Megosztás a következőn keresztül:

A szervezetem sebezhetőségei

  • Cikk

A Microsoft Defender biztonságirés-kezelés Gyengeségek oldala a CVE-azonosítójuk alapján felsorolja az ismert gyakori biztonsági réseket és kitettségeket (CVE).

A CVE-azonosítók a szoftvereket, hardvereket és belső vezérlőprogramokat érintő, nyilvánosan közzétett kiberbiztonsági biztonsági résekhez rendelt egyedi azonosítók. Szabványos módszert biztosítanak a szervezetek számára a biztonsági rések azonosítására és nyomon követésére, és segítenek megérteni, rangsorolni és kezelni a szervezeten belüli biztonsági réseket. A CVE-k nyomon követése egy nyilvános beállításjegyzékben, amely a következő helyen https://www.cve.org/érhető el: .

Defender biztonságirés-kezelés végpontérzékelőket használ a szervezet ezen és egyéb biztonsági réseinek vizsgálatára és észlelésére.

Érintett szolgáltatás:

Fontos

Defender biztonságirés-kezelés segíthet azonosítani a Log4j biztonsági réseit az alkalmazásokban és összetevőkben. További információ.

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender biztonságirés-kezelés összes funkcióját? Megtudhatja, hogyan regisztrálhat az ingyenes próbaverzióra.

Gyengeségek áttekintő oldala

A Gyengeségek lap eléréséhez válassza a Sebezhetőségek kezelése navigációs menüben a Microsoft Defender portálon

Megnyílik a Gyengeségek lap, amelyen az eszközök által elérhető CVE-k listája látható. Megtekintheti a súlyosságot, a gyakori biztonságirés-pontozási rendszer (CVSS) minősítését, a megfelelő biztonsági incidensekkel és fenyegetésekkel kapcsolatos megállapításokat és egyebeket.

Képernyőkép a gyengeségek kezdőlapjáról

Megjegyzés:

Ha nincs hivatalos CVE-id hozzárendelve egy biztonsági réshez, a biztonsági rés nevét a Microsoft Defender biztonságirés-kezelés rendeli hozzá, és TVM-2020-002 formátumú lesz.

Megjegyzés:

A gyenge pontok lapról CSV-fájlba exportálható rekordok maximális száma 8000, és az exportálás nem haladhatja meg a 64 KB-ot. Ha egy üzenet arról tájékoztatja, hogy az eredmények túl nagyok az exportáláshoz, finomítsa a lekérdezést, hogy kevesebb rekordot tartalmazzon.

Biztonsági incidensekkel és fenyegetésekkel kapcsolatos megállapítások

Fontos, hogy rangsorolja a folyamatban lévő fenyegetésekhez kapcsolódó javaslatokat. A Fenyegetések oszlopban elérhető információk segítségével rangsorolhatja a biztonsági réseket. A folyamatban lévő fenyegetéseket tartalmazó biztonsági rések megtekintéséhez szűrje a Fenyegetések oszlopot a következő szerint:

  • Társított aktív riasztás
  • Biztonsági rés kiaknázása elérhető
  • A biztonsági rés kiaknázása ellenőrizve van
  • Ez a biztonsági rés egy kizsákmányoló készlet része

A Fenyegetéselemzés ikon Egyszerű rajz egy piros hibáról. ki van emelve a Fenyegetések oszlopban, ha biztonsági réshez kapcsolódó biztonsági rések vannak kihasználva.

Képernyőkép a fenyegetések oszlopikonjairól

Az ikonra mutatva látható, hogy a fenyegetés egy biztonsági rés kiaknázása készlet része-e, vagy meghatározott speciális állandó kampányokhoz vagy tevékenységcsoportokhoz kapcsolódik. Ha elérhető, egy fenyegetéselemzési jelentésre mutató hivatkozás található, amely nulladik napi kihasználtsági híreket, közzétételeket vagy kapcsolódó biztonsági tanácsokat tartalmaz.

Fenyegetéselemzési szöveg, amely az ikon fölé mutatva jelenhet meg. Ez több listajelet és csatolt szöveget is tartalmazhat.

A biztonsági incidensek elemzési ikonja ki van emelve, ha biztonsági rés található a szervezetben. Egyszerű rajz egy célpontot elérő nyílról .

Példa a biztonsági résekkel kapcsolatos megállapítások szövegére, amely az ikon fölé mutatva jelenhet meg. Ez azt jelenti, hogy

A Közzétett eszközök oszlopban látható, hogy jelenleg hány eszköz van kitéve egy biztonsági résnek. Ha az oszlopban 0 látható, az azt jelenti, hogy nincs veszélyben.

Biztonságirés-elemzések készítése

Ha kiválaszt egy CVE-t a Gyenge pontok lapon, megnyílik egy úszó panel, amely további információkat tartalmaz, például a biztonsági rések leírását, részleteit és a fenyegetésekkel kapcsolatos megállapításokat. Az AI által létrehozott biztonságirés-leírás részletes információkat nyújt a biztonsági résről, annak hatásáról, a javasolt javítási lépésekről és minden további információról, ha elérhető.

Képernyőkép a gyengeségek gyenge pontjainak úszó paneljéről

Minden CVE esetében láthatja a közzétett eszközök és az érintett szoftverek listáját.

Biztonsági rés kiaknázása előrejelzési pontozási rendszer (EPSS)

A Exploit Prediction Scoring System (EPSS) adatvezérelt pontszámot hoz létre annak valószínűségére, hogy egy ismert szoftveres biztonsági rést kihasználnak a vadonban. Az EPSS a CVE és a valós biztonsági rések kihasználtsági adataiból származó aktuális fenyegetésadatokat használja. Minden CVE esetében az EPSS-modell 0 és 1 (0% és 100%) közötti valószínűségi pontszámot állít elő. Minél magasabb a pontszám, annál nagyobb a biztonsági rés kihasználtságának valószínűsége. További információ az EPSS-ről.

Az EPSS célja, hogy segítse a gyengeségekkel és azok kihasználásának valószínűségével kapcsolatos ismereteinek bővítését, és lehetővé tegye a megfelelő rangsorolást.

Az EPSS-pontszám megtekintéséhez válasszon ki egy CVE-t a Microsoft Defender portál Gyengeségek oldalán:

Képernyőkép a gyenge pontok epss pontszámáról.

Ha az EPSS nagyobb, mint 0,9, a Fenyegetések oszlop elemleírása frissül a kockázatcsökkentés sürgősségének kifejezéséhez:

Képernyőkép a fenyegetés elemleírásában található epss-pontszám gyengeségéről.

Megjegyzés:

Vegye figyelembe, hogy ha az EPSS-pontszám kisebb, mint 0,001, akkor 0-nak számít.

A Biztonsági résEK API-val megtekintheti az EPSS-pontszámot.

A biztonsági javaslatok segítségével elháríthatja a közzétett eszközök biztonsági réseit, és csökkentheti az eszközökre és a szervezetre vonatkozó kockázatokat. Ha elérhető biztonsági javaslat, a biztonsági rés elhárításának részleteiért válassza a Kapcsolódó biztonsági javaslat megnyitása lehetőséget.

Példa gyengeség úszó panelre.

A CVE-re vonatkozó javaslatok gyakran a kapcsolódó szoftverek biztonsági frissítésével orvosolják a biztonsági rést. Egyes cves-ekhez azonban nem érhető el biztonsági frissítés. Ez a CVE összes kapcsolódó szoftverére vagy csak egy részhalmazra vonatkozhat, például egy szoftvergyártó dönthet úgy, hogy nem oldja meg a problémát egy adott sebezhető verzión.

Ha egy biztonsági frissítés csak néhány kapcsolódó szoftverhez érhető el, a CVE neve alatt a "Néhány elérhető frissítés" címke fog megjelenni. Ha már elérhető legalább egy frissítés, lehetősége van a kapcsolódó biztonsági javaslatra lépni.

Ha nincs elérhető biztonsági frissítés, a CVE a "Nincs biztonsági frissítés" címkével fog rendelkezni a CVE neve alatt. Nem lesz lehetőség a kapcsolódó biztonsági javaslatra lépni, mivel azok a szoftverek, amelyek nem rendelkeznek elérhető biztonsági frissítéssel, ki vannak zárva a Biztonsági javaslatok lapról.

Megjegyzés:

A biztonsági javaslatok csak azokat az eszközöket és szoftvercsomagokat tartalmazzák, amelyekhez biztonsági frissítések érhetők el.

CVE-támogatás kérése

A biztonsági rések kezelése által jelenleg nem támogatott szoftverek CVE-je továbbra is megjelenik a Gyengeségek lapon. Mivel a szoftver nem támogatott, csak korlátozott adatok érhetők el. A közzétett eszközinformációk nem lesznek elérhetők a nem támogatott szoftverrel rendelkező CVE-k számára.

A nem támogatott szoftverek listájának megtekintéséhez szűrje a gyenge pontok lapját a "Közzétett eszközök" szakasz "Nem érhető el" lehetőségével.

Kérheti, hogy egy adott CVE Defender biztonságirés-kezelés támogatást adjon hozzá. Támogatás kérése:

  1. Válassza ki a CVE-t a Microsoft Defender portál Gyengeségek oldalán

  2. Válassza a CVE támogatásának elemet a Biztonsági rés részletei lapon

    A kérést elküldjük a Microsoftnak, és segít a CVE rangsorolásában, többek között a rendszerünkben.

    Megjegyzés:

    A CVE támogatási funkció kérése nem érhető el a GCC, a GCC High és a DoD ügyfelek számára.

    Gyenge pontok úszó panel a CVE gomb példájával.

Gyakori biztonsági rések és kitettségek (CVE) bejegyzéseinek megtekintése más helyeken

A legkiszolgáltatottabb szoftverek az irányítópulton

  1. Nyissa meg a Defender biztonságirés-kezelés irányítópultot, és görgessen le a Leginkább sebezhető szoftver widgethez. Látni fogja az egyes szoftverekben talált biztonsági rések számát, valamint a fenyegetésekkel kapcsolatos információkat, valamint az eszközök időbeli kitettségének magas szintű nézetét.

    A legkiszolgáltatottabb szoftverkártya.

  2. Válassza ki a vizsgálni kívánt szoftvert.

  3. Válassza a Felderített biztonsági rések lapot.

  4. Válassza ki a vizsgálni kívánt biztonsági rést egy úszó panel megnyitásához a CVE részleteivel.

Biztonsági rések felderítése az eszközoldalon

Tekintse meg a kapcsolódó gyengeségekkel kapcsolatos információkat az eszközoldalon.

  1. A Microsoft Defender portálEszközök navigációs menüjében válassza az Eszközök lehetőséget.
  2. Az Eszközleltár lapon válassza ki a vizsgálni kívánt eszköz nevét.
  3. Válassza az Eszközoldal megnyitása lehetőséget, majd az eszközoldalon válassza a Felderített biztonsági rések lehetőséget.
  4. Válassza ki a vizsgálni kívánt biztonsági rést egy úszó panel megnyitásához a CVE részleteivel.

CVE észlelési logika

A szoftveres bizonyítékokhoz hasonlóan az eszközön alkalmazott észlelési logikát mutatjuk be, hogy jelezzük, hogy sebezhető.

Az észlelési logika megtekintése:

  1. Válasszon ki egy eszközt az Eszközleltár lapon.

  2. Válassza az Eszközoldal megnyitása lehetőséget, majd az eszközoldalon válassza a Felderített biztonsági rések lehetőséget.

  3. Válassza ki a vizsgálni kívánt biztonsági rést.

    Megnyílik egy úszó panel, és az Észlelési logika szakasz megjeleníti az észlelési logikát és a forrást.

    Detection Logic example that list the software detected on the device and the KB.

Az "Operációsrendszer-szolgáltatás" kategória a releváns forgatókönyvekben is megjelenik. Ez az, amikor a CVE hatással lenne a sebezhető operációs rendszert futtató eszközökre, ha egy adott operációsrendszer-összetevő engedélyezve van. Ha például a Windows Server 2019 vagy a Windows Server 2022 biztonsági rést tartalmaz a DNS-összetevőben, ezt a CVE-t csak a Windows Server 2019- és Windows Server 2022-eszközökhöz csatoljuk, amelyeken engedélyezve van a DNS-képesség az operációs rendszerben.

Jelentés pontatlansága

Hamis pozitív eredményt ad, ha homályos, pontatlan vagy hiányos információkat lát. A már javított biztonsági javaslatokról is jelentést készíthet.

  1. Nyissa meg a CVE-t a Gyengeségek oldalon.

  2. Válassza a Jelentés pontatlansága lehetőséget.

  3. Az úszó panelen válassza ki a jelenteni kívánt problémát.

  4. Adja meg a pontatlanság kért részleteit. Ez a jelentett problémától függően változik.

  5. Válassza a Küldés lehetőséget. Visszajelzését azonnal elküldjük a Microsoft Defender biztonságirés-kezelés szakértőinek.

    Jelentés pontatlansági beállításai.