Оценка проверок на наличие уязвимостей из Microsoft Defender для серверов

  • 7 мин

Когда средство оценки уязвимостей сообщает в Defender для облака об уязвимостях, Defender для облака отображает результаты и соответствующие сведения в качестве рекомендаций. Кроме того, результаты включают связанные сведения, такие как действия по исправлению, соответствующие CVE, оценки CVSS и многое другое. Вы можете просмотреть обнаруженные уязвимости для одной или нескольких подписок или для конкретной виртуальной машины.

Просмотр результатов проверок виртуальных машин

Чтобы просмотреть результаты оценки уязвимостей (со всех настроенных сканеров) и устранить обнаруженные уязвимости, выполните следующие действия:

  1. В меню Defender для облака откройте страницу Рекомендации.

  2. Выберите рекомендацию Уязвимости, обнаруженные на компьютерах, должны быть устранены.

    • В Defender для облака отображаются все результаты для всех виртуальных машин в выбранных подписках. Результаты упорядочены по уровню серьезности.

  3. Чтобы отфильтровать результаты по определенной виртуальной машине, откройте раздел "Затронутые ресурсы" и щелкните виртуальную машину, которая вас интересует. В представлении "Работоспособность ресурсов" вы также можете выбрать виртуальную машину и просмотреть все соответствующие рекомендации для этого ресурса.

    • Результаты для этой виртуальной машины отображаются в Defender для облака, упорядоченные по уровню серьезности.

  4. Чтобы узнать больше о конкретной уязвимости, выберите ее.

    • Отображаемая область сведений содержит подробные сведения об уязвимости, в том числе:

      • Ссылки на все соответствующие CVE (если они доступны)
      • Действия по исправлению
      • Любые дополнительные справочные материалы

  5. Чтобы устранить проблему, выполните действия по исправлению в этой области сведений.

Отключение определенных обнаруженных проблем

Если правила вашей организации требуют игнорировать обнаруженную проблему, а не исправлять ее, вы можете исключить ее из результатов поиска. Отключенные результаты не учитываются в оценке безопасности и не создают нежелательный шум.

Если результат поиска соответствует критерию, заданному в правилах отключения, он не будет отображаться в списке результатов. Распространенные сценарии

  • Отключение обнаруженных проблем с уровнем серьезности ниже среднего
  • Отключение обнаруженных проблем, которые не подлежат исправлению
  • Отключение обнаруженных проблем с оценкой CVSS ниже 6,5
  • Отключение обнаруженных проблем с конкретным текстом в проверке или категории безопасности (например, "RedHat", "CentOS Security Update for sudo")

Внимание

Чтобы создать правило, требуется разрешение на изменение политики в Политика Azure.

Создание правила

  1. На странице сведений о рекомендациях для компьютеров должны быть устранены результаты уязвимостей, выберите "Отключить правило".

  2. Выберите соответствующую область.

  3. Определите условие. Вы можете использовать любое из следующих условий:

    • Идентификатор обнаруженной проблемы
    • Категория
    • Проверка безопасности
    • Оценки CVSS (v2, v3)
    • Важность
    • состояние исправляемости.

  4. Нажмите Применить правило.

    Внимание

    Изменения могут занять до 24 часов.

  5. Чтобы просмотреть, переопределить или удалить правило, выполните следующие действия.

    • Выберите Отключить правило.
    • В списке области подписки с активными правилами отображаются с пометкой Правило применено.
    • Чтобы просмотреть или удалить правило, выберите меню с многоточием ("...")".

Экспорт результатов

Чтобы экспортировать результаты оценки уязвимостей, используйте Azure Resource Graph (ARG). Это средство обеспечивает мгновенный доступ к сведениям о ресурсах в облачных средах с помощью надежных средств фильтрации, группировки и сортировки. Это быстрый и эффективный способ запросить сведения по подпискам Azure программно или с помощью портала Azure.