Gestion des vulnérabilités avec Microsoft Defender Vulnerability Management

Gestion des vulnérabilités avec Microsoft Defender Vulnerability Management

05/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans l’utilisation de Microsoft Defender Vulnerability Management (MDVM) pour identifier, évaluer, hiérarchiser et corriger les vulnérabilités dans leurs environnements. MDVM est une solution de gestion des vulnérabilités basée sur les risques intégrée à Microsoft Defender for Endpoint qui offre une visibilité continue des actifs, des évaluations intelligentes et des outils de remédiation intégrés [1].

Présentation

Dans un paysage de cybermenaces en constante évolution, une gestion efficace des vulnérabilités est un pilier fondamental de toute stratégie de sécurité solide. Si les vulnérabilités ne sont pas identifiées et corrigées, les organisations peuvent être exposées à des attaques exploitant des failles logicielles connues, des erreurs de configuration ou des systèmes obsolètes. La gestion des vulnérabilités de Microsoft Defender va au-delà de la simple détection en fournissant une approche proactive et basée sur les risques pour gérer la surface d'attaque, permettant aux équipes de sécurité de concentrer leurs efforts là où ils auront le plus grand impact [2].

Ce guide pratique expliquera comment configurer et utiliser MDVM, de la visibilité des actifs et de la découverte des vulnérabilités à la priorisation basée sur les risques, en passant par la création de recommandations de sécurité et le suivi des mesures correctives. Des instructions étape par étape, des exemples d'utilisation de l'interface et des méthodes de validation seront fournis afin que le lecteur puisse mettre en œuvre un programme efficace de gestion des vulnérabilités, réduisant ainsi l'exposition aux risques et renforçant la posture de sécurité de son organisation.

Pourquoi la gestion des vulnérabilités de Microsoft Defender est-elle cruciale ?

  • Visibilité complète : découverte continue des actifs et des vulnérabilités sur les appareils Windows, macOS, Linux, Android, iOS et réseau, sans avoir besoin d'agents supplémentaires pour les appareils déjà intégrés dans Defender for Endpoint.
  • Évaluation basée sur les risques : hiérarchise les vulnérabilités en fonction du contexte environnemental, des informations sur les menaces Microsoft et des détections de violations dans votre organisation, vous aidant ainsi à vous concentrer sur les risques les plus critiques.
  • Recommandations exploitables : fournit des recommandations claires et détaillées en matière de remédiation, avec des étapes étape par étape et des liens vers des ressources pertinentes.
  • Intégration native : entièrement intégré à Microsoft Defender for Endpoint et au portail Microsoft Defender, simplifiant les opérations de sécurité.
  • Outils de correction intégrés : vous permet de créer des tâches de correction directement à partir du portail, en s'intégrant à Microsoft Intune et Microsoft Endpoint Configuration Manager.
  • Mesure de l'exposition : fournit des mesures telles que le « score de sécurité » et le « score d'exposition » pour suivre les progrès et améliorer la posture de sécurité au fil du temps.

Prérequis

Pour utiliser Microsoft Defender Vulnerability Management, vous aurez besoin des éléments suivants :

  1. Licence : une licence qui inclut Microsoft Defender pour Endpoint P2 ou Microsoft 365 E5 Security/E5. MDVM est inclus dans ces licences [3].
  2. Accès administrateur : un compte avec les autorisations « Administrateur de sécurité », « Opérateur de sécurité » ou « Lecteur de sécurité » dans le portail Microsoft Defender (https://security.microsoft.com).
  3. Périphériques intégrés : les appareils Windows, macOS ou Linux doivent être intégrés à Microsoft Defender for Endpoint afin que MDVM puisse collecter des données de vulnérabilité.

Étape par étape : Gérer les vulnérabilités avec MDVM

Explorons les principales fonctionnalités de MDVM pour identifier, prioriser et corriger les vulnérabilités.

1. Accès au portail Microsoft Defender

  1. Ouvrez votre navigateur et accédez à « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.

2. Présentation du tableau de bord MDVM

Dans le tableau de bord MDVM, vous trouverez un aperçu de la posture de sécurité de votre organisation, y compris le « Score d'exposition » et le « Score de sécurité ».

  1. Dans le volet de navigation de gauche, sélectionnez Gestion des vulnérabilités.
  2. Le tableau de bord affichera des informations telles que :
    • Score d'exposition : un score dynamique qui reflète l'exposition de votre organisation aux vulnérabilités.
    • Secure Score : une mesure de votre niveau de sécuritéurance générale, avec recommandations d’amélioration.
    • Principales recommandations de sécurité : les actions les plus efficaces pour réduire les risques.
    • Principales vulnérabilités : les vulnérabilités les plus courantes ou les plus critiques dans votre environnement.

3. Affichage des recommandations de sécurité

Les recommandations sont des actions concrètes pour corriger les vulnérabilités et améliorer la posture de sécurité.

  1. Dans le volet de navigation de gauche, sélectionnez Gestion des vulnérabilités > Recommandations.
  2. La page de recommandations répertorie les actions suggérées, classées par priorité en fonction de l'impact du score d'exposition et du nombre d'appareils concernés.
  3. Cliquez sur une recommandation (par exemple « Mettre à jour Google Chrome ») pour voir plus de détails.

4. Enquête sur une recommandation

En cliquant sur une recommandation, vous pouvez approfondir vos recherches.

  1. Sur la page des détails de la recommandation, vous verrez :
    • Description : explique la vulnérabilité et pourquoi le correctif est important.
    • Exposition : détails sur l'impact sur le score d'exposition.
    • Périphériques concernés : une liste de tous les appareils présentant la vulnérabilité.
    • Vulnérabilités associées : CVE (Common Vulnerabilities and Exposures) associées à la recommandation.
    • Options de correction : suggestions sur la façon de corriger la vulnérabilité.

5. Création d'une tâche de remédiation

MDVM vous permet de créer des tâches de correction directement depuis le portail, en s'intégrant aux outils de gestion des correctifs.

  1. Sur la page de détails de la recommandation, cliquez sur Options de correction.
  2. Sélectionnez Demander une correction.
  3. Remplissez les détails de la demande :
    • Priorité : définissez la priorité de la tâche.
    • Date d'échéance : fixez une date limite pour la correction.
    • Remarques : ajoutez toute information supplémentaire pour l'équipe informatique.
    • Groupe de correction : (Facultatif) Attribuez-le à un groupe spécifique.

  4. Cliquez sur Soumettre la demande.

  5. Vous pouvez suivre l'état des tâches de correction sous Gestion des vulnérabilités > Remédiation.

6. Affichage de l'inventaire des logiciels

L'inventaire logiciel vous donne une vue complète de tous les logiciels installés sur vos appareils et de leurs vulnérabilités associées.

  1. Dans le volet de navigation de gauche, sélectionnez Gestion des vulnérabilités > Inventaire logiciel.
  2. Vous pouvez filtrer et rechercher des logiciels, puis cliquer sur chacun d'eux pour afficher des détails tels que les vulnérabilités connues (CVE) et les recommandations de sécurité.

7. Affichage de l'inventaire des appareils

L'inventaire des appareils fournit une liste de tous les appareils intégrés, avec des informations sur leurs vulnérabilités et leurs paramètres de sécurité.

  1. Dans le volet de navigation de gauche, sélectionnez Actifs > Appareils.
  2. Cliquez sur un appareil pour afficher son profil complet, y compris les vulnérabilités, les recommandations de sécurité, les logiciels installés et les paramètres de sécurité.

Validation et tests

Valider l'efficacité de MDVM implique de vérifier que les vulnérabilités sont détectées et que les corrections sont appliquées avec succès.

1. Vérification de la détection de nouvelles vulnérabilités

  1. Introduire intentionnellement une vulnérabilité connue dans un appareil de test (par exemple, installer une ancienne version vulnérable d'un logiciel).
  2. Attendez quelques heures que MDVM collecte les données.
  3. Vérifiez le tableau de bord MDVM et les recommandations de sécurité pour voir si la nouvelle vulnérabilité a été détectée et qu'une recommandation de correction a été générée.

2. Validation de la remédiation

  1. Créez une tâche de correction pour une vulnérabilité détectée (par exemple, mettre à jour le logiciel).
  2. Appliquez le correctif à l'appareil concerné (par exemple, mettez à jour le logiciel manuellement ou via Intune/SCCM).
  3. Attendez quelques heures que MDVM réévalue le périphérique.
  4. Vérifiez la page Correction pour voir si la tâche a été marquée comme « Terminée » et si la vulnérabilité a été supprimée des Recommandations.

Conseils de sécurité et bonnes pratiques

  • Intégration complète : assurez-vous que tous les appareils concernés sont intégrés à Microsoft Defender for Endpoint pour obtenir une visibilité complète de MDVM.
  • Priorisation basée sur les risques : utilisez les scores d'exposition et les recommandations hiérarchisées pour vous concentrer sur les risques les plus critiques pour votre organisation.
  • Intégration avec Patch Management : Intégrers Tâches de remédiation MDVM avec vos outils de gestion des correctifs existants (Intune, SCCM) pour automatiser le processus de remédiation.
  • Surveillance continue : surveillez régulièrement le tableau de bord MDVM, les recommandations et l'état des mesures correctives pour maintenir une posture de sécurité proactive.
  • Révisions logicielles : utilisez l'inventaire logiciel pour identifier les logiciels non autorisés ou obsolètes et planifier leur suppression ou leur mise à jour.
  • Éducation et sensibilisation : sensibilisez les utilisateurs à l'importance de maintenir les logiciels à jour et de suivre les politiques de sécurité de l'organisation.
  • Automatisation des réponses : explorez l'intégration de MDVM avec Azure Sentinel pour automatiser les réponses aux vulnérabilités ou aux mauvaises configurations à haut risque.

Dépannage courant

  • Les appareils n'apparaissent pas dans MDVM : vérifiez que les appareils sont correctement intégrés dans Microsoft Defender for Endpoint. Vérifiez l’état de l’agent Defender sur les appareils. Il peut y avoir des retards dans la synchronisation des données.
  • Vulnérabilités non détectées : assurez-vous que le logiciel vulnérable est installé et actif sur l'appareil. Vérifiez que vos paramètres de sécurité Defender pour Endpoint sont à jour. Il peut y avoir un retard dans la détection et le traitement des données.
  • Les remèdes ne sont pas appliqués : vérifiez les journaux de l'outil de gestion des correctifs (Intune, SCCM) pour détecter les erreurs. Assurez-vous que les appareils concernés sont en ligne et accessibles. Vérifiez les autorisations du compte exécutant la tâche de correction.
  • Faux positifs : si une recommandation semble incorrecte, étudiez les détails de la vulnérabilité et le logiciel concerné. Vous pouvez supprimer les recommandations qui ne sont pas pertinentes pour votre environnement, mais faites-le avec prudence.
  • Performances de la console : dans les environnements comportant de nombreux appareils, le chargement des données peut prendre du temps. Utilisez des filtres et des recherches pour optimiser votre vue.

Conclusion

Microsoft Defender Vulnerability Management est un outil puissant qui permet aux organisations d’adopter une approche proactive et basée sur les risques en matière de gestion des vulnérabilités. En offrant une visibilité continue, des évaluations intelligentes et des outils de remédiation intégrés, MDVM simplifie le processus complexe d'identification et de correction des failles de sécurité. La mise en œuvre efficace de MDVM, combinée à la gestion des correctifs et aux meilleures pratiques de sécurité, permet aux équipes informatiques et de sécurité de réduire considérablement la surface d'attaque, d'améliorer le « Secure Score » et de renforcer la cyber-résilience de l'organisation face aux dernières menaces. Avec ce guide, les professionnels de la sécurité seront bien équipés pour gérer efficacement les vulnérabilités et maintenir un environnement Microsoft sécurisé et conforme.

Références :

[1] Microsoft Apprendre. Gestion des vulnérabilités Microsoft Defender. Disponible sur : https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Apprendre. Guide de l'utilisateur de l'évaluation des vulnérabilités. Disponible sur : https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Apprendre. Comparez les fonctionnalités de gestion des vulnérabilités de Microsoft Defender. Disponible sur : https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities