使用 Microsoft Exposure Management 管理攻击面暴露

2026 年 4 月 5 日

简介：从漏洞管理到暴露管理

2026 年网络威胁格局的特点是复杂性和动态性。组织在其系统、应用程序和配置中面临着越来越多的漏洞，这使得传统的漏洞管理成为一项艰巨的任务。简单地识别和修复单个漏洞虽然很重要，但已不足以主动保护关键资产。环境中可能存在大量漏洞，但并非所有漏洞都会带来相同级别的风险。当攻击者将多个漏洞、错误配置和安全漏洞链接在一起以创建导致高价值资产受到损害的“攻击路径”时，真正的危险就会出现[1]。

为了应对这种演变，漏洞管理已演变为暴露管理。 Microsoft Exposure Management 是一款全面的解决方案，它整合了来自多个来源（包括 Microsoft Defender、Microsoft Entra ID 和 Azure）的数据，不仅提供现有安全漏洞的整体视图，而且更重要的是，还提供攻击者如何利用这些漏洞来攻击组织最关键资产的整体视图。它将重点从静态的漏洞列表转移到对潜在攻击路径及其造成的实际风险的动态理解 [2]。

本技术和教育文章旨在指导安全分析师、安全架构师和 IT 领导者了解和实施 Microsoft 暴露管理。我们将介绍基于暴露的方法的基本原则、优点，以及使用此工具来识别、确定优先级和修复环境中的攻击路径的详细分步指南。

暴露管理范式：超越漏洞

传统的漏洞管理通常会产生一长串需要修复的 CVE（常见漏洞和暴露），而没有根据对业务的实际影响确定明确的优先级。这会导致安全疲劳和资源分配效率低下。 Microsoft Exposure Management 通过以下方式解决这些缺点：

• 攻击路径映射：该平台不是只关注孤立的漏洞，而是构建一个暴露图，以可视化方式显示不同的安全元素（漏洞、错误配置、过多的权限、弱身份）如何链接在一起，形成攻击者可以遵循的到达关键资产的路径。这使得安全团队能够看到风险的“大局”[3]。

• 基于实际风险的优先级：系统为每个攻击路径分配关键性评分和“攻击路径潜力”，同时考虑到所涉及资产的敏感性、利用概率和实时威胁情报。这使得安全团队能够优先修复对业务构成最大风险的缺陷，而不是简单地修补最新或最简单的漏洞。

• 集成威胁情报：Microsoft Exposure Management 与 Microsoft 庞大的威胁情报集成，包括有关活跃威胁组织 (APT) 及其策略、技术和程序 (TTP) 的信息。这使得平台能够识别当前最有可能被真正攻击者利用的攻击路径 [4]。

• 统一可见性：通过整合来自多个 Microsoft 解决方案（Defender for Endpoint、Defender for Cloud、Entra ID 等）的数据，该平台提供了整个混合和多云环境中安全态势的统一视图，消除了信息孤岛。

实施的先决条件

要使用 Microsoft Exposure Management，您的组织将需要以下元素：

• Microsoft Defender XDR 许可：暴露管理是 Microsoft Defender XDR 的一项高级功能，它集成了 Defender for Endpoint、Defender for Cloud、Defender for Identity 和 Defender for Office 365 的功能。

• 管理访问权限：具有广告权限的帐户安全部长或自定义角色有权访问 Microsoft Defender 门户 (“se​​curity.microsoft.com”) 中的“暴露管理”部分。

• 数据集成：部署相关的 Microsoft Defender 解决方案（端点、云、身份）并在您的环境中主动收集数据以提供暴露图至关重要。

分步指南：使用 Microsoft Exposure Management 分析和修复攻击路径

有效使用 Microsoft Exposure Management 涉及对攻击路径进行可视化、优先级排序和修复。

第 1 步：可视化暴露图和攻击路径

第一步是直观地了解攻击者如何利用您环境中的弱点。

1. 访问 Microsoft Defender 门户：打开浏览器并导航到“security.microsoft.com”。使用具有必要管理权限的帐户登录。

2. 导航到“曝光管理”部分：在左侧导航窗格中，找到并单击“曝光管理”。

3. 探索攻击路径：在“暴露管理”部分中，单击“攻击路径”。系统将提供一个交互式图形界面，显示您环境中的潜在攻击路径。您将能够看到服务器中的漏洞、用户帐户中的弱凭据以及云服务中的错误配置如何链接在一起以危害关键资产。

4. 过滤器和详细信息：使用可用的过滤器重点关注特定资产（例如域控制器、数据库服务器、关键应用程序）、漏洞类型或威胁组。单击图中的各个节点即可获取有关构成该路径段的漏洞或错误配置的详细信息。

第 2 步：根据实际风险确定修复的优先顺序

攻击路径可视化后，下一步就是确定对降低风险影响最大的补救措施的优先级。

1. 评估严重性分数：Microsoft Exposure Management 为每个攻击路径分配 “严重性分数”。该分数是根据可能受到损害的资产的敏感性、利用漏洞的难易程度以及有关攻击者活动的威胁情报来计算的。关注得分最高的路径。

2. 专注于阻止建议：该平台不仅显示路径，还提出补救建议，如果实施，将阻止最关键资产的最大数量的攻击路径。例如，修补跳转服务器上的特定漏洞可以破坏导致不同关键资产的数十条攻击路径。

3. 考虑业务影响：尽管平台提供了技术优先级，但使该优先级与业务影响保持一致至关重要。与业务利益相关者合作，了解哪些资产最重要，并优先保护这些资产。

步骤 3：验证安全状况并衡量进展

实施补救措施后，验证措施是否有效并持续监控安全状况至关重要。

1. 使用集成攻击模拟工具：Microsoft Exposure Management 包含一个攻击模拟工具，可让您测试新的安全策略和实施的补救措施是否真正阻止已识别的攻击路径。这些模拟是安全的，不会影响生产。

2. 监控安全分数：Microsoft 安全分数是反映组织安全状况的指标。暴露管理建议的补救措施直接有助于提高安全分数。监控一段时间内的进展，以了解您的行动的影响。

3. 报告和仪表板：使用提供的报告和仪表板向安全领导和管理人员传达进度和残余风险。这有助于证明安全投资的合理性并展示暴露管理的价值。

4. 持续审查：威胁形势和基础设施不断变化。定期审查暴露图和攻击路径以识别r 新威胁并确保您的安全态势保持稳健。

其他注意事项和最佳实践

• 与现有工作流程集成：将 Exposure Management 建议与补丁管理、ITSM（IT 服务管理）和 SIEM/SOAR 工具集成，以自动分配和跟踪修复任务。

• 安全文化：培养开发、运营和安全团队协作的安全文化，以减少攻击面并通过设计构建安全性。

• 修复自动化：使用 Azure 自动化、PowerShell 或自定义脚本等工具探索常见漏洞和错误配置的自动化修复。

• 威胁情报：及时了解最新趋势和威胁情报，以预测新的攻击媒介并主动调整防御。

结论

Microsoft 暴露管理代表了组织在 2026 年处理网络安全方面的根本性进步。通过将被动漏洞管理转变为基于了解攻击路径的主动方法，它使安全团队能够识别和修复攻击者可利用的最关键弱点。该解决方案的有效实施不仅可以显着改善安全状况，还可以优化资源分配，确保安全工作集中在真正重要的地方。在威胁日益复杂的世界中，暴露管理是构建弹性和适应性网络防御的关键。

参考文献

[1] 微软安全内幕。 “2026 年视频十大安全决策。”可以在： https://www.microsoft.com/en-us/security/security-insider/threat-landscape/10-essential-insights-from-the-microsoft-digital-defense-report-2025 [2] 微软学习。 “Microsoft Defender for Endpoint 中的新功能。”位于：https://learn.microsoft.com/en-us/defender-endpoint/whats-new-in-microsoft-defender-endpoint [3] 微软安全博客。 “2026 年人工智能驱动的身份和网络访问安全的四个优先事项。”网址：[https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/] （https://www.microsoft.com/en-us/security/blog/2026/01/20/four-priorities-for-ai-powered-identity-and-network-access-security-in-2026/） [4] 微软技术社区。 “每月新闻 - 2026 年 4 月。”网址：https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050