Уязвимости в моей организации

Примечание.

Раздел Управление уязвимостями на портале Microsoft Defender теперь находится в разделе Управление экспозицией. Благодаря этому изменению теперь можно использовать данные о уязвимостях безопасности и данные об уязвимостях в едином расположении и управлять ими, чтобы улучшить существующие функции управления уязвимостями. Подробнее.

Эти изменения относятся к клиентам предварительной версии (вариант предварительной версии Microsoft Defender XDR + Microsoft Defender для удостоверений).

С помощью Управление уязвимостями Microsoft Defender вы можете просматривать Common Vulnerabilities and Exposures (CVE), что позволяет выявлять уязвимости в организации и определять их приоритет. Это может быть доступно на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR или MDI. Дополнительные сведения см. в разделе Интеграция Управления уязвимостями в Microsoft Defender и Управления рисками безопасности Microsoft.

Идентификаторы CVE — это уникальные идентификаторы, назначенные общедоступным уязвимостям кибербезопасности, влияющим на программное обеспечение, оборудование и встроенное ПО. Они предоставляют организациям стандартный способ выявления и отслеживания уязвимостей, а также помогают им понять, определить приоритеты и устранить эти уязвимости в своей организации. CVE отслеживаются в общедоступном реестре, доступном по адресу https://www.cve.org/.

Управление уязвимостями Defender использует датчики конечных точек для сканирования и обнаружения этих и других уязвимостей в организации.

Важно!

Управление уязвимостями Defender помогает выявлять уязвимости Log4j в приложениях и компонентах. Подробнее.

Страница обзора уязвимостей

Примечание.

В этом разделе описываются возможности Управление уязвимостями Microsoft Defender для клиентов, использующих предварительную версию Microsoft Defender XDR + Microsoft Defender для удостоверений. Этот компонент является частью интеграции решения «Управление уязвимостями в Microsoft Defender» в решение «Управление рисками кибербезопасности Microsoft». Подробнее.

Чтобы просмотреть уязвимости в вашей организации, на портале Microsoft Defender выберите Управление рисками и уязвимостями>Управление уязвимостями>Уязвимости.

На странице Уязвимости отображается список CVE, которым подвержены ваши устройства. Вы можете просмотреть уровень серьезности, оценку общей системы оценки уязвимостей (CVSS), соответствующую аналитику нарушений и угроз и многое другое.

Снимок экрана: целевая страница уязвимостей.

Если уязвимости не назначен официальный идентификатор CVE, имя уязвимости присваивается Управление уязвимостями Defender в формате TVM-2020-002.

Примечание.

Максимальное количество записей, которые можно экспортировать со страницы слабых мест в CSV-файл, составляет 6000, а объем экспорта не должен превышать 64 КБ. Если появится сообщение о том, что результаты слишком велики для экспорта, уточните запрос, чтобы включить меньше записей.

В настоящее время Управление уязвимостями Defender не различает 32-разрядные и 64-разрядные системные архитектуры при корреляции уязвимостей (CVE) с устройствами. Это ограничение может привести к ложноположительным результатам, особенно в тех случаях, когда CVE применяется только к одному типу архитектуры. Например, на Windows Server 2016 компьютере PHP был неправильно помечен как CVE-2024-11236, что затрагивает только 32-разрядные системы. Так как архитектура в настоящее время не учитывается в процессе корреляции, CVE была неправильно связана с 64-разрядным сервером. Это известная проблема, и решение находится в дорожной карте.

Аналитика нарушений и угроз

Важно определить приоритеты рекомендаций, связанных с текущими угрозами. Сведения, доступные в столбце Угрозы , помогут определить приоритеты уязвимостей. Чтобы увидеть уязвимости с текущими угрозами, отфильтруйте столбец Угрозы по следующим параметрам:

  • Связанное активное оповещение
  • Эксплойт доступен
  • Эксплойт проверен
  • Эксплойт является частью комплекта эксплойтов

Значок аналитики угроз Простой рисунок красного жука. выделяется в столбце Угрозы, если с уязвимостью связаны эксплойты.

Снимок экрана: значки столбцов угроз

Наведите указатель мыши на значок, чтобы определить, является ли угроза частью комплекта эксплойтов или подключена к определенным расширенным постоянным кампаниям или группам действий. Если доступно, приводится ссылка на отчёт Threat Analytics с новостями об эксплуатации уязвимостей нулевого дня, раскрытии сведений или соответствующими рекомендациями по безопасности.

Снимок экрана: аналитика угроз, показанная при наведении указателя мыши на значок

Если в вашей организации обнаружена уязвимость, выделен значок аналитики о нарушении безопасности. Простой рисунок стрелы, попадающей в мишень.

Снимок экрана: аналитика нарушений, показанная при наведении указателя мыши на значок

В столбце "Открытые устройства" показано, сколько устройств в настоящее время подвержено уязвимости. Если в столбце отображается значение 0, это означает, что вы не подвержены риску.

Получение аналитических сведений об уязвимостях

Если выбрать CVE на странице "Слабые места", откроется всплывающий элемент с дополнительными сведениями, такими как описание уязвимости, сведения и аналитика угроз. В описании уязвимости, созданной СИ, содержатся подробные сведения об уязвимости, ее последствиях, рекомендуемых шагах по исправлению, а также любая дополнительная информация(при наличии).

Снимок экрана: панель всплывающих элементов

Для каждого CVE можно просмотреть список доступных устройств и затронутого программного обеспечения.

Система оценки прогнозирования эксплойтов (EPSS)

Система оценки прогнозирования эксплойтов (EPSS) создает на основе данных оценку вероятности использования известной уязвимости программного обеспечения в дикой природе. EPSS использует текущую информацию об угрозах из данных CVE и реальных эксплойтов. Для каждого CVE модель EPSS создает оценку вероятности от 0 до 1 (от 0% до 100%). Чем выше оценка, тем выше вероятность того, что уязвимость может быть использована. Дополнительные сведения о EPSS.

EPSS предназначена для обогащения ваших знаний о слабых местах и вероятности их использования, а также позволяет определить приоритеты соответствующим образом.

Чтобы просмотреть оценку EPSS, выберите CVE в списке. Откроется всплывающий элемент с дополнительными сведениями об уязвимости. Оценка EPSS отображается на вкладке Сведения об уязвимости :

Снимок экрана с оценкой EPSS для уязвимостей.

Если значение EPSS больше 0,9, подсказка столбца Угрозы обновляется со значением , чтобы сообщить о срочности устранения рисков:

Снимок экрана с оценкой EPSS для уязвимостей во всплывающей подсказке угрозы.

Примечание.

Если оценка EPSS меньше, чем0.001, она считается 0.

Вы можете использовать API уязвимостей для просмотра оценки EPSS.

Используйте рекомендации по безопасности, чтобы устранить уязвимости на открытых устройствах и снизить риск для ресурсов и организации. Когда рекомендация по безопасности доступна, можно выбрать Перейти к соответствующей рекомендации по безопасности , чтобы получить подробные сведения об устранении уязвимости.

Пример всплывающего окна «Слабость».

Рекомендации по CVE часто сводятся к устранению уязвимости с помощью обновления безопасности для затронутого программного обеспечения. Однако для некоторых CVE отсутствуют обновления безопасности. Это может относиться ко всему связанному программному обеспечению для CVE или только к подмножеству, например издатель программного обеспечения может решить не исправлять проблему в конкретной уязвимой версии.

Если обновление безопасности доступно только для части связанного программного обеспечения, под названием CVE отображается тег «Некоторые обновления доступны». Если доступно хотя бы одно обновление, можно перейти к соответствующей рекомендации по безопасности.

Если обновление безопасности недоступно, CVE отмечен тегом «No security update» под названием CVE. В этом случае нет возможности перейти к соответствующей рекомендации по безопасности. Программное обеспечение, для которых нет доступного обновления для системы безопасности, исключается на странице Рекомендации по безопасности.

Примечание.

Рекомендации по безопасности включают только устройства и пакеты программного обеспечения с доступными обновлениями для системы безопасности.

рекомендации по Linux

В Linux системах обнаружение CVE обычно поддерживается для программного обеспечения, установленного через диспетчер пакетов системы.

Создание исключений CVE

Используйте исключения CVE, чтобы выборочно исключить определенные CVE из анализа в среде. Дополнительные сведения см. в разделе Создание исключений.

Запросить поддержку CVE

CVE для ПО, которое в настоящее время не поддерживается системой управления уязвимостями, по-прежнему отображается на странице «Слабые места». Так как программное обеспечение не поддерживается, доступны только ограниченные данные. Сведения об устройстве недоступны для CVE, связанных с неподдерживаемым программным обеспечением.

Чтобы просмотреть список неподдерживаемых программ, отфильтруйте уязвимости по параметру Недоступен в разделе Доступные устройства . Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе Интеграция Управления уязвимостями в Microsoft Defender и Управления рисками безопасности Microsoft.

Чтобы запросить поддержку для определенного CVE, выполните указанные действия.

  1. Выберите CVE в списке. Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе Интеграция Управления уязвимостями в Microsoft Defender и Управления рисками безопасности Microsoft.

  2. На вкладке Сведения об уязвимости выберите Пожалуйста, поддержите эту CVE. Ваш запрос отправляется в корпорацию Майкрософт и помогает нам приоритезировать этот CVE среди других в нашей системе.

    Примечание.

    Функция запроса поддержки CVE недоступна для клиентов GCC, GCC High и DoD.

    Пример всплывающего элемента

Наиболее уязвимое программное обеспечение на панели мониторинга

  1. Найдите карточку Наиболее уязвимое ПО. Это может быть доступно на странице Обзор или панель мониторинга в зависимости от того, являетесь ли вы клиентом предварительной версии XDR или MDI. Дополнительные сведения см. в разделе Интеграция Управления уязвимостями в Microsoft Defender и Управления рисками безопасности Microsoft.

    Вы увидите количество уязвимостей, обнаруженных в программных приложениях, а также сведения об угрозах и общее представление о подверженности устройств с течением времени.

    Карточка наиболее уязвимого ПО.

  2. Выберите программное обеспечение, которое вы хотите исследовать.

  3. Перейдите на вкладку Обнаруженные уязвимости .

  4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Обнаружение уязвимостей на странице устройства

Просмотрите сведения о связанных уязвимостях на странице устройства.

  1. В разделе Активы выберите Устройства.

  2. На странице Инвентаризация устройств выберите имя устройства, которое требуется изучить.

  3. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости.

  4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Логика обнаружения CVE

Как и в случае с подтверждением программного обеспечения, вы можете просмотреть логику обнаружения, применяемую на устройстве, чтобы указать, что оно уязвимо. Чтобы просмотреть логику обнаружения, выполните следующие действия.

  1. В разделе Активы выберите Устройства , чтобы открыть страницу Инвентаризация устройств. Затем выберите устройство.

  2. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости на странице устройства.

  3. Выберите уязвимость, которую вы хотите исследовать. Откроется всплывающее окно, а в разделе Логика обнаружения отображается логика обнаружения и источник.

    Пример логики обнаружения, в котором перечислены ПО, обнаруженное на устройстве, и обновления KB.

Категория "Компонент ОС" также отображается в соответствующих сценариях. Это происходит, когда CVE влияет на устройства, на которые работает уязвимая ОС, если включен определенный компонент ОС. Например, если устройство под управлением Windows Server 2019 или Windows Server 2022 имеет уязвимость в компоненте DNS, CVE присоединяется только к устройствам, на которых включена возможность DNS.

Сообщить об ошибке

Сообщите о ложном срабатывании, если обнаружите расплывчатую, неточную или неполную информацию. Вы также можете сообщить о рекомендациях по безопасности, которые уже исправлены.

  1. Выберите уязвимость, а затем — Сообщить об ошибке. Этот параметр может быть доступен на странице Уязвимости или Слабые места в зависимости от того, являетесь ли вы клиентом предварительной версии XDR/MDI. Дополнительные сведения см. в разделе Интеграция Управления уязвимостями в Microsoft Defender и Управления рисками безопасности Microsoft.

  2. На всплывающей панели выберите проблему, о ней нужно сообщить.

  3. Заполните запрошенные сведения об неточности. Это зависит от проблемы, о которую вы сообщаете.

  4. Выберите Отправить. Ваш отзыв немедленно отправляется экспертам Управление уязвимостями Defender.

    Параметры сообщения об неточностях.

Совет

Знаете ли вы, что можете бесплатно попробовать все функции в Управление уязвимостями Microsoft Defender? Узнайте, как зарегистрироваться для получения бесплатной пробной версии.