使用 Microsoft Defender 漏洞管理管理漏洞
2024年5月8日
本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Defender 漏洞管理 (MDVM) 来识别、评估、确定优先级和修复其环境中的漏洞。 MDVM 是一种与 Microsoft Defender for Endpoint 集成的基于风险的漏洞管理解决方案,可提供持续的资产可见性、智能评估和内置修复工具 [1]。
简介
在不断发展的网络威胁环境中,有效的漏洞管理是任何强大安全策略的基本支柱。如果未能识别和修复漏洞,组织可能会遭受利用已知软件缺陷、错误配置或过时系统的攻击。 Microsoft Defender 漏洞管理超越了简单的检测,提供了一种主动的、基于风险的方法来管理攻击面,使安全团队能够将工作重点放在能产生最大影响的地方 [2]。
本实用指南将涵盖如何配置和使用 MDVM,从资产可见性和漏洞发现到基于风险的优先级、创建安全建议和补救跟踪。将提供分步说明、界面使用示例和验证方法,以便读者能够实施有效的漏洞管理计划,减少风险暴露并加强组织的安全态势。
为什么 Microsoft Defender 漏洞管理至关重要?
- 全面的可见性:持续发现 Windows、macOS、Linux、Android、iOS 和网络设备上的资产和漏洞,无需为已在 Defender for Endpoint 中加载的设备添加额外代理。
- 基于风险的评估:根据环境背景、Microsoft 威胁情报和组织中的漏洞检测确定漏洞的优先级,帮助您专注于最关键的风险。
- 可行的建议:提供清晰、详细的修复建议,以及分步步骤和相关资源的链接。
- 本机集成:与 Microsoft Defender for Endpoint 和 Microsoft Defender 门户完全集成,简化安全操作。
- 内置修复工具:允许您直接从门户创建修复任务,与 Microsoft Intune 和 Microsoft Endpoint Configuration Manager 集成。
- 暴露测量:提供“安全评分”和“暴露评分”等指标来跟踪进度并随着时间的推移改善安全状况。
先决条件
要使用 Microsoft Defender 漏洞管理,您将需要以下项目:
- 许可:包含 Microsoft Defender for Endpoint P2 或 Microsoft 365 E5 Security/E5 的许可证。 MDVM 包含在这些许可证中 [3]。
- 管理访问权限:在 Microsoft Defender 门户 (
https://security.microsoft.com) 中具有“安全管理员”、“安全操作员”或“安全读者”权限的帐户。 - 载入设备:Windows、macOS 或 Linux 设备必须载入 Microsoft Defender for Endpoint,以便 MDVM 可以收集漏洞数据。
一步一步:使用 MDVM 管理漏洞
让我们探讨 MDVM 的主要功能,以识别漏洞、确定漏洞优先级并修复漏洞。
1. 访问 Microsoft Defender 门户
- 打开浏览器并导航至“https://security.microsoft.com”。
- 使用具有必要权限的帐户登录。
2. MDVM 仪表板概述
在 MDVM 仪表板中,您将找到组织安全状况的概述,包括“暴露分数”和“安全分数”。
- 在左侧导航窗格中,选择“漏洞管理”。
- 仪表板将显示以下信息:
- 暴露分数:反映您组织的漏洞暴露程度的动态分数。
- 安全分数:衡量您的安全状况的指标总体情况,并提出改进建议。
- 主要安全建议:降低风险最有影响力的行动。
- 主要漏洞:您的环境中最常见或最严重的漏洞。
3. 查看安全建议
建议是修复漏洞和改善安全状况的可行行动。
- 在左侧导航窗格中,选择“漏洞管理 > 建议”。
- 建议页面列出了建议的操作,按暴露分数影响和受影响设备的数量确定优先级。
- 单击建议(例如“更新 Google Chrome”)以查看更多详细信息。
4. 调查建议
通过单击建议,您可以进一步调查。
- 在推荐详情页面,您将看到:
- 描述:解释该漏洞以及修复的重要性。
- 曝光:有关对曝光分数影响的详细信息。
- 受影响的设备:存在漏洞的所有设备的列表。
- 相关漏洞:与建议相关的 CVE(常见漏洞和暴露)。
- 修复选项:有关如何修复漏洞的建议。
5. 创建修复任务
MDVM 允许您直接从门户创建修复任务,并与补丁管理工具集成。
- 在建议详细信息页面上,单击“修复选项”。
- 选择请求修复。
- 填写请求详细信息:
- 优先级:设置任务的优先级。
- 截止日期:设置更正的截止日期。
- 注释:为 IT 团队添加任何其他信息。
- 修复组:(可选)分配给特定组。
-
单击“提交请求”。
-
您可以在漏洞管理 > 修复下跟踪修复任务的状态。
6.查看软件清单
软件清单可让您全面了解设备上安装的所有软件及其相关漏洞。
- 在左侧导航窗格中,选择“漏洞管理 > 软件清单”。
- 您可以过滤和搜索软件,然后单击每个软件即可查看已知漏洞 (CVE) 和安全建议等详细信息。
7. 查看设备清单
设备清单提供所有已安装设备的列表,以及有关其漏洞和安全设置的信息。
- 在左侧导航窗格中,选择资产 > 设备。
- 单击设备可查看其完整配置文件,包括漏洞、安全建议、已安装的软件和安全设置。
验证和测试
验证 MDVM 的有效性涉及验证是否检测到漏洞以及是否成功应用补救措施。
1. 检查是否检测到新漏洞
- 故意将已知漏洞引入测试设备(例如,安装旧的、易受攻击的软件版本)。
- 等待几个小时,让 MDVM 收集数据。
- 检查 MDVM 仪表板和安全建议,查看是否检测到新漏洞并生成修复建议。
2. 验证补救措施
- 针对检测到的漏洞创建修复任务(例如更新软件)。
- 将修复应用到受影响的设备(例如,手动或通过 Intune/SCCM 更新软件)。
- 等待几个小时,让 MDVM 重新评估设备。
- 检查“修复”页面,查看任务是否已标记为“已完成”,并且漏洞是否已从“建议”中删除。
安全提示和最佳实践
- 完整载入:确保所有相关设备均已载入 Microsoft Defender for Endpoint,以获得完整的 MDVM 可见性。
- 基于风险的优先级:使用暴露分数和优先级建议来关注组织最关键的风险。
- 与补丁管理集成:集成使用现有补丁管理工具(Intune、SCCM)执行 MDVM 修复任务,以自动执行修复过程。
- 持续监控:定期监控 MDVM 仪表板、建议和修复状态,以保持主动的安全态势。
- 软件修订:使用软件清单来识别未经授权或过时的软件并计划将其删除或更新。
- 教育和意识:教育用户了解保持软件最新并遵循组织安全策略的重要性。
- 响应自动化:探索 MDVM 与 Azure Sentinel 集成,以自动响应高风险漏洞或错误配置。
常见故障排除
- 设备未出现在 MDVM 中:验证设备是否已在 Microsoft Defender for Endpoint 中正确登录。检查设备上的 Defender 代理状态。数据同步可能存在延迟。
- 未检测到的漏洞:确保设备上安装了易受攻击的软件并处于活动状态。验证您的 Defender for Endpoint 安全设置是否是最新的。检测和处理数据可能存在延迟。
- 未应用补救措施:检查补丁管理工具(Intune、SCCM)日志中是否有错误。确保受影响的设备在线且可访问。检查运行修复任务的帐户的权限。
- 误报:如果建议看起来不正确,请调查漏洞和受影响软件的详细信息。您可以抑制与您的环境无关的建议,但请谨慎行事。
- 控制台性能:在具有许多设备的环境中,数据加载可能需要时间。使用过滤器和搜索来优化您的视图。
结论
Microsoft Defender 漏洞管理是一款功能强大的工具,使组织能够采取主动、基于风险的方法进行漏洞管理。通过提供持续可见性、智能评估和集成修复工具,MDVM 简化了识别和修复安全漏洞的复杂过程。 MDVM 的有效实施与补丁管理和安全最佳实践相结合,使 IT 和安全团队能够显着减少攻击面、提高“安全分数”并增强组织针对最新威胁的网络弹性。通过本指南,安全专业人员将能够有效管理漏洞并维护安全且合规的 Microsoft 环境。
参考资料:
[1] 微软学习。 Microsoft Defender 漏洞管理。位于:https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management [2] 微软学习。 漏洞评估用户指南。网址:https://learn.microsoft.com/pt-br/defender-vulnerability-management/Trial-user-guide-defender-vulnerability-management [3] 微软学习。 比较 Microsoft Defender 漏洞管理功能。网址:https://learn.microsoft.com/pt-br/defender-vulnerability-management/defender-vulnerability-management-capability