组织构成最高风险的关键问题
统一体验确保云安全建议在更广泛的安全环境中提供上下文关联,以便做出更明智的决策并实现高效的补救工作流。
按标题分组建议
可以使用 Defender for Cloud 建议页按标题对建议进行分组。 如果要修正因特定安全问题而影响多个资源的建议,此功能非常有用。
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择“ 按标题分组”。
管理您分派的建议
Defender for Cloud 支持建议的治理规则。 可以指定建议所有者或设定截止日期。 你可以使用治理规则来帮助确保责任,这些规则还支持服务级别协议(SLA)来提供建议。
- 建议显示为 “按时”,直到截止日期已过。 然后,它们会被更改为逾期。
- 如果建议未分类为 “过期”,则不会影响Microsoft安全功能分数。
- 还可以应用宽限期,以便逾期建议不会影响您的 Secure Score。
详细了解如何配置 治理规则。
要查看分配给您的所有建议:
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择 添加筛选器>所有者。
选择用户条目。
选择应用。
在建议结果中,查看建议,包括受影响的资源、风险因素、攻击路径、截止日期和状态。
选择建议以进一步查看。
若要对作业进行更改,请完成以下步骤:
转到 执行操作>更改所有者和截止日期。
选择 “编辑分配 ”以更改建议所有者或截止日期。
如果选择新的修正日期,请在 “理由”中指定应按该日期完成修正的原因。
选择“保存”。
注释
更改预期的完成日期时,建议的截止日期不会更改,但安全合作伙伴可以看到你计划按指定日期更新资源。
默认情况下,资源的所有者会收到每周一封电子邮件,其中显示分配给他们的所有建议。
还可以使用 “设置电子邮件通知 ”选项来:
- 替代发送给所有者的默认每周电子邮件。
- 每周向负责人发送包含未完成或逾期任务的列表。
- 将未完成的任务列表通知所有者的直属经理。
查看 Azure Resource Graph 中的建议
可以使用 Azure Resource Graph 编写 Kusto 查询语言 (KQL) 查询,以跨多个订阅查询 Defender for Cloud 安全状况数据。 Azure Resource Graph 通过查看、筛选、分组和排序数据,提供跨云环境大规模查询的有效方法。
登录到 Azure 门户。
转到 Defender for Cloud>建议。
选择一条建议。
选择“打开查询”。
可以通过以下两种方式之一打开查询:
- 返回受影响的资源的查询:返回建议影响的所有资源的列表。
- 返回安全结果的查询:返回建议找到的所有安全问题的列表。
选择 “运行查询”。
查看结果。
如何分类建议?
Defender for Cloud 中的每个安全建议都提供三种严重性评级之一。
高严重性
建议立即解决这些建议。 他们表示攻击者可能会利用严重安全漏洞来未经授权访问系统或数据。
高严重性建议的示例包括:
- 计算机上未受保护的机密。
- 入站网络安全组规则过于宽松。
- 允许从不受信任的注册表部署镜像的群集。
- 对存储帐户或数据库的不受限制的公共访问。
中等严重性
这些建议表明存在潜在的安全风险。 建议及时解决这些建议,但它们可能不需要立即注意。
中等严重性建议的示例包括:
- 共享敏感主机命名空间的容器。
- 不使用托管标识的 Web 应用。
- 身份验证期间不需要 SSH 密钥的 Linux 计算机。
- 系统中未使用的凭据在 90 天不活跃后仍留在系统中。
低严重性
这些建议表明在方便时可以解决的相对次要的安全问题。
低严重性建议的示例包括:
- 使用本地身份验证,而不是Microsoft Entra ID。
- 终结点保护解决方案存在健康问题。
- 用户不遵循网络安全组的最佳做法。
- 配置错误的日志记录设置,这可能更难检测和响应安全事件。
组织的内部策略可能与Microsoft特定建议的分类不同。 建议始终仔细查看每个建议,并在决定如何解决安全状况之前考虑其可能对安全状况产生的影响。
注释
Defender CSPM 客户可以访问一个更丰富的分类系统,其中的建议依据资源的上下文及所有相关资源来确定风险级别。 在上述风险优先顺序部分详细了解 风险 优先级和详细指导。
示例:
在此示例中, “建议详细信息 ”页显示 15 个受影响的资源:
打开并运行基础查询时,Azure Resource Graph 资源管理器会为此建议返回相同的受影响资源。