Kwetsbaarheden beheren met Microsoft Defender Vulnerability Management

Kwetsbaarheden beheren met Microsoft Defender Vulnerability Management

05/08/2024

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het gebruik van Microsoft Defender Vulnerability Management (MDVM) om kwetsbaarheden in hun omgevingen te identificeren, beoordelen, prioriteren en herstellen. MDVM is een op risico gebaseerde oplossing voor kwetsbaarheidsbeheer, geïntegreerd met Microsoft Defender for Endpoint, die continu inzicht in bedrijfsmiddelen, intelligente beoordelingen en ingebouwde hersteltools biedt [1].

Introductie

In een steeds evoluerend cyberdreigingslandschap is effectief kwetsbaarheidsbeheer een fundamentele pijler van elke robuuste beveiligingsstrategie. Het niet identificeren en verhelpen van kwetsbaarheden kan organisaties blootstellen aan aanvallen waarbij gebruik wordt gemaakt van bekende softwarefouten, verkeerde configuraties of verouderde systemen. Microsoft Defender Vulnerability Management gaat verder dan eenvoudige detectie door een proactieve, op risico gebaseerde aanpak te bieden voor het beheer van het aanvalsoppervlak, waardoor beveiligingsteams hun inspanningen kunnen richten op de gebieden waar deze de grootste impact zullen hebben [2].

Deze praktische gids behandelt hoe u MDVM kunt configureren en gebruiken, van de zichtbaarheid van bedrijfsmiddelen en het ontdekken van kwetsbaarheden tot het stellen van risicogebaseerde prioriteiten, het opstellen van beveiligingsaanbevelingen en het volgen van herstelmaatregelen. Er worden stapsgewijze instructies, voorbeelden van interfacegebruik en validatiemethoden gegeven, zodat de lezer een effectief programma voor kwetsbaarheidsbeheer kan implementeren, waardoor de blootstelling aan risico's wordt verminderd en de beveiligingspositie van hun organisatie wordt versterkt.

Waarom is Microsoft Defender-kwetsbaarheidsbeheer cruciaal?

  • Uitgebreid inzicht: voortdurende detectie van assets en kwetsbaarheden op Windows-, macOS-, Linux-, Android-, iOS- en netwerkapparaten, zonder de noodzaak van extra agents voor apparaten die al zijn opgenomen in Defender for Endpoint.
  • Risicogebaseerde beoordeling: geeft prioriteit aan kwetsbaarheden op basis van de omgevingscontext, Microsoft-bedreigingsinformatie en inbreukdetecties in uw organisatie, zodat u zich kunt concentreren op de meest kritieke risico's.
  • Aanbevelingen waar actie op ondernomen kan worden: Biedt duidelijke, gedetailleerde aanbevelingen voor herstel, met stapsgewijze stappen en links naar relevante bronnen.
  • Native Integratie: Volledig geïntegreerd met Microsoft Defender for Endpoint en de Microsoft Defender-portal, waardoor beveiligingsactiviteiten worden vereenvoudigd.
  • Ingebouwde herstelhulpmiddelen: Hiermee kunt u rechtstreeks vanuit de portal hersteltaken maken, geïntegreerd met Microsoft Intune en Microsoft Endpoint Configuration Manager.
  • Blootstellingsmeting: Biedt statistieken zoals 'Beveiligingsscore' en 'Blootstellingsscore' om de voortgang bij te houden en de beveiligingspositie in de loop van de tijd te verbeteren.

Vereisten

Om Microsoft Defender Vulnerability Management te gebruiken, hebt u de volgende items nodig:

  1. Licenties: een licentie die Microsoft Defender voor Endpoint P2 of Microsoft 365 E5 Security/E5 omvat. MDVM is inbegrepen in deze licenties [3].
  2. Administratieve toegang: een account met de machtigingen 'Security Administrator', 'Security Operator' of 'Security Reader' in de Microsoft Defender-portal ('https://security.microsoft.com').
  3. Geïntegreerde apparaten: Windows-, macOS- of Linux-apparaten moeten zijn voorzien van Microsoft Defender voor Endpoint, zodat MDVM kwetsbaarheidsgegevens kan verzamelen.

Stap voor stap: kwetsbaarheden beheren met MDVM

Laten we de belangrijkste functionaliteiten van MDVM verkennen om kwetsbaarheden te identificeren, prioriteren en verhelpen.

1. Toegang tot de Microsoft Defender Portal

  1. Open uw browser en navigeer naar https://security.microsoft.com.
  2. Log in met een account dat over de benodigde rechten beschikt.

2. MDVM-dashboardoverzicht

In het MDVM-dashboard vindt u een overzicht van de beveiligingspositie van uw organisatie, inclusief de ‘Exposure Score’ en ‘Secure Score’.

  1. Selecteer Kwetsbaarheidsbeheer in het linkernavigatievenster.
  2. Het dashboard geeft informatie weer zoals:
    • Blootstellingsscore: een dynamische score die de blootstelling van uw organisatie aan kwetsbaarheden weerspiegelt.
    • Veiligheidsscore: een maatstaf voor uw beveiligingspositiealgemene urgentie, met aanbevelingen voor verbetering.
    • Belangrijkste beveiligingsaanbevelingen: de meest impactvolle acties om risico's te verminderen.
    • Belangrijkste kwetsbaarheden: de meest voorkomende of kritieke kwetsbaarheden in uw omgeving.

3. Beveiligingsaanbevelingen bekijken

Aanbevelingen zijn uitvoerbare acties om kwetsbaarheden op te lossen en de beveiliging te verbeteren.

  1. Selecteer in het linkernavigatievenster Kwetsbaarheidsbeheer > Aanbevelingen.
  2. Op de pagina met aanbevelingen worden voorgestelde acties vermeld, geprioriteerd op basis van de impact van de blootstellingsscore en het aantal getroffen apparaten.
  3. Klik op een aanbeveling (bijvoorbeeld Google Chrome bijwerken) om meer details te zien.

4. Een aanbeveling onderzoeken

Door op een aanbeveling te klikken, kunt u verder onderzoek doen.

  1. Op de pagina met aanbevelingsdetails ziet u het volgende:
    • Beschrijving: legt de kwetsbaarheid uit en waarom de oplossing belangrijk is.
    • Blootstelling: details over de impact op de blootstellingsscore.
    • Betrokken apparaten: een lijst met alle apparaten die het beveiligingslek vertonen.
    • Gerelateerde kwetsbaarheden: CVE's (Common Vulnerabilities and Exposures) die verband houden met de aanbeveling.
    • Oplossingsopties: suggesties voor het oplossen van de kwetsbaarheid.

5. Een hersteltaak aanmaken

Met MDVM kunt u rechtstreeks vanuit de portal hersteltaken maken, waarbij u kunt integreren met patchbeheertools.

  1. Klik op de pagina met aanbevelingsdetails op Herstelopties.
  2. Selecteer Herstel aanvragen.
  3. Vul de aanvraaggegevens in:
    • Prioriteit: stel de prioriteit van de taak in.
    • Vervaldatum: Stel een deadline in voor de correctie.
    • Opmerkingen: Voeg eventuele aanvullende informatie voor het IT-team toe.
    • Herstelgroep: (Optioneel) Toewijzen aan een specifieke groep.

  4. Klik op Verzoek indienen.

  5. U kunt de status van hersteltaken volgen onder Kwetsbaarheidsbeheer > Herstel.

6. Software-inventaris bekijken

Software-inventarisatie geeft u een compleet overzicht van alle software die op uw apparaten is geïnstalleerd en de bijbehorende kwetsbaarheden.

  1. Selecteer in het linkernavigatievenster Kwetsbaarheidsbeheer > Software-inventaris.
  2. U kunt software filteren en zoeken, en op elke software klikken om details te zien, zoals bekende kwetsbaarheden (CVE's) en beveiligingsaanbevelingen.

7. Apparaatinventaris bekijken

Apparaatinventaris biedt een lijst met alle ingebouwde apparaten, met informatie over hun kwetsbaarheden en beveiligingsinstellingen.

  1. Selecteer in het linkernavigatievenster Assets > Apparaten.
  2. Klik op een apparaat om het volledige profiel ervan te bekijken, inclusief kwetsbaarheden, beveiligingsaanbevelingen, geïnstalleerde software en beveiligingsinstellingen.

Validatie en testen

Het valideren van de effectiviteit van MDVM omvat het verifiëren dat kwetsbaarheden worden gedetecteerd en dat herstelmaatregelen met succes worden toegepast.

1. Controleren op detectie van nieuwe kwetsbaarheden

  1. Het opzettelijk introduceren van een bekende kwetsbaarheid in een testapparaat (installeer bijvoorbeeld een oude, kwetsbare versie van software).
  2. Wacht een paar uur totdat MDVM de gegevens heeft verzameld.
  3. Controleer het MDVM-dashboard en de beveiligingsaanbevelingen om te zien of de nieuwe kwetsbaarheid is gedetecteerd en of er een oplossingsaanbeveling is gegenereerd.

2. Validatie van de sanering

  1. Maak een hersteltaak voor een gedetecteerde kwetsbaarheid (bijvoorbeeld software updaten).
  2. Pas de oplossing toe op het getroffen apparaat (update de software bijvoorbeeld handmatig of via Intune/SCCM).
  3. Wacht een paar uur totdat MDVM het apparaat opnieuw heeft geëvalueerd.
  4. Controleer de pagina Herstel om te zien of de taak is gemarkeerd als Voltooid en of de kwetsbaarheid is verwijderd uit Aanbevelingen.

Beveiligingstips en best practices

  • Volledige onboarding: Zorg ervoor dat alle relevante apparaten zijn onboarded met Microsoft Defender voor Endpoint om volledige MDVM-zichtbaarheid te krijgen.
  • Op risico gebaseerde prioritering: gebruik blootstellingsscores en geprioriteerde aanbevelingen om u te concentreren op de meest kritieke risico's voor uw organisatie.
  • Integratie met Patch Management: Integrerens MDVM-hersteltaken met uw bestaande patchbeheertools (Intune, SCCM) om het herstelproces te automatiseren.
  • Continu toezicht: controleer regelmatig het MDVM-dashboard, de aanbevelingen en de herstelstatus om een ​​proactieve beveiligingshouding te behouden.
  • Softwarerevisies: gebruik software-inventaris om ongeautoriseerde of verouderde software te identificeren en plannen te maken voor de verwijdering of update ervan.
  • Educatie en bewustzijn: Informeer gebruikers over het belang van het up-to-date houden van software en het volgen van het beveiligingsbeleid van de organisatie.
  • Reactieautomatisering: Ontdek MDVM-integratie met Azure Sentinel om reacties op risicovolle kwetsbaarheden of verkeerde configuraties te automatiseren.

Algemene probleemoplossing

  • Apparaten worden niet weergegeven in MDVM: controleer of apparaten correct zijn geïnstalleerd in Microsoft Defender voor Endpoint. Controleer de Defender-agentstatus op apparaten. Er kunnen vertragingen optreden bij de gegevenssynchronisatie.
  • Niet-gedetecteerde kwetsbaarheden: Zorg ervoor dat kwetsbare software op het apparaat is geïnstalleerd en actief is. Controleer of uw Defender for Endpoint-beveiligingsinstellingen up-to-date zijn. Er kan een vertraging optreden bij het detecteren en verwerken van gegevens.
  • Remedies worden niet toegepast: controleer de logboeken van de patchbeheertool (Intune, SCCM) op fouten. Zorg ervoor dat de getroffen apparaten online en toegankelijk zijn. Controleer de machtigingen van het account waarop de hersteltaak wordt uitgevoerd.
  • False Positives: Als een aanbeveling onjuist lijkt, onderzoek dan de details van het beveiligingslek en de getroffen software. U kunt aanbevelingen onderdrukken die niet relevant zijn voor uw omgeving, maar doe dit wel met de nodige voorzichtigheid.
  • Consoleprestaties: in omgevingen met veel apparaten kan het laden van gegevens enige tijd duren. Gebruik filters en zoekopdrachten om uw weergave te optimaliseren.

Conclusie

Microsoft Defender Vulnerability Management is een krachtig hulpmiddel waarmee organisaties een proactieve, op risico gebaseerde aanpak van kwetsbaarheidsbeheer kunnen hanteren. Door continue zichtbaarheid, intelligente beoordelingen en geïntegreerde hersteltools te bieden, vereenvoudigt MDVM het complexe proces van het identificeren en herstellen van beveiligingsinbreuken. Effectieve implementatie van MDVM, gecombineerd met patchbeheer en best practices op het gebied van beveiliging, stelt IT- en beveiligingsteams in staat het aanvalsoppervlak aanzienlijk te verkleinen, de ‘Secure Score’ te verbeteren en de cyberweerbaarheid van de organisatie tegen de nieuwste bedreigingen te versterken. Met deze handleiding zijn beveiligingsprofessionals goed toegerust om kwetsbaarheden efficiënt te beheren en een veilige en compatibele Microsoft-omgeving te onderhouden.

Referenties:

[1] Microsoft Leer. Microsoft Defender-kwetsbaarheidsbeheer. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Leer. Gebruikershandleiding voor kwetsbaarheidsbeoordeling. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Leer. Vergelijk de functies van Microsoft Defender Vulnerability Management. Beschikbaar op: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities