Slutför inventeringen av produktionsinfrastrukturen (Secure Future Initiative)

Pelarnamn: Övervaka och identifiera hot

Mönsternamn: Slutför inventering av produktionsinfrastruktur

Fullständig inventering av produktionsinfrastrukturen är en del av övervakningen och identifierar hotpelaren i SFI (Secure Future Initiative). Den här pelaren fokuserar på att se till att Microsofts miljöer ger hög återgivningstelemetri, omfattande synlighet och avancerade identifieringsfunktioner för att identifiera och svara på växande hot.

En fullständig, korrekt och nära realtidsinventering av alla produktionstillgångar är grundläggande för att driva den här pelaren, vilket möjliggör konsekvent principframtvingande, betrodd telemetri och accelererad hotidentifiering och svar.

Kontext och problem

Allt eftersom företagsmiljöer blir allt mer komplexa – med en blandning av äldre system, molnarbetsbelastningar, API:er och användaridentiteter – blir det allt svårare att hålla synligheten över hela produktionsinfrastrukturen.

Utan fullständig realtidstolkning av vad som finns i miljön:

Hot kan inte identifieras på grund av telemetriblinda fläckar
Säkerhetsprinciper kan tillämpas inkonsekvent
Felkonfigurerade eller ohanterade tillgångar kan medföra sårbarheter som kan undvikas
Program och tjänster kan bevaras långt efter att de har övergivits, vilket ytterligare utökar attackytan

Ofullständiga tillgångsinventeringar bidrar till:

Fördröjd hotidentifiering
Inkonsekvent tillämpning av Noll förtroende-principer
Driftsineffektivitet

Även i Microsofts skala blev det tydligt att ofullständiga tillgångsinventeringar bidrog till fördröjd identifiering, inkonsekvent tillämpning av Zero Trust-principer och driftineffektivitet.

Att behandla infrastrukturens synlighet som en viktig säkerhetsprioritet blir avgörande för att eliminera blinda fläckar och minska risken.

Lösning

För att hantera den här utmaningen lanserade Microsoft det fullständiga inventeringsmålet för produktionsinfrastrukturen under Secure Future Initiative. Målet: kontinuerligt upprätthålla en realtidsinventering av 100% av produktionsinfrastrukturtillgångar – inklusive molnmiljöer, lokala miljöer, hybridmiljöer och containerbaserade miljöer. Den här ansträngningen krävde betydande samordning mellan team och investeringar i skalbar automatisering.

Från Microsoft:

Definierade och identifierade alla produktionstillgångar, inklusive enheter, tjänster, API:er, arbetsbelastningar och integreringar från tredje part
Centraliserad lagerhantering i ett system som kan spåra ändringar nästan i realtid
Utökad revisions- och telemetritäckning för att säkerställa att alla tillgångar avger standardiserade loggar via centralt hanterade agenter.
Integrerade inventeringssystemet med detektionsplattformar för att berika SIEM och hotanalys med realtidsmetadata
Åtgärdade oanvända program – över 730 000 appar har hittills flaggats och tagits bort på ett säkert sätt med hjälp av automatiserad logganalys i Azure Kubernetes Service, som finns i konfidentiella containrar
Implementerade ett arbetsflöde för programreparation för oanvända program som inte har visat aktivitet eller underhåll och flaggats och utvärderats för säker borttagning

Hittills spårar Microsoft centralt mer än 97% av tillgångar i produktionsinfrastrukturen. Dessutom har 99% av nätverksenheter och mer än 95% av noder/datorer central säkerhetsloggsamling med en tvåårig kvarhållningsprincip framtvingad.

Vägledning

Organisationer kan använda ett liknande mönster med hjälp av följande användbara metoder:

Användningsfall	Rekommenderad åtgärd	Resurs
Tillgångsidentifiering	Inventera alla enheter, tjänster, API:er, arbetsbelastningar och program från tredje part	Kritisk tillgångshantering
Identifiering av tillgångar i realtid	Använda automatiserade identifieringsverktyg och IP-attributionssystem för att identifiera tillgångar i realtid	Kritisk tillgångshantering
Centraliserad inventering	Konsolidera poster till ett system som stöder klassificering och livscykelsynlighet Upprätta en mekanism för kontinuerlig uppdatering	Tillstånd för tillgångslivscykel Översikt över uppdateringsprocessen för Microsoft 365-appar
Telemetristandardisering	Distribuera centralt hanterade agenter för att framtvinga konsekvent loggning Bekräfta API-loggningstäckning och spåra luckor i observerbarheten	Konfigurera och visa förbättrad telemetri i Application Insights för Standard-arbetsflöden i Azure Logic Apps Application Insights-telemetridatamodell Självstudie: Övervaka publicerade API:er
Integrering av hotidentifiering	Korrelera loggar med inventeringsmetadata för att förbättra identifieringsåtergivningen Använda analys och ML för att proaktivt identifiera avvikelser	Microsoft Defender Hotinformation Application Insights-telemetridatamodell Microsoft Defender Hotinformation
Oanvänd apphantering	Identifiera inaktiva appar med hjälp av användnings- och inloggningsloggar Verifiera med tjänstägare och tillåt affärskritiska undantag Tillämpa mjuk borttagning med en respitperiod följt av permanent borttagning Kör känsliga arbetslaster i en betrodd exekveringsmiljö	Microsoft Entra-rekommendation: Ta bort oanvända autentiseringsuppgifter från appar Microsoft Entra-rekommendation: Ta bort oanvända program Datakvarhållning, borttagning och destruktion i Microsoft 365 Snabbstart: Skapa konfidentiell virtuell dator på i Azure-portalen
Kör känsliga arbetslaster i en betrodd exekveringsmiljö	Skapa en konfidentiell virtuell dator på Azure-portalen för känsliga arbetsbelastningar	Skapa en konfidentiell virtuell dator i Azure-portalen

Utfall

Microsofts implementering av en centraliserad, omfattande infrastrukturinventering har lett till:

Snabbare hotidentifiering och incidenthantering på grund av förbättrad signalklarhet
Konsekvent tillämpning av Noll förtroende-principer för alla hanterade tillgångar
Eliminering av inaktuella eller överblivna program, vilket minskar attackytan
Proaktiv hållningshantering rotad i betrodd telemetri i realtid

Fördelar

97% kontinuerlig spårningstäckning i produktionsmiljöer
Snabbare hotidentifiering och incidenthantering på grund av förbättrad signalklarhet
Konsekvent nollförtroendetillämpning för alla hanterade tillgångar
Minskad attackyta genom att eliminera inaktuella eller överblivna program
Betrodd telemetri för proaktiv hållningshantering

Kompromisser

Kräver betydande tekniska investeringar i automatisering och telemetristandardisering
Kräver kulturell förändring för att prioritera tillgångssynlighet mellan team
Begränsar användningen av ohanterade eller personliga enheter till förmån för domänanslutna system
Medför risk för avbrott om inaktiva men kritiska appar har tagits bort utan validering

Viktiga framgångsfaktorer

Mät följande för att spåra framgång:

Procentandel av produktionstillgångar med fullständig lagertäckning
Antal ohanterade eller överblivna system som har åtgärdats
Täckningsprocent för infrastrukturtelemetriloggning
Mått för tidsåtgång för detektering och respons före och efter genomförandet av inventering
Mängden oanvända program som reparerats på ett säkert sätt per kvartal

Sammanfattning

En fullständig inventering av produktionsinfrastrukturen är en grundläggande möjliggörare för Säker efter design, Säker som standard och Säkra åtgärder i Microsofts Secure Future Initiative.

Organisationer som förbinder sig till synlighet och telemetristandardisering i realtid kan stärka sin säkerhetsstatus, minska driftrisken och möjliggöra snabbare och effektivare svar. Det är inte bara bästa praxis att skapa en fullständig infrastrukturinventering. det är ett viktigt krav för elastisk och skalbar cybersäkerhet i det moderna företaget.

Börja skapa ditt lager i dag – och aktivera hotidentifiering som fungerar med tydlighet, konsekvens och förtroende.

Feedback

Var den här sidan till hjälp?

Last updated on 2025-08-12