Bestuur van kwesbaarhede met Microsoft Defender Vulnerability Management

Bestuur van kwesbaarhede met Microsoft Defender Vulnerability Management

05/08/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die gebruik van Microsoft Defender Vulnerability Management (MDVM) om kwesbaarhede in hul omgewings te identifiseer, assesseer, prioritiseer en reg te stel. MDVM is 'n risiko-gebaseerde kwesbaarheidbestuursoplossing geïntegreer met Microsoft Defender vir Endpoint wat deurlopende batesigbaarheid, intelligente assesserings en ingeboude remediëringsnutsmiddels bied [1].

Inleiding

In 'n steeds ontwikkelende kuberbedreigingslandskap is effektiewe kwesbaarheidsbestuur 'n fundamentele pilaar van enige robuuste sekuriteitstrategie. Versuim om kwesbaarhede te identifiseer en reg te stel, kan organisasies blootgestel word aan aanvalle wat bekende sagtewarefoute, wanopstellings of verouderde stelsels uitbuit. Microsoft Defender Vulnerability Management gaan verder as eenvoudige opsporing deur 'n proaktiewe, risiko-gebaseerde benadering tot die bestuur van die aanvaloppervlak te verskaf, wat sekuriteitspanne in staat stel om hul pogings te fokus waar hulle die grootste impak sal hê [2].

Hierdie praktiese gids sal dek hoe om MDVM op te stel en te gebruik, van batesigbaarheid en kwesbaarheidontdekking tot risikogebaseerde prioritisering, die skep van sekuriteitsaanbevelings en herstelnasporing. Stap-vir-stap instruksies, koppelvlakgebruikvoorbeelde en valideringsmetodes sal verskaf word sodat die leser 'n effektiewe kwesbaarheidbestuursprogram kan implementeer, wat risikoblootstelling verminder en hul organisasie se sekuriteitsposisie kan versterk.

Hoekom is Microsoft Defender Vulnerability Management van kardinale belang?

  • Omvattende sigbaarheid: Deurlopende ontdekking van bates en kwesbaarhede oor Windows, macOS, Linux, Android, iOS en netwerktoestelle, sonder die behoefte aan bykomende agente vir toestelle wat reeds in Defender vir Endpoint aan boord is.
  • Risiko-gebaseerde assessering: Prioritiseer kwesbaarhede op grond van omgewingskonteks, Microsoft-bedreigingsintelligensie en breukopsporings in jou organisasie, wat jou help om op die mees kritieke risiko's te fokus.
  • Optreebare aanbevelings: Verskaf duidelike, gedetailleerde aanbevelings vir remediëring, met stap-vir-stap stappe en skakels na relevante hulpbronne.
  • Inheemse integrasie: Volledig geïntegreer met Microsoft Defender vir Endpoint en die Microsoft Defender-portaal, wat sekuriteitsbedrywighede vereenvoudig.
  • Ingeboude herstelnutsmiddels: Laat jou toe om regstellingstake direk vanaf die portaal te skep, integrasie met Microsoft Intune en Microsoft Endpoint Configuration Manager.
  • Blootstellingsmeting: Verskaf maatstawwe soos "Sekuriteittelling" en "Blootstellingtelling" om vordering na te spoor en sekuriteitshouding oor tyd te verbeter.

Voorvereistes

Om Microsoft Defender Vulnerability Management te gebruik, benodig u die volgende items:

  1. Lisensiëring: 'n Lisensie wat Microsoft Defender vir Endpoint P2 of Microsoft 365 E5 Security/E5 insluit. MDVM is by hierdie lisensies ingesluit [3].
  2. Administratiewe toegang: 'n Rekening met Sekuriteitsadministrateur, Sekuriteitsoperateur of Sekuriteitsleser-toestemmings in die Microsoft Defender-portaal (https://security.microsoft.com).
  3. Geboordtoestelle: Windows-, macOS- of Linux-toestelle moet by Microsoft Defender for Endpoint aan boord wees sodat MDVM kwesbaarheidsdata kan insamel.

Stap vir stap: Bestuur kwesbaarhede met MDVM

Kom ons ondersoek die hooffunksies van MDVM om kwesbaarhede te identifiseer, prioritiseer en reg te stel.

1. Toegang tot die Microsoft Defender-portaal

  1. Maak jou blaaier oop en navigeer na https://security.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.

2. MDVM Dashboard Oorsig

In die MDVM-kontroleskerm sal jy 'n oorsig kry van jou organisasie se sekuriteitsposisie, insluitend die "Blootstellingtelling" en "Veilige telling".

  1. Kies Vulnerability Management in die linkernavigasiepaneel.
  2. Die dashboard sal inligting vertoon soos:
    • Blootstellingtelling: 'n Dinamiese telling wat jou organisasie se blootstelling aan kwesbaarhede weerspieël.
    • Veilige telling: 'n Maatstaf van jou sekuriteitsposisiealgemene urance, met aanbevelings vir verbetering.
    • Belangrikste sekuriteitsaanbevelings: Die mees impakvolle aksies om risiko te verminder.
    • Top kwesbaarhede: Die mees algemene of kritieke kwesbaarhede in jou omgewing.

3. Bekyk sekuriteitsaanbevelings

Aanbevelings is uitvoerbare aksies om kwesbaarhede reg te stel en sekuriteitsposisie te verbeter.

  1. Kies Kwesbaarheidsbestuur > Aanbevelings in die linkernavigasiepaneel.
  2. Die aanbevelingsbladsy lys voorgestelde aksies, geprioritiseer volgens die impak van blootstellingtelling en aantal toestelle wat geraak word.
  3. Klik op 'n aanbeveling (bv. Dateer Google Chrome op) om meer besonderhede te sien.

4. Ondersoek 'n aanbeveling

Deur op 'n aanbeveling te klik, kan jy verder ondersoek instel.

  1. Op die aanbevelingbesonderhedebladsy sal jy die volgende sien:
    • Beskrywing: Verduidelik die kwesbaarheid en hoekom die oplossing belangrik is.
    • Blootstelling: Besonderhede oor die impak op Blootstellingtelling.
    • Geaffekteerde toestelle: 'n Lys van alle toestelle wat die kwesbaarheid het.
    • Verwante kwesbaarhede: CVE's (Common Vulnerabilities and Exposures) wat met die aanbeveling geassosieer word.
    • Regstel opsies: Voorstelle oor hoe om die kwesbaarheid reg te stel.

5. Skep 'n remediëringstaak

MDVM laat jou toe om regstellingstake direk vanaf die portaal te skep, met integrasie met pleisterbestuurnutsmiddels.

  1. Op die aanbevelingbesonderhedebladsy, klik Remediëringsopsies.
  2. Kies Versoek remediëring.
  3. Vul die versoekbesonderhede in:
    • Prioriteit: Stel die prioriteit van die taak.
    • Sperdatum: Stel 'n sperdatum vir die regstelling.
    • Notas: Voeg enige bykomende inligting vir die IT-span by.
    • Remediëringsgroep: (Opsioneel) Ken toe aan 'n spesifieke groep.

  4. Klik Dien versoek in.

  5. Jy kan die status van remediëringtake dophou onder Kwesbaarheidsbestuur > Remediëring.

6. Bekyk sagteware-voorraad

Sagteware-voorraad gee jou 'n volledige oorsig van alle sagteware wat op jou toestelle geïnstalleer is en hul verwante kwesbaarhede.

  1. In die linkernavigasievenster, kies Kwesbaarheidsbestuur > Sagtewarevoorraad.
  2. Jy kan sagteware filter en soek, en op elkeen klik om besonderhede soos bekende kwesbaarhede (CVE's) en sekuriteitsaanbevelings te sien.

7. Bekyk toestelvoorraad

Toestelvoorraad verskaf 'n lys van alle toestelle wat aan boord is, met inligting oor hul kwesbaarhede en sekuriteitinstellings.

  1. Kies Bates > Toestelle in die linkernavigasiepaneel.
  2. Klik 'n toestel om sy volledige profiel te sien, insluitend kwesbaarhede, sekuriteitsaanbevelings, geïnstalleerde sagteware en sekuriteitinstellings.

Bekragtiging en toetsing

Om die doeltreffendheid van MDVM te valideer, behels die verifiëring dat kwesbaarhede opgespoor word en dat remediëring suksesvol toegepas word.

1. Kontroleer vir opsporing van nuwe kwesbaarhede

  1. Stel 'n bekende kwesbaarheid doelbewus in 'n toetstoestel in (bv. installeer 'n ou, kwesbare weergawe van sagteware).
  2. Wag 'n paar uur vir MDVM om die data in te samel.
  3. Gaan die MDVM-kontroleskerm en sekuriteitsaanbevelings na om te sien of die nuwe kwesbaarheid bespeur is en 'n remediëringsaanbeveling gegenereer is.

2. Bekragtiging van die Remediëring

  1. Skep 'n hersteltaak vir 'n bespeurde kwesbaarheid (bv. werk sagteware op).
  2. Pas die regstelling toe op die geaffekteerde toestel (bv. werk die sagteware handmatig of via Intune/SCCM op).
  3. Wag 'n paar uur vir MDVM om die toestel te herevalueer.
  4. Gaan die Remediëring-bladsy na om te sien of die taak as 'Voltooi' gemerk is en die kwesbaarheid van Aanbevelings verwyder is.

Sekuriteitswenke en beste praktyke

  • Volledige aanboord: Maak seker dat alle relevante toestelle by Microsoft Defender vir Endpoint aan boord is om volledige MDVM-sigbaarheid te verkry.
  • Risikogebaseerde prioritisering: Gebruik blootstellingtellings en geprioritiseerde aanbevelings om op die mees kritieke risiko's vir jou organisasie te fokus.
  • Integrasie met Patch Management: Integreers MDVM-remediëringstake met jou bestaande pleisterbestuurnutsmiddels (Intune, SCCM) om die remediëringsproses te outomatiseer.
  • Deurlopende monitering: Moniteer gereeld die MDVM-kontroleskerm, aanbevelings en herstelstatus om 'n proaktiewe sekuriteitsposisie te handhaaf.
  • Sagtewarehersienings: Gebruik sagteware-voorraad om ongemagtigde of verouderde sagteware te identifiseer en beplan vir die verwydering of opdatering daarvan.
  • Opvoeding en bewustheid: Leer gebruikers op oor die belangrikheid daarvan om sagteware op datum te hou en die organisasie se sekuriteitsbeleide te volg.
  • Responsoutomatisering: Verken MDVM-integrasie met Azure Sentinel om reaksies op hoërisiko-kwesbaarhede of wankonfigurasies te outomatiseer.

Algemene probleemoplossing

  • Toestelle verskyn nie in MDVM: Verifieer dat toestelle korrek in Microsoft Defender for Endpoint aan boord is. Gaan die Defender-agentstatus op toestelle na. Daar kan vertragings in datasinchronisasie wees.
  • Onopgemerkte kwesbaarhede: Maak seker dat kwesbare sagteware op die toestel geïnstalleer en aktief is. Verifieer dat jou Defender for Endpoint-sekuriteitinstellings op datum is. Daar kan 'n vertraging in die opsporing en verwerking van data wees.
  • Remedies word nie toegepas nie: Gaan pleisterbestuurnutsmiddel (Intune, SCCM) logs vir foute na. Maak seker geaffekteerde toestelle is aanlyn en toeganklik. Kontroleer die toestemmings van die rekening wat die hersteltaak uitvoer.
  • Vals Positiewe: Indien 'n aanbeveling verkeerd voorkom, ondersoek die besonderhede van die kwesbaarheid en die geaffekteerde sagteware. Jy kan aanbevelings onderdruk wat nie vir jou omgewing relevant is nie, maar doen dit met omsigtigheid.
  • Konsoleprestasie: In omgewings met baie toestelle kan die laai van data tyd neem. Gebruik filters en soektogte om jou aansig te optimaliseer.

Gevolgtrekking

Microsoft Defender Vulnerability Management is 'n kragtige instrument wat organisasies bemagtig om 'n proaktiewe, risiko-gebaseerde benadering tot kwesbaarheidsbestuur te volg. Deur deurlopende sigbaarheid, intelligente assesserings en geïntegreerde remediëringsinstrumente te verskaf, vereenvoudig MDVM die komplekse proses om sekuriteitsbreuke te identifiseer en te herstel. Effektiewe implementering van MDVM, gekombineer met pleisterbestuur en beste sekuriteitspraktyke, stel IT- en sekuriteitspanne in staat om die aanvaloppervlak aansienlik te verminder, die "Secure Score" te verbeter en die organisasie se kuberveerkragtigheid teen die jongste bedreigings te versterk. Met hierdie gids sal sekuriteitspersoneel goed toegerus wees om kwesbaarhede doeltreffend te bestuur en 'n veilige en voldoenende Microsoft-omgewing te handhaaf.

Verwysings:

[1] Microsoft Learn. Microsoft Defender Vulnerability Management. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Learn. Kwesbaarheidsbeoordeling Gebruikersgids. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Learn. Vergelyk Microsoft Defender Vulnerability Management kenmerke. Beskikbaar by: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities