Meninjau rekomendasi keamanan

Dalam Microsoft Defender untuk Cloud, sumber daya dan beban kerja dinilai berdasarkan standar keamanan bawaan dan kustom yang diaktifkan dalam langganan Azure, akun AWS, dan proyek GCP Anda. Berdasarkan penilaian tersebut, rekomendasi keamanan memberikan langkah-langkah praktis untuk memulihkan masalah keamanan, dan meningkatkan postur keamanan.

Defender untuk Cloud secara proaktif menggunakan mesin dinamis yang menilai risiko di lingkungan Anda sambil mempertimbangkan potensi eksploitasi dan potensi dampak bisnis terhadap organisasi Anda. Mesin memprioritaskan rekomendasi keamanan berdasarkan faktor risiko setiap sumber daya, yang ditentukan oleh konteks lingkungan, termasuk konfigurasi sumber daya, koneksi jaringan, dan postur keamanan.

• Anda harus mengaktifkan Defender CSPM di lingkungan Anda.

Penting untuk meninjau semua detail yang terkait dengan rekomendasi sebelum mencoba memahami proses yang diperlukan untuk menyelesaikan rekomendasi. Sebaiknya pastikan bahwa semua detail rekomendasi sudah benar sebelum menyelesaikan rekomendasi.

Untuk meninjau detail rekomendasi:

1. Masuk ke portal Azure.

2. Navigasi ke Defender untuk Cloud> Recommendations.

3. Memilih rekomendasi.

4. Di halaman rekomendasi, tinjau detailnya:

   • Tingkat risiko - Eksploitasi dan dampak bisnis dari masalah keamanan yang mendasarinya, dengan mempertimbangkan konteks sumber daya lingkungan seperti: Paparan internet, data sensitif, gerakan lateral, dan banyak lagi.
   • Faktor risiko - Faktor lingkungan sumber daya yang terpengaruh oleh rekomendasi, yang memengaruhi eksploitasi dan dampak bisnis dari masalah keamanan yang mendasar. Contoh faktor risiko termasuk paparan internet, data sensitif, potensi gerakan lateral.
   • Sumber Daya - Nama sumber daya yang terpengaruh.
   • Status - Status rekomendasi. Misalnya, tidak ditetapkan, tepat waktu, terlambat.
   • Deskripsi - Deskripsi singkat tentang masalah keamanan.
   • Jalur Serangan - Jumlah jalur serangan.
   • Cakupan - Langganan atau sumber daya yang terpengaruh.
   • Kesegaran - Interval kesegaran untuk rekomendasi.
   • Tanggal perubahan terakhir - Tanggal rekomendasi ini terakhir mengalami perubahan
   • Tingkat keparahan - Tingkat keparahan rekomendasi (Tinggi, Sedang, atau Rendah). Lihat lebih detail di bawah ini.
   • Pemilik - Orang yang ditetapkan untuk rekomendasi ini.
   • Tanggal jatuh tempo - Tanggal yang ditetapkan, rekomendasi harus diselesaikan.
   • Taktik & teknik - Taktik dan teknik yang dipetakan ke MITRE ATT&CK.

Anda dapat melakukan banyak tindakan untuk berinteraksi dengan rekomendasi. Jika opsi tidak tersedia, opsi tersebut tidak relevan untuk rekomendasi.

Untuk menjelajahi rekomendasi:

1. Masuk ke portal Azure.

2. Navigasi ke Defender untuk Cloud> Recommendations.

3. Memilih rekomendasi.

4. Dalam rekomendasi, Anda dapat melakukan tindakan berikut:

   • Pilih Buka kueri untuk menampilkan informasi terperinci tentang sumber daya yang terpengaruh menggunakan kueri Azure Resource Graph Explorer.

   • Pilih Tampilkan definisi kebijakan untuk melihat entri Azure Policy untuk rekomendasi yang mendasar (jika relevan).

5. Dalam Ambil tindakan:

   • Remediasi: Deskripsi langkah manual yang diperlukan untuk memulihkan masalah keamanan pada sumber daya yang terpengaruh. Untuk rekomendasi dengan opsi Perbaikan , Anda dapat memilih Tampilkan logika remediasi sebelum menerapkan perbaikan yang disarankan ke sumber daya Anda.

   • Menetapkan pemilik dan tanggal jatuh tempo: Jika Anda mengaktifkan aturan tata kelola untuk rekomendasi, Anda dapat menetapkan pemilik dan tanggal jatuh tempo.

   • Dikecualikan: Anda dapat mengecualikan sumber daya dari rekomendasi, atau menonaktifkan temuan tertentu menggunakan aturan nonaktifkan.

   • Otomatisasi alur kerja: Atur aplikasi logika untuk dipicu dengan rekomendasi ini.

   

6. Dalam Temuan, Anda dapat meninjau temuan afiliasi berdasarkan tingkat keparahan.

   

7. Dalam Grafik, Anda dapat melihat dan menyelidiki semua konteks yang digunakan untuk prioritas risiko, termasuk jalur serangan. Anda dapat memilih simpul di jalur serangan untuk melihat detail simpul yang dipilih.

   

8. Pilih simpul untuk melihat detail tambahan.

   

9. Pilih Wawasan.

10. Di menu dropdown kerentanan, pilih kerentanan untuk melihat detailnya.

    

11. (Opsional) Pilih Buka halaman kerentanan untuk melihat halaman rekomendasi terkait.

12. Remediasi rekomendasi.

halaman rekomendasi Defender untuk Cloud memungkinkan Anda mengelompokkan rekomendasi berdasarkan judul. Fitur ini berguna ketika Anda ingin memulihkan rekomendasi yang memengaruhi beberapa sumber daya yang disebabkan oleh masalah keamanan tertentu.

Untuk mengelompokkan rekomendasi menurut judul:

1. Masuk ke portal Azure.

2. Navigasi ke Defender untuk Cloud> Recommendations.

3. Pilih Kelompokkan menurut judul.

   

Defender untuk Cloud mendukung aturan tata kelola untuk rekomendasi, untuk menentukan pemilik rekomendasi atau tanggal jatuh tempo untuk tindakan. Aturan tata kelola membantu memastikan akuntabilitas dan SLA untuk rekomendasi.

• Rekomendasi dicantumkan sebagai Tepat waktu hingga tanggal jatuh temponya diteruskan, saat diubah menjadi Terlambat.
• Sebelum rekomendasi terlambat, rekomendasi tidak memengaruhi skor aman.
• Anda juga dapat menerapkan masa tenggang di mana rekomendasi yang terlambat terus tidak memengaruhi skor aman.

Pelajari selengkapnya tentang mengonfigurasi aturan tata kelola.

Untuk mengelola rekomendasi yang ditetapkan kepada Anda:

1. Masuk ke portal Azure.

2. Navigasi ke Defender untuk Cloud> Recommendations.

3. Pilih Tambahkan Pemilik filter>.

4. Pilih entri pengguna Anda.

5. Pilih Terapkan.

6. Dalam hasil rekomendasi, tinjau rekomendasi, termasuk sumber daya yang terpengaruh, faktor risiko, jalur serangan, tanggal jatuh tempo, dan status.

7. Pilih rekomendasi untuk meninjaunya lebih lanjut.

8. Di Ambil tindakan>Ubah pemilik &tanggal jatuh tempo, pilih Edit penugasan untuk mengubah pemilik rekomendasi dan tanggal jatuh tempo jika diperlukan.

   • Secara default, pemilik sumber daya mendapatkan email mingguan yang mencantumkan rekomendasi yang ditetapkan kepada mereka.
   • Jika Anda memilih tanggal remediasi baru, di Justifikasi tentukan alasan remediasi pada tanggal tersebut.
   • Di Atur pemberitahuan email, Anda dapat:
     • Ambil alih email mingguan default kepada pemilik.
     • Beri tahu pemilik setiap minggu dengan daftar tugas terbuka/terlambat.
     • Beri tahu manajer langsung pemilik dengan daftar tugas terbuka.

9. Pilih Simpan.

Anda dapat menggunakan Azure Resource Graph untuk menulis Bahasa Kueri Kusto (KQL) untuk mengkueri data postur keamanan Defender untuk Cloud di beberapa langganan. Azure Resource Graph menyediakan cara yang efisien untuk mengkueri dalam skala besar di seluruh lingkungan cloud dengan menampilkan, memfilter, mengelompokkan, dan mengurutkan data.

Untuk meninjau rekomendasi di Azure Resource Graph:

1. Masuk ke portal Azure.

2. Navigasi ke Defender untuk Cloud> Recommendations.

3. Memilih rekomendasi.

4. Pilih Buka kueri.

5. Anda bisa membuka kueri dengan salah satu dari dua cara:

   • Kueri yang mengembalikan sumber daya yang terpengaruh - Mengembalikan daftar semua sumber daya yang terpengaruh oleh rekomendasi ini.
   • Kueri yang mengembalikan temuan keamanan - Mengembalikan daftar semua masalah keamanan yang ditemukan oleh rekomendasi.

6. Pilih jalankan kueri.

   

7. Tinjau hasilnya.

Setiap rekomendasi keamanan dari Defender untuk Cloud diberi salah satu dari tiga peringkat tingkat keparahan:

• Tingkat keparahan tinggi: Rekomendasi ini harus segera ditangani, karena menunjukkan kerentanan keamanan penting yang dapat dieksploitasi oleh penyerang untuk mendapatkan akses tidak sah ke sistem atau data Anda. Contoh rekomendasi tingkat keparahan tinggi adalah ketika kami telah menemukan rahasia yang tidak terlindungi pada mesin, aturan NSG masuk yang terlalu permisif, kluster yang memungkinkan gambar disebarkan dari registri yang tidak tepercaya, dan akses publik yang tidak dibatasi ke akun penyimpanan atau database.

• Tingkat keparahan sedang: Rekomendasi ini menunjukkan potensi risiko keamanan yang harus ditangani secara tepat waktu, tetapi mungkin tidak memerlukan perhatian segera. Contoh rekomendasi tingkat keparahan sedang mungkin mencakup kontainer yang berbagi namespace host sensitif, aplikasi web yang tidak menggunakan identitas terkelola, komputer Linux yang tidak memerlukan kunci SSH selama autentikasi, dan kredensial yang tidak digunakan ditinggalkan dalam sistem setelah 90 hari tidak aktif.

• Tingkat keparahan rendah: Rekomendasi ini menunjukkan masalah keamanan yang relatif kecil yang dapat ditangani sesuai keinginan Anda. Contoh rekomendasi tingkat keparahan rendah mungkin mencakup kebutuhan untuk menonaktifkan autentikasi lokal yang mendukung ID Microsoft Entra, masalah kesehatan dengan solusi perlindungan titik akhir Anda, praktik terbaik yang tidak diikuti dengan kelompok keamanan jaringan, atau pengaturan pengelogan yang salah dikonfigurasi yang dapat membuatnya lebih sulit untuk mendeteksi dan merespons insiden keamanan.

Tentu saja, tampilan internal organisasi mungkin berbeda dengan klasifikasi Rekomendasi tertentu dari Microsoft. Jadi, selalu ada baiknya untuk meninjau setiap rekomendasi dengan hati-hati dan mempertimbangkan dampak potensialnya pada postur keamanan Anda sebelum memutuskan cara mengatasinya.

Dalam contoh ini, halaman detail rekomendasi ini menunjukkan 15 sumber daya yang terpengaruh:

Saat Anda membuka kueri yang mendasarinya, dan menjalankannya, Azure Resource Graph Explorer mengembalikan sumber daya yang terpengaruh yang sama untuk rekomendasi ini.