Управление уязвимостями с помощью Microsoft Defender Vulnerability Management

Управление уязвимостями с помощью Microsoft Defender Vulnerability Management

08.05.2024

Эта техническая и образовательная статья призвана помочь аналитикам безопасности, ИТ-администраторам и системным инженерам использовать управление уязвимостями Microsoft Defender (MDVM) для выявления, оценки, определения приоритетов и устранения уязвимостей в своих средах. MDVM — это решение для управления уязвимостями на основе рисков, интегрированное с Microsoft Defender для конечной точки, которое обеспечивает непрерывную видимость активов, интеллектуальные оценки и встроенные инструменты исправления [1].

Введение

В постоянно меняющемся ландшафте киберугроз эффективное управление уязвимостями является фундаментальной основой любой надежной стратегии безопасности. Неспособность выявить и устранить уязвимости может сделать организации уязвимыми для атак, использующих известные недостатки программного обеспечения, неправильные конфигурации или устаревшие системы. Управление уязвимостями Microsoft Defender выходит за рамки простого обнаружения, предоставляя упреждающий, основанный на рисках подход к управлению поверхностью атаки, позволяя группам безопасности сосредоточить свои усилия там, где они окажут наибольшее воздействие [2].

В этом практическом руководстве будет описано, как настроить и использовать MDVM: от видимости активов и обнаружения уязвимостей до определения приоритетов на основе рисков, создания рекомендаций по безопасности и отслеживания исправлений. Будут предоставлены пошаговые инструкции, примеры использования интерфейса и методы проверки, чтобы читатель мог реализовать эффективную программу управления уязвимостями, снижающую подверженность рискам и укрепляющую безопасность своей организации.

Почему управление уязвимостями в Microsoft Defender так важно?

  • Комплексная видимость: непрерывное обнаружение активов и уязвимостей в Windows, macOS, Linux, Android, iOS и сетевых устройствах без необходимости использования дополнительных агентов для устройств, уже встроенных в Defender for Endpoint.
  • Оценка на основе рисков: определяет приоритетность уязвимостей на основе контекста окружающей среды, данных Microsoft об угрозах и обнаружений нарушений в вашей организации, помогая вам сосредоточиться на наиболее критических рисках.
  • Практические рекомендации. Содержит четкие и подробные рекомендации по исправлению ситуации с пошаговыми инструкциями и ссылками на соответствующие ресурсы.
  • Встроенная интеграция: полная интеграция с Microsoft Defender для конечной точки и порталом Microsoft Defender, что упрощает операции по обеспечению безопасности.
  • Встроенные инструменты исправления: позволяют создавать задачи исправления непосредственно на портале, интегрируясь с Microsoft Intune и Microsoft Endpoint Configuration Manager.
  • Измерение воздействия: предоставляет такие показатели, как «Показатель безопасности» и «Оценка воздействия», для отслеживания прогресса и улучшения состояния безопасности с течением времени.

Предварительные условия

Чтобы использовать Управление уязвимостями в Microsoft Defender, вам потребуются следующие элементы:

  1. Лицензирование: лицензия, включающая Microsoft Defender для конечной точки P2 или Microsoft 365 E5 Security/E5. MDVM включен в эти лицензии [3].
  2. Административный доступ: учетная запись с разрешениями «Администратор безопасности», «Оператор безопасности» или «Читатель безопасности» на портале Microsoft Defender (https://security.microsoft.com).
  3. Встроенные устройства. Устройства Windows, macOS или Linux должны быть подключены к Microsoft Defender для конечной точки, чтобы MDVM могла собирать данные об уязвимостях.

Шаг за шагом: управление уязвимостями с помощью MDVM

Давайте рассмотрим основные функции MDVM для выявления, определения приоритетов и устранения уязвимостей.

1. Доступ к порталу Microsoft Defender

  1. Откройте браузер и перейдите по адресу https://security.microsoft.com.
  2. Войдите в систему под учетной записью, имеющей необходимые разрешения.

2. Обзор панели управления MDVM

На панели управления MDVM вы найдете обзор состояния безопасности вашей организации, включая «Оценку воздействия» и «Оценку безопасности».

  1. На левой панели навигации выберите Управление уязвимостями.
  2. На информационной панели будет отображаться такая информация, как:
    • Оценка подверженности: динамическая оценка, отражающая подверженность вашей организации уязвимостям.
    • Показатель безопасности: показатель уровня вашей безопасности.общее состояние с рекомендациями по улучшению.
    • Основные рекомендации по безопасности: наиболее эффективные действия по снижению риска.
    • Основные уязвимости: наиболее распространенные или критические уязвимости в вашей среде.

3. Просмотр рекомендаций по безопасности

Рекомендации — это практические действия по устранению уязвимостей и улучшению состояния безопасности.

  1. На левой панели навигации выберите Управление уязвимостями > Рекомендации.
  2. На странице рекомендаций перечислены предлагаемые действия, упорядоченные по степени воздействия и количеству затронутых устройств.
  3. Нажмите на рекомендацию (например, «Обновить Google Chrome»), чтобы просмотреть дополнительную информацию.

4. Исследование рекомендации

Нажав на рекомендацию, вы сможете продолжить расследование.

  1. На странице сведений о рекомендации вы увидите:
    • Описание: объясняет уязвимость и почему важно ее исправить.
    • Воздействие: подробные сведения о влиянии на показатель воздействия.
    • Затронутые устройства: список всех устройств, имеющих уязвимость.
    • Связанные уязвимости: CVE (общие уязвимости и риски), связанные с рекомендацией.
    • Варианты исправления: предложения по устранению уязвимости.

5. Создание задачи исправления

MDVM позволяет создавать задачи по исправлению непосредственно на портале, интегрируясь с инструментами управления исправлениями.

  1. На странице сведений о рекомендации нажмите Параметры исправления.
  2. Выберите Запросить исправление.
  3. Заполните данные запроса:
    • Приоритет: установите приоритет задачи.
    • Срок выполнения: установите крайний срок исправления.
    • Примечания. Добавьте любую дополнительную информацию для ИТ-отдела.
    • Группа исправления: (Необязательно) Назначьте определенную группу.

  4. Нажмите Отправить запрос.

  5. Статус задач по исправлению можно отслеживать в разделе Управление уязвимостями > Устранение.

6. Просмотр инвентаря программного обеспечения

Инвентаризация программного обеспечения дает вам полное представление обо всем программном обеспечении, установленном на ваших устройствах, и связанных с ним уязвимостях.

  1. На левой панели навигации выберите Управление уязвимостями > Инвентаризация программного обеспечения.
  2. Вы можете фильтровать и искать программное обеспечение и нажимать на каждое из них, чтобы просмотреть подробные сведения, такие как известные уязвимости (CVE) и рекомендации по безопасности.

7. Просмотр списка устройств

Инвентаризация устройств предоставляет список всех подключенных устройств с информацией об их уязвимостях и настройках безопасности.

  1. На левой панели навигации выберите Активы > Устройства.
  2. Щелкните устройство, чтобы просмотреть его полный профиль, включая уязвимости, рекомендации по безопасности, установленное программное обеспечение и настройки безопасности.

Проверка и тестирование

Проверка эффективности MDVM включает проверку обнаружения уязвимостей и успешного применения исправлений.

1. Проверка на наличие новых уязвимостей

  1. Намеренно внедрить известную уязвимость в тестовое устройство (например, установить старую уязвимую версию программного обеспечения).
  2. Подождите несколько часов, пока MDVM соберет данные.
  3. Проверьте панель мониторинга MDVM и рекомендации по безопасности, чтобы узнать, была ли обнаружена новая уязвимость и созданы ли рекомендации по ее устранению.

2. Проверка исправления

  1. Создайте задачу устранения обнаруженной уязвимости (например, обновление программного обеспечения).
  2. Примените исправление к уязвимому устройству (например, обновите программное обеспечение вручную или через Intune/SCCM).
  3. Подождите несколько часов, пока MDVM повторно оценит устройство.
  4. Проверьте страницу Исправление и убедитесь, что задача помечена как «Завершена», а уязвимость удалена из Рекомендаций.

Советы и рекомендации по безопасности

  • Полная регистрация: убедитесь, что все соответствующие устройства подключены к Microsoft Defender для конечной точки, чтобы получить полную видимость MDVM.
  • Расстановка приоритетов на основе рисков. Используйте оценки подверженности и рекомендации по приоритетности, чтобы сосредоточиться на наиболее критических рисках для вашей организации.
  • Интеграция с управлением исправлениями: ИнтеграцияЗадачи исправления MDVM с помощью существующих инструментов управления исправлениями (Intune, SCCM) для автоматизации процесса исправления.
  • Непрерывный мониторинг. Регулярно отслеживайте панель мониторинга MDVM, рекомендации и статус исправлений, чтобы поддерживать превентивный уровень безопасности.
  • Версии программного обеспечения. Используйте инвентаризацию программного обеспечения для выявления неавторизованного или устаревшего программного обеспечения и планирования его удаления или обновления.
  • Образование и повышение осведомленности. Объясните пользователям важность обновления программного обеспечения и соблюдения политик безопасности организации.
  • Автоматизация реагирования. Изучите интеграцию MDVM с Azure Sentinel, чтобы автоматизировать реагирование на уязвимости высокого риска или неправильные конфигурации.

Распространенное устранение неполадок

  • Устройства не отображаются в MDVM. Убедитесь, что устройства правильно подключены в Microsoft Defender для конечной точки. Проверьте статус агента Защитника на устройствах. Могут быть задержки в синхронизации данных.
  • Необнаруженные уязвимости: убедитесь, что уязвимое программное обеспечение установлено и активно на устройстве. Убедитесь, что настройки безопасности Защитника для конечной точки обновлены. Возможна задержка в обнаружении и обработке данных.
  • Средства не применяются. Проверьте журналы средства управления исправлениями (Intune, SCCM) на наличие ошибок. Убедитесь, что затронутые устройства подключены к сети и доступны. Проверьте разрешения учетной записи, выполняющей задачу исправления.
  • Ложные срабатывания: если рекомендация кажется неверной, изучите подробности уязвимости и затронутого программного обеспечения. Вы можете отключить рекомендации, не относящиеся к вашей среде, но делайте это с осторожностью.
  • Производительность консоли. В средах с большим количеством устройств загрузка данных может занять некоторое время. Используйте фильтры и поиск, чтобы оптимизировать просмотр.

Заключение

Управление уязвимостями в Microsoft Defender — это мощный инструмент, который позволяет организациям применять упреждающий, основанный на рисках подход к управлению уязвимостями. Обеспечивая непрерывную видимость, интеллектуальные оценки и интегрированные инструменты исправления, MDVM упрощает сложный процесс выявления и устранения нарушений безопасности. Эффективное внедрение MDVM в сочетании с лучшими практиками управления исправлениями и обеспечения безопасности позволяет ИТ-специалистам и службам безопасности значительно сократить поверхность атак, улучшить «показатель безопасности» и укрепить киберустойчивость организации к новейшим угрозам. Благодаря этому руководству специалисты по безопасности будут хорошо подготовлены к эффективному управлению уязвимостями и поддержанию безопасной и соответствующей требованиям среды Microsoft.

Ссылки:

[1] Microsoft Learn. Управление уязвимостями Microsoft Defender. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] Microsoft Learn. Руководство пользователя по оценке уязвимостей. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-vulnerability-management/trial-user-guide-defender-vulnerability-management [3] Microsoft Learn. Сравнение функций управления уязвимостями Microsoft Defender. Доступно по адресу: https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capabilities