Guide de l’utilisateur d’évaluation : Gestion des vulnérabilités Microsoft Defender

Ce guide de l’utilisateur est un outil simple qui vous aide à configurer et à tirer le meilleur parti de votre version d’évaluation gratuite de Microsoft Defender Vulnerability Management. En suivant les étapes suggérées dans ce guide de l’équipe de sécurité Microsoft, vous allez découvrir comment la gestion des vulnérabilités peut vous aider à protéger vos utilisateurs et vos données.

Remarque

L’offre d’évaluation de Microsoft Defender Vulnerability Management n’est actuellement pas disponible pour :

• Clients du gouvernement des États-Unis utilisant GCC High et DoD
• Clients Microsoft Defender for Business

Qu’est-ce que la gestion des vulnérabilités de Microsoft Defender ?

La réduction des cyber-risques nécessite un programme complet de gestion des vulnérabilités basé sur les risques pour identifier, évaluer, corriger et suivre les vulnérabilités importantes sur vos ressources les plus critiques.

Microsoft Defender Vulnerability Management offre une visibilité des ressources, une détection et une évaluation continues en temps réel des vulnérabilités, des menaces contextuelles & la hiérarchisation de l’entreprise et des processus de correction intégrés. Il inclut des fonctionnalités qui permettent à vos équipes d’évaluer, de hiérarchiser et de corriger en toute transparence les risques les plus importants pour votre organisation.

Regardez la vidéo suivante pour en savoir plus sur la gestion des vulnérabilités de Defender :

C’est parti !

Étape 1 : Configuration

Remarque

Le rôle Administrateur général doit être attribué aux utilisateurs dans l’ID Microsoft Entra pour intégrer la version d’évaluation. Pour plus d’informations, consultez Rôles requis pour démarrer la version d’évaluation.

1. Vérifiez les autorisations et les prérequis.

2. La version d’évaluation de Microsoft Defender Vulnerability Management est accessible de plusieurs façons :

   • Si vous avez accès au portail Microsoft Defender 365, accédez à Versions d’évaluation dans la barre du volet de navigation de gauche. Une fois que vous avez atteint le hub d’évaluation Microsoft 365 :

     • Si vous disposez de Defender pour point de terminaison Plan 2, recherchez la carte du module complémentaire Gestion des vulnérabilités Defender et sélectionnez Essayer maintenant.
     • Si vous êtes un nouveau client ou un client Defender pour point de terminaison P1 ou Microsoft 365 E3 existant, choisissez la carte Gestion des vulnérabilités Defender et sélectionnez Essayer maintenant.

   

   • Inscrivez-vous via le Centre d’administration Microsoft (administrateurs généraux uniquement).

   Remarque

   Pour plus d’options sur la façon de s’inscrire à la version d’évaluation, consultez S’inscrire à Microsoft Defender Vulnerability Management.

3. Passez en revue les informations sur ce qui est inclus dans la version d’évaluation, puis sélectionnez Commencer la version d’évaluation. Une fois que vous avez activé la version d’évaluation, jusqu’à 6 heures peuvent être nécessaires pour que les nouvelles fonctionnalités soient disponibles dans le portail.

   • La version d’évaluation du module complémentaire Defender Vulnerability Management dure 90 jours.
   • La version d’évaluation autonome de Defender Vulnerability Management dure 90 jours.

4. Lorsque vous êtes prêt à commencer, visitez le portail Microsoft Defender et sélectionnez Gestion des vulnérabilités dans la barre de navigation de gauche pour commencer à utiliser la version d’évaluation de Defender Vulnerability Management.

Remarque

Si vous êtes un client Microsoft Defender pour le cloud, consultez Fonctionnalités de gestion des vulnérabilités pour les serveurs pour en savoir plus sur les fonctionnalités de gestion des vulnérabilités defender disponibles pour votre organisation.

Essayer Defender Vulnerability Management

Étape 1 : Savoir ce qu’il faut protéger dans une seule vue

Les scanneurs intégrés et sans agent surveillent et détectent en permanence les risques, même lorsque les appareils ne sont pas connectés au réseau d’entreprise. La couverture étendue des ressources regroupe les applications logicielles, les certificats numériques, les extensions de navigateur et le matériel et le microprogramme en une seule vue d’inventaire.

1. Inventaire des appareils : l’inventaire des appareils affiche la liste des appareils de votre réseau. Par défaut, la liste affiche les appareils vus au cours des 30 derniers jours. En un coup d’œil, vous verrez des informations telles que les domaines, les niveaux de risque, la plateforme du système d’exploitation, les CVC associés et d’autres détails pour faciliter l’identification des appareils les plus à risque.

2. Découvrez et évaluez les logiciels de votre organisation dans une vue d’inventaire unique et consolidée :

   • Inventaire des applications logicielles : l’inventaire logiciel dans Defender Vulnerability Management est une liste d’applications connues dans votre organisation. La vue inclut des insights sur les vulnérabilités et les erreurs de configuration entre les logiciels installés avec des scores d’impact et des détails hiérarchisés, tels que les plateformes de système d’exploitation, les fournisseurs, le nombre de faiblesses, les menaces et une vue au niveau de l’entité des appareils exposés.
   • Évaluations des extensions de navigateur : la page extensions de navigateur affiche la liste des extensions installées dans différents navigateurs de votre organisation. Les extensions ont généralement besoin d’autorisations différentes pour s’exécuter correctement. Defender Vulnerability Management fournit des informations détaillées sur les autorisations demandées par chaque extension et identifie celles avec les niveaux de risque associés les plus élevés, les appareils avec l’extension activée, les versions installées, etc.
   • Inventaire des certificats : l’inventaire des certificats vous permet de découvrir, d’évaluer et de gérer les certificats numériques installés au sein de votre organisation dans une seule vue. Cela peut vous aider à :
     • Identifiez les certificats qui sont sur le point d’expirer afin de pouvoir les mettre à jour et éviter toute interruption du service.
     • Détectez les vulnérabilités potentielles en raison de l’utilisation d’un algorithme de signature faible (par exemple, SHA-1-RSA), d’une taille de clé courte (par exemple, RSA 512 bits) ou d’un algorithme de hachage de signature faible (par exemple, MD5).
     • Assurez-vous que les directives réglementaires et la stratégie organisationnelle sont respectées.
   • Matériel et microprogramme : l’inventaire du matériel et du microprogramme fournit une liste du matériel et du microprogramme connus dans votre organisation. Il fournit des inventaires individuels pour les modèles système, les processeurs et le BIOS. Chaque vue inclut des détails tels que le nom du fournisseur, le nombre de faiblesses, les insights sur les menaces et le nombre d’appareils exposés.

3. Analyse authentifiée pour Windows : avec l’analyse authentifiée pour Windows, vous pouvez cibler à distance par plages d’adresses IP ou noms d’hôte et analyser les services Windows en fournissant à Gestion des vulnérabilités Defender des informations d’identification pour accéder à distance aux appareils. Une fois configurés, les appareils non gérés ciblés sont régulièrement analysés pour détecter les vulnérabilités logicielles.

4. Attribuer une valeur d’appareil : la définition de la valeur d’un appareil vous permet de différencier les priorités des ressources. La valeur de l’appareil est utilisée pour incorporer l’appétence au risque d’une ressource individuelle dans le calcul du score d’exposition Defender Vulnerability Management. Les appareils affectés en tant que « valeur élevée » recevront plus de poids. Options de valeur de l’appareil :

   • Faible
   • Normal (valeur par défaut)
   • Élevé

   Vous pouvez également utiliser l’API définir la valeur de l’appareil.

Étape 2 : Suivre et atténuer les activités de correction

1. Correction des demandes : les fonctionnalités de gestion des vulnérabilités comblent le fossé entre les administrateurs de sécurité et les administrateurs informatiques via le flux de travail de demande de correction. Les administrateurs de sécurité comme vous peuvent demander à l’administrateur informatique de corriger une vulnérabilité à partir des pages de recommandation vers Intune.

2. Afficher vos activités de correction : lorsque vous envoyez une demande de correction à partir de la page Recommandations de sécurité, une activité de correction est lancée. Une tâche de sécurité est créée et peut être suivie sur une page Correction , et un ticket de correction est créé dans Microsoft Intune.

3. Bloquer les applications vulnérables : la correction des vulnérabilités prend du temps et peut dépendre des responsabilités et des ressources de l’équipe informatique. Les administrateurs de sécurité peuvent temporairement réduire le risque d’une vulnérabilité en prenant des mesures immédiates pour bloquer toutes les versions vulnérables actuellement connues d’une application ou avertir les utilisateurs avec des messages personnalisables avant d’ouvrir les versions d’application vulnérables jusqu’à ce que la demande de correction soit terminée. L’option bloquer donne aux équipes informatiques le temps de corriger l’application sans que les administrateurs de sécurité ne s’inquiètent que les vulnérabilités soient exploitées dans l’intervalle.

   • Comment bloquer les applications vulnérables
   • Afficher les activités de correction
   • Afficher les applications bloquées
   • Débloquer des applications

   Remarque

   Lorsque la version d’évaluation se termine, les applications bloquées sont immédiatement débloquées, tandis que les profils de base peuvent être stockés pendant une courte période supplémentaire avant d’être supprimés.

4. Utilisez des fonctionnalités d’évaluation améliorées telles que l’analyse des partages réseau pour protéger les partages réseau vulnérables. Comme les partages réseau sont facilement accessibles aux utilisateurs du réseau, de petites faiblesses courantes peuvent les rendre vulnérables. Ces types de configurations incorrectes sont couramment utilisés dans la nature par les attaquants pour le mouvement latéral, la reconnaissance, l’exfiltration de données, etc. C’est pourquoi nous avons créé une nouvelle catégorie d’évaluations de configuration dans Defender Vulnerability Management qui identifie les faiblesses courantes qui exposent vos points de terminaison aux vecteurs d’attaque dans les partages réseau Windows. Cela vous aide à :

   • Interdire l’accès hors connexion aux partages
   • Supprimer des partages du dossier racine
   • Supprimer l’autorisation d’écriture de partage définie sur « Tout le monde »
   • Définir l’énumération de dossiers pour les partages

5. Affichez et surveillez les appareils de votre organisation à l’aide d’un rapport Appareils vulnérables qui affiche des graphiques et des graphiques à barres avec les tendances des appareils vulnérables et les statistiques actuelles. L’objectif est que vous compreniez le souffle et l’étendue de l’exposition de votre appareil.

Étape 3 : Configurer les évaluations de la base de référence de sécurité

Au lieu d’exécuter des analyses de conformité à un instant dans le temps, l’évaluation des bases de référence de sécurité vous permet de surveiller en temps réel la conformité de votre organisation par rapport aux points de référence de sécurité du secteur. Un profil de base de référence de sécurité est un profil personnalisé que vous pouvez créer pour évaluer et surveiller les points de terminaison de votre organisation par rapport aux points de référence de sécurité du secteur (CIS, NIST, MS). Lorsque vous créez un profil de base de référence de sécurité, vous créez un modèle composé de plusieurs paramètres de configuration d’appareil et d’un point de référence de base à comparer.

Les bases de référence de sécurité prennent en charge les benchmarks CIS (Center for Internet Security) pour Windows 10, Windows 11 et Windows Server 2008 R2 et versions ultérieures, ainsi que les références STIG (Security Technical Implementation Guides) pour Windows 10 et Windows Server 2019.

1. Bien démarrer avec l’évaluation des bases de référence de sécurité
2. Passer en revue les résultats de l’évaluation du profil de base de référence de sécurité
3. Utiliser la chasse avancée

Remarque

Lorsque la version d’évaluation se termine, les profils de base de référence de sécurité peuvent être stockés pendant une courte période supplémentaire avant d’être supprimés.

Étape 4 : Créer des rapports significatifs pour obtenir des insights approfondis à l’aide des API et de la chasse avancée

Les API de gestion des vulnérabilités Defender peuvent vous aider à clarifier votre organisation avec des vues personnalisées sur votre posture de sécurité et l’automatisation des workflows de gestion des vulnérabilités. Réduisez la charge de travail de votre équipe de sécurité avec la collecte de données, l’analyse du score de risque et les intégrations à vos autres processus et solutions organisationnels. Pour plus d’informations, reportez-vous aux rubriques suivantes :

• Exporter des méthodes et des propriétés d’évaluation par appareil
• Blog des API de gestion des vulnérabilités Defender

La chasse avancée permet un accès flexible aux données brutes defender Vulnerability Management, ce qui vous permet d’inspecter de manière proactive les entités à la recherche de menaces connues et potentielles. Pour plus d’informations, consultez Rechercher les appareils exposés.

Informations sur les licences et les versions d’évaluation

Dans le cadre de la configuration de la version d’évaluation, les nouvelles licences d’évaluation defender Vulnerability Management seront appliquées automatiquement aux utilisateurs. Par conséquent, aucune affectation n’est nécessaire (la version d’évaluation peut s’appliquer automatiquement jusqu’à 1 000 000 licences). Les licences sont actives pendant la durée de la version d’évaluation.

Prise en main de la version d’évaluation

Vous pouvez commencer à utiliser les fonctionnalités de gestion des vulnérabilités de Defender dès que vous les voyez dans le portail Microsoft Defender. Rien n’est créé automatiquement et les utilisateurs ne seront pas affectés. Lorsque vous accédez à chaque solution, vous pouvez être guidé pour effectuer des configurations d’installation supplémentaires pour commencer à utiliser des fonctionnalités.

Extension de l’évaluation

Vous pouvez prolonger l’essai dans les 15 derniers jours de la période d’essai. Vous êtes limité à un maximum de deux périodes d’évaluation. Si vous ne l’étendez pas avant la fin de votre période d’essai, vous devez patienter au moins 30 jours avant de vous inscrire à une deuxième version d’évaluation.

Fin de la version d’essai

Les administrateurs peuvent désactiver la version d’évaluation à tout moment en sélectionnant Essais dans le volet de navigation gauche, en accédant à la carte d’évaluation de Defender Vulnerability Management et en sélectionnant Mettre fin à l’essai.

Sauf indication contraire pour la solution, vos données d’essai seront conservées pendant un certain temps, généralement 180 jours, avant d’être définitivement supprimées. Vous pouvez continuer à accéder aux données recueillies pendant l’essai jusqu’à ce moment-là.

Ressources supplémentaires

• Conditions générales : consultez les conditions générales des versions d’évaluation de Microsoft 365.
• Comparer les offres : Gestion des vulnérabilités Microsoft Defender
• Documentation sur la gestion des vulnérabilités defender
• Feuille de données : Gestion des vulnérabilités Microsoft Defender : réduire les cyber-risques grâce à la découverte et à l’évaluation continues des vulnérabilités, à la hiérarchisation basée sur les risques et à la correction