Уязвимости в моей организации

На странице "Слабые места" в Управление уязвимостями Microsoft Defender перечислены известные распространенные уязвимости и уязвимости (CVEs) по идентификатору CVE.

Идентификаторы CVE — это уникальные идентификаторы, назначенные общедоступным уязвимостям кибербезопасности, влияющим на программное обеспечение, оборудование и встроенное ПО. Они предоставляют организациям стандартный способ выявления и отслеживания уязвимостей, а также помогают им понять, определить приоритеты и устранить эти уязвимости в своей организации. CvEs отслеживаются в общедоступном реестре, доступ к который можно получить из https://www.cve.org/.

Управление уязвимостями Defender использует датчики конечных точек для сканирования и обнаружения этих и других уязвимостей в организации.

Область применения:

• Управление уязвимостями в Microsoft Defender
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR
• Microsoft Defender для серверов плана 1 & 2

Чтобы открыть страницу Слабые места, выберите Слабые места в меню навигации по управлению уязвимостями на портале Microsoft Defender.

Откроется страница "Слабые места" со списком cvEs, которые доступны для ваших устройств. Вы можете просмотреть уровень серьезности, оценку общей системы оценки уязвимостей (CVSS), соответствующую аналитику нарушений и угроз и многое другое.

Если уязвимости не назначен официальный идентификатор CVE, имя уязвимости присваивается Управление уязвимостями Defender в формате TVM-2020-002.

Важно определить приоритеты рекомендаций, связанных с текущими угрозами. Сведения, доступные в столбце Угрозы , помогут определить приоритеты уязвимостей. Чтобы увидеть уязвимости с текущими угрозами, отфильтруйте столбец Угрозы по следующим параметрам:

• Связанное активное оповещение
• Эксплойт доступен
• Эксплойт проверен
• Эксплойт является частью комплекта эксплойтов

Значок аналитики угроз выделен в столбце Угрозы при наличии связанных эксплойтов в уязвимости.

Наведите указатель мыши на значок, чтобы определить, является ли угроза частью комплекта эксплойтов или подключена к определенным расширенным постоянным кампаниям или группам действий. При наличии ссылки на отчет аналитики угроз с новостями об эксплуатации нулевого дня, раскрытием информации или связанными рекомендациями по безопасности.

Если в вашей организации обнаружена уязвимость, выделен значок аналитики о нарушении безопасности.

В столбце "Открытые устройства" показано, сколько устройств в настоящее время подвержено уязвимости. Если в столбце отображается значение 0, это означает, что вы не подвержены риску.

Если выбрать CVE на странице "Слабые места", откроется всплывающий элемент с дополнительными сведениями, такими как описание уязвимости, сведения и аналитика угроз. В описании уязвимости, созданной СИ, содержатся подробные сведения об уязвимости, ее последствиях, рекомендуемых шагах по исправлению, а также любая дополнительная информация(при наличии).

Для каждого CVE можно просмотреть список доступных устройств и затронутого программного обеспечения.

Система оценки прогнозирования эксплойтов (EPSS) создает на основе данных оценку вероятности использования известной уязвимости программного обеспечения в дикой природе. EPSS использует текущую информацию об угрозах из данных CVE и реальных эксплойтов. Для каждого CVE модель EPSS создает оценку вероятности от 0 до 1 (от 0% до 100%). Чем выше оценка, тем выше вероятность того, что уязвимость может быть использована. Дополнительные сведения о EPSS.

EPSS предназначена для обогащения ваших знаний о слабых местах и вероятности их использования, а также позволяет определить приоритеты соответствующим образом.

Чтобы просмотреть оценку EPSS, выберите CVE на странице Слабые места на портале Microsoft Defender:

Если значение EPSS больше 0,9, подсказка столбца Угрозы обновляется со значением , чтобы сообщить о срочности устранения рисков:

Вы можете использовать API уязвимостей для просмотра оценки EPSS.

Используйте рекомендации по безопасности, чтобы устранить уязвимости на открытых устройствах и снизить риск для ресурсов и организации. Когда рекомендация по безопасности доступна, можно выбрать Перейти к соответствующей рекомендации по безопасности , чтобы получить подробные сведения об устранении уязвимости.

Рекомендации для CVE часто предназначены для устранения уязвимости с помощью обновления для системы безопасности для соответствующего программного обеспечения. Однако некоторые cves не имеют доступных обновлений для системы безопасности. Это может относиться ко всему связанному программному обеспечению для CVE или только к подмножеству, например издатель программного обеспечения может решить не исправлять проблему в конкретной уязвимой версии.

Если обновление для системы безопасности доступно только для некоторых связанных программ, cve имеет тег "Некоторые обновления доступны" под именем CVE. Если доступно хотя бы одно обновление, можно перейти к соответствующей рекомендации по безопасности.

Если доступное обновление для системы безопасности отсутствует, cve имеет тег "No security update" (No security update) под именем CVE. В этом случае нет возможности перейти к соответствующей рекомендации по безопасности. Программное обеспечение, для которых нет доступного обновления для системы безопасности, исключается на странице Рекомендации по безопасности.

Cve для программного обеспечения, которое в настоящее время не поддерживается управлением уязвимостями, по-прежнему отображается на странице Слабые места. Так как программное обеспечение не поддерживается, доступны только ограниченные данные. Предоставленные сведения об устройстве недоступны для cvEs с неподдерживаемого программного обеспечения.

Чтобы просмотреть список неподдерживаемых программ, отфильтруйте страницу слабых мест по параметру "Недоступно" в разделе "Доступные устройства".

Вы можете запросить поддержку для добавления в Управление уязвимостями Defender для определенного CVE. Чтобы запросить поддержку, выполните приведенные далее действия.

1. На портале Microsoft Defender перейдите в раздел Управление уязвимостями конечных> точек и выберите Слабые места. Выберите CVE в списке.

2. На вкладке Сведения об уязвимости выберите Пожалуйста, поддержите эту CVE. Ваш запрос отправляется в корпорацию Майкрософт и помогает нам приоритезировать этот CVE среди других в нашей системе.

   Примечание

   Функциональность запроса на поддержку CVE недоступна для клиентов GCC, GCC High и DoD.

   

1. На портале Microsoft Defender перейдите кпанелимониторинга управления>уязвимостями конечных> точек и прокрутите вниз до карта наиболее уязвимого программного обеспечения. Вы увидите количество уязвимостей, обнаруженных в программных приложениях, а также сведения об угрозах и общее представление о воздействии устройства с течением времени.

   

2. Выберите программное обеспечение, которое вы хотите исследовать.

3. Перейдите на вкладку Обнаруженные уязвимости .

4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Просмотрите сведения о связанных слабых местах на странице устройства.

1. На портале Microsoft Defender в разделе Активы выберите Устройства.

2. На странице Инвентаризация устройств выберите имя устройства, которое требуется изучить.

3. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости.

4. Выберите уязвимость, которую вы хотите исследовать, чтобы открыть всплывающий элемент со сведениями о CVE.

Как и в случае с подтверждением программного обеспечения, вы можете просмотреть логику обнаружения, применяемую на устройстве, чтобы указать, что оно уязвимо. Чтобы просмотреть логику обнаружения, выполните следующие действия.

1. На портале Microsoft Defender в разделе Активы выберите Устройства, чтобы открыть страницу Инвентаризация устройств. Затем выберите устройство.

2. Выберите Открыть страницу устройства и выберите Обнаруженные уязвимости на странице устройства.

3. Выберите уязвимость, которую вы хотите исследовать. Откроется всплывающее окно, а в разделе Логика обнаружения отображается логика обнаружения и источник.

   

Категория "Компонент ОС" также отображается в соответствующих сценариях. Это происходит, когда CVE влияет на устройства, на которые работает уязвимая ОС, если включен определенный компонент ОС. Например, если устройство под управлением Windows Server 2019 или Windows Server 2022 имеет уязвимость в компоненте DNS, CVE присоединяется только к устройствам, на которых включена возможность DNS.

Сообщите о ложном срабатывании, если вы видите какие-либо расплывчатые, неточные или неполные сведения. Вы также можете сообщить о рекомендациях по безопасности, которые уже исправлены.

1. На портале Microsoft Defender перейдите в раздел Управление уязвимостями конечных> точек и выберите Слабые места.

2. Выберите элемент, а затем — Сообщить о неточностях.

3. На всплывающей панели выберите проблему, о ней нужно сообщить.

4. Заполните запрошенные сведения об неточности. Это зависит от проблемы, о которую вы сообщаете.

5. Выберите Отправить. Ваш отзыв немедленно отправляется экспертам Управление уязвимостями Defender.

   

• Рекомендации по безопасности
• Инвентаризация программного обеспечения
• Панель мониторинга аналитики