查看安全建议

在 Microsoft Defender for Cloud 中，会根据 Azure 订阅、Amazon Web Services （AWS） 帐户和 Google Cloud Platform （GCP） 项目中启用的内置和自定义安全标准评估资源和工作负载。 根据这些评估，安全建议提供了修正安全问题和改善安全状况的实际步骤。

Defender for Cloud 主动使用动态引擎来评估环境中的风险，同时考虑开发的潜在潜力以及对组织的潜在业务影响。 引擎根据每个资源的风险因素确定安全建议的优先级。 环境的上下文决定了这些风险因素。 此上下文包括资源的配置、网络连接和安全状况。

先决条件

• 必须在环境中 启用 Defender 云安全状况管理（CSPM ）。

查看建议页

在尝试了解解决建议所需的过程之前，请查看与建议相关的所有详细信息。 在解决建议之前，请确保所有建议详细信息都是正确的。

查看建议的详细信息：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud>建议。

3. 选择一条建议。

4. 在建议页上，查看以下详细信息：

   • 风险级别 - 基于环境资源上下文（如互联网暴露、敏感数据、横向移动等）对潜在安全问题的漏洞和其对业务的影响进行评估。
   • 风险因素 - 受建议影响的资源的环境因素，这会影响潜在安全问题的漏洞和业务影响。 风险因素的示例包括 Internet 暴露、敏感数据和横向移动潜力。
   • 资源 - 受影响的资源的名称。
   • 状态 - 建议的状态，例如未分配、按时或逾期。
   • 说明 - 安全问题的简要说明。
   • 攻击路径 - 攻击路径数。
   • 范围 - 受影响的订阅或资源。
   • 新鲜度 - 建议的新鲜度间隔。
   • 上次更改日期 - 上次更改此建议的日期。
   • 严重性 - 建议的严重性（高、中或低）。 提供了更多详细信息。
   • 所有者 - 被分配负责建议的人。
   • 截止日期 - 用于解决建议的已分配截止日期。
   • 策略和技术 - 映射到 MITRE ATT&CK 的策略和技术。

浏览建议

您可以执行各种操作来与建议交互。 如果某个选项不可用，则它与建议无关。

若要浏览建议，请：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud>建议。

3. 选择一条建议。

4. 在建议中，可以执行以下操作：

   • 选择 “打开”查询 ，使用 Azure Resource Graph 资源管理器查询查看有关受影响资源的详细信息。

   • 选择 “查看策略定义 ”以查看基础建议的 Azure Policy 条目（如果相关）。

   • 选择查看所有资源的推荐以查看受建议影响的所有资源。

5. 在 采取行动中：

   • 修正：说明解决受影响资源上的安全问题所需的手动步骤。 有关“ 修复 ”选项的建议，可以在将建议的修复应用到资源之前选择 “查看修正逻辑 ”。

   • 建议所有者并设置截止日期：如果为建议启用了 治理规则 ，则可以分配所有者和截止日期。

   • 豁免：可以使用禁用规则从建议中免除资源或禁用特定发现。

   • 工作流自动化：设置逻辑应用以触发此建议。

   

6. 在 “发现”中，可以按严重性查看关联发现。

   

7. 在 Graph 中，可以查看和调查用于风险优先级的所有上下文，包括 攻击路径。 可以在攻击路径中选择一个节点，以查看所选节点的详细信息。

   

8. 通过选择节点来查看更多详细信息。

   

9. 选择“见解”。

10. 在漏洞下拉菜单中，选择漏洞以查看详细信息。

    

11. （可选）选择 “打开漏洞”页 以查看关联的建议页。

12. 修正建议。

按标题分组建议

Defender for Cloud 的建议页允许按标题对建议进行分组。 如果要修正因特定安全问题而影响多个资源的建议，此功能非常有用。

按标题对建议进行分组：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud>建议。

3. 选择“ 按标题分组”。

   

管理分配给你的建议

Defender for Cloud 支持为建议设置治理规则，以便分配建议的负责人和设置行动的截止日期。 治理规则有助于确保问责制和建议的 SLA。

• 在到期日期之前，建议会被标记为准时，过了到期日期后将被更改为逾期。
• 在建议过期之前，它不会影响安全功能分数。
• 还可以应用宽限期，在此期间，逾期建议不会影响安全功能分数。

详细了解 如何配置治理规则。

若要管理分配给你的建议，请执行以下步骤：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud>建议。

3. 选择 添加筛选器>所有者。

4. 选择用户条目。

5. 选择应用。

6. 在建议结果中，查看建议，包括受影响的资源、风险因素、攻击路径、截止日期和状态。

7. 选择建议以进一步查看。

8. 在采取行动>更改所有者和截止日期中，选择编辑指派以根据需要更改建议所有者和截止日期。     - 默认情况下，资源的所有者会收到每周一封电子邮件，其中列出了分配给他们的建议。     - 如果选择新的修正日期，请在 “理由”中指定修正原因。     - 在 设置电子邮件通知中，您可以： - 覆盖默认发送给所有者的每周电子邮件。         - 每周向所有者发送包含未完成/逾期任务列表的通知。         - 将未完成的任务列表通知所有者的直接经理。

9. 选择“保存”。

查看 Azure Resource Graph 中的建议

可以使用 Azure Resource Graph 编写 Kusto 查询语言（KQL） 来跨多个订阅查询 Defender for Cloud 安全状况数据。 Azure Resource Graph 通过查看、筛选、分组和排序数据，提供跨云环境大规模查询的有效方法。

查看 Azure Resource Graph 中的建议：

1. 登录到 Azure 门户。

2. 导航到 Defender for Cloud>建议。

3. 选择一条建议。

4. 选择“打开查询”。

5. 可以通过以下两种方式之一打开查询：

   • 返回受影响的资源的查询 - 返回受此建议影响的所有资源的列表。
   • 返回安全结果的查询 - 返回建议发现的所有安全问题的列表。

6. 选择 “运行查询”。

   

7. 查看结果。

如何分类建议？

Defender for Cloud 中的每个安全建议都提供三种严重性评级之一：

• 高严重性：立即解决这些建议，因为它们指示攻击者可能利用严重安全漏洞来获取对系统或数据的未经授权的访问。 高严重性建议的示例包括计算机上的未受保护的机密、过度宽松的入站 NSG 规则、允许从不受信任的注册表部署映像的群集，以及对存储帐户或数据库的不受限制的公共访问。

• 中等严重性：这些建议指示应及时解决的潜在安全风险，但可能不需要立即注意。 中等严重性建议的示例包括共享敏感主机命名空间的容器、不使用托管标识的 Web 应用、身份验证期间不需要 SSH 密钥的 Linux 计算机，以及 90 天后系统内未使用的凭据。

• 低严重性：这些建议表示在方便时可以解决的相对次要的安全问题。 低严重性建议的示例包括：需要禁用本地身份验证，以改用Microsoft Entra ID；终结点保护解决方案存在健康问题；未遵循网络安全组的最佳做法；或是日志记录设置配置错误，导致更难检测和响应安全事件。

组织的内部视图可能与Microsoft特定建议的分类不同。 因此，最好仔细查看每个建议，并在决定如何解决安全状况之前考虑它对安全状况的潜在影响。

示例：

在此示例中，此建议详细信息页显示 15 个受影响的资源：

打开基础查询并运行该查询时，Azure Resource Graph 资源管理器会为此建议返回相同的受影响资源。

后续步骤