檢閱安全性建議
在 適用於雲端的 Microsoft Defender 中,系統會根據 Azure 訂用帳戶、AWS 帳戶和 GCP 專案中啟用的內建和自定義安全性標準,評估資源和工作負載。 根據這些評量,安全性建議會提供實際步驟來補救安全性問題,並改善安全性狀態。
適用於雲端的 Defender 主動利用動態引擎,評估環境中的風險,同時考慮到惡意探索的潛在潛力,以及對您組織的潛在業務影響。 引擎 會根據環境內容所決定的每個資源風險因素 來排定安全性建議的優先順序,包括資源的設定、網路連線和安全性狀態。
必要條件
注意
默認會包含 建議 適用於雲端的 Defender,但您無法在環境中啟用 Defender CSPM 的情況下看到風險優先順序。
檢閱建議詳細數據
請務必先檢閱與建議相關的所有詳細數據,再嘗試瞭解解決建議所需的程式。 建議您先確定所有建議詳細數據都正確無誤,再解決建議。
若要檢閱建議的詳細數據:
登入 Azure 入口網站。
流覽至 [適用於雲端的 Defender> 建議]。
選取建議。
在建議頁面中,檢閱詳細數據:
- 風險層級 - 利用性和基礎安全性問題的商務影響,並考慮環境資源內容,例如:因特網暴露、敏感數據、橫向移動等等。
- 風險因素 - 受建議影響之資源的環境因素 ,這會影響基礎安全性問題的可利用性和業務影響。 風險因素的範例包括因特網暴露、敏感數據、橫向移動潛力。
- 資源 - 受影響資源的名稱。
- 狀態 - 建議的狀態。 例如,未指派、準時逾期。
- 描述:安全性問題的簡短描述。
- 攻擊路徑 - 攻擊路徑的數目。
- 範圍 - 受影響的訂用帳戶或資源。
- Freshness - 建議的重新整理間隔。
- 上次變更日期 - 此建議上次變更的日期
- 擁有者 - 指派給此建議的人員。
- 到期日 - 建議必須解決的指派日期。
- 策略與技術 - 對應至 MITRE ATT&CK 的戰術和技術。
探索建議
您可以執行許多動作來與建議互動。 如果無法使用選項,則與建議無關。
若要探索建議:
登入 Azure 入口網站。
流覽至 [適用於雲端的 Defender> 建議]。
選取建議。
在建議中,您可以執行下列動作:
選取 [ 開啟查詢] 以使用 Azure Resource Graph Explorer 查詢 檢視受影響資源的詳細資訊。
選取 [檢視原則定義] 以檢視基礎建議 Azure 原則 專案(如果相關)。
在 [採取動作] 中:
補救:說明補救受影響資源的安全性問題所需的手動步驟。 如需 [ 修正] 選項的建議,您可以在將建議的修正套用至資源之前,先選取 [ 檢視補救邏輯 ]。
指派擁有者和到期日:如果您 已針對建議開啟治理規則 ,您可以指派擁有者和到期日。
豁免:您可以免除建議的資源,或使用停用規則來停用特定結果。
工作流程自動化:使用此建議設定要觸發的邏輯應用程式。
![顯示您在選取 [採取動作] 索引標籤時可在建議中看到的螢幕快照。](media/review-security-recommendations/recommendation-take-action.png)
在 [結果] 中,您可以依嚴重性檢閱附屬結果。
![建議中 [結果] 索引標籤的螢幕快照,其中顯示該建議的所有攻擊路徑。](media/review-security-recommendations/recommendation-findings.png)
在 Graph 中,您可以檢視及調查用於風險優先順序的所有內容,包括攻擊路徑。 您可以在攻擊路徑中選取節點,以檢視所選節點的詳細數據。
選取節點以檢視其他詳細數據。
選取深入解析。
在 [弱點] 下拉功能表中,選取弱點以檢視詳細數據。
![特定節點 [深入解析] 索引卷標的螢幕快照。](media/review-security-recommendations/insights.png)
(選擇性)選取 [ 開啟弱點頁面 ] 以檢視相關聯的建議頁面。
補救建議。
![顯示您在選取 [採取動作] 索引標籤時可在建議中看到的螢幕快照。](media/review-security-recommendations/recommendation-take-action.png#lightbox)
![建議中 [結果] 索引標籤的螢幕快照,其中顯示該建議的所有攻擊路徑。](media/review-security-recommendations/recommendation-findings.png#lightbox)
![特定節點 [深入解析] 索引卷標的螢幕快照。](media/review-security-recommendations/insights.png#lightbox)
依標題分組建議
適用於雲端的 Defender 的建議頁面可讓您依標題將建議分組。 當您想要補救影響特定安全性問題之多個資源的建議時,這項功能很有用。
若要依標題將建議分組:
登入 Azure 入口網站。
流覽至 [適用於雲端的 Defender> 建議]。
選取 [依標題分組]。
![[建議] 頁面的螢幕快照,其中顯示依標題切換群組位於畫面上的位置。](media/review-security-recommendations/group-by-title.png)
![[建議] 頁面的螢幕快照,其中顯示依標題切換群組位於畫面上的位置。](media/review-security-recommendations/group-by-title.png#lightbox)
管理指派給您的建議
適用於雲端的 Defender 支持建議的治理規則,以指定建議擁有者或動作的到期日。 治理規則有助於確保責任,以及建議的 SLA。
- 建議 會列為到期日之前的時間,當他們變更為逾期時。
- 在建議逾期之前,建議不會影響安全分數。
- 您也可以套用寬限期,在此期間,逾期建議會繼續不會影響安全分數。
深入瞭解 如何設定治理規則。
若要管理指派給您的建議:
登入 Azure 入口網站。
流覽至 適用於雲端的 Defender> 建議。
選取 [新增篩選>擁有者]。
選取您的用戶專案。
選取套用。
在建議結果中,檢閱建議,包括受影響的資源、風險因素、攻擊路徑、到期日和狀態。
選取建議以進一步檢閱。
在 [ 採取動作>變更擁有者與到期日] 中,選取 [ 編輯指派 ] 以視需要變更建議擁有者和到期日。
- 根據預設,資源的擁有者會取得每周的電子郵件,其中列出指派給他們的建議。
- 如果您選取新的補救日期,請在 [理由] 中指定該日期前補救的原因。
- 在 [ 設定電子郵件通知] 中 ,您可以:
- 將預設每周電子郵件覆寫給擁有者。
- 每周通知擁有者,並列出開啟/逾期的工作。
- 使用開啟的工作清單通知擁有者的直接管理員。
選取 [儲存]。
注意
變更預期的完成日期不會變更建議的到期日,但安全性合作夥伴可以看到您計劃依指定的日期更新資源。
檢閱 Azure Resource Graph 中的建議
您可以使用 Azure Resource Graph 來撰寫 Kusto 查詢語言 (KQL) 來查詢跨多個訂用帳戶 適用於雲端的 Defender 安全性狀態數據。 Azure Resource Graph 透過檢視、篩選、分組和排序數據,提供有效率的方式在雲端環境中大規模查詢。
若要檢閱 Azure Resource Graph 中的建議:
登入 Azure 入口網站。
流覽至 [適用於雲端的 Defender> 建議]。
選取建議。
請選取 [開啟查詢]。
您可以使用下列兩種方式之一開啟查詢:
- 查詢傳回受影響的資源 - 傳回受此建議影響之所有資源的清單。
- 傳回安全性結果的 查詢 - 傳回建議找到的所有安全性問題清單。
選取 [ 執行查詢]。
檢閱結果。
範例
在此範例中,此建議詳細數據頁面會顯示 15 個受影響的資源:
![建議詳細數據頁面上 [開啟查詢] 按鈕的螢幕快照。](media/review-security-recommendations/open-query.png#lightbox)
當您開啟基礎查詢並加以執行時,Azure Resource Graph 總管會針對此建議傳回相同的受影響資源。