Správa zranitelností pomocí Microsoft Defender Vulnerability Management

Správa zranitelností pomocí Microsoft Defender Vulnerability Management

05/08/2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při používání Microsoft Defender Vulnerability Management (MDVM) k identifikaci, posouzení, stanovení priorit a nápravě zranitelností v jejich prostředích. MDVM je řešení pro správu zranitelnosti založené na rizicích integrované s Microsoft Defender for Endpoint, které poskytuje nepřetržitý přehled o aktivech, inteligentní hodnocení a vestavěné nástroje pro nápravu [1].

Úvod

V neustále se vyvíjejícím prostředí kybernetických hrozeb je efektivní správa zranitelnosti základním pilířem jakékoli robustní bezpečnostní strategie. Neschopnost identifikovat a opravit zranitelná místa může vystavit organizace útokům, které využívají známé softwarové chyby, nesprávnou konfiguraci nebo zastaralé systémy. Microsoft Defender Vulnerability Management jde nad rámec jednoduché detekce tím, že poskytuje proaktivní přístup ke správě povrchu útoku založený na rizicích, což bezpečnostním týmům umožňuje zaměřit své úsilí tam, kde budou mít největší dopad [2].

Tento praktický průvodce se bude zabývat tím, jak nakonfigurovat a používat MDVM, od viditelnosti majetku a zjišťování zranitelnosti až po stanovení priorit na základě rizik, vytváření bezpečnostních doporučení a sledování nápravy. Budou poskytnuty podrobné pokyny, příklady použití rozhraní a metody ověřování, aby čtenář mohl zavést účinný program řízení zranitelnosti, snížit vystavení rizikům a posílit bezpečnostní pozici své organizace.

Proč je Microsoft Defender Vulnerability Management zásadní?

  • Komplexní viditelnost: Průběžné zjišťování aktiv a zranitelností napříč systémy Windows, macOS, Linux, Android, iOS a síťovými zařízeními, aniž byste potřebovali další agenty pro zařízení, která již jsou v Defenderu pro Endpoint integrována.
  • Posouzení na základě rizik: Upřednostňuje zranitelnosti na základě kontextu prostředí, informací o hrozbách společnosti Microsoft a detekce narušení ve vaší organizaci, což vám pomůže zaměřit se na nejkritičtější rizika.
  • Akční doporučení: Poskytuje jasná a podrobná doporučení pro nápravu s podrobnými kroky a odkazy na relevantní zdroje.
  • Nativní integrace: Plně integrovaná s Microsoft Defender for Endpoint a portálem Microsoft Defender, což zjednodušuje operace zabezpečení.
  • Vestavěné nástroje nápravy: Umožňuje vytvářet úlohy nápravy přímo z portálu v integraci s Microsoft Intune a Microsoft Endpoint Configuration Manager.
  • Měření expozice: Poskytuje metriky jako „Skóre zabezpečení“ a „Skóre expozice“ ke sledování pokroku a zlepšování stavu zabezpečení v průběhu času.

Předpoklady

Chcete-li používat Microsoft Defender Vulnerability Management, budete potřebovat následující položky:

  1. Licencování: Licence, která zahrnuje Microsoft Defender pro Endpoint P2 nebo Microsoft 365 E5 Security/E5. MDVM je součástí těchto licencí [3].
  2. Administrativní přístup: Účet s oprávněními Security Administrator, Security Operator nebo Security Reader na portálu Microsoft Defender (https://security.microsoft.com).
  3. Integrovaná zařízení: Zařízení Windows, macOS nebo Linux musí být integrována s Microsoft Defender for Endpoint, aby MDVM mohlo shromažďovat data o zranitelnosti.

Krok za krokem: Správa zranitelností pomocí MDVM

Pojďme prozkoumat hlavní funkce MDVM pro identifikaci, stanovení priorit a nápravu zranitelností.

1. Přístup k portálu Microsoft Defender

  1. Otevřete prohlížeč a přejděte na https://security.microsoft.com.
  2. Přihlaste se pomocí účtu, který má potřebná oprávnění.

2. Přehled řídicího panelu MDVM

Na řídicím panelu MDVM naleznete přehled o stavu zabezpečení vaší organizace, včetně „Skóre expozice“ a „Skóre zabezpečení“.

  1. V levém navigačním panelu vyberte Vulnerability Management.
  2. Na palubní desce se zobrazí informace jako:
    • Skóre vystavení: Dynamické skóre, které odráží vystavení vaší organizace zranitelnostem.
    • Secure Score: Míra vaší bezpečnostní poziceobecné naléhavosti s doporučeními na zlepšení.
    • Hlavní bezpečnostní doporučení: Nejúčinnější opatření ke snížení rizika.
    • Nejčastější zranitelnosti: Nejběžnější nebo kritické zranitelnosti ve vašem prostředí.

3. Zobrazení bezpečnostních doporučení

Doporučení jsou akceschopné akce, které opraví zranitelná místa a zlepší stav zabezpečení.

  1. V levém navigačním panelu vyberte Správa zranitelnosti > Doporučení.
  2. Stránka s doporučeními uvádí navrhované akce, jejichž priorita je podle dopadu skóre expozice a počtu postižených zařízení.
  3. Kliknutím na doporučení (např. „Aktualizovat Google Chrome“) zobrazíte další podrobnosti.

4. Zkoumání doporučení

Kliknutím na doporučení můžete dále prozkoumat.

  1. Na stránce podrobností doporučení uvidíte:
    • Popis: Vysvětluje zranitelnost a proč je oprava důležitá.
    • Expozice: Podrobnosti o dopadu na skóre expozice.
    • Dotčená zařízení: Seznam všech zařízení, která mají zranitelnost.
    • Související zranitelnosti: CVE (Common Vulnerabilities and Exposures) spojené s doporučením.
    • Možnosti opravy: Návrhy, jak tuto chybu zabezpečení opravit.

5. Vytvoření sanačního úkolu

MDVM vám umožňuje vytvářet úlohy nápravy přímo z portálu a integrovat se s nástroji pro správu oprav.

  1. Na stránce podrobností doporučení klikněte na Možnosti nápravy.
  2. Vyberte Požádat o nápravu.
  3. Vyplňte podrobnosti žádosti:
    • Priorita: Nastavte prioritu úkolu.
    • Datum splatnosti: Stanovte lhůtu pro opravu.
    • Poznámky: Přidejte další informace pro tým IT.
    • Skupina nápravy: (Volitelné) Přiřadit ke konkrétní skupině.

  4. Klikněte na Odeslat požadavek.

  5. Stav úkolů nápravy můžete sledovat v části Správa zranitelnosti > Oprava.

6. Prohlížení inventáře softwaru

Inventář softwaru vám poskytuje úplný přehled o veškerém softwaru nainstalovaném na vašich zařízeních a souvisejících zranitelnostech.

  1. V levém navigačním panelu vyberte Správa zranitelnosti > Inventář softwaru.
  2. Můžete filtrovat a vyhledávat software a kliknutím na každý z nich zobrazit podrobnosti, jako jsou známá zranitelnost (CVE) a bezpečnostní doporučení.

7. Zobrazení inventáře zařízení

Inventář zařízení poskytuje seznam všech integrovaných zařízení s informacemi o jejich zranitelnostech a nastavení zabezpečení.

  1. V levém navigačním panelu vyberte Assets > Devices.
  2. Kliknutím na zařízení zobrazíte jeho úplný profil, včetně zranitelností, bezpečnostních doporučení, nainstalovaného softwaru a nastavení zabezpečení.

Validace a testování

Ověření účinnosti MDVM zahrnuje ověření, že byly zjištěny zranitelnosti a že náprava byla úspěšně aplikována.

1. Kontrola detekce nových zranitelností

  1. Záměrně zaveďte známou zranitelnost do testovacího zařízení (např. nainstalujte starou zranitelnou verzi softwaru).
  2. Počkejte několik hodin, než MDVM shromáždí data.
  3. Zkontrolujte řídicí panel MDVM a bezpečnostní doporučení, abyste zjistili, zda byla zjištěna nová chyba zabezpečení a bylo vygenerováno doporučení k nápravě.

2. Potvrzení nápravy

  1. Vytvořte úlohu nápravy pro zjištěnou chybu zabezpečení (např. aktualizace softwaru).
  2. Použijte opravu na postižené zařízení (např. aktualizujte software ručně nebo prostřednictvím Intune/SCCM).
  3. Počkejte několik hodin, než MDVM znovu vyhodnotí zařízení.
  4. Zkontrolujte stránku Oprava a zjistěte, zda byla úloha označena jako „Dokončená“ a zda byla zranitelnost odstraněna z Doporučení.

Bezpečnostní tipy a doporučené postupy

  • Plná integrace: Zajistěte, aby všechna relevantní zařízení byla integrována s Microsoft Defender for Endpoint, abyste získali úplnou viditelnost MDVM.
  • Upřednostňování na základě rizik: Použijte skóre expozice a prioritní doporučení a zaměřte se na nejkritičtější rizika pro vaši organizaci.
  • Integrace se správou oprav: Integraces Úlohy nápravy MDVM s vašimi stávajícími nástroji pro správu oprav (Intune, SCCM) pro automatizaci procesu nápravy.
  • Nepřetržité monitorování: Pravidelně sledujte řídicí panel MDVM, doporučení a stav nápravy, abyste udrželi proaktivní bezpečnostní pozici.
  • Revize softwaru: Použijte inventář softwaru k identifikaci neautorizovaného nebo zastaralého softwaru a naplánujte jeho odstranění nebo aktualizaci.
  • Vzdělávání a povědomí: Poučte uživatele o důležitosti aktualizace softwaru a dodržování zásad zabezpečení organizace.
  • Automatizace odpovědí: Prozkoumejte integraci MDVM s Azure Sentinel a zautomatizujte reakce na vysoce rizikové zranitelnosti nebo nesprávné konfigurace.

Běžné odstraňování problémů

  • Zařízení se nezobrazují v MDVM: Ověřte, zda jsou zařízení správně integrována v programu Microsoft Defender for Endpoint. Zkontrolujte stav agenta Defender na zařízeních. Při synchronizaci dat může docházet ke zpožděním.
  • Neodhalená zranitelnost: Ujistěte se, že je v zařízení nainstalován a aktivní zranitelný software. Ověřte, zda jsou vaše nastavení zabezpečení Defender for Endpoint aktuální. Při zjišťování a zpracování dat může dojít ke zpoždění.
  • Opravné prostředky se neuplatňují: Zkontrolujte, zda protokoly nástroje pro správu oprav (Intune, SCCM) neobsahují chyby. Ujistěte se, že postižená zařízení jsou online a přístupná. Zkontrolujte oprávnění účtu, na kterém je spuštěna úloha nápravy.
  • Falešně pozitivní údaje: Pokud se doporučení zdá nesprávné, prozkoumejte podrobnosti o zranitelnosti a dotčeném softwaru. Můžete potlačit doporučení, která nejsou relevantní pro vaše prostředí, ale dělejte to opatrně.
  • Výkon konzole: V prostředí s mnoha zařízeními může načítání dat nějakou dobu trvat. Optimalizujte zobrazení pomocí filtrů a vyhledávání.

Závěr

Microsoft Defender Vulnerability Management je výkonný nástroj, který organizacím umožňuje zaujmout proaktivní přístup ke správě zranitelnosti založený na rizicích. Tím, že poskytuje nepřetržitou viditelnost, inteligentní hodnocení a integrované nástroje pro nápravu, MDVM zjednodušuje komplexní proces identifikace a nápravy narušení bezpečnosti. Efektivní implementace MDVM v kombinaci se správou oprav a osvědčenými postupy zabezpečení umožňuje IT a bezpečnostním týmům výrazně snížit plochu útoku, zlepšit „Secure Score“ a posílit kybernetickou odolnost organizace vůči nejnovějším hrozbám. Díky této příručce budou odborníci na zabezpečení dobře vybaveni k efektivní správě zranitelných míst a udržování bezpečného a kompatibilního prostředí společnosti Microsoft.

Reference:

[1] Microsoft Learn. Správa zranitelnosti v programu Microsoft Defender. Dostupné na: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Learn. Uživatelská příručka k posouzení zranitelnosti. Dostupné na: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Learn. Porovnejte funkce Microsoft Defender Vulnerability Management. Dostupné na: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities