Инвентаризация программного обеспечения

Примечание.

Раздел Управление уязвимостями на портале Microsoft Defender теперь находится в разделе Управление экспозицией. Благодаря этому изменению теперь можно использовать данные о уязвимостях безопасности и данные об уязвимостях в едином расположении и управлять ими, чтобы улучшить существующие функции управления уязвимостями. Подробнее.

Эти изменения относятся к клиентам предварительной версии (вариант предварительной версии Microsoft Defender XDR + Microsoft Defender для удостоверений).

Инвентаризация программного обеспечения в Управление уязвимостями Microsoft Defender — это список известного программного обеспечения в вашей организации. Фильтр по умолчанию на странице инвентаризации программного обеспечения отображает все программное обеспечение с официальными перечислениями общих платформ (CPE). Представление содержит такие сведения, как имя поставщика, количество слабых мест, угроз и количество открытых устройств.

Вы можете удалить фильтр CPE Available , чтобы получить дополнительную видимость и увеличить область поиска во всех установленных программном обеспечении в вашей организации. При очистке этого фильтра все программное обеспечение, включая программное обеспечение без CPE, отображается в списке инвентаризации программного обеспечения.

Примечание.

CPE используются в процессе управления уязвимостями для идентификации программного обеспечения и связанных с ним уязвимостей. Программные продукты без CPE отображаются на странице инвентаризации программного обеспечения, но они не поддерживаются управлением уязвимостями. Такие сведения, как эксплойты, количество открытых устройств и слабые места, недоступны для программных продуктов без CPE.

Принципы действия

В области выявления мы используем тот же набор сигналов, который используется для обнаружения и оценки уязвимостей в возможностях обнаружения и реагирования Microsoft Defender для конечной точки.

Поскольку это происходит в реальном времени, уже через несколько минут вы получаете информацию об уязвимостях по мере их обнаружения. Модуль автоматически получает информацию из нескольких источников данных безопасности. На самом деле, вы видите, подключено ли определенное программное обеспечение к активной кампании угроз. Он также предоставляет ссылку на отчет аналитики угроз, как только он будет доступен.

  1. На портале Microsoft Defender выполните одно из следующих действий.
    • Если вы являетесь клиентом предварительной версии Microsoft Defender XDR + Microsoft Defender для удостоверений, выберите Управление рисками>Управление уязвимостями>Инвентаризации.
    • Если вы уже являетесь клиентом, выберите Конечные точки>Управление уязвимостями>Инвентаризации.
  2. Перейдите на вкладку Программное обеспечение .

Примечание.

Если вы ищете программное обеспечение с помощью глобального поиска в портале Microsoft Defender, обязательно используйте символ подчёркивания вместо пробела. Например, для получения лучших результатов поиска следует вводить windows_10 или windows_11 вместо Windows 10 или Windows 11.

Обзор инвентаризации программного обеспечения

В разделе Инвентаризация программного обеспечения перечислены программное обеспечение, установленное в вашей сети, включая имя поставщика, обнаруженные слабые места, связанные с ними угрозы, обнаруженные устройства, влияние на оценку уязвимости и теги. Данные обновляются каждые три-четыре часа. В настоящее время нет способа принудительной синхронизации.

Пример целевой страницы инвентаризации программного обеспечения.

Вы можете фильтровать представление списка по коду продукта (CPE), платформе ОС, уязвимостям в программном обеспечении, связанным с ними угрозам и тегам, например, достигло ли программное обеспечение окончания поддержки.

Снимок экрана: доступные фильтры на странице инвентаризации программного обеспечения.

Выберите программное обеспечение, которое нужно исследовать. Откроется всплывающий элемент с более компактным представлением сведений на странице. Вы можете либо углубиться в исследование и выбрать Открыть страницу программного обеспечения, либо отметить любые технические несоответствия, выбрав Сообщить о неточностях.

Программное обеспечение, которое не поддерживается

Программное обеспечение, которое в настоящее время не поддерживается управлением уязвимостями, может присутствовать на странице инвентаризации программного обеспечения. Так как он не поддерживается, доступны только ограниченные данные. Фильтруйте по неподдерживаемому программному обеспечению с помощью параметра Недоступно в разделе Слабые места.

Неподдерживаемый фильтр программного обеспечения

Вот как определить, не поддерживается ли программное обеспечение:

  • Отображается поле "Слабые места " Not available
  • В поле Открытые устройства отображается тире
  • Информационный текст добавляется на боковой панели и на странице программного обеспечения
  • На странице программного обеспечения нет разделов с рекомендациями по безопасности, обнаруженными уязвимостями или хронологией событий.

Примечание.

В Linux-системах Управление уязвимостями Defender отображает только программное обеспечение, установленное с помощью собственных менеджеров пакетов, таких как rpm, dnf и yum. Приложения, установленные вручную или с помощью пользовательских методов, таких как неупакованные двоичные файлы или приложения на основе JAR- файлов, не отображаются в списке. Существует ограниченный настраиваемый инвентарь для определенных компонентов, таких как Log4j и SAP NetWeaver.

Инвентаризация программного обеспечения на устройствах

  1. В портале Microsoft Defender перейдите в раздел Активы>Устройства, чтобы открыть страницу Инвентаризация устройств.

  2. Выберите имя устройства, чтобы открыть страницу устройства.

  3. Перейдите на вкладку Инвентаризация . В разделе Программное обеспечение вы увидите список всех известных программ, присутствующих на устройстве.

  4. Выберите конкретный элемент списка программ, чтобы открыть выдвижную панель с дополнительной информацией.

Программное обеспечение может отображаться на уровне устройства, даже если оно в настоящее время не поддерживается управлением уязвимостями. Однако доступны только ограниченные данные. Вы знаете, не поддерживается ли программное обеспечение, так как оно Not available указано в столбце "Слабость ". Программное обеспечение без CPE также может отображаться в этом реестре программного обеспечения для конкретного устройства.

Программное свидетельство

Просмотрите сведения о том, где на устройстве было обнаружено определённое программное обеспечение: в реестре, на диске или в обоих местах. Эти сведения можно найти на любом устройстве в списке программного обеспечения устройства.

Выберите имя программного обеспечения, чтобы открыть его всплывающее меню, и найдите раздел Software Evidence.

Пример подтверждения программного обеспечения Microsoft Edge, показывающий путь реестра подтверждений, как показано на странице устройства

Страницы программного обеспечения

Страницы программного обеспечения на портале Microsoft Defender можно просмотреть несколькими способами:

Примечание.

В этом разделе описываются возможности Управление уязвимостями Microsoft Defender для клиентов, использующих предварительную версию Microsoft Defender XDR + Microsoft Defender для удостоверений. Этот компонент является частью интеграции решения «Управление уязвимостями в Microsoft Defender» в решение «Управление рисками кибербезопасности Microsoft». Подробнее.

  • Выберите Управление уязвимостями>Инвентаризации управления >уязвимостямии перейдите на вкладку Программное обеспечение. Во всплывающем окне выберите Открыть страницу программного обеспечения.
  • Выберите Рекомендации по управлению>экспозицией. Выберите рекомендацию и во всплывающем окне выберите Открыть страницу программного обеспечения. (См. страницу рекомендаций по безопасности.)
  • Перейдите к временной шкале событий, выберите событие, а затем в разделе Связанные компоненты выберите ссылку с названием программного обеспечения.

На странице программного обеспечения содержатся сведения о конкретном программном обеспечении со следующими сведениями:

  • Обзор со сведениями о поставщиках, доступными эксплойтами и оценкой влияния
  • Визуализации данных, показывающие количество и серьезность обнаруженных слабых мест, обнаруженных устройств, использование программного обеспечения за последние 30 дней и основные события за последние семь дней.
  • Вкладки с информацией, например:
    • Соответствующие рекомендации по безопасности для обнаруженных слабых мест и уязвимостей.
    • Идентификаторы CVE для обнаруженных уязвимостей.
    • Устройства, на которых установлено программное обеспечение (вместе с именем устройства, доменом, ОС и т. д.).
    • Список версий программного обеспечения (включая количество устройств, на которых установлена версия, количество обнаруженных уязвимостей и имена установленных устройств).
    • Временная шкала события
    • Расширения браузера (если применимо)

Страница примеров программного обеспечения для Microsoft Edge с сведениями о программном обеспечении, слабыми местами, открытыми устройствами и многое другое.

Нормализованные версии программного обеспечения

Для некоторых программ нормализованные версии могут отображаться на портале Microsoft Defender. Например, предположим, что на устройстве установлено SQL Server 2016 версии 13.0.7016.1. Однако на портале Microsoft Defender SQL Server 2016 указан как 13.3.7016.1нормализованная версия SQL Server. В этом случае 13.3.7016.1 функционально эквивалентно 13.0.7016.1.

Управление уязвимостями Defender применяет правила нормализации версий для обеспечения лучшей корреляции между устройствами и более точной оценки уязвимостей. Нормализация версий является преднамеренной и допустимой и используется последовательно для оптимизации логики обнаружения и согласования с внутренними моделями данных.

Сообщить об неточности

Сообщите об ошибке, если отображаются неверные сведения об уязвимостях и результаты оценки.

  1. На портале Microsoft Defender:
  • Если вы являетесь клиентом программы предварительной версии Microsoft Defender XDR и Microsoft Defender для удостоверений, перейдите в раздел Конечные точки>Управление уязвимостями>Инвентаризации и выберите вкладку Программное обеспечение.
  • Если вы уже являетесь клиентом, перейдите в раздел Конечные точки>Управление уязвимостями>Инвентаризации и выберите вкладку Программное обеспечение.
  1. Выберите имя программного обеспечения, чтобы открыть его всплывающее меню, а затем выберите Сообщить об ошибке.

  2. Во всплывающей области выберите проблему. Вот некоторые примеры.

    • Неправильные сведения о программном обеспечении
    • Программное обеспечение не установлено ни на одном устройстве в моей организации
    • Неверное количество установленных или обнаруженных устройств
  3. Заполните запрошенные сведения об неточности.

    Сообщить об неточности

  4. Выберите Отправить. Ваш отзыв немедленно отправляется экспертам по управлению уязвимостями.

API инвентаризации программного обеспечения

Вы можете использовать API для просмотра сведений о программном обеспечении, установленном в вашей организации. Сведения, возвращаемые API-интерфейсами, включают устройства, на которых он установлен, имя программного обеспечения, издатель программного обеспечения, установленные версии и количество слабых мест. Дополнительные сведения см. в разделе: