Рекомендации по безопасности
Область применения:
- Управление уязвимостями в Microsoft Defender
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Microsoft Defender для серверов плана 1 & 2
Совет
Знаете ли вы, что можете бесплатно попробовать все функции в Управление уязвимостями Microsoft Defender? Узнайте, как зарегистрироваться для получения бесплатной пробной версии.
Недостатки кибербезопасности, выявленные в вашей организации, сопоставляются с практическими рекомендациями по безопасности и определяются приоритетом по их влиянию. Приоритетные рекомендации помогают сократить время, затраченное на устранение уязвимостей, и обеспечить соответствие требованиям.
Каждая рекомендация по безопасности включает действия по исправлению. Чтобы упростить управление задачами, рекомендацию также можно отправить с помощью Microsoft Intune и Microsoft Endpoint Configuration Manager. При изменениях в ландшафте угроз рекомендация также меняется по мере непрерывного сбора информации из вашей среды.
Совет
Сведения о новых событиях уязвимостей см. в статье Настройка Уведомления по электронной почте уязвимостей в Microsoft Defender для конечной точки
Принципы действия
Каждое устройство в организации оценивается на основе трех важных факторов, которые помогают клиентам сосредоточиться на правильных вещах в нужное время.
- Угроза: характеристики уязвимостей и эксплойтов в устройствах вашей организации и журнале нарушений. На основе этих факторов в рекомендациях по безопасности отображаются соответствующие ссылки на активные оповещения, текущие кампании по угрозам и соответствующие аналитические отчеты об угрозах.
- Вероятность нарушения безопасности. Уровень безопасности и устойчивость вашей организации к угрозам.
- Бизнес-ценность: активы вашей организации, критически важные процессы и интеллектуальные свойства.
Перейдите на страницу Рекомендаций по безопасности
Откройте страницу Рекомендации по безопасности несколькими способами:
- Меню навигации по управлению уязвимостями на портале Microsoft Defender
- Основные рекомендации по безопасности на панели мониторинга управления уязвимостями
Меню навигации
На портале Microsoft Defender перейдите в меню навигации управление уязвимостями и выберите Рекомендации.
На этой странице содержится список рекомендаций по безопасности для обнаруженных в вашей организации угроз и уязвимостей.
Основные рекомендации по безопасности на панели мониторинга управления уязвимостями
Администратор безопасности может взглянуть на панель мониторинга управления уязвимостями , чтобы увидеть оценку уязвимости рядом с оценкой безопасности Майкрософт для устройств. Цель состоит в том, чтобы снизить уязвимость вашей организации от уязвимостей и повысить безопасность устройств организации, чтобы быть более устойчивыми к атакам с угрозами кибербезопасности. Список основных рекомендаций по безопасности поможет вам достичь этой цели.
В основных рекомендациях по безопасности перечислены приоритетные возможности улучшения на основе важных факторов, упомянутых в предыдущем разделе, — угрозы, вероятности нарушения и ценности. При выборе рекомендации вы перейдете на страницу рекомендаций по безопасности с дополнительными сведениями.
Обзор рекомендаций по безопасности
Рекомендации по безопасности позволяют просматривать рекомендации по безопасности вашей организации, количество обнаруженных слабых мест, связанные компоненты, аналитические сведения об угрозах, количество открытых устройств, состояние устройства, тип исправления, действия по исправлению и связанные теги. Вы также можете увидеть, как изменится оценка экспозиции и оценка безопасности для устройств при реализации рекомендаций.
Цвет графа "Предоставляемые устройства " изменяется по мере изменения тренда. Если количество предоставляемых устройств растет, цвет меняется на красный. Если количество предоставляемых устройств уменьшается, цвет графа меняется на зеленый.
Примечание.
Управление уязвимостями показывает устройства, которые использовались в течение последних 30 дней. Это отличается от состояния устройства в Defender для конечной точки, если устройство имеет Inactive
состояние, если оно не взаимодействует со службой более семи дней.
Значки
Полезные значки также быстро вызывают ваше внимание:
-
возможные активные оповещения
-
связанные общедоступные эксплойты
-
аналитика рекомендаций
Влияние
В столбце влияние показано потенциальное влияние на оценку экспозиции и оценку безопасности для устройств после реализации рекомендации. Следует определить приоритеты элементов, которые понижают показатель воздействия и повышают оценку безопасности для устройств.
Потенциальное снижение оценки экспозиции отображается следующим образом:
. Более низкая оценка воздействия означает, что устройства менее уязвимы к эксплуатации. Так как оценка уязвимости основана на сочетании факторов, включая новые исправления или обнаруженные уязвимости, фактическое снижение оценки может быть ниже.
Прогнозируемый рост оценки безопасности для устройств отображается следующим образом:
. Более высокая оценка безопасности для устройств означает, что конечные точки более устойчивы к атакам кибербезопасности.
Обзор вариантов рекомендаций по безопасности
На портале Microsoft Defender выберите рекомендацию по безопасности, которую вы хотите исследовать или обработать.
Во всплывающем меню можно выбрать любой из следующих вариантов:
Открыть страницу программного обеспечения . Откройте страницу программного обеспечения, чтобы получить дополнительный контекст о программном обеспечении и его распространении. Эти сведения могут включать контекст угроз, связанные рекомендации, обнаруженные уязвимости, количество затронутых устройств, обнаруженные уязвимости, имена и подробные сведения об устройствах с установленным программным обеспечением, а также распространение версии.
Параметры исправления. Отправьте запрос на исправление, чтобы открыть билет в Microsoft Intune, чтобы ИТ-администратор взял и укатив адрес. Отслеживайте действия по исправлению на странице Исправления.
Параметры исключения . Отправьте исключение, укажите обоснование и задайте длительность исключения, если устранить проблему еще не удается.
Примечание.
При изменении программного обеспечения на устройстве обычно требуется 2 часа, чтобы данные отображались на портале безопасности. Однако иногда это может занять больше времени. Изменения конфигурации могут занять от 4 до 24 часов.
Изучение изменений в воздействии или влиянии на устройство
Если наблюдается большой скачок числа открытых устройств или резкое увеличение влияния на оценку уязвимости вашей организации и оценку безопасности для устройств, следует изучить рекомендацию по безопасности.
На портале Microsoft Defender выберите рекомендацию, а затем выберите Открыть страницу программного обеспечения.
Перейдите на вкладку Временная шкала события, чтобы просмотреть все влияющие события, связанные с этим программным обеспечением, такие как новые уязвимости или новые открытые эксплойты. Дополнительные сведения о временная шкала событий
Решите, как решить проблему увеличения или уязвимости вашей организации, например отправить запрос на исправление
Рекомендации для устройств
Чтобы просмотреть список рекомендаций по безопасности, применимых к устройству, выполните следующие действия.
На портале Microsoft Defender на странице Инвентаризация устройств выберите устройство.
Перейдите на вкладку Рекомендации по безопасности , чтобы просмотреть список рекомендаций по безопасности для устройства.
Примечание.
Если в Defender для конечной точки включена Microsoft Defender интеграции Интернета вещей, на странице рекомендаций по безопасности отображаются рекомендации для устройств Корпоративного Интернета вещей, которые отображаются на вкладке "Устройства Интернета вещей". Дополнительные сведения см. в статье Включение безопасности Корпоративного Интернета вещей с помощью Defender для конечной точки.
Запрос на исправление
Возможность исправления управления уязвимостями устраняет разрыв между безопасностью и ИТ-администраторами с помощью рабочего процесса запроса на исправление. Администраторы безопасности, такие как вы, могут попросить ИТ-администратора устранить уязвимость на странице Рекомендации по безопасности, чтобы Intune. Дополнительные сведения о вариантах исправления
Как запросить исправление
На портале Microsoft Defender выберите рекомендацию по безопасности, для чего нужно запросить исправление, а затем выберите Параметры исправления.
Заполните форму и выберите Отправить запрос.
Чтобы просмотреть состояние запроса на исправление, перейдите на страницу Исправление .
Дополнительные сведения см. в статье Дополнительные сведения о том, как запросить исправление.
Файл для исключения
В качестве альтернативы запросу на исправление, если рекомендация не актуальна в данный момент, вы можете создать исключения для рекомендаций. Дополнительные сведения об исключениях
Только пользователи с соответствующими разрешениями могут добавлять исключения (см. Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC)).
Когда для рекомендации создается исключение, рекомендация перестает быть активной. Состояние рекомендации изменится на Полное исключение или Частичное исключение (по группам устройств).
Создание исключения
На портале Microsoft Defender выберите рекомендацию по безопасности, для которой нужно создать исключение, а затем выберите Параметры исключения.
Заполните форму и отправьте.
Чтобы просмотреть исключения (текущие и прошлые), перейдите на страницу Исправление в меню Управление угрозами & уязвимостями и выберите вкладку Исключения .
Дополнительные сведения см. в разделе Подробнее о создании исключения.
Сообщить об неточности
Вы можете сообщить о ложном срабатывании, если увидите расплывчатую, неточную, неполную или уже исправленную информацию о рекомендациях по безопасности.
На портале Microsoft Defender откройте рекомендацию по безопасности.
Выберите три точки рядом с рекомендацией по безопасности, о которой вы хотите сообщить, а затем выберите Сообщить об неточностях.
Во всплывающей области выберите категорию неточностей в раскрывающемся меню, введите свой адрес электронной почты и сведения об этой неточности.
Выберите Отправить. Ваш отзыв немедленно отправляется экспертам по управлению уязвимостями.