Zobrazení a zpracování závěrů z řešení posouzení ohrožení zabezpečení na virtuálních počítačích

  • Článek

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Když nástroj pro posouzení ohrožení zabezpečení hlásí ohrožení zabezpečení v programu Defender for Cloud, zobrazí Defender for Cloud zjištění a související informace jako doporučení. Kromě toho tato zjištění zahrnují související informace, jako jsou nápravné kroky, relevantní běžná ohrožení zabezpečení a expozice (CVE), skóre CVSS a další. Můžete zobrazit identifikované chyby zabezpečení pro jedno nebo více předplatných nebo pro konkrétní virtuální počítač.

Zobrazení zjištění z kontrol virtuálních počítačů

Zobrazení zjištění posouzení ohrožení zabezpečení (ze všech nakonfigurovaných skenerů) a náprava zjištěných ohrožení zabezpečení:

  1. V nabídce Defenderu pro cloud otevřete stránku Doporučení .

  2. Vyberte počítače doporučení , které by měly mít vyřešená zjištění ohrožení zabezpečení.

    Defender for Cloud zobrazuje všechna zjištění pro všechny virtuální počítače v aktuálně vybraných předplatných. Zjištění jsou seřazená podle závažnosti.

    Zjištění z vašich řešení posouzení ohrožení zabezpečení pro všechna vybraná předplatná

  3. Pokud chcete filtrovat zjištění podle konkrétního virtuálního počítače, otevřete část Ovlivněné prostředky a vyberte virtuální počítač, který vás zajímá. Nebo můžete vybrat virtuální počítač ze zobrazení stavu prostředků a zobrazit všechna relevantní doporučení pro daný prostředek.

    Defender for Cloud zobrazuje zjištění pro tento virtuální počítač seřazený podle závažnosti.

  4. Další informace o konkrétní chybě zabezpečení získáte tak, že ji vyberete.

    Podokno podrobností pro konkrétní ohrožení zabezpečení

    Podokno podrobností, které se zobrazí, obsahuje rozsáhlé informace o ohrožení zabezpečení, včetně:

    • Odkazy na všechny relevantní cve (pokud jsou k dispozici)
    • Postup nápravy
    • Další referenční stránky

  5. Pokud chcete napravit hledání, postupujte podle pokynů k nápravě v tomto podokně podrobností.

Zakázání konkrétních zjištění

Pokud potřebujete, aby organizace hledání ignorovala a nemusela ji opravovat, můžete ji volitelně zakázat. Zakázaná zjištění nemají vliv na vaše skóre zabezpečení ani negenerují nežádoucí šum.

Když hledání odpovídá kritériím definovaným v pravidlech zákazu, nezobrazí se v seznamu zjištění. Mezi obvyklé scénáře patří:

  • Zakázání zjištění se závažností menší než střední
  • Zakázání zjištění, která nejsou opravitelná
  • Zakázání zjištění s skóre CVSS nižším než 6,5
  • Zakažte zjištění s určitým textem v kontrole zabezpečení nebo kategorii (například RedHat, CentOS Security Update for sudo).

Důležité

K vytvoření pravidla potřebujete oprávnění k úpravě zásad ve službě Azure Policy. Další informace najdete v oprávněních Azure RBAC ve službě Azure Policy.

Vytvoření pravidla:

  1. Na stránce s podrobnostmi doporučení pro počítače by se měla vyřešit zjištění ohrožení zabezpečení, vyberte Zakázat pravidlo.

  2. Vyberte příslušný obor.

  3. Definujte kritéria. Můžete použít některou z následujících kritérií:

    • Vyhledání ID
    • Kategorie
    • Kontrola zabezpečení
    • CvSS scores (v2, v3)
    • Závažnost
    • Stav s možností opravy

  4. Vyberte Použít pravidlo.

    Vytvořte pravidlo zákazu pro zjištění ohrožení ohrožení zabezpečení na virtuálním počítači.

    Důležité

    Může trvat až 24 hodin, než se změny projeví.

  5. Zobrazení, přepsání nebo odstranění pravidla:

    1. Vyberte Zakázat pravidlo.

    2. V seznamu oborů se předplatná s aktivními pravidly zobrazují jako použité pravidlo.

      Upravte nebo odstraňte existující pravidlo.

    3. Pokud chcete pravidlo zobrazit nebo odstranit, vyberte nabídku se třemi tečky (...).

Export výsledků

Pokud chcete exportovat výsledky posouzení ohrožení zabezpečení, musíte použít Azure Resource Graph (ARG). Tento nástroj poskytuje okamžitý přístup k informacím o prostředcích v cloudových prostředích s robustním filtrováním, seskupováním a možnostmi řazení. Je to rychlý a efektivní způsob, jak dotazovat informace napříč předplatnými Azure prostřednictvím kódu programu nebo z webu Azure Portal.

Úplné pokyny a ukázkový dotaz ARG najdete v následujícím příspěvku technické komunity: Export výsledků posouzení ohrožení zabezpečení v Microsoft Defenderu pro cloud.

Další kroky

Tento článek popisuje rozšíření posouzení ohrožení zabezpečení v programu Microsoft Defender for Cloud (založené na technologii Qualys) pro kontrolu virtuálních počítačů. Související materiály najdete v následujících článcích: