調查結果
發現頁面顯示按風險排序的所有發現的表格。發現是針對您的身份基礎設施運行的姿勢檢查的輸出。每個發現都有一個狀態、分配的風險級別和類別。
發現狀態
新的發現狀態為開放,您可以在處理和減輕問題時從發現詳細信息中更改。狀態可以是以下之一:
- 開啟:該發現尚未得到解決或仍然存在於環境中。
- 已解決:該發現已被解決或減輕。
- 已解除:該發現是預期的,無需處理。
發現風險級別
每個發現根據基礎檢查和對您的組織構成的潛在安全風險分配以下風險級別:
- 嚴重:發現應立即處理,因為它構成了重大風險。
- 高度:發現應立即處理。
- 中:發現應該處理,但它不構成重大風險。
- 低:發現構成輕微風險。
- 資訊:發現幾乎沒有風險,但應在有時間時進行審查。
發現類別
根據執行的檢查類型,發現被分類如下,並在適用時與MITRE ATT&CK框架對齊:
- 使用者行為
- 配置
- 進入條件訪問差距
- 休眠資源
- 橫向運動
- 憑證外洩
- 持續性
- 權限提升
- 防禦躲避
- 外洩
分流發現
通過優先處理風險級別最高的問題來分流發現,以對減少身份攻擊面和改善姿態得分產生最大的影響。根據您的業務需求、獨特環境、風險承受能力和解決發現的能力來評估每個發現。這很重要,因為配置更改可能對用戶、應用程序和訪問產生不利影響。
可能無法修復所有發現,因為可能存在超出您控制範圍的問題,例如需要提升權限的第三方應用程序或僅支持較弱的身份驗證機制。然而,這些仍然代表著對您的組織的潛在風險,您應該意識到並持續監控。
在評估發現後,採取以下行動之一:
- 通過在識別問題的身份系統中修復問題來解決發現,以便在下次計算整體風險得分時將其從風險得分中刪除,這每24小時進行一次。
- 駁回該發現,這將抑制該對象的未來實例,並將其排除在整體風險得分之外。該發現將繼續在發現表中可用,但不會包含在儀表板中。
- 將該發現保持開放,以跟踪無法解決的發現,這將繼續對您的整體風險得分產生貢獻。
身份發現表
身份發現表包括控制項以排序、過濾和排列數據。使用表左側的可折疊過濾器菜單來縮小發現列表。
當您選擇過濾器時,表格和URL會動態更新以反映您的選擇。您可以與同事分享URL或將其保存以查看特定的發現列表。
所選過濾器顯示在表格上方。單擊X以刪除單個過濾器或清除所有以刪除所有過濾器並查看所有發現。
過濾結果
使用以下過濾器的組合過濾身份結果表格:
- 風險:結果的風險級別。
-
狀態:結果的狀態,可以是以下之一:
- 開啟
- 已解決
- 已解除
-
參考類型:與結果相關的對象類型,可以是以下之一:
- 用戶對象
- 應用程式
- 群組物件
- 設備對象
- 租戶配置
-
種類:結果的類別。
- 是否為新:在過去七天內首次出現的結果。
- 尋找:結果的標題。
- 首次發現:結果首次出現的時間。
- 最後一次發現:結果最後出現的時間。
查看結果詳細信息
點擊結果列中的鏈接以查看詳細面板,其中包括其主要參考、其他參考、風險、首次出現時間戳、最後出現時間戳、最後修改時間戳和建議。
要查看結果的其他詳細信息,請點擊面板左上角的圖標以在新標籤中打開完整頁面視圖。以下信息在兩種視圖中顯示:
- 結果詳細信息:查找摘要,包括風險級別、狀態、評論、時間戳和標籤。
- 說明:事件的描述。
- 定義:有關相關身份檢查和參考的信息。
- 建議:Sophos 對減輕發現的建議。
提示
點擊 主要參考 或 其他參考 直接轉到 Entra ID 中的對象。
更新發現狀態
通過點擊 狀態 菜單並選擇所需狀態來更新發現的狀態:
- 開啟:該發現尚未得到解決或仍然存在於環境中。
- 已解除:該發現是預期的,無需處理。此問題的新發現將不會生成。
- 已解決:該發現已被解決或減輕。
當狀態設置為 已解決 或 已駁回 時,該發現不再被視為對您的環境的風險。如果發現被手動解決並且我們再次看到它,系統將重新打開該發現。確保必要的減輕行動或關閉任務已完成。
當發現不再出現時,系統會自動解決發現。系統解決的發現包括一條評論以指示這一點。
結果標籤
結果 標籤顯示執行檢查的原始輸出,格式為 JSON。使用此功能查看有關生成的發現的其他詳細信息。
歷程記錄索引標籤
歷史 標籤顯示對該發現採取的先前行動。點擊 查看差異 以查看確切的變更詳細信息。