Uživatelská příručka pro zkušební verzi: Správa ohrožení zabezpečení v programu Microsoft Defender

Tato uživatelská příručka je jednoduchý nástroj, který vám pomůže nastavit a maximálně využít bezplatnou zkušební verzi správy ohrožení zabezpečení v programu Microsoft Defender. Pomocí navrhovaných kroků v této příručce od týmu zabezpečení Microsoftu se dozvíte, jak vám správa ohrožení zabezpečení může pomoct chránit vaše uživatele a data.

Poznámka

Nabídka zkušební verze pro správu ohrožení zabezpečení v programu Microsoft Defender v současné době není k dispozici pro:

• Zákazníci státní správy USA používající GCC High a DoD
• Zákazníci Microsoft Defenderu pro firmy

Co je Správa ohrožení zabezpečení v programu Microsoft Defender?

Snížení kybernetického rizika vyžaduje komplexní program řízení ohrožení zabezpečení na základě rizik, který identifikuje, posoudí, opraví a sleduje důležitá ohrožení zabezpečení u nejdůležitějších prostředků.

Správa ohrožení zabezpečení v programu Microsoft Defender poskytuje viditelnost prostředků, průběžné zjišťování a vyhodnocování ohrožení zabezpečení v reálném čase, kontextové hrozby & stanovení obchodních priorit a integrované procesy nápravy. Zahrnuje funkce, aby vaše týmy mohly inteligentně vyhodnocovat, určovat priority a bezproblémově opravovat největší rizika pro vaši organizaci.

Další informace o správě ohrožení zabezpečení defenderu najdete v následujícím videu:

Pojďme začít

Krok 1: Nastavení

Poznámka

Aby mohli uživatelé nasadit zkušební verzi, musí mít v ID Microsoft Entra přiřazenou roli globálního správce. Další informace najdete v tématu Požadované role pro spuštění zkušební verze.

1. Zkontrolujte oprávnění a požadavky.

2. Zkušební verze správy ohrožení zabezpečení v programu Microsoft Defender je přístupná několika způsoby:

   • Pokud máte přístup k portálu Microsoft Defender 365, přejděte na Zkušební verze v levém navigačním panelu. Jakmile se dostanete do centra zkušebních verzí Microsoftu 365:

     • Pokud máte Defender for Endpoint Plan 2, vyhledejte kartu doplňku Správa ohrožení zabezpečení defenderu a vyberte Vyzkoušet.
     • Pokud jste nový zákazník nebo stávající zákazník Defender for Endpoint P1 nebo Microsoft 365 E3, zvolte kartu Správa ohrožení zabezpečení v programu Defender a vyberte Vyzkoušet.

   

   • Zaregistrujte se prostřednictvím Centra pro správu Microsoftu (pouze globální správci).

   Poznámka

   Další možnosti, jak se zaregistrovat ke zkušební verzi, najdete v tématu Registrace ke správě ohrožení zabezpečení v programu Microsoft Defender.

3. Zkontrolujte informace o tom, co je součástí zkušební verze, a pak vyberte Zahájit zkušební verzi. Po aktivaci zkušební verze může trvat až 6 hodin, než budou nové funkce dostupné na portálu.

   • Zkušební verze doplňku Správa ohrožení zabezpečení programu Defender trvá 90 dní.
   • Samostatná zkušební verze správy ohrožení zabezpečení defenderu trvá 90 dní.

4. Až budete připraveni začít, přejděte na portál Microsoft Defender a v levém navigačním panelu vyberte Správa ohrožení zabezpečení , abyste mohli začít používat zkušební verzi správy ohrožení zabezpečení v programu Defender.

Poznámka

Pokud jste zákazníkem microsoft defenderu pro cloud, přečtěte si článek Možnosti správy ohrožení zabezpečení pro servery , kde najdete další informace o možnostech správy ohrožení zabezpečení defenderu, které jsou dostupné pro vaši organizaci.

Vyzkoušení správy ohrožení zabezpečení v programu Defender

Krok 1: Zjistěte, co chránit v jednom zobrazení

Integrované skenery bez agentů nepřetržitě monitorují a detekují rizika, i když zařízení nejsou připojená k podnikové síti. Rozšířené pokrytí prostředků konsoliduje softwarové aplikace, digitální certifikáty, rozšíření prohlížeče a hardware a firmware do jednoho zobrazení inventáře.

1. Inventář zařízení – Inventář zařízení zobrazuje seznam zařízení ve vaší síti. Ve výchozím nastavení se v seznamu zobrazují zařízení zobrazená za posledních 30 dnů. Na první pohled uvidíte informace, jako jsou domény, úrovně rizik, platforma operačního systému, přidružená cve a další podrobnosti pro snadnou identifikaci nejohrožovanějších zařízení.

2. Objevte a vyhodnoťte software vaší organizace v jednom konsolidovaném zobrazení inventáře:

   • Inventář softwarových aplikací – inventář softwaru ve správě ohrožení zabezpečení defenderu je seznam známých aplikací ve vaší organizaci. Toto zobrazení zahrnuje přehledy o ohroženích zabezpečení a chybných konfiguracích nainstalovaného softwaru se skóre dopadu podle priority a podrobnostmi, jako jsou platformy operačního systému, dodavatelé, počet slabých míst, hrozby a zobrazení na úrovni entit na vystavených zařízeních.
   • Hodnocení rozšíření prohlížeče – stránka rozšíření prohlížeče zobrazuje seznam rozšíření nainstalovaných v různých prohlížečích ve vaší organizaci. Rozšíření obvykle potřebují různá oprávnění, aby fungovala správně. Správa ohrožení zabezpečení v programu Defender poskytuje podrobné informace o oprávněních požadovaných jednotlivými rozšířeními a identifikuje uživatele s nejvyšší úrovní rizika, zařízení se zapnutým rozšířením, nainstalované verze a další.
   • Inventář certifikátů – inventář certifikátů umožňuje zjišťovat, vyhodnocovat a spravovat digitální certifikáty nainstalované ve vaší organizaci v jednom zobrazení. To vám může pomoct:
     • Identifikujte certifikáty, jejichž platnost brzy vyprší, abyste je mohli aktualizovat a zabránit přerušení služeb.
     • Detekujte potenciální ohrožení zabezpečení způsobená použitím slabého algoritmu podpisu (například SHA-1-RSA), krátké velikosti klíče (například RSA 512 bitů) nebo slabého algoritmu hash podpisu (například MD5).
     • Zajistěte dodržování právních předpisů a zásad organizace.
   • Hardware a firmware – inventář hardwaru a firmwaru poskytuje seznam známého hardwaru a firmwaru ve vaší organizaci. Poskytuje jednotlivé inventáře pro systémové modely, procesory a systém BIOS. Každé zobrazení obsahuje podrobnosti, jako je název dodavatele, počet slabých míst, přehledy hrozeb a počet vystavených zařízení.

3. Ověřená kontrola pro Windows – pomocí ověřené kontroly pro Windows můžete vzdáleně cílit podle rozsahů IP adres nebo názvů hostitelů a prohledávat služby Windows tím, že poskytnete službě Defender Vulnerability Management přihlašovací údaje pro vzdálený přístup k zařízením. Po nakonfigurování budou cílená nespravovaná zařízení pravidelně kontrolována z hlediska ohrožení zabezpečení softwaru.

4. Přiřazení hodnoty zařízení – definování hodnoty zařízení vám pomůže rozlišovat priority prostředků. Hodnota zařízení se používá k začlenění rizikového apetitu jednotlivého prostředku do výpočtu skóre ohrožení zabezpečení defenderu. Zařízení přiřazená jako "vysoká hodnota" získají větší váhu. Možnosti hodnoty zařízení:

   • Nízký
   • Normální (výchozí)
   • High (Vysoká)

   Můžete také použít rozhraní API pro nastavení hodnoty zařízení.

Krok 2: Sledování a zmírnění aktivit nápravy

1. Náprava žádostí – možnosti správy ohrožení zabezpečení překlenují mezeru mezi správci zabezpečení a IT prostřednictvím pracovního postupu žádosti o nápravu. Správci zabezpečení, jako jste vy, můžou požádat správce IT o nápravu ohrožení zabezpečení ze stránek doporučení do Intune.

2. Zobrazení aktivit nápravy – když odešlete žádost o nápravu ze stránky Doporučení zabezpečení, spustí se aktivita nápravy. Vytvoří se úloha zabezpečení, kterou je možné sledovat na stránce Náprava , a v Microsoft Intune se vytvoří lístek nápravy.

3. Blokování ohrožených aplikací – náprava ohrožení zabezpečení nějakou dobu trvá a může záviset na zodpovědnostech a prostředcích it týmu. Správci zabezpečení můžou dočasně snížit riziko ohrožení zabezpečení tím, že okamžitě zablokují všechny aktuálně známé ohrožené verze aplikace nebo před otevřením verzí ohrožených aplikací upozorňují uživatele na přizpůsobitelné zprávy, dokud se nedokončí žádost o nápravu. Možnost blokování poskytuje IT týmům čas na opravu aplikace, aniž by se správci zabezpečení obávali, že tato ohrožení zabezpečení budou mezitím zneužita.

   • Blokování ohrožených aplikací
   • Zobrazení aktivit nápravy
   • Zobrazení blokovaných aplikací
   • Odblokování aplikací

   Poznámka

   Po ukončení zkušební verze se blokované aplikace okamžitě odblokují, zatímco základní profily mohou být uloženy po krátkou dobu, než budou odstraněny.

4. K ochraně ohrožených síťových sdílených složek využijte rozšířené možnosti posouzení, jako je analýza sdílených složek sítě. Vzhledem k tomu, že k síťovým sdíleným složkám mají uživatelé snadný přístup, můžou být malé společné slabiny zranitelné. Tyto typy chybných konfigurací útočníci běžně používají k laterálnímu pohybu, rekognoskaci, exfiltraci dat atd. Proto jsme ve správě ohrožení zabezpečení programu Defender vytvořili novou kategorii posouzení konfigurace, která identifikuje běžné slabiny, které vystavují vaše koncové body vektorům útoku ve sdílených složkách sítě Windows. To vám pomůže:

   • Zakázat offline přístup ke sdíleným složkám
   • Odebrání sdílených složek z kořenové složky
   • Odebrat oprávnění k zápisu sdílené složky nastavené na Všichni
   • Nastavení výčtu složek pro sdílené složky

5. Zobrazte a monitorujte zařízení vaší organizace pomocí sestavy Zranitelná zařízení , která zobrazuje grafy a pruhové grafy s trendy ohrožených zařízení a aktuálními statistikami. Cílem je, abyste porozuměli dechu a rozsahu expozice zařízení.

Krok 3: Nastavení posouzení standardních hodnot zabezpečení

Místo spouštění kontrol dodržování předpisů k určitému bodu v čase vám posouzení standardních hodnot zabezpečení pomáhá nepřetržitě a proaktivně monitorovat dodržování předpisů vaší organizace proti oborovým srovnávacím testům zabezpečení v reálném čase. Profil standardních hodnot zabezpečení je přizpůsobený profil, který můžete vytvořit za účelem posouzení a monitorování koncových bodů ve vaší organizaci podle oborových srovnávacích testů zabezpečení (CIS, NIST, MS). Když vytváříte profil standardních hodnot zabezpečení, vytváříte šablonu, která se skládá z několika nastavení konfigurace zařízení a základního srovnávacího testu, který chcete porovnat.

Standardní hodnoty zabezpečení poskytují podporu pro srovnávací testy Center for Internet Security (CIS) pro Windows 10, Windows 11 a Windows Server 2008 R2 a novější a také srovnávací testy STIG (Security Technical Implementation Guides) pro Windows 10 a Windows Server 2019.

1. Začínáme s posouzením standardních hodnot zabezpečení
2. Kontrola výsledků posouzení profilu standardních hodnot zabezpečení
3. Použití rozšířeného proaktivního vyhledávání

Poznámka

Po ukončení zkušební verze se profily standardních hodnot zabezpečení můžou ještě chvíli ukládat, než se odstraní.

Krok 4: Vytvoření smysluplných sestav pro získání podrobných přehledů pomocí rozhraní API a rozšířeného proaktivního vyhledávání

Rozhraní API pro správu ohrožení zabezpečení programu Defender vám můžou pomoct s přehledem ve vaší organizaci díky přizpůsobeným zobrazením stavu zabezpečení a automatizaci pracovních postupů správy ohrožení zabezpečení. Zmírněte úlohy bezpečnostního týmu shromažďováním dat, analýzou skóre rizika a integrací s ostatními organizačními procesy a řešeními. Další informace najdete tady:

• Export metod a vlastností posouzení na zařízení
• Blog o rozhraních API pro správu ohrožení zabezpečení programu Defender

Rozšířené proaktivní vyhledávání umožňuje flexibilní přístup k nezpracovaných datům správy ohrožení zabezpečení programu Defender, což umožňuje proaktivně kontrolovat známé a potenciální hrozby v entitách. Další informace najdete v tématu Vyhledávání vystavených zařízení.

Informace o licencování a zkušební verzi

V rámci zkušebního nastavení se nové zkušební licence správy ohrožení zabezpečení programu Defender automaticky použijí pro uživatele. Proto není potřeba žádné přiřazení (zkušební verze může automaticky použít až 1 000 000 licencí). Licence jsou aktivní po dobu trvání zkušební verze.

Začínáme se zkušební verzí

Funkce Správy ohrožení zabezpečení programu Defender můžete začít používat, jakmile se zobrazí na portálu Microsoft Defender. Nic se nevytvořilo automaticky a na uživatele to nebude mít vliv. Když přejdete na jednotlivá řešení, můžete být vedeni k provedení dalších konfigurací nastavení, abyste mohli začít používat funkce.

Prodloužení zkušební verze

Zkušební verzi můžete prodloužit během posledních 15 dnů od zkušebního období. Jste omezeni na maximálně dvě zkušební období. Pokud zkušební období neprodloužíte, budete muset před registrací druhé zkušební verze počkat aspoň 30 dní.

Ukončení zkušební verze

Správci můžou zkušební verzi kdykoli zakázat tak, že v levém navigačním panelu vyberou Zkušební verze , přejdou na zkušební kartu Správa ohrožení zabezpečení programu Defender a vyberou Ukončit zkušební verzi.

Pokud není u řešení uvedeno jinak, budou se vaše zkušební data uchovávat po dobu, obvykle 180 dnů, než se trvale odstraní. K datům shromážděným během zkušební verze můžete přistupovat až do té doby.

Další zdroje informací

• Podmínky a ujednání: Přečtěte si podmínky a ujednání pro zkušební verze Microsoftu 365.
• Porovnání nabídek: Správa ohrožení zabezpečení v programu Microsoft Defender
• Dokumentace ke správě ohrožení zabezpečení programu Defender
• Datový list: Správa ohrožení zabezpečení v programu Microsoft Defender: Snížení kybernetického rizika díky nepřetržitému zjišťování a hodnocení ohrožení zabezpečení, stanovení priorit na základě rizik a náprava