Поделиться через

Руководство пользователя пробной версии: управление уязвимостями в Microsoft Defender

  • Статья

Это руководство пользователя — это простой инструмент, который поможет вам настроить и использовать бесплатную пробную версию управления уязвимостями в Microsoft Defender. Используя инструкции, описанные в этом руководстве от группы безопасности Майкрософт, вы узнаете, как управление уязвимостями может помочь защитить пользователей и данные.

Примечание.

Пробное предложение для управления уязвимостями Microsoft Defender в настоящее время недоступно для:

  • Клиенты из государственных организаций США, использующие GCC High и DoD
  • Клиенты Microsoft Defender для бизнеса

Что такое управление уязвимостями Microsoft Defender?

Для снижения киберрисков требуется комплексная программа управления уязвимостями на основе рисков для выявления, оценки, исправления и отслеживания важных уязвимостей в наиболее важных ресурсах.

Управление уязвимостями в Microsoft Defender обеспечивает видимость активов, непрерывное обнаружение и оценку уязвимостей в режиме реального времени, контекстно-зависимое & определение приоритетов для бизнеса и встроенные процессы исправления. Она включает в себя возможности, позволяющие вашим командам интеллектуально оценивать, определять приоритеты и легко устранять самые большие риски для вашей организации.

Снимок экрана: функции и возможности управления уязвимостями в Microsoft Defender.

Просмотрите следующее видео, чтобы узнать больше об управлении уязвимостями Defender:

Приступим

Шаг 1. Настройка

Примечание.

Для подключения пробной версии пользователям должна быть назначена роль глобального администратора в идентификаторе Microsoft Entra. Дополнительные сведения см. в разделе Обязательные роли для запуска пробной версии.

  1. Проверьте разрешения и предварительные требования.

  2. Доступ к пробной версии Управления уязвимостями в Microsoft Defender можно получить несколькими способами:

    • Если у вас есть доступ к порталу Microsoft Defender 365, перейдите к пробным версиям на панели навигации слева. После того как вы перейдете к центру пробных версий Microsoft 365:

      • Если у вас есть Defender для конечной точки плана 2, найдите карточку надстройки Defender Vulnerability Management и выберите Попробовать.
      • Если вы являетесь новым клиентом или существующим клиентом Defender для конечной точки P1 или Microsoft 365 E3, выберите карточку Управление уязвимостями в Defender и нажмите кнопку Попробовать.

    Снимок экрана: целевая страница пробного центра управления уязвимостями Microsoft Defender.

    Примечание.

    Дополнительные сведения о том, как зарегистрироваться в пробной версии, см. в разделе Регистрация для управления уязвимостями в Microsoft Defender.

  3. Просмотрите сведения о том, что входит в пробную версию, а затем выберите Начать пробную версию. Активация пробной версии может занять до 6 часов, чтобы новые функции стали доступны на портале.

    • Пробная версия надстройки "Управление уязвимостями Defender" длится 90 дней.
    • Автономная пробная версия управления уязвимостями Defender длится 90 дней.

  4. Когда вы будете готовы приступить к работе, перейдите на портал Microsoft Defender и выберите Управление уязвимостями на панели навигации слева, чтобы начать использовать пробную версию Управления уязвимостями Defender.

Примечание.

Если вы являетесь клиентами Microsoft Defender для облака, см. статью Возможности управления уязвимостями для серверов, чтобы узнать больше о возможностях управления уязвимостями Defender, доступных вашей организации.

Опробуйте управление уязвимостями Defender

Шаг 1. Сведения о защите в одном представлении

Встроенные и безагентные сканеры постоянно отслеживают и обнаруживают риски, даже если устройства не подключены к корпоративной сети. Расширенное покрытие активов объединяет программные приложения, цифровые сертификаты, расширения браузера, оборудование и встроенное ПО в единое представление инвентаризации.

  1. Инвентаризация устройств . В списке устройств отображается список устройств в сети. По умолчанию в списке отображаются устройства за последние 30 дней. С первого взгляда вы увидите такие сведения, как домены, уровни риска, платформа ОС, связанные cvEs и другие сведения, чтобы легко идентифицировать устройства, наиболее подверженные риску.

  2. Обнаружение и оценка программного обеспечения организации в едином консолидированном представлении инвентаризации:

    • Инвентаризация приложений программного обеспечения — инвентаризация программного обеспечения в Службе управления уязвимостями Defender — это список известных приложений в вашей организации. Это представление содержит аналитические сведения об уязвимостях и неправильной настройке установленного программного обеспечения с приоритетными оценками влияния и сведениями, такими как платформы ОС, поставщики, количество слабых мест, угрозы и представление на уровне сущности о предоставляемых устройствах.
    • Оценки расширений браузера — на странице расширений браузера отображается список расширений, установленных в разных браузерах в вашей организации. Для правильной работы расширений обычно требуются разные разрешения. Управление уязвимостями Defender предоставляет подробные сведения о разрешениях, запрашиваемых каждым расширением, и определяет те, с самым высоким уровнем риска, устройства с включенным расширением, установленные версии и многое другое.
    • Инвентаризация сертификатов — инвентаризация сертификатов позволяет обнаруживать, оценивать цифровые сертификаты, установленные в организации, и управлять ими в одном представлении. Это поможет вам:
      • Определите сертификаты, срок действия которых истекает, чтобы их можно было обновить и предотвратить нарушение работы службы.
      • Обнаружение потенциальных уязвимостей из-за использования слабого алгоритма сигнатуры (например, SHA-1-RSA), короткого размера ключа (например, RSA 512 бит) или слабого хэш-алгоритма сигнатуры (например, MD5).
      • Обеспечение соответствия нормативным рекомендациям и политике организации.
    • Оборудование и встроенное ПО — в инвентаризации оборудования и встроенного ПО содержится список известных оборудования и встроенного ПО в вашей организации. Он предоставляет отдельные инвентаризации системных моделей, процессоров и BIOS. Каждое представление содержит такие сведения, как имя поставщика, количество слабых мест, аналитические сведения об угрозах и количество предоставляемых устройств.

  3. Проверка подлинности для Windows — с помощью проверки подлинности для Windows можно удаленно ориентироваться по диапазонам IP-адресов или именам узлов и сканировать службы Windows, предоставляя управление уязвимостями Защитника с учетными данными для удаленного доступа к устройствам. После настройки целевые неуправляемые устройства будут регулярно проверяться на наличие уязвимостей программного обеспечения.

  4. Назначение значения устройства — определение значения устройства помогает различать приоритеты ресурсов. Значение устройства используется для включения аппетита к риску отдельного ресурса в вычислении оценки уязвимости Управления уязвимостями Defender. Устройства, назначенные как "высокое значение", получат больший вес. Параметры значения устройства:

    • Низкая
    • С обычными интервалами (по умолчанию)
    • Высокая

    Можно также использовать API задания значения устройства.

Шаг 2. Отслеживание и устранение последствий действий по исправлению

  1. Запрос на исправление . Возможности управления уязвимостями устраняют разрыв между администраторами безопасности и ИТ-администраторами с помощью рабочего процесса запроса на исправление. Администраторы безопасности, такие как вы, могут запросить у ИТ-администратора исправление уязвимости на страницах Рекомендацийв Intune.

  2. Просмотр действий по исправлению . При отправке запроса на исправление на странице Рекомендации по безопасности запускается действие по исправлению. Создается задача безопасности, которую можно отслеживать на странице исправления , а запрос на исправление создается в Microsoft Intune.

  3. Блокировать уязвимые приложения . Устранение уязвимостей занимает время и может зависеть от обязанностей и ресурсов ИТ-команды. Администраторы безопасности могут временно снизить риск уязвимости, предприняв немедленные действия, чтобы заблокировать все известные в настоящее время уязвимые версии приложения или предупредить пользователей с настраиваемыми сообщениями перед открытием уязвимых версий приложений до завершения запроса на исправление. Параметр блокировать дает ИТ-командам время на исправление приложения, а администраторы безопасности не беспокоятся о том, что уязвимости будут использоваться в то же время.

    Примечание.

    По завершении пробной версии заблокированные приложения будут немедленно разблокированы, в то время как базовые профили могут храниться еще некоторое время перед удалением.

  4. Используйте расширенные возможности оценки, такие как анализ общих сетевых ресурсов , для защиты уязвимых сетевых общих папок. Так как пользователи сети могут легко получить доступ к общим сетевым ресурсам, небольшие распространенные недостатки могут сделать их уязвимыми. Эти типы неправильной настройки обычно используются злоумышленниками в дикой природе для бокового перемещения, разведки, кражи данных и многого другого. Вот почему мы создали новую категорию оценок конфигурации в Службе управления уязвимостями Defender, которая определяет распространенные недостатки, которые предоставляют конечным точкам векторы атак в общих сетевых ресурсах Windows. Это поможет вам:

    • Запрет автономного доступа к общим папкам
    • Удаление общих папок из корневой папки
    • Удаление разрешения на запись в общих ресурсах с установленным значением "Все"
    • Настройка перечисления папок для общих папок

  5. Просматривайте и отслеживайте устройства вашей организации с помощью отчета об уязвимых устройствах , в который отображаются диаграммы и линейчатые диаграммы с тенденциями уязвимых устройств и текущей статистикой. Цель состоит в том, чтобы вы поняли дыхание и область воздействия устройства.

Шаг 3. Настройка оценок базовых показателей безопасности

Вместо проверки соответствия требованиям на определенный момент времени оценка базовых показателей безопасности помогает постоянно и упреждающе отслеживать соответствие организации отраслевым тестам безопасности в режиме реального времени. Базовый профиль безопасности — это настраиваемый профиль, который можно создать для оценки и мониторинга конечных точек в организации по отраслевым тестам безопасности (CIS, NIST, MS). При создании профиля базовых показателей безопасности создается шаблон, состоящий из нескольких параметров конфигурации устройства и базового теста производительности для сравнения.

Базовые показатели безопасности обеспечивают поддержку тестов Center for Internet Security (CIS) для Windows 10, Windows 11 и Windows Server 2008 R2 и более поздних версий, а также тесты тестирования технических руководств по безопасности (STIG) для Windows 10 и Windows Server 2019.

  1. Начало работы с оценкой базовых показателей безопасности
  2. Просмотр результатов оценки профиля базовых показателей безопасности
  3. Использование расширенной охоты

Примечание.

После завершения пробной версии профили базовых показателей безопасности могут храниться в течение короткого времени, прежде чем будут удалены.

Шаг 4. Создание значимых отчетов для получения подробных аналитических сведений с помощью API и расширенной охоты

API-интерфейсы управления уязвимостями Defender помогают внести ясность в организацию с помощью настраиваемых представлений в состояние безопасности и автоматизацию рабочих процессов управления уязвимостями. Облегчите рабочую нагрузку команды безопасности с помощью сбора данных, анализа оценки рисков и интеграции с другими организационными процессами и решениями. Дополнительные сведения см. в разделе:

Расширенная охота обеспечивает гибкий доступ к необработанным данным управления уязвимостями Defender, что позволяет упреждающе проверять сущности на наличие известных и потенциальных угроз. Дополнительные сведения см. в разделе Охота на открытые устройства.

Сведения о лицензировании и пробной версии

В рамках пробной версии новые пробные лицензии На управление уязвимостями Defender будут автоматически применяться к пользователям. Поэтому назначение не требуется (пробная версия может автоматически применять до 1 000 000 лицензий). Лицензии активны в течение срока действия пробной версии.

Начало работы с пробной версией

Вы можете начать использовать функции управления уязвимостями Defender, как только увидите их на портале Microsoft Defender. Ничего не создается автоматически, и пользователи не будут затронуты. При переходе к каждому решению вам может быть предложено выбрать дополнительные параметры, чтобы начать использовать функции.

Продление пробного периода

Продлить пробную версию можно в течение последних 15 дней пробного периода. Вы ограничены максимум двумя пробными периодами. Если вы не продлите подписку по окончании пробного периода, вам придется подождать не менее 30 дней, прежде чем подписаться на вторую пробную версию.

Окончание пробной версии

Администраторы могут отключить пробную версию в любое время, выбрав Пробные версии в области навигации слева, перейдя в карточку пробной версии Управления уязвимостями в Defender и выбрав Завершить пробную версию.

Если не указано иное для решения, данные пробной версии будут храниться в течение некоторого времени(обычно 180 дней), прежде чем будут удалены окончательно. До этого времени вы можете продолжать получать доступ к данным, собранным во время пробного периода.

Дополнительные ресурсы