Оценка безопасности в Defender для облака

  • Статья

Оценка безопасности в Microsoft Defender для облака поможет улучшить состояние облачной безопасности. Оценка безопасности объединяет результаты безопасности в одну оценку, чтобы вы могли оценить текущую ситуацию безопасности. Чем выше оценка, тем ниже идентифицированный уровень риска.

При включении Defender для облака в подписке стандарт microsoft cloud security benchmark (MCSB) по умолчанию применяется в подписке. Начинается оценка ресурсов в область по стандарту MCSB.

MCSB выдает рекомендации на основе результатов оценки. Только встроенные рекомендации из MCSB влияют на оценку безопасности. В настоящее время приоритет риска не влияет на оценку безопасности.

Примечание.

Рекомендации помечен как Предварительная версия не включается в вычисления оценки безопасности. Эти рекомендации по-прежнему следует исправлять везде, где это возможно, так что при завершении периода предварительной версии они будут способствовать оценке. Предварительные версии рекомендаций помечаются значком:

Просмотр оценки безопасности

При просмотре панели мониторинга Defender для облака Обзор можно просмотреть оценку безопасности для всех сред. На панели мониторинга отображается оценка безопасности в виде процентного значения и содержатся базовые значения.

Снимок экрана: панель мониторинга портала с общим показателем безопасности и базовыми значениями.

Мобильное приложение Azure показывает оценку безопасности в процентах. Коснитесь его, чтобы просмотреть сведения, объясняющие оценку.

Снимок экрана: мобильное приложение Azure с общим показателем безопасности и подробными сведениями.

Изучение состояния безопасности

Страница состояния безопасности в Defender для облака показывает оценку безопасности для сред в целом и для каждой среды отдельно.

Снимок экрана: страница Defender для облака для защиты.

На этой странице вы увидите подписки, учетные записи и проекты, влияющие на общую оценку, сведения о неработоспособных ресурсах и соответствующие рекомендации. Вы можете фильтровать по средам, таким как Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) и Azure DevOps. Затем вы можете выполнить детализацию по каждой подписке Azure, учетной записи AWS и проекту GCP.

Снимок экрана: нижняя половина страницы сведений о состоянии безопасности.

Вычисление оценки безопасности

На странице Рекомендации в Defender для облака на вкладке "Рекомендации по оценке безопасности" показано, как элементы управления соответствием в MCSB способствуют общей оценке безопасности.

Снимок экрана: элементы управления безопасностью, влияющие на оценку безопасности.

Defender для облака вычисляет каждый элемент управления каждые восемь часов для каждой подписки Azure или для каждого облачного соединителя AWS или GCP.

Внимание

Рекомендации в элементе управления обновляются чаще, чем сам элемент управления. Вы можете найти несоответствия между количеством ресурсов по рекомендациям и количеству ресурсов в элементе управления.

Пример оценок для элемента управления

В следующем примере рассматриваются рекомендации по оценке безопасности для включения многофакторной проверки подлинности (MFA).

Снимок экрана: рекомендации по оценке безопасности для многофакторной проверки подлинности.

В этом примере показаны следующие поля в рекомендациях.

Поле Сведения
Исправление уязвимостей Группировка рекомендаций по обнаружению и устранению известных уязвимостей.
Максимальная оценка Максимальное количество точек, которые можно получить, выполнив все рекомендации в элементе управления.

Максимальная оценка для элемента управления обозначает его относительную важность для каждой среды.

Используйте значения в этом столбце, чтобы определить, какие проблемы необходимо сначала выполнить.
Текущая оценка Текущая оценка для этого элемента управления.

Текущая оценка = [оценка за один ресурс] × [число работоспособных ресурсов]

Каждый элемент управления влияет на общую оценку. В этом примере элемент управления вносит 2,00 пункта в текущую общую оценку.
Возможное увеличение оценки Количество нераспределенных баллов, доступных в этом элементе управления. При исправлении всех рекомендаций в этом элементе управления оценка увеличивается на 9%.

Возможное увеличение оценки = [оценка за одни ресурс] × [число неработоспособных ресурсов]
Статистика Дополнительные сведения для каждой рекомендации, например:

- Рекомендация по предварительной версии. Эта рекомендация влияет на оценку безопасности, только если она общедоступна.

- Исправление. Устранение этой проблемы.

- Принудительное применение. Автоматическое развертывание политики для устранения этой проблемы всякий раз, когда кто-то создает несоответствующий ресурс.

- Запрет. Запретить создание новых ресурсов с помощью этой проблемы.

Уравнения вычисления оценки

Вот как вычисляются оценки.

Элемент управления безопасностью

Уравнение для определения оценки для элемента управления безопасностью:

Снимок экрана: уравнение для вычисления оценки системы управления безопасностью.

Текущая оценка для каждого элемента управления — это мера состояния ресурсов в этом элементе управления. Каждый отдельный элемент управления безопасностью способствует оценке безопасности. Каждый ресурс, затронутый рекомендацией в элементе управления, способствует текущей оценке элемента управления. Оценка безопасности не включает ресурсы, найденные в предварительных версиях рекомендаций.

В следующем примере максимальный показатель 6 делится на 78, так как это сумма работоспособных и неработоспособных ресурсов. Итак, 6 /78 = 0,0769. Умножение на число здоровых ресурсов (4) приводит к текущему счету: 0,0769 * 4 = 0,31.

Снимок экрана: подсказки, показывающие значения, используемые при вычислении текущей оценки элемента управления безопасностью.

Отдельная подписка или соединитель

Уравнение для определения оценки безопасности для одной подписки или соединителя:

Снимок экрана: уравнение для вычисления оценки безопасности подписки.

В следующем примере есть одна подписка или соединитель со всеми доступными элементами управления безопасностью (потенциальная максимальная оценка 60 очков). Оценка показывает 29 очков из возможных 60. Оставшиеся 31 пункты отражаются в потенциальных показателях увеличения показателей элементов управления безопасностью.

Снимок экрана: оценка безопасности с одной подпиской со всеми включенными элементами управления.

Снимок экрана: список элементов управления и потенциальное увеличение оценки.

Это же уравнение для соединителя, а просто подписка на слово, замененная соединителем слова.

Несколько подписок и соединителей

Уравнение для определения оценки безопасности для нескольких подписок и соединителей:

Снимок экрана: уравнение для вычисления оценки безопасности для нескольких подписок.

Объединенная оценка для нескольких подписок и соединителей включает вес для каждой подписки и соединителя. Defender для облака определяет относительный вес для подписок и соединителей на основе таких факторов, как количество ресурсов. Текущая оценка для каждой подписки и соединителя вычисляется так же, как для одной подписки или соединителя, но затем вес применяется, как показано в уравнении.

При просмотре нескольких подписок и соединителей оценка безопасности оценивает все ресурсы во всех включенных политиках и группах. Группирование показывает, как они влияют на максимальную оценку каждого элемента управления безопасностью.

Снимок экрана: оценка безопасности для нескольких подписок со всеми включенными элементами управления.

Объединенный показатель не является средним. Скорее, это оценка состояния всех ресурсов во всех подписках и соединителях. Если перейти на страницу Рекомендации и добавить возможные очки, вы найдете, что это разница между текущей оценкой (22) и максимальной доступной оценкой (58).

Улучшение оценки безопасности

MCSB состоит из ряда элементов управления соответствием. Каждый элемент управления содержит логически связанную группу рекомендаций по безопасности и отражает уязвимые для атак области.

Чтобы понять, насколько хорошо ваша организация защищает каждую уязвимую область, просмотрите баллы для каждого элемента управления безопасностью. Оценка улучшается только при исправлении всех рекомендаций.

Чтобы получить все возможные баллы для элемента управления безопасностью, все ваши ресурсы должны соответствовать всем рекомендациям по безопасности для этого элемента управления безопасностью. Например, Defender для облака содержит несколько рекомендаций по защите портов управления. Вам нужно исправить их все, чтобы сделать разницу в оценке безопасности.

Вы можете улучшить оценку безопасности с помощью любого из следующих методов:

  • Выполните рекомендации по безопасности из списка. Каждую рекомендацию можно исправить отдельно для каждого ресурса вручную или сразу для нескольких ресурсов с помощью параметра Исправление (если он доступен).
  • Принудительное применение или запрет рекомендаций по улучшению оценки и обеспечение того, чтобы пользователи не создавали ресурсы, которые негативно влияют на оценку.

Элементы управления оценкой безопасности

В следующей таблице перечислены элементы управления безопасностью в Microsoft Defender для облака. Для каждого элемента управления можно увидеть максимальное количество точек, которые можно добавить в оценку безопасности, если устранить все рекомендации, перечисленные в элементе управления, для всех ресурсов.

оценка безопасности; Управление безопасностью
10 Включение MFA: Defender для облака помещает большое значение в MFA. Используйте эти рекомендации, чтобы защитить пользователей подписок.

Существует три способа включить MFA и соответствовать рекомендациям: по умолчанию безопасности, назначению на пользователя и политике условного доступа. Подробнее.
8 Безопасные порты управления: атака подбора часто нацелена на порты управления. Следуйте нашим рекомендациям, чтобы сократить риски с помощью таких инструментов, как JIT-доступ к виртуальным машинам и группы безопасности сети.
6 Применение обновлений системы. Не применять обновления оставляют неотставленные уязвимости и приводят к средам, которые подвержены атакам. Используйте эти рекомендации для обеспечения эффективности работы, уменьшения уязвимостей системы безопасности и обеспечения более стабильной среды для пользователей. Чтобы развертывать обновления системы, можно использовать решение «Управление обновлениями». С его помощью можно управлять установкой обновлений и исправлений на виртуальные машины.
6 Исправление уязвимостей. Когда средство оценки уязвимостей сообщает об уязвимостях в Defender для облака, Defender для облака представлены результаты и связанные сведения в качестве рекомендаций. Используйте эти рекомендации для устранения обнаруженных уязвимостей.
4 Исправьте конфигурации безопасности. Неправильно настроенные ИТ-ресурсы имеют более высокий риск атаки. Используйте эти рекомендации для защиты от выявленных ошибок конфигурации в инфраструктуре.
4 Управление доступом и разрешениями. Основная часть программы безопасности гарантирует, что у пользователей есть только необходимый доступ для выполнения своих заданий: модель доступа с наименьшими привилегиями. Используйте эти рекомендации для управления вашими удостоверениями и требованиями к доступу.
4 Включите шифрование неактивных данных. Используйте эти рекомендации, чтобы устранить ошибки конфигурации вокруг защиты хранимых данных.
4 Шифрование передаваемых данных. Используйте эти рекомендации для защиты данных, перемещающихся между компонентами, расположениями или программами. Такие данные уязвимы для атак типа «злоумышленник в середине», перехвата и перехвата сеансов.
4 Ограничение несанкционированного доступа к сети: Azure предлагает набор средств, которые помогают обеспечить высокий уровень безопасности для доступа к сети.

Используйте эти рекомендации для управления адаптивной безопасностью сети в Defender для облака, убедитесь, что вы настроили Приватный канал Azure для всех соответствующих служб как службы (PaaS), включите Брандмауэр Azure в виртуальных сетях и многое другое.
3 Применить адаптивный элемент управления приложениями: адаптивный элемент управления приложениями — это интеллектуальное, автоматизированное, комплексное решение для управления тем, какие приложения могут выполняться на компьютерах. Оно также помогает защитить компьютеры от вредоносных программ.
2 Защита приложений от атак DDoS: расширенные решения сетевой безопасности в Azure включают Azure DDoS Protection, Azure Брандмауэр веб-приложений и надстройку Политика Azure для Kubernetes. Используйте эти рекомендации для защиты приложений с помощью этих средств и других.
2 Включение защиты конечных точек: Defender для облака проверка конечные точки вашей организации для активных решений обнаружения угроз и реагирования, таких как Microsoft Defender для конечной точки или любой из основных решений, показанных в этом списке.

Если решение обнаружение и нейтрализация атак на конечные точки (EDR) не включено, используйте эти рекомендации для развертывания Microsoft Defender для конечной точки. Defender для конечной точки включен в план Defender для серверов.

Другие рекомендации в этом элементе управления помогают развертывать агенты и настраивать мониторинг целостности файлов.
1 Включение аудита и ведения журнала. Подробные журналы являются важной частью расследований инцидентов и многих других операций устранения неполадок. Рекомендации в этом элементе управления сосредоточены на обеспечении включения журналов диагностики, где бы они ни находились.
0 Включение расширенных функций безопасности. Используйте эти рекомендации для включения любых планов Defender для облака.
0 Реализуйте рекомендации по безопасности. Эта коллекция рекомендаций важна для безопасности организации, но не влияет на оценку безопасности.

Следующие шаги

Отслеживание оценки безопасности