調查結果
發現頁面顯示按風險排序的所有發現的表格。發現是針對您的身份基礎設施運行的姿態檢查的輸出。每個發現都有一個狀態、分配的風險級別和類別。
發現狀態
新的發現狀態為開放,您可以在處理和減輕問題時從發現詳細信息中更改。狀態可以是以下之一:
- 開啟:該發現尚未得到解決或仍然存在於環境中。
- 已解決:該發現已被解決或減輕。
- 已解除:該發現是預期的,無需處理。
發現風險級別
每個發現根據基礎檢查和對您的組織可能造成的安全風險分配以下風險級別之一:
- 嚴重:發現應立即處理,因為它構成了重大風險。
- 高度:發現應立即處理。
- 中:發現應該處理,但它不構成重大風險。
- 低:發現構成輕微風險。
- 資訊:發現構成幾乎沒有風險,但應在有時間時進行審查。
發現類別
根據所執行的檢查類型,結果被分類如下,並在適用時與 MITRE ATT&CK 框架對齊:
- 使用者行為
- 設定
- Entra 條件訪問差距
- 休眠資源
- 橫向運動
- 憑證外洩
- 持續性
- 權限提升
- 防禦躲避
- 外洩
篩選結果
通過優先處理風險級別最高的結果來篩選結果,以對減少身份攻擊面和改善姿態分數產生最大的影響。
Warning
根據您的業務需求、獨特環境、風險承受能力和解決問題的能力來評估每個結果及其建議。這很重要,因為配置更改可能對用戶、應用程序和訪問產生不利影響。確保根據您的環境評估這種潛在影響,並在可能的情況下在應用建議之前進行測試。
可能無法修復所有結果,因為可能存在超出您控制範圍的問題,例如需要提升權限的第三方應用程序或僅支持較弱的身份驗證機制。然而,這些仍然代表著您組織的潛在風險,您應該意識到並持續監控。
在評估結果後,採取以下行動之一:
- 通過在識別問題的身份系統內修復問題來解決結果,以便在下次計算整體風險分數時將其從中刪除,這一計算每 24 小時進行一次。
- 駁回該結果,這將抑制該對象未來的此結果實例,並將其排除在整體風險分數之外。該結果將繼續在結果表中可用,但不會包含在儀表板中。
- 將結果保持為開放狀態,以跟踪無法解決的結果,這將繼續對您的整體風險分數產生影響。
身份結果表
身份結果表包括控制項以排序、篩選和排列數據。使用表左側的可折疊篩選菜單來縮小結果列表。
當您選擇篩選器時,表格和 URL 會動態更新以反映您的選擇。您可以與同事分享該 URL 或將其保存以查看特定的結果列表。
所選的過濾器顯示在表格上方。點擊 X 以移除單一過濾器或 清除所有 以移除所有過濾器並查看所有結果。
過濾結果
使用以下過濾器的組合過濾 身份結果 表格:
- 風險:結果的風險級別。
-
狀態:結果的狀態,可以是以下之一:
- 開啟
- 已解決
- 已解除
-
參考類型:與結果相關的物件類型,可以是以下之一:
- 使用者物件
- 應用程式
- 群組物件
- 裝置物件
- 租戶配置
-
種類:結果的類別。
- 是否為新:在過去七天內首次出現的結果。
- 尋找:結果的標題。
- 首次出現:結果首次出現的時間。
- 上次出現:結果最後出現的時間。
查看結果詳細資訊
點擊 結果 欄中的連結以查看詳細面板,其中包括其主要參考、其他參考、風險、首次出現 時間戳、最後出現 時間戳、最後修改 時間戳和建議。
要查看發現的其他詳細信息,請單擊面板左上角的圖標以在新標籤中打開完整頁面視圖。以下信息在兩種視圖中顯示:
- 發現詳細信息:發現摘要,包括風險級別、狀態、評論、時間戳和標籤。
- 說明:發現的描述。
- 定義:有關相關身份檢查和參考的信息。
- 建議:Sophos 對減輕發現的建議。
Tip
單擊 主要參考 或 其他參考 直接轉到 Entra ID 中的對象。
更新發現狀態
通過單擊 狀態 菜單並選擇所需狀態來更新發現的狀態:
- 開啟:該發現尚未得到解決或仍然存在於環境中。
- 已解除:該發現是預期的,無需處理。此問題的新發現將不會生成。
- 已解決:該發現已被解決或減輕。
當狀態設置為 已解決 或 已駁回 時,該發現不再被視為對您的環境的風險。如果發現是手動解決的,並且我們再次看到它,系統將重新打開該發現。確保已完成必要的減輕行動或關閉任務。
當發現不再出現時,系統會自動解決發現。系統解決的發現包括一條註釋,指示這一點。
結果標籤
結果 標籤顯示執行檢查的原始輸出,格式為 JSON。使用此功能查看有關生成的發現的其他詳細信息。
歷程記錄索引標籤
歷程 記錄 索引標籤顯示在發現上所採取的先前行動。點擊 查看差異 以查看確切的變更細節。