Поделиться через

Уязвимости в моей организации

  • Применяется к: Microsoft Defender Vulnerability Management, Microsoft Defender for Endpoint Plan 2, Microsoft Defender XDR, Microsoft Defender for Servers Plan 1 & 2

Примечание.

Раздел Управление уязвимостями на портале Microsoft Defender теперь находится в разделе Управление экспозицией. Благодаря этому изменению теперь можно использовать данные о уязвимостях безопасности и данные об уязвимостях в едином расположении и управлять ими, чтобы улучшить существующие функции управления уязвимостями. Подробнее.

Эти изменения актуальны для пользователей предварительной версии (Microsoft Defender XDR + параметр предварительной версии Microsoft Defender для удостоверений).

С помощью Управление уязвимостями Microsoft Defender вы можете просматривать общие уязвимости и уязвимости (CVEs), что позволяет выявлять и определять приоритеты уязвимостей в организации. Это может быть доступно на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR или MDI. Дополнительные сведения см. в разделе интеграция Управление уязвимостями Microsoft Defender и Управление рисками Microsoft Security.

Идентификаторы CVE — это уникальные идентификаторы, назначенные общедоступным уязвимостям кибербезопасности, влияющим на программное обеспечение, оборудование и встроенное ПО. Они предоставляют организациям стандартный способ выявления и отслеживания уязвимостей, а также помогают им понять, определить приоритеты и устранить эти уязвимости в своей организации. CvEs отслеживаются в общедоступном реестре, доступ к который можно получить из https://www.cve.org/.

Управление уязвимостями Defender использует датчики конечных точек для сканирования и обнаружения этих и других уязвимостей в организации.

Важно!

Управление уязвимостями Defender помогает выявлять уязвимости Log4j в приложениях и компонентах. Подробнее.

Страница обзора уязвимостей

Примечание.

В этом разделе описывается Управление уязвимостями Microsoft Defender взаимодействие с клиентами, использующими предварительную версию Microsoft Defender XDR + Microsoft Defender для удостоверений. Этот интерфейс является частью интеграции Управление уязвимостями Microsoft Defender с Управление рисками Microsoft Security. Подробнее.

Чтобы просмотреть уязвимости в организации, на портале Microsoft Defender выберитеУязвимости управления уязвимостями управления уязвимостями>>.

На странице Уязвимости отображается список cvEs, которым подвергаются ваши устройства. Вы можете просмотреть уровень серьезности, оценку общей системы оценки уязвимостей (CVSS), соответствующую аналитику нарушений и угроз и многое другое.

Снимок экрана: целевая страница уязвимостей.

Если уязвимости не назначен официальный идентификатор CVE, имя уязвимости присваивается Управление уязвимостями Defender в формате TVM-2020-002.

Примечание.

Максимальное количество записей, которые можно экспортировать со страницы слабых мест в CSV-файл, составляет 6000, а объем экспорта не должен превышать 64 КБ. Если появится сообщение о том, что результаты слишком велики для экспорта, уточните запрос, чтобы включить меньше записей.

В настоящее время Управление уязвимостями Defender не различает 32-разрядные и 64-разрядные системные архитектуры при корреляции уязвимостей (CVE) с устройствами. Это ограничение может привести к ложноположительным результатам, особенно в тех случаях, когда CVE применяется только к одному типу архитектуры. Например, на Windows Server 2016 компьютере PHP был неправильно помечен как CVE-2024-11236, что затрагивает только 32-разрядные системы. Так как архитектура в настоящее время не учитывается в процессе корреляции, CVE была неправильно связана с 64-разрядным сервером. Это известная проблема, и решение находится в дорожной карте.

Аналитика нарушений и угроз

Важно определить приоритеты рекомендаций, связанных с текущими угрозами. Сведения, доступные в столбце Угрозы , помогут определить приоритеты уязвимостей. Чтобы увидеть уязвимости с текущими угрозами, отфильтруйте столбец Угрозы по следующим параметрам:

  • Связанное активное оповещение
  • Эксплойт доступен
  • Эксплойт проверен
  • Эксплойт является частью комплекта эксплойтов

Значок аналитики угроз . Простой рисунок красной ошибки. выделен в столбце Угрозы при наличии связанных эксплойтов в уязвимости.

Снимок экрана: значки столбцов угроз

Наведите указатель мыши на значок, чтобы определить, является ли угроза частью комплекта эксплойтов или подключена к определенным расширенным постоянным кампаниям или группам действий. При наличии ссылки на отчет аналитики угроз с новостями об эксплуатации нулевого дня, раскрытием информации или связанными рекомендациями по безопасности.

Снимок экрана: аналитика угроз, показанная при наведении указателя мыши на значок

Если в вашей организации обнаружена уязвимость, выделен значок аналитики о нарушении безопасности. Простой рисунок стрелки, попадая в цель.

Снимок экрана: аналитика нарушений, показанная при наведении указателя мыши на значок

В столбце "Открытые устройства" показано, сколько устройств в настоящее время подвержено уязвимости. Если в столбце отображается значение 0, это означает, что вы не подвержены риску.

Получение аналитических сведений об уязвимостях

Если выбрать CVE на странице "Слабые места", откроется всплывающий элемент с дополнительными сведениями, такими как описание уязвимости, сведения и аналитика угроз. В описании уязвимости, созданной СИ, содержатся подробные сведения об уязвимости, ее последствиях, рекомендуемых шагах по исправлению, а также любая дополнительная информация(при наличии).

Снимок экрана: панель всплывающих элементов

Для каждого CVE можно просмотреть список доступных устройств и затронутого программного обеспечения.

Система оценки прогнозирования эксплойтов (EPSS)

Система оценки прогнозирования эксплойтов (EPSS) создает на основе данных оценку вероятности использования известной уязвимости программного обеспечения в дикой природе. EPSS использует текущую информацию об угрозах из данных CVE и реальных эксплойтов. Для каждого CVE модель EPSS создает оценку вероятности от 0 до 1 (от 0% до 100%). Чем выше оценка, тем выше вероятность того, что уязвимость может быть использована. Дополнительные сведения о EPSS.

EPSS предназначена для обогащения ваших знаний о слабых местах и вероятности их использования, а также позволяет определить приоритеты соответствующим образом.

Чтобы просмотреть оценку EPSS, выберите CVE в списке. Откроется всплывающий элемент с дополнительными сведениями об уязвимости. Оценка EPSS отображается на вкладке Сведения об уязвимости :

Снимок экрана: оценка слабых мест epss.

Если значение EPSS больше 0,9, подсказка столбца Угрозы обновляется со значением , чтобы сообщить о срочности устранения рисков:

Снимок экрана: оценка слабых мест epss в подсказке по угрозам.

Примечание.

Если оценка EPSS меньше, чем0.001, она считается 0.

Вы можете использовать API уязвимостей для просмотра оценки EPSS.

Используйте рекомендации по безопасности, чтобы устранить уязвимости на открытых устройствах и снизить риск для ресурсов и организации. Когда рекомендация по безопасности доступна, можно выбрать Перейти к соответствующей рекомендации по безопасности , чтобы получить подробные сведения об устранении уязвимости.

Пример всплывающего элемента

Рекомендации для CVE часто предназначены для устранения уязвимости с помощью обновления для системы безопасности для соответствующего программного обеспечения. Однако некоторые cves не имеют доступных обновлений для системы безопасности. Это может относиться ко всему связанному программному обеспечению для CVE или только к подмножеству, например издатель программного обеспечения может решить не исправлять проблему в конкретной уязвимой версии.

Если обновление для системы безопасности доступно только для некоторых связанных программ, cve имеет тег "Некоторые обновления доступны" под именем CVE. Если доступно хотя бы одно обновление, можно перейти к соответствующей рекомендации по безопасности.

Если доступное обновление для системы безопасности отсутствует, cve имеет тег "No security update" (No security update) под именем CVE. В этом случае нет возможности перейти к соответствующей рекомендации по безопасности. Программное обеспечение, для которых нет доступного обновления для системы безопасности, исключается на странице Рекомендации по безопасности.

Примечание.

Рекомендации по безопасности включают только устройства и пакеты программного обеспечения с доступными обновлениями для системы безопасности.

Рекомендации по Linux

В системах Linux обнаружение CVE обычно поддерживается для программного обеспечения, установленного через диспетчер пакетов системы.

Создание исключений CVE

Используйте исключения CVE, чтобы выборочно исключить определенные CVE из анализа в среде. Дополнительные сведения см. в разделе Создание исключений.

Запрос поддержки CVE

Cve для программного обеспечения, которое в настоящее время не поддерживается управлением уязвимостями, по-прежнему отображается на странице Слабые места. Так как программное обеспечение не поддерживается, доступны только ограниченные данные. Предоставленные сведения об устройстве недоступны для cvEs с неподдерживаемого программного обеспечения.

Чтобы просмотреть список неподдерживаемых программ, отфильтруйте уязвимости по параметру Недоступен в разделе Доступные устройства . Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе интеграция Управление уязвимостями Microsoft Defender и Управление рисками Microsoft Security.

Чтобы запросить поддержку для определенного CVE, выполните указанные действия.

  1. Выберите CVE в списке. Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе интеграция Управление уязвимостями Microsoft Defender и Управление рисками Microsoft Security.

  2. На вкладке Сведения об уязвимости выберите Пожалуйста, поддержите эту CVE. Ваш запрос отправляется в корпорацию Майкрософт и помогает нам приоритезировать этот CVE среди других в нашей системе.

    Примечание.

    Функциональность запроса на поддержку CVE недоступна для клиентов GCC, GCC High и DoD.

    Пример всплывающего элемента

Наиболее уязвимое программное обеспечение на панели мониторинга

  1. Найдите наиболее уязвимое программное обеспечение карта. Это может быть доступно на странице Обзор или панель мониторинга в зависимости от того, являетесь ли вы клиентом предварительной версии XDR или MDI. Дополнительные сведения см. в разделе интеграция Управление уязвимостями Microsoft Defender и Управление рисками Microsoft Security.

    Вы увидите количество уязвимостей, обнаруженных в программных приложениях, а также сведения об угрозах и общее представление о подверженности устройств с течением времени.

    Самые уязвимые карта программного обеспечения.

  2. Выберите программное обеспечение, которое вы хотите исследовать.

  3. Перейдите на вкладку Обнаруженные уязвимости .

  4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Обнаружение уязвимостей на странице устройства

Просмотрите сведения об уязвимостях, связанных с устройством.

  1. В разделе Активы выберите Устройства.

  2. На странице Инвентаризация устройств выберите имя устройства, которое требуется изучить.

  3. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости.

  4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Логика обнаружения CVE

Как и в случае с подтверждением программного обеспечения, вы можете просмотреть логику обнаружения, применяемую на устройстве, чтобы указать, что оно уязвимо. Чтобы просмотреть логику обнаружения, выполните следующие действия.

  1. В разделе Активы выберите Устройства , чтобы открыть страницу Инвентаризация устройств. Затем выберите устройство.

  2. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости на странице устройства.

  3. Выберите уязвимость, которую вы хотите исследовать. Откроется всплывающее окно, а в разделе Логика обнаружения отображается логика обнаружения и источник.

    Пример логики обнаружения, в который выводится список программного обеспечения, обнаруженного на устройстве, и базы знаний.

Категория "Компонент ОС" также отображается в соответствующих сценариях. Это происходит, когда CVE влияет на устройства, на которые работает уязвимая ОС, если включен определенный компонент ОС. Например, если устройство под управлением Windows Server 2019 или Windows Server 2022 имеет уязвимость в компоненте DNS, CVE присоединяется только к устройствам, на которых включена возможность DNS.

Сообщить об ошибке

Сообщите о ложном срабатывании, если вы видите какие-либо расплывчатые, неточные или неполные сведения. Вы также можете сообщить о рекомендациях по безопасности, которые уже исправлены.

  1. Выберите уязвимость, а затем — Сообщить об ошибке. Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе интеграция Управление уязвимостями Microsoft Defender и Управление рисками Microsoft Security.

  2. На всплывающей панели выберите проблему, о ней нужно сообщить.

  3. Заполните запрошенные сведения об неточности. Это зависит от проблемы, о которую вы сообщаете.

  4. Выберите Отправить. Ваш отзыв немедленно отправляется экспертам Управление уязвимостями Defender.

    Параметры сообщения об неточностях.

Совет

Знаете ли вы, что можете бесплатно попробовать все функции в Управление уязвимостями Microsoft Defender? Узнайте, как зарегистрироваться для получения бесплатной пробной версии.

  • Last updated on