查看安全建议

在 Microsoft Defender for Cloud 中，资源和工作负载将根据应用于您的 Azure 订阅、Amazon Web Services（AWS）帐户和 Google Cloud Platform（GCP）项目的内置和自定义安全标准进行评估。 根据这些评估，安全建议提供了修正安全问题和改善安全状况的实际步骤。

Defender for Cloud 主动使用一个动态引擎来评估环境中的风险，同时考虑开发的潜在潜力以及对组织的潜在业务影响。 引擎根据每个资源的风险因素确定安全建议的优先级。 环境的上下文决定了这些风险因素。 此上下文包括资源的配置、网络连接和安全状况。

先决条件

• 必须在环境中启用 Defender 云安全状况管理（Defender CSPM）。

  注释

  默认情况下，Defender for Cloud 包含建议，但除非在环境中启用 Defender CSPM，否则看不到 风险优先级 。

查看建议页

查看建议，并确保所有详细信息都正确无误，然后再解决问题。

1. 登录到 Azure 门户。

2. 转到 Defender for Cloud>建议。

3. 选择一条建议。

4. 在建议页上，查看以下详细信息：

   • 风险级别：考虑到 Internet 暴露、敏感数据、横向移动等环境资源上下文，分析根本安全问题的漏洞性质及其对业务的影响。
   • 风险因素：受建议影响的资源的环境因素，这会影响潜在安全问题的漏洞和业务影响。 风险因素的示例包括 Internet 暴露、敏感数据和横向移动潜力。
   • 资源：受影响的资源的名称。
   • 状态：建议的状态，如未分配、按时或逾期。
   • 说明：安全问题的简要说明。
   • 攻击路径：攻击路径数。
   • 范围：受影响的订阅或资源。
   • 新鲜度：建议的新鲜度间隔。
   • 上次更改日期：上次更改此建议的日期。
   • 严重性：建议的严重性： 高、 中或 低。 本文稍后会提供更多详细信息。
   • 所有者：负责建议的人员。
   • 截止日期：用于解决建议的已分配截止日期。
   • 策略和技术：映射到 MITRE ATT&CK 的策略和技术。

浏览建议

可以通过多种方式与建议进行交互。 如果某个选项不可用，这意味着它与建议无关。

1. 登录到 Azure 门户。

2. 转到 Defender for Cloud>建议。

3. 选择一条建议。

4. 在建议中，可以执行以下操作：

   • 若要使用 Azure Resource Graph 资源管理器查询查看有关受影响资源的详细信息，请选择 “打开查询”。
   • 若要查看基础建议的 Azure Policy 条目（如果相关），请选择“ 查看策略定义”。
   • 若要查看建议应用到的所有资源，请选择 “查看所有资源”建议。

5. 在 采取行动中：

   • 修正：说明解决受影响资源上的安全问题所需的手动步骤。 有关“ 修复 ”选项的建议，可以在将建议的修复应用到资源之前选择 “查看修正逻辑 ”。
   • 建议所有者并设置截止日期：如果为建议启用 治理规则 ，则可以分配所有者和截止日期。
   • 豁免：可以使用禁用规则从建议中免除资源或禁用特定发现。
   • 工作流自动化：设置逻辑应用以触发此建议。

   

6. 在 “发现”中，可以按严重性查看关联发现。

   

7. 在 Graph 中，可以查看和调查用于风险优先级的所有上下文，包括 攻击路径。 可以在攻击路径中选择一个节点，以查看所选节点的详细信息。

   

8. 若要查看更多详细信息，请选择节点。

   

9. 选择“见解”。

10. 若要查看详细信息，请从下拉菜单中选择漏洞。

    

11. （可选）若要查看关联的建议页，请选择 “打开漏洞”页。

12. 修正建议。

按标题分组建议

可以使用 Defender for Cloud 建议页按标题对建议进行分组。 如果要修正因特定安全问题而影响多个资源的建议，此功能非常有用。

1. 登录到 Azure 门户。

2. 转到 Defender for Cloud>建议。

3. 选择“ 按标题分组”。

   

管理您分派的建议

Defender for Cloud 支持建议的治理规则。 可以指定建议所有者或设定截止日期。 你可以使用治理规则来帮助确保责任，这些规则还支持服务级别协议（SLA）来提供建议。

• 建议显示为 “按时”，直到截止日期已过。 然后，它们会被更改为逾期。
• 如果建议未分类为 “过期”，则不会影响Microsoft安全功能分数。
• 还可以应用宽限期，以便逾期建议不会影响您的 Secure Score。

详细了解如何配置 治理规则。

要查看分配给您的所有建议：

1. 登录到 Azure 门户。

2. 转到 Defender for Cloud>建议。

3. 选择 添加筛选器>所有者。

4. 选择用户条目。

5. 选择应用。

6. 在建议结果中，查看建议，包括受影响的资源、风险因素、攻击路径、截止日期和状态。

7. 选择建议以进一步查看。

若要对作业进行更改，请完成以下步骤：

1. 转到 执行操作>更改所有者和截止日期。

2. 选择 “编辑分配 ”以更改建议所有者或截止日期。

3. 如果选择新的修正日期，请在 “理由”中指定应按该日期完成修正的原因。   

4. 选择“保存”。

   注释

   更改预期的完成日期时，建议的截止日期不会更改，但安全合作伙伴可以看到你计划按指定日期更新资源。

默认情况下，资源的所有者会收到每周一封电子邮件，其中显示分配给他们的所有建议。

还可以使用 “设置电子邮件通知 ”选项来：

• 替代发送给所有者的默认每周电子邮件。
• 每周向负责人发送包含未完成或逾期任务的列表。
• 将未完成的任务列表通知所有者的直属经理。

查看 Azure Resource Graph 中的建议

可以使用 Azure Resource Graph 编写 Kusto 查询语言 （KQL） 查询，以跨多个订阅查询 Defender for Cloud 安全状况数据。 Azure Resource Graph 通过查看、筛选、分组和排序数据，提供跨云环境大规模查询的有效方法。

1. 登录到 Azure 门户。

2. 转到 Defender for Cloud>建议。

3. 选择一条建议。

4. 选择“打开查询”。

5. 可以通过以下两种方式之一打开查询：

   • 返回受影响的资源的查询：返回建议影响的所有资源的列表。
   • 返回安全结果的查询：返回建议找到的所有安全问题的列表。

6. 选择 “运行查询”。

   

7. 查看结果。

如何分类建议？

Defender for Cloud 中的每个安全建议都提供三种严重性评级之一。

高严重性

建议立即解决这些建议。 他们表示攻击者可能会利用严重安全漏洞来未经授权访问系统或数据。

高严重性建议的示例包括：

• 计算机上未受保护的机密。
• 入站网络安全组规则过于宽松。
• 允许从不受信任的注册表部署镜像的群集。
• 对存储帐户或数据库的不受限制的公共访问。

中等严重性

这些建议表明存在潜在的安全风险。 建议及时解决这些建议，但它们可能不需要立即注意。

中等严重性建议的示例包括：

• 共享敏感主机命名空间的容器。
• 不使用托管标识的 Web 应用。
• 身份验证期间不需要 SSH 密钥的 Linux 计算机。
• 系统中未使用的凭据在 90 天不活跃后仍留在系统中。

低严重性

这些建议表明在方便时可以解决的相对次要的安全问题。

低严重性建议的示例包括：

• 使用本地身份验证，而不是Microsoft Entra ID。
• 终结点保护解决方案存在健康问题。
• 用户不遵循网络安全组的最佳做法。
• 配置错误的日志记录设置，这可能更难检测和响应安全事件。

组织的内部策略可能与Microsoft特定建议的分类不同。 建议始终仔细查看每个建议，并在决定如何解决安全状况之前考虑其可能对安全状况产生的影响。

示例：

在此示例中， “建议详细信息 ”页显示 15 个受影响的资源：

打开并运行基础查询时，Azure Resource Graph 资源管理器会为此建议返回相同的受影响资源。

相关内容

• 修正安全建议