Meninjau rekomendasi keamanan

  • Artikel

Dalam Microsoft Defender untuk Cloud, sumber daya dan beban kerja dinilai berdasarkan standar keamanan bawaan dan kustom yang diaktifkan dalam langganan Azure, akun AWS, dan proyek GCP Anda. Berdasarkan penilaian tersebut, rekomendasi keamanan memberikan langkah-langkah praktis untuk memulihkan masalah keamanan, dan meningkatkan postur keamanan.

Defender untuk Cloud secara proaktif menggunakan mesin dinamis yang menilai risiko di lingkungan Anda sambil mempertimbangkan potensi eksploitasi dan potensi dampak bisnis terhadap organisasi Anda. Mesin memprioritaskan rekomendasi keamanan berdasarkan faktor risiko setiap sumber daya, yang ditentukan oleh konteks lingkungan, termasuk konfigurasi sumber daya, koneksi jaringan, dan postur keamanan.

Prasyarat

Catatan

Rekomendasi disertakan secara default dengan Defender untuk Cloud, tetapi Anda tidak akan dapat melihat prioritas risiko tanpa Defender CSPM diaktifkan di lingkungan Anda.

Meninjau detail rekomendasi

Penting untuk meninjau semua detail yang terkait dengan rekomendasi sebelum mencoba memahami proses yang diperlukan untuk menyelesaikan rekomendasi. Sebaiknya pastikan bahwa semua detail rekomendasi sudah benar sebelum menyelesaikan rekomendasi.

Untuk meninjau detail rekomendasi:

  1. Masuk ke portal Azure.

  2. Navigasi ke Defender untuk Cloud> Rekomendasi.

  3. Memilih rekomendasi.

  4. Di halaman rekomendasi, tinjau detailnya:

    • Tingkat risiko - Eksploitasi dan dampak bisnis dari masalah keamanan yang mendasarinya, dengan mempertimbangkan konteks sumber daya lingkungan seperti: Paparan internet, data sensitif, gerakan lateral, dan banyak lagi.
    • Faktor risiko - Faktor lingkungan sumber daya yang terpengaruh oleh rekomendasi, yang memengaruhi eksploitasi dan dampak bisnis dari masalah keamanan yang mendasar. Contoh faktor risiko termasuk paparan internet, data sensitif, potensi gerakan lateral.
    • Sumber Daya - Nama sumber daya yang terpengaruh.
    • Status - Status rekomendasi. Misalnya, tidak ditetapkan, tepat waktu, terlambat.
    • Deskripsi - Deskripsi singkat tentang masalah keamanan.
    • Jalur Serangan - Jumlah jalur serangan.
    • Cakupan - Langganan atau sumber daya yang terpengaruh.
    • Kesegaran - Interval kesegaran untuk rekomendasi.
    • Tanggal perubahan terakhir - Tanggal rekomendasi ini terakhir mengalami perubahan
    • Pemilik - Orang yang ditetapkan untuk rekomendasi ini.
    • Tanggal jatuh tempo - Tanggal yang ditetapkan, rekomendasi harus diselesaikan.
    • Taktik & teknik - Taktik dan teknik yang dipetakan ke MITRE ATT&CK.

Menjelajahi rekomendasi

Anda dapat melakukan banyak tindakan untuk berinteraksi dengan rekomendasi. Jika opsi tidak tersedia, opsi tersebut tidak relevan untuk rekomendasi.

Untuk menjelajahi rekomendasi:

  1. Masuk ke portal Azure.

  2. Navigasi ke Defender untuk Cloud> Rekomendasi.

  3. Memilih rekomendasi.

  4. Dalam rekomendasi, Anda dapat melakukan tindakan berikut:

    • Pilih Buka kueri untuk menampilkan informasi terperinci tentang sumber daya yang terpengaruh menggunakan kueri Azure Resource Graph Explorer.

    • Pilih Tampilkan definisi kebijakan untuk melihat entri Azure Policy untuk rekomendasi yang mendasar (jika relevan).

  5. Dalam Ambil tindakan:

    • Remediasi: Deskripsi langkah manual yang diperlukan untuk memulihkan masalah keamanan pada sumber daya yang terpengaruh. Untuk rekomendasi dengan opsi Perbaikan , Anda dapat memilih Tampilkan logika remediasi sebelum menerapkan perbaikan yang disarankan ke sumber daya Anda.

    • Menetapkan pemilik dan tanggal jatuh tempo: Jika Anda mengaktifkan aturan tata kelola untuk rekomendasi, Anda dapat menetapkan pemilik dan tanggal jatuh tempo.

    • Dikecualikan: Anda dapat mengecualikan sumber daya dari rekomendasi, atau menonaktifkan temuan tertentu menggunakan aturan nonaktifkan.

    • Otomatisasi alur kerja: Atur aplikasi logika untuk dipicu dengan rekomendasi ini.

    Cuplikan layar yang memperlihatkan apa yang bisa Anda lihat di rekomendasi saat Anda memilih tab ambil tindakan.

  6. Dalam Temuan, Anda dapat meninjau temuan afiliasi berdasarkan tingkat keparahan.

    Cuplikan layar tab temuan dalam rekomendasi yang memperlihatkan semua jalur serangan untuk rekomendasi tersebut.

  7. Dalam Grafik, Anda dapat melihat dan menyelidiki semua konteks yang digunakan untuk prioritas risiko, termasuk jalur serangan. Anda dapat memilih simpul di jalur serangan untuk melihat detail simpul yang dipilih.

    Cuplikan layar tab grafik dalam rekomendasi yang memperlihatkan semua jalur serangan untuk rekomendasi tersebut.

  8. Pilih simpul untuk melihat detail tambahan.

    Cuplikan layar simpul yang terletak di tab grafik yang dipilih dan memperlihatkan detail tambahan.

  9. Pilih Wawasan.

  10. Di menu dropdown kerentanan, pilih kerentanan untuk melihat detailnya.

    Cuplikan layar tab wawasan untuk simpul tertentu.

  11. (Opsional) Pilih Buka halaman kerentanan untuk melihat halaman rekomendasi terkait.

  12. Remediasi rekomendasi.

Rekomendasi grup menurut judul

halaman rekomendasi Defender untuk Cloud memungkinkan Anda mengelompokkan rekomendasi berdasarkan judul. Fitur ini berguna ketika Anda ingin memulihkan rekomendasi yang memengaruhi beberapa sumber daya yang disebabkan oleh masalah keamanan tertentu.

Untuk mengelompokkan rekomendasi menurut judul:

  1. Masuk ke portal Azure.

  2. Navigasi ke Defender untuk Cloud> Rekomendasi.

  3. Pilih Kelompokkan menurut judul.

    Cuplikan layar halaman rekomendasi yang memperlihatkan di mana tombol kelompokkan menurut judul berada di layar.

Mengelola rekomendasi yang ditetapkan untuk Anda

Defender untuk Cloud mendukung aturan tata kelola untuk rekomendasi, untuk menentukan pemilik rekomendasi atau tanggal jatuh tempo untuk tindakan. Aturan tata kelola membantu memastikan akuntabilitas dan SLA untuk rekomendasi.

  • Rekomendasi terdaftar sebagai Tepat waktu hingga tanggal jatuh temponya diteruskan, saat diubah menjadi Terlambat.
  • Sebelum rekomendasi terlambat, rekomendasi tidak memengaruhi skor aman.
  • Anda juga dapat menerapkan masa tenggang di mana rekomendasi yang terlambat terus tidak memengaruhi skor aman.

Pelajari selengkapnya tentang mengonfigurasi aturan tata kelola.

Untuk mengelola rekomendasi yang ditetapkan kepada Anda:

  1. Masuk ke portal Azure.

  2. Navigasi ke Defender untuk Cloud> Rekomendasi.

  3. Pilih Tambahkan Pemilik filter>.

  4. Pilih entri pengguna Anda.

  5. Pilih Terapkan.

  6. Dalam hasil rekomendasi, tinjau rekomendasi, termasuk sumber daya yang terpengaruh, faktor risiko, jalur serangan, tanggal jatuh tempo, dan status.

  7. Pilih rekomendasi untuk meninjaunya lebih lanjut.

  8. Di Ambil tindakan>Ubah pemilik &tanggal jatuh tempo, pilih Edit penugasan untuk mengubah pemilik rekomendasi dan tanggal jatuh tempo jika diperlukan.

    • Secara default, pemilik sumber daya mendapatkan email mingguan yang mencantumkan rekomendasi yang ditetapkan kepada mereka.
    • Jika Anda memilih tanggal remediasi baru, di Justifikasi tentukan alasan remediasi pada tanggal tersebut.
    • Di Atur pemberitahuan email, Anda dapat:
      • Ambil alih email mingguan default kepada pemilik.
      • Beri tahu pemilik setiap minggu dengan daftar tugas terbuka/terlambat.
      • Beri tahu manajer langsung pemilik dengan daftar tugas terbuka.

  9. Pilih Simpan.

Catatan

Mengubah tanggal penyelesaian yang diharapkan tidak mengubah tanggal jatuh tempo untuk rekomendasi, tetapi mitra keamanan dapat melihat bahwa Anda berencana untuk memperbarui sumber daya pada tanggal yang ditentukan.

Meninjau rekomendasi di Azure Resource Graph

Anda dapat menggunakan Azure Resource Graph untuk menulis Bahasa Kueri Kusto (KQL) untuk mengkueri data postur keamanan Defender untuk Cloud di beberapa langganan. Azure Resource Graph menyediakan cara yang efisien untuk mengkueri dalam skala besar di seluruh lingkungan cloud dengan menampilkan, memfilter, mengelompokkan, dan mengurutkan data.

Untuk meninjau rekomendasi di Azure Resource Graph:

  1. Masuk ke portal Azure.

  2. Navigasi ke Defender untuk Cloud> Rekomendasi.

  3. Memilih rekomendasi.

  4. Pilih Buka kueri.

  5. Anda bisa membuka kueri dengan salah satu dari dua cara:

    • Kueri yang mengembalikan sumber daya yang terpengaruh - Mengembalikan daftar semua sumber daya yang terpengaruh oleh rekomendasi ini.
    • Kueri yang mengembalikan temuan keamanan - Mengembalikan daftar semua masalah keamanan yang ditemukan oleh rekomendasi.

  6. Pilih jalankan kueri.

    Cuplikan layar Azure Resource Graph Explorer memperlihatkan hasil untuk rekomendasi yang ditampilkan di cuplikan layar sebelumnya.

  7. Tinjau hasilnya.

Contoh

Dalam contoh ini, halaman detail rekomendasi ini menunjukkan 15 sumber daya yang terpengaruh:

Cuplikan layar tombol Buka Kueri pada halaman detail rekomendasi.

Saat Anda membuka kueri yang mendasarinya, dan menjalankannya, Azure Resource Graph Explorer mengembalikan sumber daya yang terpengaruh yang sama untuk rekomendasi ini.

Langkah selanjutnya

Memulihkan rekomendasi keamanan