Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Sekcja Zarządzanie lukami w zabezpieczeniach w portalu Microsoft Defender znajduje się teraz w obszarze Zarządzanie narażeniem. Dzięki tej zmianie możesz teraz korzystać z danych i danych luk w zabezpieczeniach oraz zarządzać nimi w ujednoliconej lokalizacji, aby ulepszyć istniejące funkcje zarządzania lukami w zabezpieczeniach. Dowiedz się więcej.
Te zmiany są istotne dla klientów w wersji zapoznawczej (opcja Microsoft Defender XDR + Microsoft Defender for Identity wersji zapoznawczej).
Dzięki Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender możesz wyświetlić typowe luki w zabezpieczeniach i ekspozycje (CVE), które umożliwiają identyfikowanie i określanie priorytetów luk w zabezpieczeniach w organizacji. Może to być dostępne na stronie Luki w zabezpieczeniach lub słabe strony , w zależności od tego, czy jesteś klientem XDR/MDI Preview. Aby uzyskać więcej informacji, zobacz integrację Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft.
Identyfikatory CVE to unikatowe identyfikatory przypisane do publicznie ujawnionych luk w zabezpieczeniach cyberbezpieczeństwa, które wpływają na oprogramowanie, sprzęt i oprogramowanie układowe. Zapewniają one organizacjom standardowy sposób identyfikowania i śledzenia luk w zabezpieczeniach oraz pomagają im zrozumieć, ustalić priorytety i rozwiązać te luki w zabezpieczeniach w organizacji. CvE są śledzone w rejestrze publicznym dostępnym z https://www.cve.org/programu .
Zarządzanie lukami w zabezpieczeniach w usłudze Defender używa czujników punktów końcowych do skanowania i wykrywania tych i innych luk w zabezpieczeniach w organizacji.
Ważna
Zarządzanie lukami w zabezpieczeniach w usłudze Defender może pomóc w identyfikowaniu luk w zabezpieczeniach log4j w aplikacjach i składnikach. Dowiedz się więcej.
Strona przeglądu luk w zabezpieczeniach
Uwaga
W tej sekcji opisano środowisko Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla klientów korzystających z Microsoft Defender XDR + Microsoft Defender for Identity prapremiera. To środowisko jest częścią integracji Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender z Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft. Dowiedz się więcej.
Aby wyświetlić luki w zabezpieczeniach w organizacji, w portalu Microsoft Defender wybierz pozycję Zarządzanielukami w zabezpieczeniach zarządzania narażeniem>>Luki w zabezpieczeniach.
Na stronie Luki w zabezpieczeniach jest wyświetlana lista CVE, na które urządzenia są narażone. Możesz wyświetlić ważność, klasyfikację typowego systemu oceniania luk w zabezpieczeniach (CVSS), odpowiednie informacje o naruszeniach i zagrożeniach i nie tylko.
Jeśli nie ma oficjalnego identyfikatora CVE przypisanego do luki w zabezpieczeniach, nazwa luki w zabezpieczeniach jest przypisywana przez Zarządzanie lukami w zabezpieczeniach w usłudze Defender przy użyciu formatu TVM-2020-002.
Uwaga
Maksymalna liczba rekordów, które można wyeksportować ze strony słabych punktów do pliku CSV, wynosi 6000, a eksport nie może przekraczać 64 KB. Jeśli zostanie wyświetlony komunikat z informacją, że wyniki są zbyt duże, aby je wyeksportować, uściślij zapytanie tak, aby zawierało mniej rekordów.
Obecnie Zarządzanie lukami w zabezpieczeniach w usłudze Defender nie rozróżnia architektur systemu 32-bitowego i 64-bitowego podczas korelowania luk w zabezpieczeniach (CVE) z urządzeniami. To ograniczenie może prowadzić do wyników fałszywie dodatnich, zwłaszcza w przypadkach, gdy CVE ma zastosowanie tylko do jednego typu architektury. Na przykład na maszynie Windows Server 2016 język PHP został niepoprawnie oflagowany za pomocą CVE-2024-11236polecenia , co ma wpływ tylko na systemy 32-bitowe. Ponieważ architektura nie jest obecnie uwzględniana w procesie korelacji, cve zostało niepoprawnie skojarzone z serwerem 64-bitowym. Jest to znany problem, a rozwiązanie jest na planie działania.
Szczegółowe informacje o naruszeniach i zagrożeniach
Ważne jest, aby nadać priorytet zaleceniom, które są związane z bieżącymi zagrożeniami. Informacje dostępne w kolumnie Zagrożenia ułatwiają określanie priorytetów luk w zabezpieczeniach. Aby wyświetlić luki w zabezpieczeniach związane z bieżącymi zagrożeniami, przefiltruj kolumnę Zagrożenia według:
- Skojarzony aktywny alert
- Exploit jest dostępny
- Exploit jest weryfikowany
- Exploit jest częścią zestawu exploitów
Ikona analizy zagrożeń 
Jest wyróżniona w kolumnie Zagrożenia , jeśli istnieją skojarzone luki w zabezpieczeniach.
Umieszczenie wskaźnika myszy na ikonie pokazuje, czy zagrożenie jest częścią zestawu wykorzystującego luki w zabezpieczeniach, czy jest połączone z określonymi zaawansowanymi trwałymi kampaniami lub grupami aktywności. Jeśli jest dostępny, istnieje link do raportu usługi Threat Analytics z wiadomościami o wykorzystywaniu, ujawnianiem informacji lub powiązanymi poradami dotyczącymi zabezpieczeń.
Ikona szczegółowych informacji o naruszeniach jest wyróżniona, jeśli w organizacji znajduje się luka w zabezpieczeniach.
.
Kolumna Uwidocznione urządzenia pokazuje, ile urządzeń jest obecnie narażonych na lukę w zabezpieczeniach. Jeśli kolumna zawiera wartość 0, oznacza to, że nie jesteś zagrożony.
Uzyskiwanie szczegółowych informacji o lukach w zabezpieczeniach
Jeśli wybierzesz cve na stronie słabych punktów, zostanie otwarty panel wysuwany z większą ilością informacji, takich jak opis luki w zabezpieczeniach, szczegóły i szczegółowe informacje o zagrożeniach. Opis luki w zabezpieczeniach wygenerowanej przez sztuczną inteligencję zawiera szczegółowe informacje na temat luki w zabezpieczeniach, jej skutków, zalecanych kroków korygowania i wszelkich dodatkowych informacji, jeśli są dostępne.
Dla każdego CVE można wyświetlić listę uwidocznionych urządzeń i oprogramowania, którego dotyczy problem.
System oceniania przewidywań wykorzystujących luki w zabezpieczeniach (EPSS)
System oceniania przewidywań wykorzystujących luki w zabezpieczeniach (EPSS) generuje wynik oparty na danych dla prawdopodobieństwa wykorzystania znanej luki w zabezpieczeniach oprogramowania w środowisku naturalnym. Program EPSS korzysta z aktualnych informacji o zagrożeniach z cve i rzeczywistych danych wykorzystujących luki w zabezpieczeniach. Dla każdego CVE model EPSS generuje wynik prawdopodobieństwa z zakresu od 0 do 1 (od 0% do 100%). Im wyższy wynik, tym większe prawdopodobieństwo wykorzystania luki w zabezpieczeniach. Dowiedz się więcej o programie EPSS.
Epss ma na celu wzbogacenie wiedzy o słabych stronach i ich prawdopodobieństwie wykorzystania oraz umożliwienie odpowiedniego określania priorytetów.
Aby wyświetlić wynik epss wybierz CVE z listy. Zostanie otwarty panel wysuwany z większą ilością informacji na temat luki w zabezpieczeniach. Wynik epss jest widoczny na karcie Szczegóły luki w zabezpieczeniach :
Gdy wartość EPSS jest większa niż 0,9, etykietka narzędzia kolumny Zagrożenia jest aktualizowana o wartość, aby przekazać pilną potrzebę ograniczenia ryzyka:
Uwaga
Jeśli wynik EPSS jest mniejszy niż0.001, jest uważany za 0.
Możesz użyć interfejsu API luk w zabezpieczeniach , aby wyświetlić wynik epss.
Powiązane zalecenia dotyczące zabezpieczeń
Skorzystaj z zaleceń dotyczących zabezpieczeń, aby skorygować luki w zabezpieczeniach na uwidocznionych urządzeniach i zmniejszyć ryzyko dla zasobów i organizacji. Gdy zalecenie dotyczące zabezpieczeń jest dostępne, możesz wybrać pozycję Przejdź do powiązanego zalecenia dotyczącego zabezpieczeń, aby uzyskać szczegółowe informacje na temat sposobu korygowania luki w zabezpieczeniach.
Zalecenia dotyczące cve są często do korygowania luki w zabezpieczeniach poprzez aktualizację zabezpieczeń dla powiązanego oprogramowania. Jednak niektóre cve nie mają dostępnej aktualizacji zabezpieczeń. Może to dotyczyć całego powiązanego oprogramowania cve lub tylko podzestawu, na przykład wydawca oprogramowania może zdecydować się nie rozwiązywać problemu w określonej wersji podatnej na zagrożenia.
Jeśli aktualizacja zabezpieczeń jest dostępna tylko dla niektórych powiązanych programów, cve ma tag "Niektóre dostępne aktualizacje" pod nazwą CVE. Jeśli jest dostępna co najmniej jedna aktualizacja, możesz przejść do powiązanego zalecenia dotyczącego zabezpieczeń.
Jeśli nie ma dostępnej aktualizacji zabezpieczeń, cve ma tag "Brak aktualizacji zabezpieczeń" pod nazwą CVE. W takim przypadku nie ma opcji przejścia do powiązanego zalecenia dotyczącego zabezpieczeń. Oprogramowanie, które nie ma dostępnej aktualizacji zabezpieczeń, jest wykluczone ze strony Zalecenia dotyczące zabezpieczeń.
Uwaga
Zalecenia dotyczące zabezpieczeń obejmują tylko urządzenia i pakiety oprogramowania, które mają dostępne aktualizacje zabezpieczeń.
Tworzenie wyjątków CVE
Użyj wyjątków CVE, aby selektywnie wykluczyć określone CVE z analizy w danym środowisku. Aby uzyskać więcej informacji, zobacz Tworzenie wyjątków.
Żądanie pomocy technicznej CVE
CvE dla oprogramowania, które nie jest obecnie obsługiwane przez zarządzanie lukami w zabezpieczeniach, nadal pojawia się na stronie Słabe strony. Ponieważ oprogramowanie nie jest obsługiwane, dostępne są tylko ograniczone dane. Uwidocznione informacje o urządzeniu nie są dostępne dla cve z nieobsługiwanym oprogramowaniem.
Aby wyświetlić listę nieobsługiwanego oprogramowania, przefiltruj luki w zabezpieczeniach według opcji Niedostępne w sekcji Uwidocznione urządzenia . Ta opcja może być dostępna na stronie Luki w zabezpieczeniach lub słabe strony , w zależności od tego, czy jesteś klientem XDR/MDI Preview. Aby uzyskać więcej informacji, zobacz integrację Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft.
Aby poprosić o pomoc techniczną dla określonego CVE:
Wybierz cve na liście. Ta opcja może być dostępna na stronie Luki w zabezpieczeniach lub słabe strony , w zależności od tego, czy jesteś klientem XDR/MDI Preview. Aby uzyskać więcej informacji, zobacz integrację Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft.
Na karcie Szczegóły luki w zabezpieczeniach wybierz pozycję Obsługa tego CVE. Twoje żądanie jest wysyłane do firmy Microsoft i pomaga nam ustalić priorytety tego CVE między innymi w naszym systemie.
Uwaga
Funkcja obsługi żądania CVE nie jest dostępna dla klientów GCC, GCC High i DoD.
Najważniejsze oprogramowanie narażone na zagrożenia na pulpicie nawigacyjnym
Zlokalizuj kartę oprogramowania z najlepszymi zagrożeniami . Może to być dostępne na stronie Przegląd lub Pulpit nawigacyjny , w zależności od tego, czy jesteś klientem XDR/MDI Preview. Aby uzyskać więcej informacji, zobacz integrację Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft.
Zobaczysz liczbę luk w zabezpieczeniach znalezionych w aplikacjach oprogramowania, a także informacje o zagrożeniach i ogólny widok narażenia urządzenia w czasie.
Wybierz oprogramowanie, które chcesz zbadać.
Wybierz kartę Wykryte luki w zabezpieczeniach .
Wybierz lukę w zabezpieczeniach, którą chcesz zbadać, aby otworzyć panel wysuwany ze szczegółami CVE.
Odnajdywanie luk w zabezpieczeniach na stronie urządzenia
Wyświetl powiązane informacje o lukach w zabezpieczeniach na stronie urządzenia.
W obszarze Zasoby wybierz pozycję Urządzenia.
Na stronie Spis urządzeń wybierz nazwę urządzenia, którą chcesz zbadać.
Wybierz pozycję Otwórz stronę urządzenia i wybierz pozycję Wykryte luki w zabezpieczeniach.
Wybierz lukę w zabezpieczeniach, którą chcesz zbadać, aby otworzyć panel wysuwany ze szczegółami CVE.
Logika wykrywania CVE
Podobnie jak w przypadku dowodów oprogramowania, można wyświetlić logikę wykrywania zastosowaną na urządzeniu, aby stwierdzić, że jest ono podatne na zagrożenia. Aby wyświetlić logikę wykrywania:
W obszarze Zasoby wybierz pozycję Urządzenia , aby otworzyć stronę Spis urządzeń. Następnie wybierz urządzenie.
Wybierz pozycję Otwórz stronę urządzenia i wybierz pozycję Wykryte luki w zabezpieczeniach na stronie urządzenia.
Wybierz lukę w zabezpieczeniach, którą chcesz zbadać. Zostanie otwarte okno wysuwane, a w sekcji Logika wykrywania zostanie wyświetlona logika wykrywania i źródło.
Kategoria "Funkcja systemu operacyjnego" jest również wyświetlana w odpowiednich scenariuszach. Dzieje się tak, gdy cve wpłynie na urządzenia z systemem operacyjnym znajdującym się w trudnej sytuacji, jeśli jest włączony określony składnik systemu operacyjnego. Jeśli na przykład urządzenie z systemem Windows Server 2019 lub Windows Server 2022 ma lukę w zabezpieczeniach w składniku DNS, cve jest dołączone tylko do urządzeń z włączoną funkcją DNS.
Zgłaszanie niedokładności
Zgłoś wynik fałszywie dodatni, gdy zobaczysz jakiekolwiek niejasne, niedokładne lub niekompletne informacje. Można również raportować zalecenia dotyczące zabezpieczeń, które zostały już skorygowane.
Wybierz lukę w zabezpieczeniach, a następnie wybierz pozycję Zgłoś niedokładność. Ta opcja może być dostępna na stronie Luki w zabezpieczeniach lub słabe strony , w zależności od tego, czy jesteś klientem XDR/MDI Preview. Aby uzyskać więcej informacji, zobacz integrację Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft.
W okienku wysuwanym wybierz problem do zgłoszenia.
Podaj żądane szczegóły dotyczące niedokładności. Różni się to w zależności od problemu, który zgłaszasz.
Wybierz pozycję Prześlij. Twoja opinia jest natychmiast wysyłana do ekspertów Zarządzanie lukami w zabezpieczeniach w usłudze Defender.
Artykuły pokrewne
Porada
Czy wiesz, że możesz bezpłatnie wypróbować wszystkie funkcje w Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender? Dowiedz się, jak utworzyć konto bezpłatnej wersji próbnej.