Microsoft Defender 脆弱性管理による脆弱性の管理

Microsoft Defender 脆弱性管理による脆弱性の管理

2024/05/08

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Defender 脆弱性管理 (MDVM) を使用して環境内の脆弱性を特定、評価、優先順位付け、修復する方法をガイドすることを目的としています。 MDVM は、Microsoft Defender for Endpoint と統合されたリスクベースの脆弱性管理ソリューションであり、継続的な資産の可視化、インテリジェントな評価、組み込みの修復ツールを提供します [1]。

はじめに

進化し続けるサイバー脅威の状況において、効果的な脆弱性管理は堅牢なセキュリティ戦略の基本的な柱です。脆弱性を特定して修正しないと、組織はソフトウェアの既知の欠陥、構成ミス、または古いシステムを悪用する攻撃にさらされる可能性があります。 Microsoft Defender 脆弱性管理は、単純な検出を超えて、攻撃対象領域を管理するプロアクティブなリスクベースのアプローチを提供し、セキュリティ チームが最も大きな影響を与える箇所に集中できるようにします [2]。

この実用的なガイドでは、資産の可視化と脆弱性の発見から、リスクベースの優先順位付け、セキュリティに関する推奨事項の作成、修復の追跡まで、MDVM の構成と使用方法について説明します。読者が効果的な脆弱性管理プログラムを実装し、リスクにさらされるリスクを軽減し、組織のセキュリティ体制を強化できるように、段階的な手順、インターフェイスの使用例、および検証方法が提供されます。

Microsoft Defender 脆弱性管理が重要なのはなぜですか?

  • 包括的な可視性: すでに Defender for Endpoint にオンボードされているデバイスに追加のエージェントを必要とせずに、Windows、macOS、Linux、Android、iOS、ネットワーク デバイスにわたる資産と脆弱性を継続的に検出します。
  • リスクベースの評価: 環境コンテキスト、Microsoft の脅威インテリジェンス、組織内の侵害検出に基づいて脆弱性に優先順位を付け、最も重大なリスクに集中できるようにします。
  • 実用的な推奨事項: 修復のための明確で詳細な推奨事項を、段階的な手順と関連リソースへのリンクとともに提供します。
  • ネイティブ統合: Microsoft Defender for Endpoint および Microsoft Defender ポータルと完全に統合されており、セキュリティ操作が簡素化されます。
  • 組み込みの修復ツール: Microsoft Intune および Microsoft Endpoint Configuration Manager と統合して、ポータルから直接修復タスクを作成できます。
  • 暴露測定: 進捗状況を追跡し、時間の経過とともにセキュリティ体制を改善するために、「セキュリティ スコア」や「暴露スコア」などの指標を提供します。

前提条件

Microsoft Defender 脆弱性管理を使用するには、次のものが必要です。

  1. ライセンス: Microsoft Defender for Endpoint P2 または Microsoft 365 E5 Security/E5 を含むライセンス。 MDVM はこれらのライセンスに含まれています [3]。
  2. 管理アクセス: Microsoft Defender ポータル (https://security.microsoft.com) の「セキュリティ管理者」、「セキュリティ オペレーター」、または「セキュリティ閲覧者」のアクセス許可を持つアカウント。
  3. オンボード デバイス: MDVM が脆弱性データを収集できるように、Windows、macOS、または Linux デバイスには Microsoft Defender for Endpoint がオンボードされている必要があります。

ステップバイステップ: MDVM を使用した脆弱性の管理

脆弱性を特定し、優先順位を付け、修復するための MDVM の主な機能を見てみましょう。

1. Microsoft Defender ポータルへのアクセス

  1. ブラウザを開いて「https://security.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。

2. MDVM ダッシュボードの概要

MDVM ダッシュボードには、「エクスポージャ スコア」や「セキュア スコア」など、組織のセキュリティ体制の概要が表示されます。

  1. 左側のナビゲーション ペインで、脆弱性管理 を選択します。
  2. ダッシュボードには次のような情報が表示されます。
    • 暴露スコア: 組織の脆弱性への暴露を反映する動的なスコア。
    • セキュア スコア: セキュリティ体制の尺度一般的なランスと、改善のための推奨事項。
    • 主要なセキュリティに関する推奨事項: リスクを軽減するための最も効果的なアクション。
    • 上位の脆弱性: 環境内で最も一般的または重大な脆弱性。

3. セキュリティ推奨事項の表示

推奨事項は、脆弱性を修正し、セキュリティ体制を改善するための実行可能なアクションです。

  1. 左側のナビゲーション ペインで、脆弱性管理 > 推奨事項 を選択します。
  2. 推奨事項ページには、露出スコアの影響と影響を受けるデバイスの数に基づいて優先順位付けされた推奨アクションがリストされます。
  3. 推奨事項 (例: 「Google Chrome を更新」) をクリックして、詳細を表示します。

4. 推奨事項の調査

推奨事項をクリックすると、さらに調査できます。

  1. 推奨事項の詳細ページには、次の内容が表示されます。
    • 説明: 脆弱性とその修正が重要な理由を説明します。
    • 露出: 露出スコアへの影響に関する詳細。
    • 影響を受けるデバイス: 脆弱性があるすべてのデバイスのリスト。
    • 関連する脆弱性: 推奨事項に関連する CVE (共通脆弱性およびエクスポージャー)。
    • 修正オプション: 脆弱性を修正する方法に関する提案。

5. 修復タスクの作成

MDVM を使用すると、パッチ管理ツールと統合して、ポータルから直接修復タスクを作成できます。

  1. 推奨事項の詳細ページで、修復オプション をクリックします。
  2. [修復をリクエスト] を選択します。
  3. リクエストの詳細を入力します。
    • 優先度: タスクの優先度を設定します。
    • 期限: 修正の期限を設定します。
    • : IT チーム向けの追加情報があれば追加してください。
    • 修復グループ: (オプション) 特定のグループに割り当てます。

  4. [リクエストの送信] をクリックします。

  5. [脆弱性管理] > [修復] で修復タスクのステータスを追跡できます。

6. ソフトウェアインベントリの表示

ソフトウェア インベントリでは、デバイスにインストールされているすべてのソフトウェアとそれに関連する脆弱性を完全に把握できます。

  1. 左側のナビゲーション ペインで、脆弱性管理 > ソフトウェア インベントリ を選択します。
  2. ソフトウェアをフィルタリングして検索し、各ソフトウェアをクリックすると、既知の脆弱性 (CVE) やセキュリティに関する推奨事項などの詳細が表示されます。

7. デバイスインベントリの表示

デバイス インベントリには、すべてのオンボード デバイスのリストと、それらの脆弱性およびセキュリティ設定に関する情報が表示されます。

  1. 左側のナビゲーション ペインで、資産 > デバイスを選択します。
  2. デバイスをクリックすると、脆弱性、セキュリティに関する推奨事項、インストールされているソフトウェア、セキュリティ設定などの完全なプロファイルが表示されます。

検証とテスト

MDVM の有効性の検証には、脆弱性が検出され、修復が正常に適用されたことを検証することが含まれます。

1. 新たな脆弱性の検出を確認する

  1. 既知の脆弱性をテストデバイスに意図的に導入します (例: 古い脆弱なバージョンのソフトウェアをインストールします)。
  2. MDVM がデータを収集するまで数時間待ちます。
  3. MDVM ダッシュボードとセキュリティの推奨事項をチェックして、新しい脆弱性が検出され、修復の推奨事項が生成されたかどうかを確認します。

2. 修復の検証

  1. 検出された脆弱性の修復タスクを作成します (ソフトウェアの更新など)。
  2. 影響を受けるデバイスに修正プログラムを適用します (例: ソフトウェアを手動で更新するか、Intune/SCCM 経由で更新します)。
  3. MDVM がデバイスを再評価するまで数時間待ちます。
  4. [修復] ページをチェックして、タスクが「完了」としてマークされており、脆弱性が 推奨事項から削除されているかどうかを確認します。

セキュリティのヒントとベスト プラクティス

  • 完全なオンボーディング: MDVM を完全に可視化するには、関連するすべてのデバイスが Microsoft Defender for Endpoint にオンボードされていることを確認します。
  • リスクベースの優先順位付け: エクスポージャ スコアと優先順位付けされた推奨事項を使用して、組織にとって最も重大なリスクに焦点を当てます。
  • パッチ管理との統合: 統合■ 既存のパッチ管理ツール (Intune、SCCM) を使用した MDVM 修復タスク。修復プロセスを自動化します。
  • 継続的監視: MDVM ダッシュボード、推奨事項、修復ステータスを定期的に監視して、プロアクティブなセキュリティ体制を維持します。
  • ソフトウェア リビジョン: ソフトウェア インベントリを使用して、未承認のソフトウェアまたは古いソフトウェアを特定し、その削除または更新を計画します。
  • 教育と認識: ソフトウェアを最新の状態に保ち、組織のセキュリティ ポリシーに従うことの重要性についてユーザーを教育します。
  • 対応の自動化: MDVM と Azure Sentinel の統合を検討して、高リスクの脆弱性や構成ミスへの対応を自動化します。

一般的なトラブルシューティング

  • デバイスが MDVM に表示されない: デバイスが Microsoft Defender for Endpoint に正しくオンボードされていることを確認します。デバイス上の Defender エージェントのステータスを確認します。データの同期に遅延が発生する可能性があります。
  • 未検出の脆弱性: 脆弱なソフトウェアがデバイスにインストールされ、アクティブになっていることを確認します。 Defender for Endpoint のセキュリティ設定が最新であることを確認します。データの検出と処理に遅延が発生する可能性があります。
  • 救済策は適用されません: パッチ管理ツール (Intune、SCCM) のログにエラーがないか確認してください。影響を受けるデバイスがオンラインでアクセス可能であることを確認してください。修復タスクを実行しているアカウントの権限を確認してください。
  • 誤検知: 推奨事項が正しくないと思われる場合は、脆弱性と影響を受けるソフトウェアの詳細を調査してください。環境に関係のない推奨事項を抑制することもできますが、これには注意が必要です。
  • コンソールのパフォーマンス: 多くのデバイスがある環境では、データの読み込みに時間がかかる場合があります。フィルターと検索を使用してビューを最適化します。

結論

Microsoft Defender Vulnerability Management は、組織が脆弱性管理に対してプロアクティブでリスクベースのアプローチを取れるようにする強力なツールです。 MDVM は、継続的な可視性、インテリジェントな評価、統合された修復ツールを提供することで、セキュリティ侵害を特定して修復する複雑なプロセスを簡素化します。パッチ管理およびセキュリティのベスト プラクティスと組み合わせた MDVM の効果的な実装により、IT チームとセキュリティ チームは攻撃対象領域を大幅に削減し、「セキュア スコア」を向上させ、最新の脅威に対する組織のサイバー回復力を強化することができます。このガイドにより、セキュリティ専門家は脆弱性を効率的に管理し、安全で準拠した Microsoft 環境を維持するための十分な準備を整えることができます。

参考文献:

[1] Microsoft Learn。 Microsoft Defender 脆弱性管理。入手可能場所: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Learn。 脆弱性評価ユーザー ガイド。入手可能場所: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Learn。 Microsoft Defender 脆弱性管理機能を比較。入手可能場所: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities