Udostępnij za pośrednictwem


Luki w zabezpieczeniach w mojej organizacji

Strona Słabe strony w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zawiera listę znanych typowych luk w zabezpieczeniach i ekspozycji (CVE) według ich identyfikatora CVE.

Identyfikatory CVE to unikatowe identyfikatory przypisane do publicznie ujawnionych luk w zabezpieczeniach cyberbezpieczeństwa, które mają wpływ na oprogramowanie, sprzęt i oprogramowanie układowe. Zapewniają one organizacjom standardowy sposób identyfikowania i śledzenia luk w zabezpieczeniach oraz pomagają im zrozumieć, ustalić priorytety i rozwiązać te luki w zabezpieczeniach w organizacji. CvE są śledzone w rejestrze publicznym dostępnym z https://www.cve.org/programu .

Zarządzanie lukami w zabezpieczeniach w usłudze Defender używa czujników punktów końcowych do skanowania i wykrywania tych i innych luk w zabezpieczeniach w organizacji.

Dotyczy:

Ważna

Zarządzanie lukami w zabezpieczeniach w usłudze Defender może pomóc w identyfikowaniu luk w zabezpieczeniach log4j w aplikacjach i składnikach. Dowiedz się więcej.

Porada

Czy wiesz, że możesz bezpłatnie wypróbować wszystkie funkcje w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się, jak utworzyć konto bezpłatnej wersji próbnej.

Strona przeglądu słabych punktów

Aby uzyskać dostęp do strony Słabe strony, wybierz pozycję Słabe strony z menu nawigacji Zarządzanie lukami w zabezpieczeniach w portalu Microsoft Defender

Zostanie otwarta strona Słabe strony z listą CVE, na które urządzenia są narażone. Możesz wyświetlić ważność, klasyfikację typowego systemu oceniania luk w zabezpieczeniach (CVSS), odpowiednie informacje o naruszeniach i zagrożeniach i nie tylko.

Zrzut ekranu przedstawiający stronę docelową słabych punktów

Uwaga

Jeśli nie ma oficjalnego identyfikatora CVE przypisanego do luki w zabezpieczeniach, nazwa luki w zabezpieczeniach jest przypisywana przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i będzie mieć format TVM-2020-002.

Uwaga

Maksymalna liczba rekordów, które można wyeksportować ze strony słabych punktów do pliku CSV, wynosi 8000, a eksport nie może przekraczać 64 KB. Jeśli zostanie wyświetlony komunikat z informacją, że wyniki są zbyt duże do wyeksportowania, uściślij zapytanie, aby zawierało mniej rekordów.

Szczegółowe informacje o naruszeniach i zagrożeniach

Ważne jest, aby nadać priorytet zaleceniom, które są związane z bieżącymi zagrożeniami. Informacje dostępne w kolumnie Zagrożenia ułatwiają określanie priorytetów luk w zabezpieczeniach. Aby wyświetlić luki w zabezpieczeniach związane z bieżącymi zagrożeniami, przefiltruj kolumnę Zagrożenia według:

  • Skojarzony aktywny alert
  • Exploit jest dostępny
  • Exploit jest weryfikowany
  • Ten exploit jest częścią zestawu exploitów

Ikona analizy zagrożeń Prosty rysunek czerwonej usterki. Jest wyróżniona w kolumnie Zagrożenia , jeśli istnieją skojarzone luki w zabezpieczeniach.

Zrzut ekranu przedstawiający ikony kolumn zagrożeń

Umieszczenie wskaźnika myszy na ikonie pokazuje, czy zagrożenie jest częścią zestawu wykorzystującego luki w zabezpieczeniach, czy jest połączone z określonymi zaawansowanymi trwałymi kampaniami lub grupami aktywności. Jeśli jest dostępny, istnieje link do raportu usługi Threat Analytics z wiadomościami o wykorzystywaniu, ujawnianiem informacji lub powiązanymi poradami dotyczącymi zabezpieczeń.

Tekst szczegółowych informacji o zagrożeniach, który może być wyświetlany po umieszczeniu wskaźnika myszy na ikonie. Ten ma wiele punktów punktowych i połączony tekst.

Ikona szczegółowych informacji o naruszeniach jest wyróżniona, jeśli w organizacji znajduje się luka w zabezpieczeniach. Prosty rysunek strzałki uderzającej w cel. .

Przykład tekstu szczegółowych informacji o naruszeniu zabezpieczeń, który może być wyświetlany po umieszczeniu wskaźnika myszy na ikonie. Ten mówi

Kolumna Uwidocznione urządzenia pokazuje, ile urządzeń jest obecnie narażonych na lukę w zabezpieczeniach. Jeśli kolumna zawiera wartość 0, oznacza to, że nie jesteś zagrożony.

Uzyskiwanie szczegółowych informacji o lukach w zabezpieczeniach

Jeśli wybierzesz cve na stronie słabych punktów, zostanie otwarty panel wysuwany z większą ilością informacji, takich jak opis luki w zabezpieczeniach, szczegóły i szczegółowe informacje o zagrożeniach. Opis luki w zabezpieczeniach wygenerowanej przez sztuczną inteligencję zawiera szczegółowe informacje na temat luki w zabezpieczeniach, jej skutków, zalecanych kroków korygowania i wszelkich dodatkowych informacji, jeśli są dostępne.

Zrzut ekranu przedstawiający okienko słabe strony-wysuwane

Dla każdego CVE można wyświetlić listę uwidocznionych urządzeń i oprogramowania, którego dotyczy problem.

System oceniania przewidywań wykorzystujących luki w zabezpieczeniach (EPSS)

System oceniania przewidywań wykorzystujących luki w zabezpieczeniach (EPSS) generuje wynik oparty na danych dla prawdopodobieństwa wykorzystania znanej luki w zabezpieczeniach oprogramowania w środowisku naturalnym. Program EPSS korzysta z aktualnych informacji o zagrożeniach z cve i rzeczywistych danych wykorzystujących luki w zabezpieczeniach. Dla każdego CVE model EPSS generuje wynik prawdopodobieństwa z zakresu od 0 do 1 (od 0% do 100%). Im wyższy wynik, tym większe prawdopodobieństwo wykorzystania luki w zabezpieczeniach. Dowiedz się więcej o programie EPSS.

Epss ma na celu wzbogacenie wiedzy o słabych stronach i ich prawdopodobieństwie wykorzystania oraz umożliwienie odpowiedniego określania priorytetów.

Aby wyświetlić wynik epss wybierz CVE na stronie Słabe strony w portalu Microsoft Defender:

Zrzut ekranu przedstawiający wskaźnik epss słabych punktów.

Gdy wartość EPSS jest większa niż 0,9, etykietka narzędzia kolumny Zagrożenia jest aktualizowana o wartość, aby przekazać pilną potrzebę ograniczenia ryzyka:

Zrzut ekranu przedstawiający wskaźnik epss słabych punktów w etykietce narzędzia zagrożeń.

Uwaga

Należy pamiętać, że jeśli wynik EPSS jest mniejszy niż 0,001, jest uważany za 0.

Możesz użyć interfejsu API luk w zabezpieczeniach , aby wyświetlić wynik epss.

Skorzystaj z zaleceń dotyczących zabezpieczeń, aby skorygować luki w zabezpieczeniach na uwidocznionych urządzeniach i zmniejszyć ryzyko dla zasobów i organizacji. Gdy zalecenie dotyczące zabezpieczeń jest dostępne, możesz wybrać pozycję Przejdź do powiązanego zalecenia dotyczącego zabezpieczeń, aby uzyskać szczegółowe informacje na temat sposobu korygowania luki w zabezpieczeniach.

Przykład wysuwanej słabości.

Zalecenia dotyczące cve są często do korygowania luki w zabezpieczeniach poprzez aktualizację zabezpieczeń dla powiązanego oprogramowania. Jednak niektóre cve nie będą miały dostępnej aktualizacji zabezpieczeń. Może to dotyczyć całego powiązanego oprogramowania cve lub tylko podzestawu, na przykład dostawca oprogramowania może zdecydować się nie rozwiązywać problemu w określonej wersji podatnej na zagrożenia.

Jeśli aktualizacja zabezpieczeń jest dostępna tylko dla niektórych powiązanych programów, cve będzie mieć tag "Niektóre aktualizacje dostępne" pod nazwą CVE. Po udostępnieniu co najmniej jednej aktualizacji możesz przejść do powiązanego zalecenia dotyczącego zabezpieczeń.

Jeśli nie ma dostępnej aktualizacji zabezpieczeń, cve będzie mieć tag "Brak aktualizacji zabezpieczeń" pod nazwą CVE. Nie będzie opcji przejścia do powiązanego zalecenia dotyczącego zabezpieczeń, ponieważ oprogramowanie, które nie ma dostępnej aktualizacji zabezpieczeń, jest wykluczone ze strony Zalecenia dotyczące zabezpieczeń.

Uwaga

Zalecenia dotyczące zabezpieczeń obejmują tylko urządzenia i pakiety oprogramowania, które mają dostępne aktualizacje zabezpieczeń.

Żądanie pomocy technicznej CVE

CvE dla oprogramowania, które nie jest obecnie obsługiwane przez zarządzanie lukami w zabezpieczeniach, nadal pojawia się na stronie Słabe strony. Ponieważ oprogramowanie nie jest obsługiwane, dostępne są tylko ograniczone dane. Uwidocznione informacje o urządzeniu nie będą dostępne dla cve z nieobsługiwanym oprogramowaniem.

Aby wyświetlić listę nieobsługiwanego oprogramowania, przefiltruj stronę słabych punktów według opcji "Niedostępne" w sekcji "Uwidocznione urządzenia".

Możesz poprosić o dodanie pomocy technicznej do Zarządzanie lukami w zabezpieczeniach w usłudze Defender dla określonego CVE. Aby poprosić o pomoc techniczną:

  1. Wybierz cve na stronie Słabe strony w portalu Microsoft Defender

  2. Wybierz pozycję Obsługa tego cve na karcie Szczegóły luk w zabezpieczeniach

    Żądanie jest wysyłane do firmy Microsoft i pomoże nam ustalić priorytety tego CVE między innymi w naszym systemie.

    Uwaga

    Funkcja obsługi żądania CVE nie jest dostępna dla klientów GCC, GCC High i DoD.

    Słaby wysuwany z przykładem przycisku CVE pomocy technicznej.

Wyświetlanie wpisów typowych luk w zabezpieczeniach i ekspozycji (CVE) w innych miejscach

Najważniejsze oprogramowanie narażone na zagrożenia na pulpicie nawigacyjnym

  1. Przejdź do pulpitu nawigacyjnego Zarządzanie lukami w zabezpieczeniach w usłudze Defender i przewiń w dół do widżetu oprogramowania narażonej na zagrożenia. Zobaczysz liczbę luk w zabezpieczeniach znalezionych w każdym oprogramowaniu, a także informacje o zagrożeniach i ogólny widok narażenia urządzenia w czasie.

    Karta oprogramowania z najlepszymi zagrożeniami.

  2. Wybierz oprogramowanie, które chcesz zbadać.

  3. Wybierz kartę Wykryte luki w zabezpieczeniach .

  4. Wybierz lukę w zabezpieczeniach, którą chcesz zbadać, aby otworzyć panel wysuwany ze szczegółami CVE.

Odnajdywanie luk w zabezpieczeniach na stronie urządzenia

Wyświetl powiązane informacje o słabych stronach na stronie urządzenia.

  1. Wybierz pozycję Urządzenia z menu nawigacji Zasoby w portalu Microsoft Defender.
  2. Na stronie Spis urządzeń wybierz nazwę urządzenia, którą chcesz zbadać.
  3. Wybierz pozycję Otwórz stronę urządzenia i wybierz pozycję Wykryte luki w zabezpieczeniach na stronie urządzenia.
  4. Wybierz lukę w zabezpieczeniach, którą chcesz zbadać, aby otworzyć panel wysuwany ze szczegółami CVE.

Logika wykrywania CVE

Podobnie jak w przypadku dowodów oprogramowania, pokazujemy logikę wykrywania zastosowaną na urządzeniu, aby stwierdzić, że jest ona podatna na zagrożenia.

Aby wyświetlić logikę wykrywania:

  1. Wybierz urządzenie na stronie Spis urządzeń.

  2. Wybierz pozycję Otwórz stronę urządzenia i wybierz pozycję Wykryte luki w zabezpieczeniach na stronie urządzenia.

  3. Wybierz lukę w zabezpieczeniach, którą chcesz zbadać.

    Zostanie otwarte okno wysuwane, a w sekcji Logika wykrywania zostanie wyświetlona logika wykrywania i źródło.

    Przykład logiki wykrywania, który zawiera listę oprogramowania wykrytego na urządzeniu i kb/s.

Kategoria "Funkcja systemu operacyjnego" jest również wyświetlana w odpowiednich scenariuszach. Dzieje się tak, gdy cve wpłynie na urządzenia z systemem operacyjnym znajdującym się w trudnej sytuacji, jeśli jest włączony określony składnik systemu operacyjnego. Jeśli na przykład system Windows Server 2019 lub Windows Server 2022 ma lukę w zabezpieczeniach w składniku DNS, dołączamy to CVE tylko do urządzeń z systemami Windows Server 2019 i Windows Server 2022 z włączoną funkcją DNS w systemie operacyjnym.

Niedokładność raportu

Zgłoś wynik fałszywie dodatni, gdy zobaczysz jakiekolwiek niejasne, niedokładne lub niekompletne informacje. Można również raportować zalecenia dotyczące zabezpieczeń, które zostały już skorygowane.

  1. Otwórz cve na stronie Słabe strony.

  2. Wybierz pozycję Nieścisłość raportu.

  3. W okienku wysuwanym wybierz problem do zgłoszenia.

  4. Podaj żądane szczegóły dotyczące niedokładności. Różni się to w zależności od problemu, który zgłaszasz.

  5. Wybierz pozycję Prześlij. Twoja opinia jest natychmiast wysyłana do ekspertów Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.

    Opcje niedokładności raportu.