Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Раздел Управление уязвимостями на портале Microsoft Defender теперь находится в разделе Управление экспозицией. Благодаря этому изменению теперь можно использовать данные о уязвимостях безопасности и данные об уязвимостях в едином расположении и управлять ими, чтобы улучшить существующие функции управления уязвимостями. Подробнее.
Эти изменения относятся к клиентам предварительной версии (вариант предварительной версии Microsoft Defender XDR + Microsoft Defender для удостоверений).
Важно!
Модель оценки рекомендаций обновлена с помощью новой модели оценки воздействия. Вы можете заметить изменения в порядке приоритета и значениях влияния. Это ожидаемое поведение во время переходного периода. Узнайте больше о новой оценке воздействия.
Недостатки кибербезопасности, выявленные в вашей организации, сопоставляются с практическими рекомендациями по безопасности и определяются приоритетом по их влиянию. Приоритетные рекомендации помогают сократить время, затраченное на устранение уязвимостей, и обеспечить соответствие требованиям.
Каждая рекомендация по безопасности включает действия по исправлению. Чтобы упростить управление задачами, рекомендацию также можно отправить с помощью Microsoft Intune и Microsoft Endpoint Configuration Manager. При изменениях в ландшафте угроз рекомендация также меняется по мере непрерывного сбора информации из вашей среды.
Совет
Чтобы получать уведомления по электронной почте о новых событиях, связанных с уязвимостями, см. Настройка уведомлений по электронной почте о событиях, связанных с уязвимостями, в Microsoft Defender для конечных точек.
Примечание.
Точность оценки зависит от успешного сбора данных Defender for Endpoint. Режим ограниченного языка PowerShell, AppLocker, WDAC или аналогичные политики управления приложениями могут ограничить необходимые Defender для сценариев сбора конечных точек и повлиять на точность оценки. Сведения о том, как настроить правила разрешения, позволяющие запускать эти скрипты, см. в статье Разрешение запуска скриптов Microsoft Defender для конечной точки с помощью принудительного применения правил WDAC для скриптов.
Принципы действия
Каждое устройство в организации оценивается на основе трех важных факторов, которые помогают клиентам сосредоточиться на правильных вещах в нужное время.
- Угроза: характеристики уязвимостей и эксплойтов в устройствах вашей организации и журнале нарушений. На основе этих факторов в рекомендациях по безопасности отображаются соответствующие ссылки на активные оповещения, текущие кампании по угрозам и соответствующие аналитические отчеты об угрозах.
- Вероятность взлома: Состояние защищенности вашей организации и ее устойчивость к угрозам.
- Бизнес-ценность: активы вашей организации, критически важные процессы и интеллектуальные свойства.
Примечание.
С новой оценкой воздействия модель оценки также интегрирует данные прогнозирования эксплойтов (EPSS) и факторы контекста активов, такие как состояние доступа к Интернету и критичность активов. Эти дополнительные факторы отражаются в оценках влияния рекомендаций.
Перейдите на страницу рекомендаций
На портале Microsoft Defender выполните одно из следующих действий.
- Если вы являетесь клиентом предварительной версии Microsoft Defender XDR и Microsoft Defender для удостоверений, рекомендации можно просмотреть на одной из следующих страниц:
- Выберите Рекомендации по управлению>экспозицией.
- Просмотрите основные рекомендации по безопасности на странице Управление рисками>Управление уязвимостями>Обзор в разделе Основные рекомендации для конечных точек.
- Если вы уже являетесь клиентом, рекомендации можно просмотреть на одной из следующих страниц:
- Перейдите в раздел Рекомендации поуправлению>уязвимостями конечных>точек.
- Просмотрите основные рекомендации по безопасности на странице Управление уязвимостями>Панель мониторинга в разделе Основные рекомендации по безопасности.
Основные рекомендации по безопасности
Примечание.
В этом разделе описываются возможности Управление уязвимостями Microsoft Defender для клиентов, использующих предварительную версию Microsoft Defender XDR + Microsoft Defender для удостоверений. Этот компонент является частью интеграции решения «Управление уязвимостями в Microsoft Defender» в решение «Управление рисками кибербезопасности Microsoft». Подробнее.
Как администратор безопасности вы можете взглянуть на:
- Ваш показатель подверженности на странице Управление подверженностью>Управление уязвимостями>Обзор.
- Оценка безопасности устройств на странице Рекомендации по управлению>экспозицией.
Цель состоит в том, чтобы снизить уязвимость вашей организации от уязвимостей и повысить безопасность устройств организации, чтобы быть более устойчивыми к атакам с угрозами кибербезопасности. Список основных рекомендаций по безопасности поможет вам достичь этой цели.
На странице Обзор в списке Рекомендации по наиболее важным конечным точкам перечислены возможности улучшения с учетом важных факторов, упомянутых в предыдущем разделе: угрозы, вероятности нарушения и ценности. При выборе рекомендации вы перейдете на страницу рекомендаций по безопасности с дополнительными сведениями.
Обзор рекомендаций по безопасности
На странице Рекомендации можно просмотреть рекомендации по безопасности организации, количество обнаруженных слабых мест, связанные компоненты, аналитические сведения об угрозах, количество доступных устройств, состояние устройства, тип исправления, действия по исправлению и связанные теги. Вы также можете увидеть, как изменится оценка экспозиции и оценка безопасности для устройств при реализации рекомендаций.
Если вы являетесь клиентом программы предварительной версии Microsoft Defender XDR + и Microsoft Defender для удостоверений, эта информация отображается в разделе Уязвимости на странице Рекомендации.
Цвет графика Устройства с открытым доступом изменяется по мере изменения тенденции. Если число устройств, доступных извне, увеличивается, цвет меняется на красный. Если количество обнаруженных устройств уменьшается, цвет графика меняется на зеленый.
Примечание.
Управление уязвимостями показывает устройства, которые использовались в течение последних 30 дней. Это отличается от состояния устройства в Microsoft Defender for Endpoint: если устройство не взаимодействует со службой более семи дней, оно имеет состояние Inactive.
Значки
Полезные значки также быстро вызывают ваше внимание:
-
возможные активные оповещения -
, связанные с общедоступными эксплойтами - Аналитика рекомендаций

Влияние
В столбце «Влияние» отображается потенциальное влияние на вашу оценку экспозиции и Secure Score for Devices после внедрения рекомендации. Следует определить приоритеты элементов, которые понижают показатель воздействия и повышают оценку безопасности для устройств.
Потенциальное снижение оценки экспозиции отображается следующим образом:
. Более низкая оценка воздействия означает, что устройства менее уязвимы к эксплуатации.Прогнозируемое увеличение показателя Secure Score для устройств отображается следующим образом:
. Более высокая оценка безопасности для устройств означает, что конечные точки более устойчивы к атакам кибербезопасности.
Аспекты влияния
С новой моделью оценки экспозиции значения влияния, отображаемые на рекомендациях, являются более точными. Новая модель вычисляет влияние на ресурс и уязвимость, поэтому прогнозируемое снижение оценки точно отражает фактическое сокращение, которое вы увидите после исправления.
Модель разработана для повышения точности, но изменение оценки экспозиции не обязательно будет монотонным. При ежедневном пересчете вновь обнаруженные уязвимости могут свести на нет снижение, достигнутое за счет завершенного устранения.
Этот переход влияет только на вычисления оценки экспозиции. Это не меняет способ вычисления оценки безопасности (Майкрософт) для устройств.
После принятия действия по исправлению новая оценка воздействия пересчитывается ежедневно. Подождите до 24 часов, чтобы отобразились обновленные значения оценки и влияния. Так как оценка экспозиции учитывает несколько факторов, включая новые исправления и вновь обнаруженные уязвимости, фактическое снижение оценки может немного отличаться от прогнозируемого воздействия.
При применении исключений рекомендаций в столбце "Открытые устройства " также могут отображаться данные до применения исключений, включая устройства, принадлежащие группам устройств, охваченным активным исключением на основе групп устройств. Дополнительные сведения см. в разделе Открытые устройства и влияние после исключений.
Обзор вариантов рекомендаций по безопасности
Выберите рекомендацию по безопасности, которую вы хотите исследовать или обработать, в списке.
Во всплывающем меню можно выбрать любой из следующих вариантов:
Открыть страницу программного обеспечения . Откройте страницу программного обеспечения, чтобы получить дополнительный контекст о программном обеспечении и его распространении. Эти сведения могут включать контекст угроз, связанные рекомендации, обнаруженные уязвимости, количество затронутых устройств, обнаруженные уязвимости, имена и подробные сведения об устройствах с установленным программным обеспечением, а также распространение версии.
Варианты исправления — Отправьте запрос на устранение проблемы, чтобы создать обращение в Microsoft Intune, которое ваш ИТ-администратор сможет принять в работу и устранить проблему. Отслеживайте действия по исправлению на странице Исправления.
Параметры исключения . Отправьте исключение, укажите обоснование и задайте длительность исключения, если устранить проблему еще не удается.
Примечание.
При изменении программного обеспечения на устройстве обычно требуется 2 часа, чтобы данные отображались на портале безопасности. Однако иногда это может занять больше времени. Изменения конфигурации могут занять от 4 до 24 часов.
Изучение изменений в воздействии или влиянии на устройство
Если наблюдается большой скачок числа открытых устройств или резкое увеличение влияния на оценку уязвимости вашей организации и оценку безопасности для устройств, следует изучить рекомендацию по безопасности.
Выберите рекомендацию, а затем выберите Открыть страницу программного обеспечения.
Перейдите на вкладку Временная шкала события, чтобы просмотреть все влияющие события, связанные с этим программным обеспечением, такие как новые уязвимости или новые открытые эксплойты. Подробнее о временной шкале событий.
Решите, как решить проблему увеличения или уязвимости вашей организации, например отправить запрос на исправление.
Совет
Если вы видите непредвиденные изменения в значениях влияния рекомендаций или порядке приоритета, это может произойти из-за перехода к новой модели оценки воздействия. Новая модель учитывает дополнительные факторы, такие как данные прогнозирования эксплойтов и контекст ресурсов. Просмотрите обновленные значения влияния, так как теперь они более точно прогнозируют реальное снижение оценки после исправления.
Рекомендации для устройств
Чтобы просмотреть список рекомендаций по безопасности, применимых к устройству, выполните следующие действия.
Перейдите к инвентаризации устройств в меню навигации Активы>Устройства , а затем выберите устройство.
Перейдите на вкладку Рекомендации по безопасности , чтобы просмотреть список рекомендаций по безопасности для устройства.
Примечание.
Если в Defender для конечных точек включена интеграция Microsoft Defender для Интернета вещей, на странице рекомендаций по безопасности отображаются рекомендации для устройств корпоративного Интернета вещей, которые отображаются на вкладке "Устройства Интернета вещей". Дополнительные сведения см. в статье Включение безопасности Корпоративного Интернета вещей с помощью Defender для конечной точки.
Рекомендации по настройке безопасности
Рекомендации по безопасности отражают устройства, которые соответствуют критериям рекомендаций во время периода оценки рекомендаций. Подверженность устройств, конфигурация и состояние могут со временем изменяться, а возможности Defender могут обновляться в разное время. В результате предоставленные в рекомендации устройства могут временно отличаться от последних результатов инвентаризации устройств.
Для рекомендаций, основанных на данных, которые также отображаются в инвентаризации устройств, используйте инвентаризацию устройств, чтобы проверить последнее состояние на уровне устройства и применить фильтры, соответствующие сценарию рекомендаций. Например, при просмотре рекомендации Уменьшить ненужное входящее подключение из Интернета на устройствах, доступных из Интернета используйте фильтр Доступные из Интернета и соответствующий фильтр времени, например Последние 30 дней, чтобы результаты инвентаризации устройств точнее соответствовали области действия рекомендации.
Если устройство было недавно исправлено, или его уязвимость или конфигурация недавно изменились, укажите время, чтобы рекомендация отражала последнее состояние.
Запрос на исправление
Возможность исправления управления уязвимостями устраняет разрыв между безопасностью и ИТ-администраторами с помощью рабочего процесса запроса на исправление. Администраторы безопасности, такие как вы, могут со страницы Рекомендация по безопасности отправить в Intune запрос ИТ-администратору на устранение уязвимости. Дополнительные сведения о вариантах исправления
Как запросить исправление
Выберите рекомендацию по безопасности, для чего вы хотите запросить исправление, а затем выберите Параметры исправления.
Заполните форму и выберите Отправить запрос.
Чтобы просмотреть состояние запроса на исправление, перейдите на страницу Исправление .
Дополнительные сведения см. в статье Дополнительные сведения о том, как запросить исправление.
Файл для исключения
В качестве альтернативы запросу на исправление, если рекомендация не актуальна в данный момент, вы можете создать исключения для рекомендаций. Дополнительные сведения об исключениях
Только пользователи с соответствующими разрешениями могут добавлять исключения (см. раздел «Унифицированное управление доступом на основе ролей (RBAC) в Microsoft Defender»).
Когда для рекомендации создается исключение, рекомендация перестает быть активной. Состояние рекомендации изменится на Полное исключение или Частичное исключение (по группам устройств).
Примечание.
При применении исключений рекомендаций в столбце "Открытые устройства " также могут отображаться данные до применения исключений, включая устройства, принадлежащие группам устройств, охваченным активным исключением на основе групп устройств. Дополнительные сведения см. в разделе Открытые устройства и влияние после исключений.
Создание исключения
Выберите рекомендацию по безопасности, для которой нужно создать исключение, а затем выберите Параметры исключения.
Заполните форму и отправьте.
Сведения о просмотре всех исключений см. в разделе Просмотр всех исключений.
Сведения о создании исключений см. в статье Создание исключения.
Сообщить об неточности
Вы можете сообщить о ложном срабатывании, если увидите расплывчатую, неточную, неполную или уже исправленную информацию о рекомендациях по безопасности.
На портале Microsoft Defender откройте рекомендацию по безопасности.
Выберите три точки рядом с рекомендацией по безопасности, о которой вы хотите сообщить, а затем выберите Сообщить об неточностях.
Во всплывающей области выберите категорию неточностей в раскрывающемся меню, введите свой адрес электронной почты и сведения об этой неточности.
Выберите Отправить. Ваш отзыв немедленно отправляется экспертам по управлению уязвимостями.