Verwalten von Schwachstellen mit Microsoft Defender Vulnerability Management

Verwalten von Schwachstellen mit Microsoft Defender Vulnerability Management

08.05.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Verwendung von Microsoft Defender Vulnerability Management (MDVM) helfen, um Schwachstellen in ihren Umgebungen zu identifizieren, zu bewerten, zu priorisieren und zu beheben. MDVM ist eine risikobasierte Schwachstellenmanagementlösung, die in Microsoft Defender für Endpoint integriert ist und eine kontinuierliche Asset-Sichtbarkeit, intelligente Bewertungen und integrierte Korrekturtools bietet [1].

Einführung

In einer sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft ist ein effektives Schwachstellenmanagement eine grundlegende Säule jeder robusten Sicherheitsstrategie. Wenn Schwachstellen nicht identifiziert und behoben werden, können Unternehmen Angriffen ausgesetzt sein, die bekannte Softwarefehler, Fehlkonfigurationen oder veraltete Systeme ausnutzen. Das Microsoft Defender Vulnerability Management geht über die einfache Erkennung hinaus, indem es einen proaktiven, risikobasierten Ansatz zur Verwaltung der Angriffsfläche bietet und es Sicherheitsteams ermöglicht, ihre Bemühungen dort zu konzentrieren, wo sie den größten Einfluss haben [2].

Dieser praktische Leitfaden behandelt die Konfiguration und Verwendung von MDVM, von der Asset-Sichtbarkeit und Schwachstellenerkennung bis hin zur risikobasierten Priorisierung, der Erstellung von Sicherheitsempfehlungen und der Nachverfolgung von Abhilfemaßnahmen. Es werden Schritt-für-Schritt-Anleitungen, Beispiele für die Verwendung von Schnittstellen und Validierungsmethoden bereitgestellt, damit der Leser ein wirksames Schwachstellenmanagementprogramm implementieren, das Risiko reduzieren und die Sicherheitslage seines Unternehmens stärken kann.

Warum ist das Microsoft Defender Vulnerability Management so wichtig?

  • Umfassende Sichtbarkeit: Kontinuierliche Erkennung von Assets und Schwachstellen auf Windows-, macOS-, Linux-, Android-, iOS- und Netzwerkgeräten, ohne dass zusätzliche Agenten für Geräte erforderlich sind, die bereits in Defender für Endpoint integriert sind.
  • Risikobasierte Bewertung: Priorisiert Schwachstellen basierend auf dem Umgebungskontext, Microsoft-Bedrohungsinformationen und erkannten Sicherheitsverletzungen in Ihrem Unternehmen und hilft Ihnen, sich auf die kritischsten Risiken zu konzentrieren.
  • Umsetzbare Empfehlungen: Bietet klare, detaillierte Empfehlungen zur Behebung mit schrittweisen Schritten und Links zu relevanten Ressourcen.
  • Native Integration: Vollständig in Microsoft Defender für Endpoint und das Microsoft Defender-Portal integriert, wodurch Sicherheitsvorgänge vereinfacht werden.
  • Integrierte Korrekturtools: Ermöglicht Ihnen die Erstellung von Korrekturaufgaben direkt über das Portal und die Integration mit Microsoft Intune und Microsoft Endpoint Configuration Manager.
  • Exposure-Messung: Bietet Metriken wie „Security Score“ und „Exposure Score“, um den Fortschritt zu verfolgen und die Sicherheitslage im Laufe der Zeit zu verbessern.

Voraussetzungen

Um Microsoft Defender Vulnerability Management verwenden zu können, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Eine Lizenz, die Microsoft Defender für Endpoint P2 oder Microsoft 365 E5 Security/E5 umfasst. MDVM ist in diesen Lizenzen enthalten [3].
  2. Administratorzugriff: Ein Konto mit den Berechtigungen „Sicherheitsadministrator“, „Sicherheitsbetreiber“ oder „Sicherheitsleser“ im Microsoft Defender-Portal („https://security.microsoft.com“).
  3. Integrierte Geräte: Windows-, macOS- oder Linux-Geräte müssen mit Microsoft Defender für Endpoint integriert sein, damit MDVM Schwachstellendaten sammeln kann.

Schritt für Schritt: Schwachstellen mit MDVM verwalten

Lassen Sie uns die Hauptfunktionen von MDVM erkunden, um Schwachstellen zu identifizieren, zu priorisieren und zu beheben.

1. Zugriff auf das Microsoft Defender-Portal

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

2. MDVM-Dashboard-Übersicht

Im MDVM-Dashboard finden Sie einen Überblick über den Sicherheitsstatus Ihrer Organisation, einschließlich des „Exposure Score“ und des „Secure Score“.

  1. Wählen Sie im linken Navigationsbereich Schwachstellenverwaltung aus.
  2. Das Dashboard zeigt Informationen an wie:
    • Gefährdungswert: Ein dynamischer Wert, der die Gefährdung Ihres Unternehmens durch Schwachstellen widerspiegelt.
    • Sicherheitsbewertung: Ein Maß für Ihren SicherheitsstatusAllgemeiner Zustand, mit Verbesserungsvorschlägen.
    • Wichtige Sicherheitsempfehlungen: Die wirkungsvollsten Maßnahmen zur Risikominderung.
    • Top-Schwachstellen: Die häufigsten oder kritischsten Schwachstellen in Ihrer Umgebung.

3. Sicherheitsempfehlungen anzeigen

Empfehlungen sind umsetzbare Maßnahmen zur Behebung von Schwachstellen und zur Verbesserung der Sicherheitslage.

  1. Wählen Sie im linken Navigationsbereich Schwachstellenverwaltung > Empfehlungen aus.
  2. Auf der Empfehlungsseite werden vorgeschlagene Maßnahmen aufgeführt, priorisiert nach Auswirkung des Expositionsfaktors und Anzahl der betroffenen Geräte.
  3. Klicken Sie auf eine Empfehlung (z. B. „Google Chrome aktualisieren“), um weitere Details anzuzeigen.

4. Untersuchung einer Empfehlung

Durch Klicken auf eine Empfehlung können Sie diese weiter untersuchen.

  1. Auf der Seite mit den Empfehlungsdetails sehen Sie Folgendes:
    • Beschreibung: Erklärt die Schwachstelle und warum die Behebung wichtig ist.
    • Belichtung: Details zur Auswirkung auf den Belichtungswert.
    • Betroffene Geräte: Eine Liste aller Geräte, die die Schwachstelle aufweisen.
    • Verwandte Schwachstellen: CVEs (Common Vulnerabilities and Exposures) im Zusammenhang mit der Empfehlung.
    • Fix-Optionen: Vorschläge zur Behebung der Sicherheitslücke.

5. Erstellen einer Behebungsaufgabe

Mit MDVM können Sie Behebungsaufgaben direkt über das Portal erstellen und in Patch-Management-Tools integrieren.

  1. Klicken Sie auf der Seite mit den Empfehlungsdetails auf Behebungsoptionen.
  2. Wählen Sie Behebung anfordern.
  3. Geben Sie die Anfragedetails ein:
    • Priorität: Legen Sie die Priorität der Aufgabe fest.
    • Fälligkeitsdatum: Legen Sie eine Frist für die Korrektur fest.
    • Hinweise: Fügen Sie zusätzliche Informationen für das IT-Team hinzu.
    • Behebungsgruppe: (Optional) Einer bestimmten Gruppe zuweisen.

  4. Klicken Sie auf Anfrage senden.

  5. Sie können den Status der Behebungsaufgaben unter Schwachstellenverwaltung > Behebung verfolgen.

6. Software-Inventar anzeigen

Mit der Softwareinventur erhalten Sie einen vollständigen Überblick über die gesamte auf Ihren Geräten installierte Software und die damit verbundenen Schwachstellen.

  1. Wählen Sie im linken Navigationsbereich Schwachstellenverwaltung > Softwareinventar aus.
  2. Sie können nach Software filtern und suchen und auf jede einzelne klicken, um Details wie bekannte Schwachstellen (CVEs) und Sicherheitsempfehlungen anzuzeigen.

7. Geräteinventar anzeigen

Die Geräteinventur bietet eine Liste aller integrierten Geräte mit Informationen zu deren Schwachstellen und Sicherheitseinstellungen.

  1. Wählen Sie im linken Navigationsbereich Assets > Geräte aus.
  2. Klicken Sie auf ein Gerät, um dessen vollständiges Profil anzuzeigen, einschließlich Schwachstellen, Sicherheitsempfehlungen, installierter Software und Sicherheitseinstellungen.

Validierung und Tests

Zur Validierung der Wirksamkeit von MDVM gehört die Überprüfung, ob Schwachstellen erkannt und Abhilfemaßnahmen erfolgreich durchgeführt werden.

1. Überprüfung auf Entdeckung neuer Schwachstellen

  1. Fügen Sie absichtlich eine bekannte Schwachstelle in ein Testgerät ein (z. B. installieren Sie eine alte, anfällige Softwareversion).
  2. Warten Sie einige Stunden, bis MDVM die Daten erfasst hat.
  3. Überprüfen Sie das MDVM-Dashboard und die Sicherheitsempfehlungen, um zu sehen, ob die neue Schwachstelle erkannt und eine Behebungsempfehlung generiert wurde.

2. Validierung der Behebung

  1. Erstellen Sie eine Behebungsaufgabe für eine erkannte Schwachstelle (z. B. Software aktualisieren).
  2. Wenden Sie den Fix auf das betroffene Gerät an (z. B. aktualisieren Sie die Software manuell oder über Intune/SCCM).
  3. Warten Sie einige Stunden, bis MDVM das Gerät neu bewertet.
  4. Überprüfen Sie auf der Seite Behebung, ob die Aufgabe als „Abgeschlossen“ markiert wurde und die Schwachstelle aus den Empfehlungen entfernt wurde.

Sicherheitstipps und Best Practices

  • Vollständiges Onboarding: Stellen Sie sicher, dass alle relevanten Geräte mit Microsoft Defender für Endpoint integriert sind, um vollständige MDVM-Transparenz zu erhalten.
  • Risikobasierte Priorisierung: Verwenden Sie Gefährdungsbewertungen und priorisierte Empfehlungen, um sich auf die kritischsten Risiken für Ihr Unternehmen zu konzentrieren.
  • Integration mit Patch-Management: Integrierens MDVM-Behebungsaufgaben mit Ihren vorhandenen Patch-Management-Tools (Intune, SCCM), um den Behebungsprozess zu automatisieren.
  • Kontinuierliche Überwachung: Überwachen Sie regelmäßig das MDVM-Dashboard, die Empfehlungen und den Korrekturstatus, um einen proaktiven Sicherheitsstatus aufrechtzuerhalten.
  • Softwarerevisionen: Verwenden Sie die Softwareinventur, um nicht autorisierte oder veraltete Software zu identifizieren und deren Entfernung oder Aktualisierung zu planen.
  • Bildung und Sensibilisierung: Informieren Sie Benutzer darüber, wie wichtig es ist, die Software auf dem neuesten Stand zu halten und die Sicherheitsrichtlinien des Unternehmens einzuhalten.
  • Reaktionsautomatisierung: Entdecken Sie die MDVM-Integration mit Azure Sentinel, um Reaktionen auf Schwachstellen oder Fehlkonfigurationen mit hohem Risiko zu automatisieren.

Allgemeine Fehlerbehebung

  • Geräte werden in MDVM nicht angezeigt: Stellen Sie sicher, dass Geräte in Microsoft Defender für Endpoint ordnungsgemäß integriert sind. Überprüfen Sie den Defender-Agent-Status auf Geräten. Es kann zu Verzögerungen bei der Datensynchronisierung kommen.
  • Unentdeckte Schwachstellen: Stellen Sie sicher, dass anfällige Software auf dem Gerät installiert und aktiv ist. Stellen Sie sicher, dass Ihre Defender für Endpoint-Sicherheitseinstellungen auf dem neuesten Stand sind. Es kann zu Verzögerungen bei der Erkennung und Verarbeitung der Daten kommen.
  • Abhilfemaßnahmen werden nicht angewendet: Überprüfen Sie die Protokolle des Patch-Management-Tools (Intune, SCCM) auf Fehler. Stellen Sie sicher, dass die betroffenen Geräte online und zugänglich sind. Überprüfen Sie die Berechtigungen des Kontos, das die Behebungsaufgabe ausführt.
  • False Positives: Wenn eine Empfehlung falsch erscheint, untersuchen Sie die Details der Schwachstelle und der betroffenen Software. Sie können Empfehlungen unterdrücken, die für Ihre Umgebung nicht relevant sind. Gehen Sie dabei jedoch mit Vorsicht vor.
  • Konsolenleistung: In Umgebungen mit vielen Geräten kann das Laden der Daten einige Zeit dauern. Verwenden Sie Filter und Suchen, um Ihre Ansicht zu optimieren.

Fazit

Microsoft Defender Vulnerability Management ist ein leistungsstarkes Tool, das Unternehmen in die Lage versetzt, einen proaktiven, risikobasierten Ansatz für das Schwachstellenmanagement zu verfolgen. Durch die Bereitstellung kontinuierlicher Transparenz, intelligenter Bewertungen und integrierter Korrekturtools vereinfacht MDVM den komplexen Prozess der Identifizierung und Behebung von Sicherheitsverletzungen. Durch die effektive Implementierung von MDVM in Kombination mit Patch-Management und Best Practices für Sicherheit können IT- und Sicherheitsteams die Angriffsfläche erheblich reduzieren, den „Secure Score“ verbessern und die Cyber-Resilienz des Unternehmens gegenüber den neuesten Bedrohungen stärken. Mit diesem Leitfaden sind Sicherheitsexperten bestens gerüstet, um Schwachstellen effizient zu verwalten und eine sichere und konforme Microsoft-Umgebung aufrechtzuerhalten.

Referenzen:

[1] Microsoft Learn. Microsoft Defender Vulnerability Management. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Learn. Benutzerhandbuch zur Schwachstellenbewertung. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Learn. Vergleichen Sie die Funktionen des Microsoft Defender Vulnerability Management. Verfügbar unter: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities