Haavoittuvuudet organisaatiossani

Microsoft Defenderin haavoittuvuuksien hallinta Heikkoukset-sivulla luetellaan tunnetut yleiset haavoittuvuudet ja altistukset CVE-tunnuksen mukaan.

CVE-tunnukset ovat ainutlaatuisia tunnuksia, jotka on määritetty julkisesti paljastetuille kyberturvallisuushaavoittuvuuksille, jotka vaikuttavat ohjelmistoihin, laitteisiin ja laiteohjelmistoihin. Ne tarjoavat organisaatioille vakiotavan tunnistaa ja seurata heikkouksia sekä auttaa niitä ymmärtämään, priorisoimaan ja korjaamaan näitä organisaationsa haavoittuvuuksia. CvE:tä seurataan julkisella rekisterillä, jota käytetään kohteesta https://www.cve.org/.

Defenderin haavoittuvuuksien hallinta käyttää päätepistetunnistimia näiden ja muiden organisaation heikkouksien etsimiseen ja havaitsemiseen.

Koskee seuraavia:

• Microsoft Defenderin haavoittuvuuksien hallinta
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR
• palvelinten palvelupaketin 1 & 2 Microsoft Defender

Tärkeää

Defenderin haavoittuvuuksien hallinta voi auttaa tunnistamaan Log4j-haavoittuvuuksia sovelluksissa ja osissa. Lisätietoja.

Vihje

Tiesitkö, että voit kokeilla kaikkia Microsoft Defenderin haavoittuvuuksien hallinta ominaisuuksia ilmaiseksi? Katso, miten voit rekisteröityä ilmaiseen kokeiluversioon.

Heikkouksien yleiskatsaussivu

Jos haluat käyttää Heikkouksia-sivua, valitse Heikkoudet Microsoft DefenderportaalinHaavoittuvuuden hallinta -siirtymisvalikosta

Heikkoudet-sivu avautuu ja sisältää luettelon cvE:istä, joille laitteesi ovat alttiina. Voit tarkastella vakavuutta, yleisen haavoittuvuuden pisteytysjärjestelmän (CVSS) luokitusta, vastaavia murto- ja uhkatietoja ja paljon muuta.

Huomautus

Jos haavoittuvuudelle ei ole määritetty virallista CVE-TUNNUSTA, haavoittuvuuden nimen määrittää Microsoft Defenderin haavoittuvuuksien hallinta ja se on muotoa TVM-2020-002.

Huomautus

Heikkouksista CSV-tiedostoon vietävien tietueiden enimmäismäärä on 8 000, eikä vienti saa olla suurempi kuin 64 Kt. Jos näyttöön tulee sanoma, jonka mukaan tulokset ovat liian suuria vietäviä, tarkenna kyselyä niin, että se sisältää vähemmän tietueita.

Rikkomuksen ja uhan merkitykselliset tiedot

On tärkeää priorisoida suosituksia, jotka liittyvät jatkuviin uhkiin. Uhkien sarakkeessa olevien tietojen avulla voit priorisoida haavoittuvuuksia. Voit tarkastella jatkuvien uhkien haavoittuvuuksia suodattamalla Uhat-sarakkeen :

• Liittyvä aktiivinen hälytys
• Hyödyntäminen on käytettävissä
• Hyödyntäminen on vahvistettu
• Tämä hyväksikäyttö on osa riistopakettia

Uhkien merkitykselliset tiedot -kuvake on korostettu Uhat-sarakkeessa , jos haavoittuvuuteen liittyy hyödyntöjä.

Osoittimen vieminen kuvakkeen päälle näyttää, onko uhka osa hyödyntämispakettia vai yhdistetty tiettyihin edistyneisiin pysyviin kampanjoihin tai toimintaryhmiin. Kun se on saatavilla, siellä on linkki Threat Analytics -raporttiin, jossa on nollapäiväisiä hyväksikäyttöuutisia, paljastuksia tai niihin liittyviä suojaustiedotteita.

Tietomurron merkitykselliset tiedot -kuvake näkyy korostettuna, jos organisaatiossasi on haavoittuvuus. .

Paljastetut laitteet -sarakkeessa näkyy, kuinka moni laite on tällä hetkellä alttiina haavoittuvuudelle. Jos sarakkeessa näkyy 0, se tarkoittaa, että et ole vaarassa.

Hanki merkityksellisiä tietoja haavoittuvuudesta

Jos valitset CVE:n heikkouksien sivulta, näyttöön avautuu pikaikkunapaneeli, jossa on lisätietoja, kuten haavoittuvuuden kuvaus, tiedot ja uhkatiedot. Tekoälyn luoman haavoittuvuuden kuvaus antaa yksityiskohtaisia tietoja haavoittuvuudesta, sen vaikutuksesta, suositelluista korjausvaiheista ja mahdollisista lisätiedoista, jos niitä on saatavilla.

Näet jokaisen CVE:n osalta luettelon alttiina olevista laitteista ja ohjelmistoista, joita asia koskee.

Hyödynnä ennusteen pisteytysjärjestelmää (EPSS)

Hyödyntämisennusteiden pisteytysjärjestelmä (EPSS) luo tietoihin perustuvan pistemäärän sille todennäköisyydelle, että tunnettua ohjelmistohaavoittuvuutta hyödynnetään luonnossa. EPSS käyttää CVE:n nykyisiä uhkatietoja ja reaalimaailman hyödyntämistietoja. EPSS-malli tuottaa jokaiselle CVE:lle todennäköisyyden pistemäärän välillä 0–1 (0 % ja 100 %). Mitä suuremmat pisteet ovat, sitä todennäköisempää on, että haavoittuvuutta hyödynnetään. Lue lisätietoja EPSS:stä.

EPSS on suunniteltu rikastuttamaan tietämystäsi heikkouksista ja niiden hyödyntämisen todennäköisyydestä sekä priorisoimaan vastaavasti.

Jos haluat nähdä EPSS-pisteet, valitse CVE Microsoft Defender portaalin Heikkoukset-sivulta:

Kun EPSS on suurempi kuin 0,9, Uhkat-sarakkeen työkaluvihje päivitetään arvolla, joka välittää lievennyksen kiireellisyyden:

Huomautus

Huomaa, että jos EPSS-tulos on pienempi kuin 0,001, sen katsotaan olevan 0.

Voit käyttää haavoittuvuuden ohjelmointirajapintaa EPSS-pistemäärän näkemiseen.

Liittyvät suojaussuositukset

Suojaussuositusten avulla voit korjata alttiina olevien laitteiden haavoittuvuuksia ja vähentää resurssiesi ja organisaatiosi riskejä. Kun suojaussuositus on käytettävissä, voit valita Siirry aiheeseen liittyvään suojaussuositukseen saadaksesi lisätietoja haavoittuvuuden korjaamisesta.

CVE:n suosituksia käytetään usein haavoittuvuuden korjaamiseen liittyvän ohjelmiston tietoturvapäivityksen avulla. Joissakin cve-päivityksissä ei kuitenkaan ole saatavilla tietoturvapäivitystä. Tämä saattaa koskea kaikkia aiheeseen liittyviä CVE-ohjelmistoja tai vain alijoukkoa, esimerkiksi ohjelmistotoimittaja saattaa päättää olla korjaamatta ongelmaa tietyssä haavoittuvassa versiossa.

Kun tietoturvapäivitys on saatavilla vain joillekin aiheeseen liittyville ohjelmistoille, CVE:n CVE-nimessä on tunniste "Joitakin päivityksiä saatavilla". Kun vähintään yksi päivitys on saatavilla, voit halutessasi siirtyä liittyvään suojaussuositukseen.

Jos tietoturvapäivitystä ei ole saatavilla, CVE:n CVE-nimessä on tunniste "Ei tietoturvapäivitystä". Tähän liittyvään suojaussuositukseen ei voi siirtyä, koska ohjelmisto, jolla ei ole saatavilla olevaa tietoturvapäivitystä, jätetään pois Suojaussuositukset-sivulta.

Huomautus

Suojaussuositukset sisältävät vain laitteita ja ohjelmistopaketteja, joissa on saatavilla tietoturvapäivityksiä.

CVE-tuen pyytäminen

Ohjelmistojen CVE, joita haavoittuvuuksien hallinta ei tällä hetkellä tue, näkyy edelleen Heikkous-sivulla. Koska ohjelmistoa ei tueta, saatavilla on vain rajoitettua tietoa. Paljastetut laitetiedot eivät ole saatavilla cve-laitteille, joita ei tueta.

Jos haluat tarkastella luetteloa ohjelmistoista, joita ei tueta, suodata heikkoudet -sivu "Ei käytettävissä" -vaihtoehdon mukaan "Paljastetut laitteet" -osassa.

Voit pyytää tuen lisäämistä Defenderin haavoittuvuuksien hallinta tietylle CVE:lle. Jos haluat pyytää tukea:

1. Valitse CVE Microsoft Defender portaalin Heikkous-sivulta

2. Valitse Tue tätä CVE:ta Haavoittuvuuden tiedot -välilehdestä

   Pyyntö lähetetään Microsoftille, ja se auttaa meitä priorisoimaan tämän CVE:n muun muassa järjestelmässämme.

   Huomautus

   CVE-tukipyyntötoiminto ei ole käytettävissä GCC-, GCC High- ja DoD-asiakkaille.

   

Näytä yleiset haavoittuvuudet ja altistumiset (CVE) muissa paikoissa

Koontinäytön heikoimmassa asemassa olevat ohjelmistot

1. Siirry Defenderin haavoittuvuuksien hallinta koontinäyttöön ja vieritä alaspäin heikoimmassa asemassa olevan ohjelmiston pienoissovellukseen. Näet kustakin ohjelmistosta löytyneiden haavoittuvuuksien määrän sekä uhkatiedot ja korkean tason näkymän laitteen altistumisesta ajan kuluessa.

   

2. Valitse ohjelmisto, jonka haluat tutkia.

3. Valitse Havaitut haavoittuvuudet -välilehti.

4. Valitse haavoittuvuus, jonka haluat tutkia avataksesi pikaikkunapaneelin, jossa on CVE-tiedot.

Haavoittuvuuksien havaitseminen laitteen sivulla

Tarkastele aiheeseen liittyvien heikkouksien tietoja laitteen sivulla.

1. Valitse laitteetMicrosoft Defender portaalin Assets-siirtymisvalikosta.
2. Valitse Laitteen varasto -sivulla laitteen nimi, jota haluat tutkia.
3. Valitse Avaa laite -sivu ja valitse laitesivulta Havaitut haavoittuvuudet .
4. Valitse haavoittuvuus, jonka haluat tutkia avataksesi pikaikkunapaneelin, jossa on CVE-tiedot.

CVE-tunnistuslogiikka

Kuten ohjelmiston todisteissa, näytämme laitteessa käyttämämme tunnistuslogiikan, jonka mukaan se on haavoittuvainen.

Voit tarkastella tunnistuslogiikkaa seuraavasti:

1. Valitse laite Laitteen varasto -sivulta.

2. Valitse Avaa laite -sivu ja valitse laitesivulta Havaitut haavoittuvuudet .

3. Valitse haavoittuvuus, jonka haluat tutkia.

   Näyttöön avautuu pikaikkuna, ja Tunnistuslogiikka-osassa näytetään tunnistuslogiikka ja lähde.

   

Käyttöjärjestelmän ominaisuus -luokka näkyy myös oleellisissa skenaarioissa. Silloin CVE vaikuttaa laitteisiin, joissa on käytössä haavoittuva käyttöjärjestelmä, jos tietty käyttöjärjestelmän osa on käytössä. Jos esimerkiksi Windows Server 2019:ssä tai Windows Server 2022:ssa on haavoittuvuus DNS-komponentissa, liitämme tämän CVE:n vain Windows Server 2019- ja Windows Server 2022 -laitteisiin, joiden KÄYTTÖjärjestelmässä on käytössä DNS-ominaisuus.

Raportin epätarkkuus

Ilmoita epätosi-positiivisesta, kun näet epämääräisiä, epätarkkoja tai epätäydellisiä tietoja. Voit myös raportoida suojaussuosituksista, jotka on jo korjattava.

1. Avaa CVE Heikkoudet-sivulla.

2. Valitse Raportin epätarkkuus.

3. Valitse pikaikkunaruudussa ongelma, josta haluat raportoida.

4. Täytä epätarkkuutta koskevat pyydetyt tiedot. Tämä vaihtelee raportointisi mukaan.

5. Valitse Lähetä. Palautteesi lähetetään välittömästi Microsoft Defenderin haavoittuvuuksien hallinta asiantuntijoille.

   

Aiheeseen liittyviä artikkeleita

• Suojaussuositukset
• Ohjelmistoluettelo
• Koontinäytön lisätiedot