通过

试用用户指南:Microsoft Defender 漏洞管理

  • 项目

此用户指南是一个简单的工具,可帮助你设置和充分利用免费的 Microsoft Defender 漏洞管理试用版。 使用本指南中Microsoft安全团队建议的步骤,你将了解漏洞管理如何帮助你保护用户和数据。

注意

Microsoft Defender 漏洞管理的试用版产品/服务目前不适用于:

  • 使用 GCC High 和 DoD 的美国政府客户
  • Microsoft Defender for Business 客户

什么是 Microsoft Defender 漏洞管理?

降低网络风险需要一个全面的基于风险的漏洞管理计划来识别、评估、修正和跟踪最关键资产中的重要漏洞。

Microsoft Defender 漏洞管理提供资产可见性、漏洞的持续实时发现和评估、上下文感知威胁 & 业务优先级以及内置的修正过程。 它包括功能,使你的团队可以智能地评估、确定优先级并无缝地修正组织面临的最大风险。

Microsoft Defender 漏洞管理功能的屏幕截图。

观看以下视频,详细了解 Defender 漏洞管理:

让我们开始吧

步骤 1:设置

注意

用户需要在 Microsoft Entra ID 中分配全局管理员角色才能加入试用版。 有关详细信息,请参阅 开始试用所需的角色

  1. 检查 权限和先决条件。

  2. 可通过多种方式访问 Microsoft Defender 漏洞管理试用版:

    • 如果有权访问 Microsoft Defender 365 门户,请转到左侧导航窗格栏中的 “试用版 ”。 到达 Microsoft 365 试用版中心后:

      • 如果有 Defender for Endpoint 计划 2,请找到 Defender 漏洞管理附加 卡,然后选择“ 立即试用”。
      • 如果你是新客户或现有 Defender for Endpoint P1 或Microsoft 365 E3 客户,请选择 Defender 漏洞管理 卡,然后选择立即 试用

    Microsoft Defender 漏洞管理试用中心登陆页的屏幕截图。

    注意

    有关如何注册试用版的更多选项,请参阅 注册 Microsoft Defender 漏洞管理

  3. 查看试用版中包含的内容的相关信息,然后选择“ 开始试用”。 激活试用版后,最多可能需要 6 小时才能在门户中提供新功能。

    • Defender 漏洞管理加载项试用版持续 90 天。
    • Defender 漏洞管理独立试用版持续 90 天。

  4. 准备好开始使用后,请访问 Microsoft Defender 门户 ,在左侧导航栏中选择“ 漏洞管理 ”以开始使用 Defender 漏洞管理试用版。

注意

如果你是 Microsoft Defender for Cloud 客户,请参阅 服务器的漏洞管理功能 ,详细了解组织可用的 Defender 漏洞管理功能。

试用 Defender 漏洞管理

步骤 1:了解在单个视图中要保护的内容

即使设备未连接到公司网络,内置和无代理扫描程序也会持续监视和检测风险。 扩展的资产覆盖范围将软件应用程序、数字证书、浏览器扩展以及硬件和固件合并到单个清单视图中。

  1. 设备清单 - 设备清单显示网络中设备的列表。 默认情况下,该列表显示过去 30 天内看到的设备。 一目了然地可以看到域、风险级别、OS 平台、关联的 CVE 和其他详细信息,以便轻松识别风险最大的设备。

  2. 在单个合并清单视图中发现和评估组织的软件:

    • 软件应用程序清单 - Defender 漏洞管理中的软件清单是组织中已知应用程序的列表。 该视图包括已安装软件的漏洞和错误配置见解,以及优先级影响分数和详细信息,例如 OS 平台、供应商、弱点数量、威胁以及公开设备的实体级视图。
    • 浏览器扩展评估 - 浏览器扩展页显示组织中不同浏览器安装的扩展的列表。 扩展通常需要不同的权限才能正常运行。 Defender 漏洞管理提供有关每个扩展请求的权限的详细信息,并标识具有最高关联风险级别的权限、已启用扩展的设备、已安装的版本等。
    • 证书清单 - 使用证书清单,可以在单个视图中发现、评估和管理整个组织安装的数字证书。 这可以帮助你:
      • 确定即将过期的证书,以便可以更新证书并防止服务中断。
      • 检测由于使用弱签名算法 ((例如 SHA-1-RSA) 、短密钥大小 (例如 RSA 512 位) 或弱签名哈希算法 (例如 MD5) )而导致的潜在漏洞。
      • 确保符合法规准则和组织策略。
    • 硬件和固件 - 硬件和固件清单提供组织中已知硬件和固件的列表。 它为系统型号、处理器和 BIOS 提供单独的清单。 每个视图都包含详细信息,例如供应商名称、弱点数、威胁见解以及公开的设备数。

  3. Windows 的身份验证扫描 - 使用 Windows 的经过身份验证的扫描,你可以通过 IP 范围或主机名远程定位,并通过为 Defender 漏洞管理提供远程访问设备的凭据来扫描 Windows 服务。 配置后,将定期扫描目标非托管设备是否存在软件漏洞。

  4. 分配设备值 - 定义设备值有助于区分资产优先级。 设备值用于将单个资产的风险偏好纳入 Defender 漏洞管理暴露分数计算。 分配为“高价值”的设备将获得更多的权重。 设备值选项:

    • 标准(默认)

    还可以使用 设置设备值 API

步骤 2:跟踪和缓解修正活动

  1. 请求修正 - 漏洞管理功能通过修正请求工作流弥合了安全性和 IT 管理员之间的差距。 像你这样的安全管理员可以请求 IT 管理员修正从 “建议 ”页到 Intune 的漏洞。

  2. 查看修正活动 - 从“安全建议”页提交修正请求时,它会启动修正活动。 创建可在 “修正 ”页上跟踪的安全任务,并在 Intune Microsoft 中创建修正票证。

  3. 阻止易受攻击的应用程序 - 修复漏洞需要时间,并且可能取决于 IT 团队的职责和资源。 安全管理员可以通过立即采取措施阻止所有当前已知的易受攻击的应用程序版本,或者在打开易受攻击的应用版本之前警告用户,直到修正请求完成,从而暂时降低漏洞风险。 阻止选项使 IT 团队有时间修补应用程序,而安全管理员无需担心在此期间会利用这些漏洞。

    注意

    试用结束时,将立即取消阻止阻止应用程序,而基线配置文件可能会在删除之前额外存储一小段时间。

  4. 使用增强的评估功能(例如 网络共享分析 )来保护易受攻击的网络共享。 由于网络用户可以轻松访问网络共享,因此较小的常见弱点可能会使其易受攻击。 攻击者通常将这些类型的错误配置用于横向移动、侦察、数据外泄等。 因此,我们在 Defender 漏洞管理中构建了一个新的配置评估类别,用于识别将终结点暴露给 Windows 网络共享中的攻击途径的常见弱点。 这有助于:

    • 禁止脱机访问共享
    • 从根文件夹中删除共享
    • 删除设置为“每个人”的共享写入权限
    • 设置共享的文件夹枚举

  5. 使用“ 易受攻击的设备”报表 查看和监视组织的设备,该报表显示包含易受攻击设备趋势和当前统计信息的图形和条形图。 目标是让你了解设备暴露的呼吸和范围。

步骤 3:设置安全基线评估

安全基线评估可帮助你根据行业安全基准实时持续主动监视组织的合规性,而不是运行时间点合规性扫描。 安全基线配置文件是一种自定义配置文件,可创建该配置文件,用于根据行业安全基准 (CIS、NIST、MS) 来评估和监视组织中的终结点。 创建安全基线配置文件时,将创建一个模板,其中包含多个设备配置设置和要与之进行比较的基本基准。

安全基线支持 Internet 安全中心 (CIS) Windows 10、Windows 11 和 Windows Server 2008 R2 及更高版本的基准,以及 Windows 10 和 Windows Server 2019 (STIG) 基准的安全技术实施指南。

  1. 安全基线评估入门
  2. 查看 安全基线配置文件评估结果
  3. 使用高级搜寻

注意

试用结束时,安全基线配置文件可能会在删除之前额外存储一小段时间。

步骤 4:使用 API 和高级搜寻创建有意义的报表以获取深入见解

Defender 漏洞管理 API 可以通过自定义视图了解安全状况和自动化漏洞管理工作流,帮助提高组织中的清晰度。 通过数据收集、风险评分分析以及与其他组织流程和解决方案集成来缓解安全团队的工作负荷。 有关更多信息,请参阅:

高级搜寻允许灵活访问 Defender 漏洞管理原始数据,从而可以主动检查实体是否存在已知和潜在威胁。 有关详细信息,请参阅 搜寻公开的设备

许可和试用信息

作为试用设置的一部分,新的 Defender 漏洞管理试用许可证将自动应用于用户。 因此,无需分配 (试用版最多可自动应用 1,000,000 个许可证) 。 许可证在试用期间处于活动状态。

试用版入门

一旦在 Microsoft Defender 门户中看到它们,就可以开始使用 Defender 漏洞管理功能。 不会自动创建任何内容,并且不会影响用户。 导航到每个解决方案时,系统可能会引导你进行额外的设置配置以开始使用功能。

延长试用期

你可以在试用期的最后 15 天内延长试用期。 最多只能体验两个试用期。 如果未在试用期结束时延长,则必须等待至少 30 天,然后才能再次注册试用版。

结束试用

管理员可以随时禁用试用版,方法是在左侧导航栏中选择 “试用版 ”,转到 Defender 漏洞管理 试用卡片,然后选择“ 结束试用”。

除非对解决方案另有说明,否则在永久删除之前,试用数据将保留一段时间(通常为 180 天)。 在该时间之前,你可以继续访问在试用期间收集的数据。

其他资源