Identifizieren und Behandeln von Problemen mit Angriffspfaden

Defender for Cloud verwendet einen proprietären Algorithmus, um potenzielle Angriffspfade zu finden spezifisch für Ihre Multicloud-Umgebung. Defender for Cloud konzentriert sich auf echte, extern gesteuerte und exploitable Bedrohungen und nicht auf allgemeine Szenarien. Der Algorithmus erkennt Angriffspfade, die außerhalb Ihrer Organisation beginnen und geschäftskritische Ziele erreichen, wodurch Sie das Rauschen reduzieren und schneller reagieren können.

Sie können die Angriffspfadanalyse verwenden, um die Sicherheitsprobleme zu beheben, die unmittelbare Bedrohungen darstellen und das größte Potenzial haben, in Ihrer Umgebung ausgenutzt zu werden. Defender for Cloud analysiert, welche Sicherheitsprobleme Teil von extern offengelegten Angriffspfaden sind, die Angreifer verwenden könnten, um Ihre Umgebung zu verletzen. Außerdem werden die Sicherheitsempfehlungen hervorgehoben, die Sie befolgen sollten, um diese Risiken zu mindern.

Standardmäßig werden Angriffspfade nach Risikostufe organisiert. Das Risikoniveau wird durch ein kontextabhängiges Risikopriorisierungsmodul bestimmt, das die Risikofaktoren jeder Ressource berücksichtigt. Erfahren Sie mehr darüber, wie Defender for Cloud Sicherheitsempfehlungen priorisiert.

Hinweis

Diese Funktion befindet sich derzeit in der Vorschauphase.
Ausführliche Informationen zu aktuellen Lücken und Einschränkungen finden Sie unter "Bekannte Einschränkungen".

Voraussetzungen

Hinweis

Möglicherweise wird eine leere Seite "Angriffspfad" angezeigt, da sich Angriffspfade jetzt auf echte, extern gesteuerte und exploitable Bedrohungen statt auf allgemeine Szenarien konzentrieren. Dies hilft, Lärm zu reduzieren und bevorstehende Risiken zu priorisieren.

Anzeigen von Angriffspfaden, die sich auf Container beziehen:

  • Sie müssen agentlose Containerstatuserweiterung in Defender CSPM aktivieren oder

  • Sie können Defender für Container aktivieren und die entsprechenden Agenten installieren, um Angriffspfade anzuzeigen, die sich auf Container beziehen. Dadurch erhalten Sie auch die Möglichkeit, Workloads auf Datenebene für Container im Sicherheits-Explorer abzufragen.

  • Erforderliche Rollen und Berechtigungen: Sicherheitsleser, Sicherheitsadministrator, Leser, Mitwirkender oder Besitzer.

Identifizieren von Angriffspfaden

Mithilfe der Angriffspfadanalyse können Sie die größten Risiken für Ihre Umgebung ermitteln und beheben.

Die Seite für Angriffspfade enthält eine Übersicht über alle vorhandenen Angriffspfade. Darüber hinaus werden die betroffenen Ressourcen und eine Liste der aktiven Angriffspfade angezeigt.

Screenshot mit einem Beispiel der Homepage für Angriffspfade.

Um Angriffspfade im Azure-Portal zu identifizieren:

  1. Melden Sie sich beim portal Azure an.

  2. Navigieren Sie zu Microsoft Defender for Cloud>Attack-Pfadanalyse.

    Screenshot der Seite „Angriffspfadanalyse“ auf dem Hauptbildschirm

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie einen Knoten aus.

    Screenshot des Bildschirms für Angriffspfade, der zeigt, wo sich die auswählbaren Knoten befinden.

    Hinweis

    Wenn Sie über eingeschränkte Berechtigungen verfügen , insbesondere über Abonnements hinweg, werden möglicherweise keine vollständigen Details des Angriffspfads angezeigt. Dies ist ein erwartetes Verhalten, das zum Schutz vertraulicher Daten entwickelt wurde. Um alle Details anzuzeigen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen.

  5. Wählen Sie Einblick aus, um die zugehörigen Einblicke für diesen Knoten anzuzeigen.

    Screenshot der Registerkarte „Einblicke“ für einen bestimmten Knoten.

  6. Wählen Sie Empfehlungen aus.

    Screenshot, der zeigt, wo Sie Empfehlungen auf dem Bildschirm auswählen können.

  7. Wählen Sie eine Empfehlung aus.

  8. Korrigieren Sie die Empfehlung.

So identifizieren Sie Angriffswege im Defender-Portal:

  1. Melden Sie sich beim portal Microsoft Defender an.

  2. Navigieren Sie zu Expositionsverwaltung>Angriffsfläche>Angriffspfade. Eine Übersicht über Ihre Angriffspfade wird angezeigt.

    Die Angriffspfaderfahrung bietet mehrere Ansichten:

    • Registerkarte "Übersicht": Anzeigen von Angriffspfaden im Laufe der Zeit, top 5 Drosselungspunkte, Top 5 Angriffspfadszenarien, top-Ziele und top Einstiegspunkte
    • Liste der Angriffspfade: Dynamische, filterbare Ansicht aller Angriffspfade mit erweiterten Filterfunktionen
    • Engstellen: Liste der Knotenpunkte, an denen sich mehrere Angriffswege kreuzen und die als hochriskante Engpässe markiert sind.

    Screenshot mit Übersicht über den Angriffspfad im Defender portal.

    Hinweis

    Im Defender-Portal ist die Analyse des Angriffspfads Teil der umfassenderen Exposure Management-Funktionen und bietet eine verbesserte Integration mit anderen Microsoft Sicherheitslösungen und einer einheitlichen Vorfallkorrelation.

  3. Wählen Sie die Registerkarte "Angriffspfade" aus .

    Screenshot mit der Seite

  4. Verwenden Sie die erweiterte Filterung in der Liste "Angriffspfade", um sich auf bestimmte Angriffspfade zu konzentrieren:

    • Risikostufe: Filtern nach Angriffspfaden "Hoch", "Mittel" oder "Niedrig".
    • Ressourcentyp: Konzentrieren Sie sich auf bestimmte Ressourcentypen
    • Wartungsstatus: Anzeigen von aufgelösten, laufenden oder ausstehenden Angriffspfaden
    • Zeitrahmen: Filtern nach bestimmten Zeiträumen (z. B. letzte 30 Tage)

  5. Wählen Sie einen Angriffspfad aus, um die Angriffspfadkarte anzuzeigen, eine graphbasierte Ansicht, die hervorhebt:

    • Anfällige Knoten: Ressourcen mit Sicherheitsproblemen
    • Einstiegspunkte: Externe Zugriffspunkte, an denen Angriffe beginnen könnten
    • Zielressourcen: Kritische Ressourcen, die Angreifer zu erreichen versuchen
    • Drosselungspunkte: Konvergenzpunkte, an denen sich mehrere Angriffspfade schneiden

  6. Wählen Sie einen Knoten aus, um detaillierte Informationen zu untersuchen:

    Screenshot des Angriffspfadbildschirms im Defender-Portal mit Knotenauswahl.

    Hinweis

    Wenn Sie über eingeschränkte Berechtigungen verfügen , insbesondere über Abonnements hinweg, werden möglicherweise keine vollständigen Details des Angriffspfads angezeigt. Dies ist ein erwartetes Verhalten, das zum Schutz vertraulicher Daten entwickelt wurde. Um alle Details anzuzeigen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen.

  7. Überprüfen Sie die Knotendetails, einschließlich:

    • MITRE ATT&CK Taktiken und Techniken: Grundlegendes zur Angriffsmethode
    • Risikofaktoren: Umweltfaktoren, die zu Risiken beitragen
    • Zugehörige Empfehlungen: Sicherheitsverbesserungen zur Behebung des Problems

  8. Wählen Sie Einblick aus, um die zugehörigen Einblicke für diesen Knoten anzuzeigen.

  9. Wählen Sie "Empfehlungen" aus, um umsetzbare Anleitungen mit der Nachverfolgung des Fortschritts anzuzeigen.

    Screenshot, der zeigt, wo im Defender-Portal Empfehlungen ausgewählt werden können.

  10. Wählen Sie eine Empfehlung aus.

  11. Korrigieren Sie die Empfehlung.

    Nachdem Sie mit der Untersuchung eines Angriffspfads fertig sind und alle zugehörigen Ergebnisse und Empfehlungen überprüft haben, können Sie mit dem Korrigieren des Angriffspfads beginnen.

  12. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Behandeln von Angriffspfaden

Nachdem Sie mit der Untersuchung eines Angriffspfads fertig sind und alle zugehörigen Ergebnisse und Empfehlungen überprüft haben, können Sie mit dem Korrigieren des Angriffspfads beginnen.

So beheben Sie einen Angriffsweg im Azure-Portal:

  1. Navigieren Sie zu Microsoft Defender for Cloud>Attack-Pfadanalyse.

  2. Wählen Sie einen Angriffspfad aus.

  3. Wählen Sie Korrektur aus.

    Screenshot des Angriffspfads, der zeigt, wo Sie die Wartung auswählen können

  4. Wählen Sie eine Empfehlung aus.

  5. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Korrigieren aller Empfehlungen in einem Angriffspfad

Die Angriffspfadanalyse bietet Ihnen auch die Möglichkeit, alle Empfehlungen nach Angriffspfad anzuzeigen, ohne jeden Knoten einzeln überprüfen zu müssen. Sie können alle Empfehlungen auflösen, ohne jeden Knoten einzeln anzeigen zu müssen.

Der Korrekturpfad enthält zwei Arten von Empfehlungen:

  • Empfehlungen: Empfehlungen, die den Angriffspfad beseitigen.
  • Zusätzliche Empfehlungen – Empfehlungen , die die Ausbeutungsrisiken verringern, aber nicht den Angriffspfad mindern.

Um alle Empfehlungen im Azure-Portal zu beheben:

  1. Melden Sie sich beim portal Azure an.

  2. Navigieren Sie zu Microsoft Defender for Cloud>Attack-Pfadanalyse.

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie Korrektur aus.

    Screenshot, der zeigt, wo die Anzeige der vollständigen Liste der Empfehlungen auf dem Bildschirm ausgewählt wird.

  5. Erweitern Sie Zusätzliche Empfehlungen.

  6. Wählen Sie eine Empfehlung aus.

  7. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Um alle Empfehlungen im Defender-Portal zu beheben

  1. Melden Sie sich beim portal Microsoft Defender an.

  2. Navigieren Sie zu Expositionsmanagement>Angriffspfadanalyse.

  3. Wählen Sie einen Angriffspfad aus.

  4. Wählen Sie Korrektur aus.

    Hinweis

    Das Defender-Portal bietet eine verbesserte Nachverfolgung des Wartungsfortschritts und kann Korrekturaktivitäten mit umfassenderen Sicherheitsvorgängen und Vorfallverwaltungsworkflows korrelieren.

  5. Erweitern Sie Zusätzliche Empfehlungen.

  6. Wählen Sie eine Empfehlung aus.

  7. Korrigieren Sie die Empfehlung.

Sobald ein Angriffspfad behoben wurde, kann es bis zu 24 Stunden dauern, bis ein Angriffspfad aus der Liste entfernt wird.

Erweiterte Belichtungsmanagement-Funktionen

Das Defender-Portal bietet zusätzliche Funktionen für die Analyse des Angriffspfads über das integrierte Exposure Management Framework:

  • Unified incident correlation: Angriffspfade werden automatisch mit Sicherheitsvorfällen in Ihrem Microsoft Sicherheitsökosystem korreliert.
  • Cross-Product Insights: Angriffspfaddaten werden in Erkenntnisse aus Microsoft Defender for Endpoint, Microsoft Sentinel und anderen Microsoft Sicherheitslösungen integriert.
  • Advanced Threat Intelligence: Erweiterter Kontext von Microsoft Threat Intelligence-Feeds, um Angriffsmuster und Akteurverhalten besser zu verstehen.
  • Integrierte Wartungsworkflows: Optimierte Korrekturprozesse, die automatisierte Antworten über mehrere Sicherheitstools auslösen können.
  • Executive Reporting: Verbesserte Berichterstellungsfunktionen für die Sicherheitsführung mit Unternehmensauswirkungsbewertungen.

Diese Funktionen bieten eine umfassendere Ansicht Ihres Sicherheitsstatus und ermöglichen eine effektivere Reaktion auf potenzielle Bedrohungen, die durch die Analyse des Angriffspfads identifiziert werden.

Erfahren Sie mehr über attackpfade in Defender for Cloud.

Nächster Schritt

Erstellen von Abfragen mit dem Cloudsicherheits-Explorer

  • Last updated on