Freigeben über


Sicherheitsrisiken in meiner Organisation

Auf der Seite Schwachstellen in Microsoft Defender Vulnerability Management werden bekannte allgemeine Sicherheitsanfälligkeiten (Common Vulnerabilities and Exposures, CVEs) anhand ihrer CVE-ID aufgelistet.

CVE-IDs sind eindeutige IDs, die öffentlich offengelegten Cybersicherheitsrisiken zugewiesen sind, die Software, Hardware und Firmware betreffen. Sie bieten Organisationen eine Standardmethode zum Identifizieren und Nachverfolgen von Sicherheitsrisiken und helfen ihnen, diese Sicherheitsrisiken in ihren organization zu verstehen, zu priorisieren und zu beheben. CVEs werden in einer öffentlichen Registrierung nachverfolgt, auf die über zugegriffen wird https://www.cve.org/.

Defender Vulnerability Management verwendet Endpunktsensoren, um diese und andere Sicherheitsrisiken in einem organization zu überprüfen und zu erkennen.

Gilt für:

Wichtig

Defender Vulnerability Management können ihnen helfen, Log4j-Sicherheitsrisiken in Anwendungen und Komponenten zu identifizieren. Weitere Informationen.

Übersichtsseite "Schwachstellen"

Um auf die Seite Schwachstellen zuzugreifen, wählen Sie im Microsoft Defender-Portal im Navigationsmenü zur Verwaltung von Sicherheitsrisiken die Option Schwachstellen aus.

Die Seite Schwachstellen wird mit einer Liste der CVEs geöffnet, denen Ihre Geräte ausgesetzt sind. Sie können den Schweregrad, die CVSS-Bewertung (Common Vulnerability Scoring System), die entsprechenden Erkenntnisse zu Sicherheitsverletzungen und Bedrohungen und vieles mehr anzeigen.

Screenshot der Landing Page für Schwachstellen

Wenn einer Sicherheitsanfälligkeit keine offizielle CVE-ID zugewiesen ist, wird der Sicherheitsrisikoname von Defender Vulnerability Management im Format TVM-2020-002 zugewiesen.

Hinweis

Die maximale Anzahl von Datensätzen, die Sie von der Schwachstellenseite in eine CSV-Datei exportieren können, beträgt 8.000, und der Export darf 64 KB nicht überschreiten. Wenn Sie eine Meldung mit dem Hinweis erhalten, dass die Ergebnisse zu groß für den Export sind, verfeinern Sie Ihre Abfrage, um weniger Datensätze einzuschließen.

Derzeit unterscheidet Defender Vulnerability Management beim Korrelieren von Sicherheitsrisiken (CVEs) mit Geräten nicht zwischen 32-Bit- und 64-Bit-Systemarchitekturen. Diese Einschränkung kann zu falsch positiven Ergebnissen führen, insbesondere in Fällen, in denen cve nur für einen Architekturtyp gilt. Auf einem Windows Server 2016 Computer wurde PHP beispielsweise fälschlicherweise mit CVE-2024-11236gekennzeichnet, was sich nur auf 32-Bit-Systeme auswirkt. Da die Architektur derzeit nicht in den Korrelationsprozess integriert ist, wurde cve fälschlicherweise einem 64-Bit-Server zugeordnet. Dies ist ein bekanntes Problem, und eine Lösung steht auf der Roadmap.

Erkenntnisse zu Sicherheitsverletzungen und Bedrohungen

Es ist wichtig, Empfehlungen zu priorisieren, die mit laufenden Bedrohungen verbunden sind. Sie können die informationen in der Spalte Bedrohungen verwenden, um Sicherheitsrisiken zu priorisieren. Um Sicherheitsrisiken bei laufenden Bedrohungen anzuzeigen, filtern Sie die Spalte Bedrohungen nach:

  • Zugeordnete aktive Warnung
  • Exploit ist verfügbar
  • Exploit ist überprüft
  • Exploit ist Teil eines Exploit-Kits

Das Symbol "Threat Insights" (Bedrohungserkenntnisse) Einfache Zeichnung eines roten Fehlers. ist in der Spalte Bedrohungen hervorgehoben, wenn in einem Sicherheitsrisiko Exploits vorhanden sind.

Screenshot der Symbole der Bedrohungsspalte

Wenn Sie auf das Symbol zeigen, wird angezeigt, ob die Bedrohung Teil eines Exploit-Kits ist oder mit bestimmten erweiterten persistenten Kampagnen oder Aktivitätsgruppen verbunden ist. Wenn verfügbar, gibt es einen Link zu einem Threat Analytics-Bericht mit Zero-Day-Exploit-Nachrichten, Offenlegungen oder verwandten Sicherheitsempfehlungen.

Bedrohungserkenntnisse, der beim Bewegen des Mauszeigers auf das Symbol angezeigt werden kann. Dieses enthält mehrere Aufzählungszeichen und verknüpften Text.

Das Symbol "Erkenntnisse zu Sicherheitsverletzungen" ist hervorgehoben, wenn in Ihrem organization ein Sicherheitsrisiko gefunden wurde. Einfaches Zeichnen eines Pfeils, der auf ein Ziel trifft.

Beispiel für einen Sicherheitsverletzungserkenntnissetext, der angezeigt werden kann, wenn der Mauszeiger auf das Symbol zeigt. Dieser besagt, dass

Die Spalte Verfügbar gemachte Geräte zeigt, wie viele Geräte derzeit einer Sicherheitslücke ausgesetzt sind. Wenn in der Spalte 0 angezeigt wird, bedeutet dies, dass Sie nicht gefährdet sind.

Gewinnen von Erkenntnissen zu Sicherheitsrisiken

Wenn Sie auf der Seite "Schwachstellen" eine CVE auswählen, wird ein Flyoutbereich mit weiteren Informationen wie der Beschreibung der Sicherheitsrisiken, Details und Erkenntnisse zu Bedrohungen geöffnet. Die Von KI generierte Sicherheitsrisikobeschreibung enthält ausführliche Informationen zu der Sicherheitsanfälligkeit, zu deren Auswirkungen, empfohlenen Korrekturschritten und ggf. zusätzliche Informationen.

Screenshot des Schwachstellen-Flyout-Bereichs

Für jede CVE wird eine Liste der verfügbar gemachten Geräte und der betroffenen Software angezeigt.

Exploit Prediction Scoring System (EPSS)

Das Exploit Prediction Scoring System (EPSS) generiert einen datengesteuerten Score für die Wahrscheinlichkeit, dass ein bekanntes Software-Sicherheitsrisiko in freier Wildbahn ausgenutzt wird. EPSS verwendet aktuelle Bedrohungsinformationen aus den CVE- und realen Exploitdaten. Für jedes CVE erzeugt das EPSS-Modell eine Wahrscheinlichkeitsbewertung zwischen 0 und 1 (0 % und 100 %). Je höher die Bewertung, desto größer ist die Wahrscheinlichkeit, dass ein Sicherheitsrisiko ausgenutzt werden kann. Erfahren Sie mehr über EPSS.

EPSS wurde entwickelt, um Ihr Wissen über Schwächen und deren Exploit-Wahrscheinlichkeit zu erweitern und Ihnen zu ermöglichen, entsprechend zu priorisieren.

Um die EPSS-Bewertung anzuzeigen, wählen Sie auf der Seite Schwachstellen im Microsoft Defender-Portal eine CVE aus:

Screenshot der Epss-Bewertung für Schwachstellen

Wenn das EPSS größer als 0,9 ist, wird die QuickInfo der Spalte Bedrohungen mit dem Wert aktualisiert, um die Dringlichkeit der Entschärfung zu vermitteln:

Screenshot der Bewertung der Schwachstellen in der QuickInfo für Bedrohungen.

Hinweis

Wenn die EPSS-Bewertung kleiner als0.001 ist, wird sie als betrachtet 0.

Sie können die Sicherheitsrisiko-API verwenden, um die EPSS-Bewertung anzuzeigen.

Verwenden Sie Sicherheitsempfehlungen, um die Sicherheitsrisiken in verfügbar gemachten Geräten zu beheben und das Risiko für Ihre Ressourcen und organization zu verringern. Wenn eine Sicherheitsempfehlung verfügbar ist, können Sie Gehe zu der zugehörigen Sicherheitsempfehlung auswählen, um Details zur Behebung des Sicherheitsrisikos zu erhalten.

Beispiel für ein Schwäche-Flyout.

Empfehlungen für eine CVE sind häufig, um die Sicherheitsanfälligkeit durch ein Sicherheitsupdate für die zugehörige Software zu beheben. Für einige CVEs ist jedoch kein Sicherheitsupdate verfügbar. Dies kann für die gesamte zugehörige Software für eine CVE oder nur für eine Teilmenge gelten. Ein Softwareherausgeber kann z. B. entscheiden, das Problem bei einer bestimmten anfälligen Version nicht zu beheben.

Wenn ein Sicherheitsupdate nur für einen Teil der zugehörigen Software verfügbar ist, weist cve das Tag "Einige Updates verfügbar" unter dem CVE-Namen auf. Wenn mindestens ein Update verfügbar ist, können Sie zur entsprechenden Sicherheitsempfehlung wechseln.

Wenn kein Sicherheitsupdate verfügbar ist, weist cve das Tag "Kein Sicherheitsupdate" unter dem CVE-Namen auf. In diesem Fall gibt es keine Möglichkeit, zur entsprechenden Sicherheitsempfehlung zu wechseln. Software, für die kein Sicherheitsupdate verfügbar ist, wird von der Seite Sicherheitsempfehlungen ausgeschlossen.

Hinweis

Sicherheitsempfehlungen umfassen nur Geräte und Softwarepakete, für die Sicherheitsupdates verfügbar sind.

Anfordern von CVE-Support

Eine CVE für Software, die derzeit nicht von der Verwaltung von Sicherheitsrisiken unterstützt wird, wird weiterhin auf der Seite Schwachstellen angezeigt. Da die Software nicht unterstützt wird, sind nur eingeschränkte Daten verfügbar. Verfügbar gemachte Geräteinformationen sind für CVEs mit nicht unterstützter Software nicht verfügbar.

Um eine Liste nicht unterstützter Software anzuzeigen, filtern Sie die Seite mit den Schwachstellen nach der Option "Nicht verfügbar" im Abschnitt "Verfügbar gemachte Geräte".

Sie können anfordern, dass Support zu Defender Vulnerability Management für eine bestimmte CVE hinzugefügt wird. So fordern Sie Support an:

  1. Wechseln Sie im Microsoft Defender-Portal zu Endpunkte>Sicherheitsrisikoverwaltung, und wählen Sie dann Schwachstellen aus. Wählen Sie in der Liste eine CVE aus.

  2. Wählen Sie auf der Registerkarte Sicherheitsrisikodetails die Option Diese CVE unterstützen aus. Ihre Anfrage wird an Microsoft gesendet und unterstützt uns dabei, diese CVE unter anderem in unserem System zu priorisieren.

    Hinweis

    DIE CVE-Supportfunktionalität anfordern ist für GCC-, GCC High- und DoD-Kunden nicht verfügbar.

    Schwäche-Flyout mit Unterstützung für CVE-Schaltflächenbeispiel.

Besonders anfällige Software im Dashboard

  1. Navigieren Sie im Microsoft Defender-Portal zuDashboard für die Verwaltung vonSicherheitsrisiken> für Endpunkte>, und scrollen Sie nach unten zum Karte Besonders anfällige Software. Sie sehen die Anzahl von Sicherheitsrisiken, die in Softwareanwendungen gefunden wurden, zusammen mit Bedrohungsinformationen und einer allgemeinen Ansicht der Gerätegefährdung im Laufe der Zeit.

    Besonders anfällige software-Karte.

  2. Wählen Sie die Software aus, die Sie untersuchen möchten.

  3. Wählen Sie die Registerkarte Ermittelte Sicherheitsrisiken aus.

  4. Wählen Sie die Sicherheitsanfälligkeit aus, die Sie untersuchen möchten, um einen Flyoutbereich mit den CVE-Details zu öffnen.

Ermitteln von Sicherheitsrisiken auf der Geräteseite

Zeigen Sie informationen zu verwandten Schwachstellen auf der Geräteseite an.

  1. Wählen Sie im Microsoft Defender-Portal unter Assets die Option Geräte aus.

  2. Wählen Sie auf der Seite Gerätebestand den Gerätenamen aus, den Sie untersuchen möchten.

  3. Wählen Sie Seite Gerät öffnen und dann Ermittelte Sicherheitsrisiken aus.

  4. Wählen Sie die Sicherheitsanfälligkeit aus, die Sie untersuchen möchten, um einen Flyoutbereich mit den CVE-Details zu öffnen.

CVE-Erkennungslogik

Ähnlich wie beim Softwarebeweis können Sie die auf ein Gerät angewendete Erkennungslogik anzeigen, um anzugeben, dass es anfällig ist. So zeigen Sie die Erkennungslogik an:

  1. Wählen Sie im Microsoft Defender-Portal unter Ressourcendie Option Geräte aus, um die Seite Gerätebestand zu öffnen. Wählen Sie dann ein Gerät aus.

  2. Wählen Sie Seite "Gerät öffnen " und dann auf der Geräteseite die Option Sicherheitsrisiken ermittelt aus.

  3. Wählen Sie die Sicherheitslücke aus, die Sie untersuchen möchten. Ein Flyout wird geöffnet, und im Abschnitt Erkennungslogik werden die Erkennungslogik und die Quelle angezeigt.

    Erkennungslogikbeispiel, in dem die auf dem Gerät erkannte Software und die KBs aufgelistet werden.

Die Kategorie "Betriebssystemfeature" wird auch in relevanten Szenarien angezeigt. Wenn eine bestimmte Betriebssystemkomponente aktiviert ist, würde sich eine CVE auf Geräte auswirken, auf denen ein anfälliges Betriebssystem ausgeführt wird. Wenn z. B. ein Gerät, auf dem Windows Server 2019 oder Windows Server 2022 ausgeführt wird, eine Sicherheitslücke in der DNS-Komponente aufweist, wird CVE nur an die Geräte angefügt, auf denen die DNS-Funktion aktiviert ist.

Melden einer Ungenauigkeit

Melden Sie ein falsch positives Ergebnis, wenn Sie ungenaue, ungenaue oder unvollständige Informationen sehen. Sie können auch Berichte zu Sicherheitsempfehlungen erstellen, die bereits behoben wurden.

  1. Wechseln Sie im Microsoft Defender-Portal zu Endpunkte>Sicherheitsrisikoverwaltung, und wählen Sie dann Schwachstellen aus.

  2. Wählen Sie ein Element und dann Ungenauigkeit melden aus.

  3. Wählen Sie im Flyoutbereich ein Problem aus, das gemeldet werden soll.

  4. Geben Sie die angeforderten Details zur Ungenauigkeit ein. Dies variiert je nach dem von Ihnen gemeldeten Problem.

  5. Wählen Sie Senden aus. Ihr Feedback wird sofort an die Defender Vulnerability Management Experten gesendet.

    Melden von Ungenauigkeitsoptionen.

Tipp

Wussten Sie, dass Sie alle Features in Microsoft Defender Vulnerability Management kostenlos testen können? Erfahren Sie, wie Sie sich für eine kostenlose Testversion registrieren.