適用於雲端的 Defender 中的安全分數
適用於雲端的 Microsoft Defender 的安全分數可協助您改善雲端安全性態勢。 安全分數將所有安全性結果彙總成單一分數,讓您可以速覽並評估目前的安全性狀態。 分數越高,識別的風險層級就越低。
當您在訂用帳戶開啟適用於雲端的 Defender 時,依照預設,會在訂用帳戶中套用 Microsoft 雲端安全性基準 (MCSB) 標準。 開始依據 MCSB 標準評估範圍中的資源。
MCSB 會根據評估結果發出建議。 只有來自 MCSB 的內建建議會影響安全分數。 目前,風險優先順序不會影響安全分數。
注意
標示為 [預覽] 的建議不會包含在安全分數的計算中。 您仍應盡可能補救這些建議,以在預覽期間結束時計入您的分數。 預覽建議會標示圖示:。
檢視安全分數
當您檢視適用於雲端的 Defender 概觀儀表板時,您可以檢視所有環境的安全分數。 儀表板會以百分比值顯示安全分數,並包含基礎值。
Azure 行動應用程式會以百分比值顯示安全分數。 點選以查看說明分數的詳細資料。
探索您的安全性狀態
適用於雲端的 Defender 中的 [安全性態勢] 頁面會顯示整體環境與每個環境的安全分數。
在此頁面上,您可以看到影響整體分數的訂用帳戶、帳戶和專案、狀況不良資源的相關資訊,以及相關建議。 您可以依環境進行篩選,例如 Azure、Amazon Web Services (AWS)、Google Cloud Platform (GCP) 和 Azure DevOps。 然後,您可以向下切入至每個 Azure 訂用帳戶、AWS 帳戶和 GCP 專案。
安全分數計算
在適用於雲端的 Defender 中的 [建議] 頁面上,[安全分數建議] 索引標籤會顯示 MCSB 中的合規性控制項對整體安全分數的影響。
適用於雲端的 Defender 會針對每個 Azure 訂用帳戶或每個 AWS 或 GCP 雲端連接器,每 8 小時計算一次每個控制項。
重要
控制項中的建議更新頻率高於控制項本身。 您可能會發現建議的資源計數與控制項的資源計數不一致。
控制的範例分數
下列範例著重於補救弱點的安全分數建議。
此範例說明建議中的下列欄位。
欄位 | 詳細資料 |
---|---|
補救弱點 | 探索和解決已知弱點的建議群組。 |
最高分數 | 完成控制項內所有建議可獲得的點數上限。 控制的最高分數表示該控制的相對重要性,且對於每個環境都是固定的。 使用此資料行中的值來判斷要先處理哪些問題。 |
目前分數 | 此控制項的目前分數。 目前分數 = [每個資源的分數] * [良好的資源數目] 每個控制項對總分數都有貢獻。 在此範例中,這個控制項對目前的總分貢獻 3.33 點。 |
可能增加的分數 | 控制項內您可用的剩餘點數。 如果您修復此控制項中的所有建議,則分數將會增加 4%。 潛在增加的分數 = [每個資源的分數] * [狀況不良的資源數目] |
深入解析 | 每個建議的額外詳細資料,例如: - 預覽建議:這項建議只有在正式推出時會影響安全分數。 - 修正程式:解決此問題。 - 強制執行:自動部署原則,以便在有人建立不符合規範的資源時修正此問題。 - 拒絕:防止建立含有此問題的新資源。 |
分數計算方程式
以下說明分數計算方式。
安全性控制項
判斷安全性控制項分數的方程式為:
每個控制項的目前分數都是該控制項內資源狀態的量值。 每個個別安全性控制項都對安全分數有所貢獻。 受到控制項中建議影響的每個資源,都對控制項的目前分數有所貢獻。 安全分數不包含預覽建議中找到的資源。
在下列範例中,最高分數 6 會除以 78,因為這是狀況良好和狀況不良的資源數總和。 因此,6 / 78 = 0.0769。 再乘以狀況良好的資源數目 (4),得到目前的分數:0.0769 * 4 = 0.31。
單一訂用帳戶或連接器
判斷單一訂用帳戶或連接器安全分數的方程式為:
下列範例有單一訂用帳戶或連接器,採用所有可用的安全性控制項 (可能的最高分數為 60 點)。 此分數顯示佔獲得的 60 點中的 29 點。 其餘的 31 點會反映在安全性控制項的可能增加的分數圖表中。
此方程式與連接器的方程式相同,只是將訂用帳戶這個字取代為連接器這個字。
多個訂用帳戶和連接器
判斷多個訂用帳戶和連接器安全分數的方程式為:
多個訂用帳戶和連接器的合併分數會包含每個訂用帳戶和連接器的「權數」。 適用於雲端的 Defender 會依據資源數目之類的因素來決定訂用帳戶和連接器的相對權數。 每個訂用帳戶和連接器目前分數的計算方式與單一訂用帳戶或連接器的計算方式相同,但接著會套用權數,如方程式所示。
當您檢視多個訂用帳戶和連接器時,安全分數會評估所有已啟用原則中的所有資源,並加以分組。 分組會顯示這些資源如何共同影響每個安全性控制項的最高分。
合併分數不是平均值, 而是所有訂用帳戶和連接器中所有資源狀態的評估態勢。 如果您移至 [建議] 頁面,並且將可能可用的點數相加,就會發現這就是目前分數 (22) 與可用最高分數 (58) 之間的差異。
改善安全分數
MCSB 是由一系列合規性控制項組成。 每個控制都是相關安全性建議的邏輯群組,而且會反映您的易受攻擊面。
若要了解組織保護每個受攻擊面的成效如何,請檢閱每個安全性控制的分數。 只有在您補救所有建議時,才會提升分數。
若要取得安全性控制的所有可能點數,您的所有資源都必須遵守安全性控制內的所有安全性建議。 例如,適用於雲端的 Defender 有多個如何保護管理連接埠的建議。 您必須補救所有建議,您的安全分數才會產生變化。
您可以使用下列其中一種方法來提升您的安全分數:
- 請補救建議清單中的安全性建議。 您可以針對每個資源手動補救每個建議,或使用 [修正] 選項 (可用時) 以快速解決多個資源的問題。
- 強制執行或拒絕建議以提升您的分數,並確定您的使用者不會建立對分數造成負面影響的資源。
安全分數控制項
下表列出適用於雲端的 Microsoft Defender 中的安全性控制項。 在每個控制項下,您可以看到當您為「所有」資源補救控制項中列出的「所有」建議時,能為安全分數增加的最高點數。
安全分數 | 安全性控制項 |
---|---|
10 | 啟用 MFA:適用於雲端的 Defender 在 MFA 上具有高價值。 使用這些建議有助於保護訂用帳戶的使用者。 有三種方式可啟用 MFA 並符合建議的規範:安全性預設值、每個使用者指派和條件式存取原則。 |
8 | 安全管理連接埠:暴力密碼破解攻擊通常是以管理連接埠為目標。 使用這些建議,以使用 Just-In-Time VM 存取和網路安全性群組這類工具來降低您的暴露程度。 |
6 | 套用系統更新:不套用更新會留下未修補的弱點,並造成容易受到攻擊的環境。 使用這些建議來維持營運效率、減少安全性弱點,並為使用者提供更穩定的環境。 若要部署系統更新,您可以使用更新管理解決方案來管理機器的修補程式和更新。 |
6 | 補救弱點:弱點評估工具將弱點回報給適用於雲端的 Defender 時,適用於雲端的 Defender 會以建議的形式呈現發現結果和相關資訊。 使用這些建議,來補救已識別的弱點。 |
4 | 補救安全性設定:設定錯誤的 IT 資產被攻擊的風險較高。 使用這些建議,以強化基礎結構中識別到的錯誤設定。 |
4 | 管理存取權和權限:安全性計畫的核心部分是確保您的使用者剛好擁有執行其工作所需的存取權:最低權限存取模型。 使用這些建議來管理您的身分識別和存取需求。 |
4 | 啟用待用加密:使用這些建議,可確保您降低儲存資料保護方面的錯誤設定風險。 |
4 | 加密傳輸中資料:使用這些建議有助於保護在元件、位置或程式之間移動的資料。 這類資料容易受到中間人攻擊、竊聽和工作階段劫持。 |
4 | 限制未經授權的網路存取:Azure 提供一套工具,協助您為網路存取提供高安全性標準。 使用這些建議來管理適用於雲端的 Defender 中的自適性網路強化,確保為所有相關的平台即服務 (PaaS) 服務設定了 Azure Private Link,在虛擬網路上啟用 Azure 防火牆等等。 |
3 | 套用自適性應用程式控制:自適性應用程式控制是一種智慧型且自動化的端對端解決方案,可控制哪些應用程式可以在您的機器上執行。 它也有助於強化機器,防範惡意程式碼的攻擊。 |
2 | 保護應用程式防範 DDoS 攻擊:Azure 中的進階網路安全性解決方案包括 Azure DDoS 保護、Azure Web 應用程式防火牆,以及適用於 Kubernetes 的 Azure 原則附加元件。 使用這些建議,有助於使用這些工具及其他工具來保護應用程式。 |
2 | 啟用端點保護:適用於雲端的 Defender 檢查您組織的端點是否有使用中的威脅偵測和回應解決方案,例如適用於端點的 Microsoft Defender 或此清單中顯示的任何主要解決方案。 如果未啟用任何端點偵測及回應 (EDR) 解決方案,請使用這些建議來部署適用於端點的 Microsoft Defender。 適用於端點的 Defender 包含在適用於伺服器的 Defender 方案中。 此控制中的其他建議可協助您部署代理程式及設定檔案完整性監視。 |
1 | 啟用稽核和記錄:詳細記錄是事件調查和其他許多疑難排解作業的重要部分。 此控制項中的建議著重於確保您已在相關時啟用診斷記錄。 |
0 | 啟用增強的安全性功能:使用這些建議來啟用任何適用於雲端的 Defender 方案。 |
0 | 實作安全性最佳做法:此建議集合對於組織安全性很重要,但不會影響您的安全分數。 |