Åtgärda säkerhetsrisker i Microsoft Defender för molnet
Övervaka säkerhetsstatusen för virtuella datorer, nätverk, lagring, datatjänster och olika andra bidragande faktorer. Säkerhetspoäng i Microsoft Defender för moln visar en sammansatt poäng som representerar säkerhetsstatusen på prenumerationsnivå.
Har du en process för att formellt granska säkerhetspoäng på Microsoft Defender for Cloud?
När du granskar resultaten och tillämpar rekommendationer kan du följa förloppet och prioritera pågående investeringar. Högre poäng indikerar en bättre säkerhetsstatus.
- Konfigurera en regelbunden takt (vanligtvis varje månad) för att granska initiativen för säkerhetspoäng och planera med specifika förbättringsmål.
- Tilldela intressenter för övervakning och förbättring av poängen. Spelifiera aktiviteten om det är möjligt för att öka engagemanget och fokus från de ansvariga teamen.
Som teknisk arbetsbelastningsägare kan du arbeta med din organisations dedikerade team som övervakar säkerhetspoäng. I DevOps-modellen kan arbetsbelastningsteamen ansvara för sina egna resurser. Vanligtvis är dessa team ansvariga.
- Hanteringsteamet för säkerhetsstatus
- Sårbarhetshantering eller styrnings-, risk- och efterlevnadsteam
- Arkitekturteam
- Resursspecifika tekniska team som ansvarar för att förbättra säkerhetspoängen, som visas i den här tabellen.
| Kategori | Resurser | Ansvarigt team |
|---|---|---|
| Beräkning och program | App Services | Programutveckling/säkerhetsteam |
| Containers | Programutveckling och/eller infrastruktur/IT-drift | |
| Virtuella datorer, skalningsuppsättningar, beräkning | IT-/infrastrukturåtgärder | |
| Data och Storage | SQL/Redis/Data Lake Analytics/Data Lake Store | Databasteam |
| Lagringskonton | Storage/infrastrukturteam | |
| Identitets- och åtkomsthantering | Prenumerationer | Identitetsteam |
| Key Vault | Informations-/datasäkerhetsteam | |
| Nätverksresurser | Nätverksteam och nätverkssäkerhetsteam | |
| IoT-säkerhet | IoT-resurser | IoT-driftteam |
Azure Secure Score-exemplet visar hur du hämtar azure-säkerhetspoäng för en prenumeration genom att anropa Microsoft Defender for Cloud REST API. API-metoderna ger flexibiliteten att köra frågor mot data och skapa en egen rapporteringsmekanism för dina säkerhetspoäng över tid.
Granska och åtgärda rekommendationer
Microsoft Defender for Cloud övervakar säkerhetsstatusen för datorer, nätverk, lagrings- och datatjänster samt program för att identifiera potentiella säkerhetsproblem. Aktivera den här funktionen utan extra kostnad för att identifiera sårbara virtuella datorer som är anslutna till Internet, saknade säkerhetsuppdateringar, saknat slutpunktsskydd eller kryptering, avvikelser från baslinjesäkerhetskonfigurationer, saknade Web Application Firewall (WAF) med mera.
Visa rekommendationerna för att se potentiella säkerhetsproblem och tillämpa Microsoft Defender for Cloud-rekommendationer för att utföra tekniska åtgärder.
Rekommendationerna grupperas efter kontroller. Varje rekommendation har detaljerad information, till exempel allvarlighetsgrad, berörda resurser och snabbkorrigeringar där så är tillämpligt. Börja med objekt med hög allvarlighetsgrad.
Defender for Cloud kan exportera resultat med konfigurerade intervall. Jämför resultaten med tidigare uppsättningar för att verifiera att problem har åtgärdats.
Mer information finns i Löpande export.
Principreparation
En vanlig metod för att upprätthålla säkerhetspositionen är via Azure Policy.
Tillsammans med organisationsprinciper kan en arbetsbelastningsägare använda begränsade principer för styrningsändamål, till exempel kontrollera felaktig konfiguration, förhindra vissa resurstyper och andra. Resurserna utvärderas mot regler för att identifiera ohälsosamma resurser som är riskfyllda. Efter utvärderingen krävs vissa åtgärder som reparation. Åtgärderna kan framtvingas via Azure Policy effekter.
Till exempel körs en arbetsbelastning i ett Azure Kubernetes Service-kluster (AKS). Affärsmålen kräver att arbetsbelastningen körs i en mycket begränsande miljö. Som arbetsbelastningsägare vill du att resursgruppen ska innehålla AKS-kluster som är privata. Du kan tillämpa det kravet med neka-effekten. Det förhindrar att ett kluster skapas om regeln inte uppfylls.
Den typen av isolering kan upprätthållas via principer på en högre nivå, till exempel prenumerationsnivå eller till och med hanteringsgrupper.
Ett annat användningsfall är att det kan åtgärdas automatiskt genom att distribuera relaterade resurser. Organisationen vill till exempel att alla lagringsresurser i en prenumeration ska skicka loggar till en gemensam Log Analytics-arbetsyta. Om ett lagringskonto inte klarar principen startas en distribution automatiskt som reparation. Den här reparationen kan framtvingas via DeployIfNotExist. Det finns några saker att tänka på.
- Det finns en betydande väntetid innan resursen uppdateras och distributionen startar. I föregående exempel finns det inga loggar som avbildas under väntetiden. Undvik att använda den här effekten för resurser som inte tolererar en fördröjning.
- Resursen som distribuerades på grund av DeployIfNotExist skapas av en separat identitet än den identitet som gjorde den ursprungliga distributionen. Den identiteten måste ha tillräckligt med behörigheter för att kunna göra de ändringar som krävs.
Hantera aviseringar
Microsoft Defender för moln visar en lista över aviseringar som baseras på loggar som samlats in från resurser inom ett omfång. Aviseringar innehåller sammanhangsinformation som allvarlighetsgrad, status, aktivitetstid. De flesta aviseringar har MITRE ATT & CK® som kan hjälpa dig att förstå avsikten med händelsekedjan. Välj aviseringen och undersök problemet med detaljerad information.
Vidta slutligen åtgärder. Åtgärden kan vara att åtgärda resurser som inte följer åtgärdsstegen. Du kan också ignorera aviseringar som är falska positiva.
Se till att du integrerar kritiska säkerhetsaviseringar i Säkerhetsinformation och händelsehantering (SIEM), Security Orchestration Automated Response (SOAR) utan att införa en stor mängd data med lågt värde. Microsoft Defender för moln kan strömma aviseringar till Microsoft Sentinel. Du kan också använda en lösning från tredje part med hjälp av Microsoft Graph API för säkerhet.
Nästa
Relaterade länkar
Gå tillbaka huvudartikeln: Övervaka
Säkerhetskontroller måste vara effektiva mot angripare som kontinuerligt förbättrar sina sätt att angripa ett företags digitala tillgångar. Använd principen om kontinuerliga förbättringar av enheten för att se till att system regelbundet utvärderas och förbättras.
Börja med att åtgärda vanliga säkerhetsrisker. Dessa risker är vanligtvis från väletablerade attackvektorer. Detta tvingar angripare att skaffa avancerade och dyrare attackmetoder.
Huvudpunkter
- Processer för hantering av incidenter och aktiviteter efter incidenter, till exempel lärdomar och kvarhållning av bevis.
- Åtgärda vanliga risker som identifierats av Microsoft Defender för molnet.
- Spåra reparationsförloppet med säkerhetspoäng och jämför med historiska resultat.
- Åtgärda aviseringar och vidta åtgärder med reparationssteg.
Spåra säkerhetspoäng
Granskar och åtgärdar du vanliga risker i arbetsbelastningsgränsen?