Auswerten von Sicherheitsrisikoüberprüfungen von Microsoft Defender for Server

  • 7 Minuten

Wenn Ihr Tool für die Sicherheitsrisikobewertung Sicherheitsrisiken an Defender für Cloud meldet, werden die Ergebnisse und die zugehörigen Informationen in Defender für Cloud in Form von Empfehlungen angezeigt. Darüber hinaus enthalten die Ergebnisse zugehörige Informationen, etwa Problembehandlungsschritte, relevante CVEs, CVSS-Bewertungen und mehr. Sie können die identifizierten Sicherheitsrisiken für ein oder mehrere Abonnements oder für einen bestimmten virtuellen Computer anzeigen.

Anzeigen der Ergebnisse aus den Scans Ihrer virtuellen Computer

So zeigen Sie Ergebnisse der Sicherheitsrisikobewertung (von allen konfigurierten Überprüfungen) an und entschärfen identifizierte Sicherheitsrisiken:

  1. Öffnen Sie im Menü von Defender für Cloud die Seite Empfehlungen.

  2. Wählen Sie die Empfehlung Ermittelte Sicherheitsrisiken für Computer müssen behoben werden aus.

    • In Defender für Cloud werden die gesamten Ergebnisse für alle VMs unter den derzeit ausgewählten Abonnements angezeigt. Die Ergebnisse werden nach Schweregrad sortiert.

  3. Öffnen Sie zum Filtern der Ergebnisse nach einer bestimmten VM den Abschnitt Betroffene Ressourcen, und klicken Sie auf die gewünschte VM. Alternativ dazu können Sie in der Ansicht zur Ressourcenintegrität eine VM auswählen, und alle relevanten Empfehlungen für die Ressource anzeigen.

    • In Defender für Cloud werden die Ergebnisse für diesen virtuellen Computer sortiert nach Schweregrad aufgeführt.

  4. Wählen Sie ein Sicherheitsrisiko aus, um mehr Informationen dazu anzuzeigen.

    • Der angezeigte Detailbereich enthält umfassende Informationen zum Sicherheitsrisiko, z. B.:

      • Links zu allen relevanten CVEs (falls verfügbar)
      • Schritte zur Bereinigung
      • Alle zusätzlichen Referenzseiten

  5. Führen Sie die Schritte zur Bereinigung aus, die in diesem Detailbereich angegeben sind, um ein Sicherheitsrisiko zu beseitigen.

Deaktivieren bestimmter Ergebnisse

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung und erzeugen kein unerwünschtes Rauschen.

Wenn eine Suche mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird sie nicht in der Liste der Ergebnisse angezeigt. Zu den typischen Szenarien gehören:

  • Deaktivieren von Ergebnissen mit einem Schweregrad unterhalb des Mittelwerts
  • Deaktivieren von nicht patchbaren Ergebnissen
  • Deaktivieren von Ergebnissen mit einer CVSS-Bewertung unter 6,5
  • Deaktivieren von Ergebnissen mit spezifischem Text in der Sicherheitsüberprüfung oder -kategorie (z. B. „RedHat“, „CentOS Security Update for sudo“)

Wichtig

Zum Erstellen einer Regel benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy.

Erstellen einer Regel

  1. Wählen Sie auf der Detailseite „Empfehlungen“ die Option Regel deaktivieren für „Ermittelte Sicherheitsrisiken für Computer müssen behoben werden“ aus.

  2. Wählen Sie den entsprechenden Gültigkeitsbereich aus.

  3. Definieren Sie Ihre Kriterien. Sie können auch eines der folgenden Kriterien verwenden:

    • Ergebnis-ID
    • Category
    • Sicherheitsüberprüfung
    • CVSS-Bewertungen (v2, v3)
    • severity
    • Patchbarkeitsstatus

  4. Wählen Sie Regel anwenden aus.

    Wichtig

    Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam wird.

  5. So können Sie eine Regel anzeigen, überschreiben oder löschen

    • Wählen Sie Regel deaktivieren aus.
    • In der Bereichsliste werden Abonnements mit aktiven Regeln als Rule applied (Angewandte Regel) angezeigt.
    • Um die Regel anzuzeigen oder zu löschen, wählen Sie das Menü mit den Auslassungspunkten (...) aus.

Exportieren der Ergebnisse

Um die Ergebnisse der Sicherheitsrisikobewertung zu exportieren, müssen Sie Azure Resource Graph (ARG) verwenden. Dieses Tool bietet sofortigen Zugriff auf Ressourceninformationen in Ihren gesamten Cloudumgebungen mit robusten Funktionen zum Filtern, Gruppieren und Sortieren. Es ist eine schnelle und effiziente Möglichkeit, Informationen über Azure-Abonnements programmgesteuert oder aus dem Azure-Portal heraus abzufragen.