Controllare la crittografia del dispositivo con Microsoft Defender
Un dispositivo può apparire integro in una console, ma è comunque necessario verificare la sicurezza quando cambia il comportamento di crittografia, i dati di telemetria diventano obsoleti o la configurazione non corrisponde più alla baseline. Microsoft Defender consente di controllare tale comportamento combinando dati di inventario dei dispositivi, valutazioni di configurazione sicure e query di ricerca avanzate.
In questa unità si esamina quale telemetria di Defender supporta il controllo della crittografia, come eseguire query sulle valutazioni correlate alla crittografia e come individuare anomalie che richiedono un'indagine. Questo approccio integra il report di crittografia Intune dell'unità precedente offrendo ai team delle operazioni di sicurezza una visualizzazione incentrata sulla ricerca dei rischi di crittografia.
| Domanda di controllo | Telemetria di Defender da usare | Cosa si apprende |
|---|---|---|
| Quali dispositivi segnalano i dati di configurazione correlati alla crittografia? | Proteggere i dati di valutazione della configurazione | Se Gestione delle vulnerabilità di Defender valuta un controllo correlato alla crittografia per il dispositivo. |
| Quali dispositivi hanno esito negativo per un controllo correlato alla crittografia? | Stato di conformità nelle valutazioni della configurazione sicura | Indica se un dispositivo è applicabile ma non conforme alla configurazione di sicurezza prevista. |
| Quali dispositivi devono essere esaminati con priorità? | Inventario dei dispositivi e contesto del dispositivo | Indica se il dispositivo è attivo, critico, esposto o parte di un gruppo di dispositivi specifico. |
| Quali risultati sembrano insoliti? | Modelli di query di ricerca avanzati | Indica se lo stato di crittografia, l'applicabilità o l'aggiornamento dei report differisce dalla baseline prevista. |
Eseguire il mapping dei dati di telemetria di Defender all'obiettivo di controllo
Un controllo affidabile inizia con la conoscenza del contributo di ogni origine di telemetria. la telemetria di sicurezza degli endpoint di Microsoft Defender non sostituisce i criteri di BitLocker o Intune report di crittografia. Offre invece dati delle operazioni di sicurezza che consentono di verificare se il comportamento dell'endpoint è allineato alla baseline prevista.
- La ricerca avanzata è un'esperienza di analisi basata su query nel portale di Microsoft Defender. Si usa Linguaggio di query Kusto, detto anche KQL, per cercare i dati di dispositivo, avviso e valutazione.
- Gestione delle vulnerabilità di Defender fornisce valutazioni di configurazione sicure, che indicano se una configurazione del dispositivo specifica si applica a un dispositivo e se il dispositivo segnala come conforme.
| Origine dati | Ruolo nel controllo della crittografia | Campi chiave da esaminare |
|---|---|---|
DeviceTvmSecureConfigurationAssessment |
Fornisce i risultati della valutazione per dispositivo per configurazioni sicure. |
DeviceId, DeviceName, ConfigurationId, IsApplicable, IsCompliant, Timestamp, Context |
DeviceTvmSecureConfigurationAssessmentKB |
Aggiunge nomi di configurazione leggibili, descrizioni, dettagli sui rischi e indicazioni per la correzione. |
ConfigurationId, ConfigurationName, ConfigurationDescription, RiskDescription, RemediationOptions |
DeviceTvmInfoGathering |
Aggiunge il contesto di inventario dei dispositivi per la valutazione e l'ambito. |
DeviceId, DeviceName, OSPlatform, Timestamp, LastSeenTime, AdditionalFields |
| Dati di valutazione della configurazione sicura esportati | Supporta controlli più grandi e report offline. | Snapshot di configurazione corrente per dispositivo, inclusi l'applicabilità e lo stato di conformità. |
Usare la tabella di valutazione e knowledge base tabella insieme. La tabella di valutazione indica i report di ogni dispositivo. La tabella knowledge base indica il significato della valutazione.
Trovare valutazioni correlate alla crittografia prima di controllare i dispositivi
Un buon controllo evita gli identificatori di configurazione hardcoded prima di convalidarli nel tenant. I nomi di configurazione e la disponibilità sicuri possono variare in base alla piattaforma, alle licenze e agli aggiornamenti del servizio. Per iniziare, individuare le configurazioni correlate alla crittografia attualmente esposte da Defender.
Eseguire una query di individuazione in Ricerca avanzata. La query cerca nella configurazione sicura knowledge base nomi o descrizioni che menzionano BitLocker o la crittografia.
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId,
ConfigurationName,
ConfigurationCategory,
ConfigurationSubcategory,
ConfigurationImpact,
ConfigurationDescription,
RiskDescription,
RemediationOptions
| order by ConfigurationImpact desc, ConfigurationName asc
| Passaggio della query | Finalità | Valore di controllo |
|---|---|---|
| Nomi e descrizioni di ricerca | Trova configurazioni sicure correlate alla crittografia senza assumere un identificatore fisso. | Mantiene resiliente il controllo quando cambiano i nomi di configurazione. |
| Dettagli di configurazione del progetto | Mostra il nome della valutazione leggibile, il rischio e le indicazioni per la correzione. | Consente di decidere quale valutazione appartiene al controllo della crittografia. |
| Ordina in base all'impatto | Places prima di tutto i risultati della configurazione a impatto più elevato. | Supporta la definizione delle priorità in base al rischio. |
Dopo aver identificato le righe di configurazione pertinenti, usare i relativi ConfigurationId valori per esaminare i risultati a livello di dispositivo. Questo modello in due passaggi riduce i falsi presupposti e semplifica la spiegazione del controllo a un altro amministratore.
Controllare il comportamento di crittografia con ricerca avanzata
Un controllo della postura risponde a tre domande pratiche: la valutazione si applica al dispositivo? Il dispositivo segnala come conforme? Il risultato è abbastanza recente da essere considerato attendibile? La query seguente aggiunge i risultati della valutazione con knowledge base dettagli e il record di inventario dei dispositivi più recente.
let EncryptionConfigurations =
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId,
ConfigurationName,
ConfigurationCategory,
ConfigurationSubcategory,
ConfigurationImpact,
RiskDescription,
RemediationOptions;
let LatestDeviceInfo =
DeviceTvmInfoGathering
| summarize arg_max(Timestamp, *) by DeviceId
| project DeviceId,
InventoryDeviceName = DeviceName,
OSPlatform;
DeviceTvmSecureConfigurationAssessment
| where IsApplicable == true
| join kind=inner EncryptionConfigurations on ConfigurationId
| join kind=leftouter LatestDeviceInfo on DeviceId
| project AssessmentTime = Timestamp,
DeviceName,
InventoryDeviceName,
OSPlatform,
ConfigurationName,
IsCompliant,
IsApplicable,
ConfigurationImpact,
RiskDescription,
RemediationOptions,
Context
| order by IsCompliant asc, ConfigurationImpact desc, AssessmentTime desc
| Modello di risultato | Che cosa significa | Come si risponde |
|---|---|---|
IsApplicable è true ed IsCompliant è false |
Il dispositivo è nell'ambito della valutazione, ma non riesce la configurazione sicura prevista. | Confrontare la ricerca con il report di crittografia Intune ed esaminare i dettagli del dispositivo. |
IsApplicable è vero ed IsCompliant è vero |
Il dispositivo passa la valutazione correlata alla crittografia. | Usare il risultato come supporto dell'evidenza di controllo. |
| Campi di inventario dei dispositivi mancanti | Defender dispone di dati di valutazione ma di un contesto di inventario corrente limitato. | Confermare lo stato di onboarding, l'integrità del sensore e l'identità del dispositivo. |
Context contiene dettagli aggiuntivi |
Defender fornisce informazioni aggiuntive specifiche della valutazione. | Usare il contesto per perfezionare il passaggio di query o indagine successivo. |
Usare l'output della query come coda di controllo anziché come decisione finale. La telemetria di Defender offre una visualizzazione di valutazione della sicurezza. Intune rimane la posizione migliore per convalidare l'assegnazione dei criteri, l'idoneità alla crittografia, il deposito delle chiavi di ripristino e lo stato dei criteri di conformità.
Rilevare anomalie che richiedono un'indagine
Un'anomalia è un risultato che non corrisponde alla baseline di crittografia prevista. In questo scenario si cercano i dispositivi che non soddisfano le valutazioni correlate alla crittografia, i dispositivi con timestamp di valutazione non aggiornati e i dispositivi in cui più controlli correlati alla crittografia non sono allineati.
La query seguente crea una visualizzazione anomalie compatta. Raggruppa i risultati della valutazione correlati alla crittografia in base al dispositivo ed evidenzia i dispositivi che non riescono almeno a un controllo applicabile o hanno dati di valutazione precedenti.
let FreshnessThreshold = 7d;
let EncryptionConfigurations =
DeviceTvmSecureConfigurationAssessmentKB
| where ConfigurationName has_any ("BitLocker", "Encryption", "Encrypt")
or ConfigurationDescription has_any ("BitLocker", "Encryption", "Encrypt")
or RiskDescription has_any ("BitLocker", "Encryption", "Encrypt")
| project ConfigurationId, ConfigurationName, ConfigurationImpact;
DeviceTvmSecureConfigurationAssessment
| where IsApplicable == true
| join kind=inner EncryptionConfigurations on ConfigurationId
| summarize LatestAssessment = max(Timestamp),
ApplicableControls = dcount(ConfigurationId),
FailedControls = countif(IsCompliant == false),
FailedControlNames = make_set_if(ConfigurationName, IsCompliant == false),
HighestImpact = max(ConfigurationImpact)
by DeviceId, DeviceName, OSPlatform
| extend AssessmentAge = now() - LatestAssessment
| where FailedControls > 0 or AssessmentAge > FreshnessThreshold
| order by FailedControls desc, HighestImpact desc, AssessmentAge desc
| Potenziale anomalia | Perché è importante | Indagine |
|---|---|---|
| Uno o più controlli non riusciti | Il dispositivo non corrisponde alla configurazione sicura prevista. | Esaminare Intune stato dei criteri, lo stato di BitLocker e i dettagli del dispositivo Defender. |
| Timestamp di valutazione non aggiornato | Il dispositivo non fornisce prove recenti. | Controllare l'integrità del sensore, lo stato di onboarding, la connettività di rete e l'ora dell'ultima visualizzazione. |
| Controllo con impatto elevato non riuscito | La ricerca ha una maggiore influenza sul comportamento di sicurezza. | Assegnare priorità al dispositivo prima dei risultati a impatto inferiore. |
| Errori ripetuti in un gruppo di dispositivi | Il problema può essere causato da criteri condivisi, hardware o condizioni di distribuzione. | Raggruppare in base alla versione del sistema operativo o al modello di dispositivo, se disponibile. |
Se sono necessarie prove ricorrenti al di fuori della conservazione avanzata della ricerca, esportare i dati di valutazione della configurazione sicura e archiviare gli snapshot nella piattaforma di creazione di report. I dati di valutazione esportati rappresentano lo stato corrente in fase di esportazione, pertanto le tendenze di controllo cronologico dipendono dal salvataggio di ogni snapshot.
Trasformare i risultati del controllo in un flusso di lavoro di analisi
Un controllo di crittografia utile produce un'azione, non solo un elenco. Iniziare con valutazioni con impatto elevato non riuscite, quindi correlare il risultato di Defender con il report di crittografia Intune, lo stato di conformità e i dettagli del dispositivo. Questa sequenza consente di separare i veri gap di crittografia dalla segnalazione di ritardi o dati di telemetria non aggiornati.
| Passaggio | Azione | Risultato |
|---|---|---|
| 1 | Individuare le configurazioni sicure correlate alla crittografia nel knowledge base. | Si sa quali valutazioni di Defender appartengono al controllo. |
| 2 | Eseguire query sui risultati della valutazione del dispositivo applicabile. | Si identificano i dispositivi che superano o non riescono i controlli correlati alla crittografia. |
| 3 | Aggiungere il contesto di inventario dei dispositivi. | La priorità viene assegnata in base al sistema operativo, al tipo di join o alla criticità aziendale. |
| 4 | Rilevare i risultati non riusciti o non aggiornati. | L'analisi è incentrata sui dispositivi che presentano un rischio di controllo. |
| 5 | Correlazione con Intune. | Si verificano criteri, conformità della crittografia, stato della crittografia e impatto sulla conformità. |
Questo flusso di lavoro offre un modo ripetibile per controllare il comportamento di crittografia dal lato delle operazioni di sicurezza.