Übergang von gruppiert zu einzelnen Empfehlungen in Defender for Cloud

Übersicht

Defender for Cloud entwickelt sein Haltungsverwaltungsmodell weiter. Während dieses Übergangs sehen Kunden möglicherweise zwei Empfehlungsmodelle nebeneinander:

  • Gruppierte Empfehlungen (auch als Unterbewertung bezeichnet)
  • Individuelle Empfehlungen

Diese Änderung verbessert die Darstellung, Priorisierung und Verwaltung gruppierter Empfehlungen.

Betriebsbedingt sollten Kunden mit Anpassungen im Workflow rechnen, solange beide Modelle verfügbar sind.

In diesem Artikel wird erläutert, was sich ändert, und es werden die empfohlenen bewährten Methoden beschrieben, die während des Übergangszeitraums effektiv funktionieren.

Gruppierte und einzelne Empfehlungen

In der folgenden Tabelle sind die Verhaltens- und betriebstechnischen Unterschiede zwischen gruppierten und einzelnen Empfehlungen zusammengefasst.

Aspekt Gruppierte Empfehlungen Individuelle Empfehlungen
Verfügbarkeit Im Azure-Portal verfügbar Verfügbar in Azure- und Defender-Portalen
Struktur Aggregiert mehrere Ergebnisse unter einer einzigen übergeordneten Empfehlung (z. B. mehrere Schwachstellen auf virtuellen Computern, die in einer Empfehlung zusammengefasst wurden) Einfache Liste, in der jeder Befund als separate Empfehlung angezeigt wird
Verwaltungsumfang Verwaltet, ausgenommen und nachverfolgt auf der Ebene der gruppierten Empfehlungen Verwaltet und verfolgt nach Befund (Governance), freigestellt und exportiert
Priorisierungsverhalten Priorisierung wird auf gruppierter Ebene angewendet. Priorisierung wird auf der ebene der individuellen Suche angewendet.
Auswirkungen der Sicherheitsbewertung Derzeit trägt es zur „Secure Score“ bei Hat derzeit keinen Einfluss auf den Secure Score (da es sich um eine Vorschau handelt)
Lebenszyklusstatus Während der Übergangsphase als veraltet markiert Stellt das Sicherheitsmodell dar, auf das Defender für die Cloud umstellt.

Beispiele für Modellierungsänderungen:

  • VM-Sicherheitsrisiken → Empfehlung pro Softwareupdate.
  • Geheimnisse → Empfehlung pro Schlüssel-/Geheimnisart.
  • SQL VA-Regeln → Jede Regel wird zu einer unabhängigen Empfehlung.

Annehmen einzelner Empfehlungen

Bewährte Methode: Beginnen Sie mit der Verwendung einzelner Empfehlungen als primäres Modell zur Untersuchung und Behebung. Gruppierte Empfehlungen werden in Kürze veraltet sein.

Die neuen individuellen Empfehlungen sind nun das Best-Practice-Haltungsmodell in Defender für Cloud. Sie bieten klare Vorteile:

  • Granulare und genaue Priorisierung – Jeder Befund wird einzeln bewertet und hilft Ihnen dabei, sich auf das zu konzentrieren, was das Risiko am schnellsten reduziert.

  • Verbesserte Klarheit und Steuerung – Eigentumsrechte, Ausnahmen und Workflows können auf der jeweils richtigen Ebene (pro Erkenntnis) angewendet werden.

  • Konsistenz in Defender – Ein einzelnes, einheitliches Modell in Zukunft.

  • Zukunftssicher – Das ist das Modell, das sich weiter entwickelt und vollständig unterstützt wird.

Was ändert sich?

  • Jedes Ergebnis erscheint als separate Empfehlung.
  • Empfehlungsvolumen kann steigen
  • Priorisierung erfolgt risikobasiert auf der Ebene des individuellen Befunds

Erste Schritte

  • Beginnen Sie mit der Überprüfung und Sichtung von einzelnen Empfehlungen für die tägliche Sicherheitsarbeit
  • Verwenden Sie einzelne Empfehlungen, um Untersuchungen, Korrekturen, Besitz und Ausnahmen zu fördern.
  • Erwarten Sie eine detailliertere und umsetzbare Warteschlange im Vergleich zu gruppierten Empfehlungen.

Verwalten der gleichzeitigen Nutzungserfahrung

Während des Übergangs können beide Empfehlungsmodelle gleichzeitig angezeigt werden.

Bewährte Methode: Steuern Sie aktiv, mit welchem Modell Ihre Teams zusammenarbeiten, um Verwirrung und doppelten Aufwand zu reduzieren.

Ansichten überschaubar halten

  • Verwenden Sie Empfehlungstags, um Ihre Erfahrung zu filtern:
    • Neue Version für individuelle Empfehlungen
    • Für Abschaffung festlegen für gruppierte Empfehlungen
  • Filtern von Ansichten basierend auf dem Modell, das Ihr Team derzeit verwendet
  • Vermeiden Sie, beide Modelle nicht gefiltert zu lassen, es sei denn, es ist explizit erforderlich.

Screenshot der Empfehlungs-Tags-Schnittstelle mit den Optionen „Neue Version“ und „Als veraltet festlegen“ zum Filtern von Empfehlungen.

Sicherheitsbewertung während des Übergangs

Das Verhalten der Sicherheitsbewertung stimmt noch nicht vollständig mit dem individuellen Empfehlungsmodell überein.

Was die Sicherheitsbewertung (Secure Score) heute widerspiegelt

  • Secure Score gilt derzeit nur für gruppierte Empfehlungen (GA)
  • Das Beheben gruppierter Empfehlungen wirkt sich auf die Sicherheitsbewertung aus
  • Einzelne Empfehlungen tragen zurzeit nicht zur Secure Score bei

Bewährte Methode:

  • Verwenden einzelner Empfehlungen für Untersuchung und Risikoreduzierung
  • Überwachen Sie Secure Score weiterhin für Compliance- und Berichterstellungsanforderungen.

Untersuchen und Priorisieren im großen Maßstab

Individuelle Empfehlungen führen zu einer erhöhten Granularität. Um Sich auf die wichtigsten Probleme zu konzentrieren und die erhöhte Granularität einzelner Empfehlungen zu behandeln, bietet Defender für Cloud mehrere Tools und Ansichten, die Ihnen bei der effektiven Untersuchung helfen sollen.

Kategorie-Registerkarten

  • Starten Sie Untersuchungen in der Sicherheitskategorie, die für den Verantwortungsbereich oder das Risikofeld Ihres Teams am relevantesten ist.
  • Verwenden von Kategorien zum Reduzieren von Rauschen und Fokusaufwand

Zu den verfügbaren Kategorien gehören:

  • Alle – Ansicht „Komplette Haltungsansicht“
  • Fehlkonfigurationen – konfigurationsbasierte Risiken
  • Sicherheitsrisiken – Sicherheitsrisiken für Software und Plattform
  • Geheimnisse – Offengelegte Schlüssel und Secrets

Priorisieren von Problemen mit hohen Auswirkungen

Bewährte Methode: Machen Sie kritische und hohe Risikostufen für Ihre Standardbetriebsansicht.

  • Filtern von Empfehlungen nach Risikostufe
  • Beheben von Problemen mit hohen Auswirkungen zuerst, um das Risiko schnell zu reduzieren

Effektives Verwenden von Aggregationsansichten

Aggregierte Ansichten helfen Ihnen, die Behebungsmaßnahmen an Ihre Arbeitsabläufe anzupassen.

  • Nach Titel anzeigen
    • Anzeigen aller Ressourcen für eine einzelne Empfehlung
    • Geeignet für Massenbehebung über mehrere Ressourcen hinweg
  • Nach Ressource anzeigen
    • Zeigt alle Empfehlungen für ein einzelnes Objekt an.
    • Geeignet für Untersuchung auf Asset-Ebene oder zur Isolation hochriskanter Maschinen

Screenshot der Microsoft Defender for Cloud Empfehlungenseite mit Filteroptionen und Ansichtsschaltflächen für Einfache Liste, Nach Titel und Nach Ressource.

Wählen Sie die Aggregation aus, die dem Vorgang entspricht:

  • Weit verbreitete Problembehebung: Nach Titel anzeigen
  • Ressourcenuntersuchung: Nach Ressource anzeigen

So verwalten Sie die neuen individuellen Empfehlungen

Mit dem Übergang zu individualen Empfehlungen, alle Microsoft Defender for Cloud Erfahrungen unterstützen weiterhin Governance rules, Continuous export und Exemptions. Die Hauptänderung besteht darin, wie diese Aktionen eingegrenzt werden.

Einzelne Empfehlungen werden pro Softwareupdate, Geheimschlüssel oder Problemtyp erstellt. Da sie gemäß dem aktuellen Status Ihrer Ressourcen generiert werden, werden Aktionen nicht mehr auf eine einzelne statische Empfehlung angewendet. Stattdessen werden Verwaltungsaktionen jetzt auf der Ebene der Sicherheitskategorie angewendet.

Governance-Regeln, fortlaufender Export und Ausnahmen funktionieren weiterhin wie bisher, aber anstatt auf einen gruppierten Empfehlungsschlüssel abzuzielen, richten Sie sich jetzt auf eine Sicherheitskategorie. Jede Kategorie enthält automatisch alle aktuellen und zukünftigen individuellen Empfehlungen dieses Typs.

Die aktualisierte Verwaltungserfahrung steht in den Umgebungseinstellungen unter Governance-Regeln und Ausnahmeregeln zur Verfügung, wo Sie Besitz, Automatisierung oder Ausnahmen einheitlich auf eine ganze Kategorie einzelner Empfehlungen anwenden können.

Screenshot der verfügbaren Empfehlungskategorien.

Was Sie jetzt tun sollten

  • Nehmen Sie individuelle Empfehlungen für Untersuchung und Behebung an
  • Definieren eines klaren internen Betriebsmodells für den Übergangszeitraum
  • Verwenden von Filtern und Tags zum Einschränken von Ansichten auf das Modell, das Ihr Team aktiv verwendet
  • Priorisieren Sie kritische und hochriskante individuelle Empfehlungen in den täglichen Abläufen
  • Verwenden von Aggregationsansichten zum effizienten Skalieren von Korrekturen und Untersuchungen

Nächste Schritte

  • Last updated on