评估 Microsoft Defender for Server 的漏洞扫描功能
当漏洞评估工具向 Defender for Cloud 报告漏洞时,Defender for Cloud 会提供调查结果和相关信息作为建议。 此外,这些结果还包括相关信息,如修正步骤、相关 CVE、CVSS 评分等。 你可以查看一个或多个订阅或特定 VM 的已识别的漏洞。
查看虚拟机的扫描结果
若要查看漏洞评估结果(来自你配置的所有扫描器)和修正已识别的漏洞:
在 Defender for Cloud 的菜单中,打开“建议”页。
选择“计算机应已解决漏洞发现”建议。
- Defender for Cloud 会显示针对当前所选订阅中所有 VM 的调查结果。 这些结果是按严重性排序的。
若要按特定 VM 筛选结果,请打开“受影响的资源”部分,然后单击所需的 VM。 或者,可以从资源运行状况视图中选择 VM,然后查看针对该资源的所有相关建议。
- Defender for Cloud 会显示针对该 VM 的调查结果(按严重性排序)。
若要了解有关特定漏洞的详细信息,请选择此漏洞。
显示的详细信息窗格包含有关此漏洞的大量信息,其中包括:
- 指向所有相关 CVE 的链接(如果可用)
- 修正步骤
- 任何其他的参考页面
若要修正某一结果,请按照此详细窗格中的修正步骤进行操作。
禁用特定结果
如果组织需要忽略发现结果,而不是修正漏洞,则可以选择禁用发现结果。 禁用发现结果不会影响安全分数,也不会产生有害的噪音。
当发现结果与在禁用规则中定义的条件相匹配时,它不会显示在发现结果列表中。 典型方案包括:
- 禁用严重性低于中等的结果
- 禁用不可修补的发现结果
- 禁用 CVSS 分数低于 6.5 的发现结果
- 禁用在安全检查或类别中带有特定文本的发现结果(例如,“RedHat”,“CentOS Security Update for sudo”)
重要
要创建规则,需要具有在 Azure Policy 中编辑策略的权限。
创建规则的步骤
从“计算机应已解决漏洞发现”的建议详细信息页面,选择“禁用规则”。
选择相关范围。
定义你的条件。 可以使用以下任一条件:
- 发现结果 ID
- 类别
- 安全检查
- CVSS 分数(v2、v3)
- 严重性
- 可修补状态
选择“应用规则”。
重要
更改最多可能需要 24 小时才能生效.
若要查看、替代或删除规则,请执行以下操作:
- 选择“禁用规则”。
- 在范围列表中,具有有效规则的订阅显示为“已应用规则”。
- 要查看或删除规则,请选择省略号菜单 (...)。
导出结果
若要导出漏洞评估结果,需要使用 Azure Resource Graph (ARG)。 此工具通过可靠的筛选、分组和排序功能使你能够即时访问云环境中的资源信息。 这是以编程方式或从 Azure 门户中查询 Azure 订阅中的信息的一种快速且有效的方式。