Ocena skanowania luk w zabezpieczeniach z usługi Microsoft Defender for Server

  • 7 min

Gdy narzędzie do oceny luk w zabezpieczeniach zgłasza luki w zabezpieczeniach do Defender dla Chmury, Defender dla Chmury przedstawia wyniki i powiązane informacje jako zalecenia. Ponadto wyniki obejmują powiązane informacje, takie jak kroki korygowania, odpowiednie CVEs, wyniki CVSS i inne. Zidentyfikowane luki w zabezpieczeniach dla co najmniej jednej subskrypcji można wyświetlić lub dla określonej maszyny wirtualnej.

Wyświetlanie wyników skanowania maszyn wirtualnych

Aby wyświetlić wyniki oceny luk w zabezpieczeniach (ze wszystkich skonfigurowanych skanerów) i skorygować zidentyfikowane luki w zabezpieczeniach:

  1. W menu Defender dla Chmury otwórz stronę Zalecenia.

  2. Wybierz zalecenie Maszyny powinny mieć rozwiązane wyniki luk w zabezpieczeniach.

    • Defender dla Chmury pokazuje wszystkie wyniki dla wszystkich maszyn wirtualnych w aktualnie wybranych subskrypcjach. Wyniki są uporządkowane według ważności.

  3. Aby filtrować wyniki według określonej maszyny wirtualnej, otwórz sekcję "Zasoby, których dotyczy problem", i kliknij maszynę wirtualną, która Cię interesuje. Możesz też wybrać maszynę wirtualną w widoku kondycji zasobów i wyświetlić wszystkie odpowiednie zalecenia dotyczące tego zasobu.

    • Defender dla Chmury pokazuje wyniki dla tej maszyny wirtualnej uporządkowane według ważności.

  4. Aby dowiedzieć się więcej na temat określonej luki w zabezpieczeniach, wybierz ją.

    • Wyświetlone okienko szczegółów zawiera obszerne informacje o lukach w zabezpieczeniach, w tym:

      • Linki do wszystkich odpowiednich CVE (jeśli są dostępne)
      • Kroki rozwiązania problemu
      • Wszelkie dodatkowe strony referencyjne

  5. Aby skorygować znalezienie, wykonaj kroki korygowania w tym okienku szczegółów.

Wyłączanie określonych ustaleń

Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.

Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie będzie ono wyświetlane na liście wyników. Typowe scenariusze obejmują:

  • Wyłącz wyniki z ważnością poniżej średniej
  • Wyłącz wyniki, które nie można zastosować poprawek
  • Wyłącz wyniki z wynikiem CVSS poniżej 6,5
  • Wyłącz wyniki z określonym tekstem w kontroli zabezpieczeń lub kategorii (na przykład "RedHat", "CentOS Security Update for sudo")

Ważne

Aby utworzyć regułę, musisz mieć uprawnienia do edytowania zasad w usłudze Azure Policy.

Aby utworzyć regułę

  1. Na stronie szczegółów zaleceń dla pozycji Maszyny powinny zostać rozwiązane wyniki luk w zabezpieczeniach, wybierz pozycję Wyłącz regułę.

  2. Wybierz odpowiedni zakres.

  3. Zdefiniuj kryteria. Można użyć dowolnego z następujących kryteriów:

    • Identyfikator znajdowania
    • Kategoria
    • Kontrola zabezpieczeń
    • Wyniki CVSS (wersja 2, wersja 3)
    • Ważność
    • Stan z możliwością stosowania poprawek

  4. Wybierz pozycję Zastosuj regułę.

    Ważne

    Wprowadzenie zmian może potrwać do 24 godzin.

  5. Aby wyświetlić, zastąpić lub usunąć regułę:

    • Wybierz pozycję Wyłącz regułę.
    • Z listy zakresów subskrypcje z aktywnymi regułami są wyświetlane jako Zastosowana reguła.
    • Aby wyświetlić lub usunąć regułę, wybierz menu wielokropka ("...").

Wyeksportuj wyniki

Aby wyeksportować wyniki oceny luk w zabezpieczeniach, musisz użyć usługi Azure Resource Graph (ARG). To narzędzie zapewnia natychmiastowy dostęp do informacji o zasobach w środowiskach chmury z niezawodnymi funkcjami filtrowania, grupowania i sortowania. Jest to szybki i wydajny sposób programowego wykonywania zapytań dotyczących informacji w subskrypcjach platformy Azure lub z poziomu witryny Azure Portal.