Valutazione delle baseline di sicurezza
Si applica a:
- Gestione delle vulnerabilità di Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender per server Piano 2
Nota
Per usare questa funzionalità è necessario Microsoft Defender Vulnerability Management Standalone o se si è già un cliente di Microsoft Defender per Endpoint Piano 2, il componente aggiuntivo Defender Vulnerability Management.
Invece di eseguire analisi di conformità senza fine, la valutazione delle baseline di sicurezza consente di monitorare continuamente e senza sforzo la conformità delle baseline di sicurezza dell'organizzazione e di identificare le modifiche in tempo reale.
Un profilo di baseline di sicurezza è un profilo personalizzato che è possibile creare per valutare e monitorare gli endpoint nell'organizzazione rispetto ai benchmark di sicurezza del settore. Quando si crea un profilo di baseline di sicurezza, si crea un modello costituito da più impostazioni di configurazione del dispositivo e da un benchmark di base con cui eseguire il confronto.
Le baseline di sicurezza forniscono il supporto per i benchmark CiS (Center for Internet Security) per Windows 10, Windows 11 e Windows Server 2008 R2 e versioni successive, nonché i benchmark STIG (Security Technical Implementation Guides) per Windows 10 e Windows Server 2019.
Nota
I benchmark supportano attualmente solo le configurazioni degli oggetti Criteri di gruppo e non Microsoft Configuration Manager (Intune).
Consiglio
Sapevi che puoi provare gratuitamente tutte le funzionalità di Gestione vulnerabilità di Microsoft Defender? Scopri come iscriversi per una versione di valutazione gratuita.
Nota
La valutazione della baseline di sicurezza non è supportata quando DFSS (Dynamic Fair Share Scheduling) è abilitato in Windows Server 2012 R2.
Introduzione alla valutazione delle baseline di sicurezza
Passare allavalutazione delle baseline di gestione > delle vulnerabilitànel portale di Microsoft Defender.
Selezionare la scheda Profili nella parte superiore e quindi selezionare il pulsante Crea profilo .
Immettere un nome e una descrizione per il profilo baseline di sicurezza e selezionare Avanti.
Nella pagina Ambito profilo baseline impostare le impostazioni del profilo, ad esempio software, benchmark di base (CIS o STIG) e il livello di conformità e selezionare Avanti.
Selezionare le configurazioni da includere nel profilo.
Selezionare Personalizza se si vuole modificare il valore di configurazione della soglia per l'organizzazione.
Selezionare Avanti per scegliere i gruppi di dispositivi e i tag di dispositivo da includere nel profilo di base. Il profilo verrà applicato automaticamente ai dispositivi aggiunti a questi gruppi in futuro.
Selezionare Avanti per esaminare il profilo.
Selezionare Invia per creare il profilo.
Nella pagina finale selezionare Visualizza pagina profilo per visualizzare i risultati della valutazione.
Nota
È possibile creare più profili per lo stesso sistema operativo con varie personalizzazioni.
Quando si personalizza una configurazione, accanto verrà visualizzata un'icona per indicare che è stata personalizzata e che non usa più il valore consigliato. Selezionare il pulsante di reimpostazione per ripristinare il valore consigliato.
Icone utili da tenere presenti:
: questa configurazione è stata personalizzata in precedenza. Quando si crea un nuovo profilo se si seleziona Personalizza, verranno visualizzate le varianti disponibili tra cui è possibile scegliere.
: questa configurazione è stata personalizzata e non usa il valore predefinito.
Panoramica della valutazione delle baseline di sicurezza
Nella pagina di panoramica della valutazione delle baseline di sicurezza è possibile visualizzare la conformità dei dispositivi, la conformità del profilo, i dispositivi con errori principali e i principali dispositivi non configurati correttamente.
Esaminare i risultati della valutazione del profilo di baseline di sicurezza
Nella pagina Profili selezionare uno dei profili per aprire un riquadro a comparsa con informazioni aggiuntive.
Selezionare Apri pagina profilo. La pagina del profilo contiene due schede Configurazioni e Dispositivi.
Visualizzazione in base alla configurazione
Nella scheda Configurazioni è possibile esaminare l'elenco delle configurazioni e valutarne lo stato di conformità segnalato.
Selezionando una configurazione nell'elenco, verrà visualizzato un riquadro a comparsa con i dettagli per l'impostazione dei criteri, incluso il valore consigliato (l'intervallo di valori previsto per un dispositivo da considerare conforme) e l'origine usata per determinare le impostazioni correnti del dispositivo.
La scheda Dispositivi mostra un elenco di tutti i dispositivi applicabili e il relativo stato di conformità rispetto a questa configurazione specifica. Per ogni dispositivo, è possibile usare il valore corrente rilevato per vedere perché è conforme o non conforme.
Visualizzazione in base al dispositivo
Nella scheda Dispositivi principale è possibile esaminare l'elenco dei dispositivi e valutarne lo stato di conformità segnalato.
Selezionando un dispositivo nell'elenco, verrà visualizzato un riquadro a comparsa con dettagli aggiuntivi.
Selezionare la scheda Configurazione per visualizzare la conformità di questo dispositivo specifico a tutte le configurazioni del profilo.
Nella parte superiore del pannello laterale del dispositivo selezionare Apri pagina del dispositivo per passare alla pagina del dispositivo nell'inventario del dispositivo. Nella pagina del dispositivo viene visualizzata la scheda Conformità di base che fornisce visibilità granulare sulla conformità del dispositivo.
Selezionando una configurazione nell'elenco, verrà visualizzato un riquadro a comparsa con i dettagli di conformità per l'impostazione dei criteri nel dispositivo.
Creare e gestire le eccezioni
È possibile che si verifichino casi in cui non si vuole valutare configurazioni specifiche in determinati dispositivi. Ad esempio, un dispositivo potrebbe essere sotto il controllo di terze parti o potrebbe avere già una mitigazione alternativa. In queste situazioni è possibile aggiungere eccezioni per escludere la valutazione di configurazioni specifiche in un dispositivo.
I dispositivi inclusi nelle eccezioni non verranno valutati per le configurazioni specificate nei profili di base. Ciò significa che non influirà sulle metriche e sul punteggio di un'organizzazione e può aiutare a fornire alle organizzazioni una visione più chiara della loro conformità.
Per visualizzare le eccezioni:
- Passare allavalutazione delle baseline di gestione > delle vulnerabilitànel portale di Microsoft Defender.
- Selezionare la scheda Eccezioni nella parte superiore
Per aggiungere una nuova eccezione:
Nella scheda Eccezioni selezionare il pulsante Crea .
Compilare i dettagli richiesti, inclusi il motivo della giustificazione e la durata.
Seleziona Avanti.
Nella pagina Ambito di configurazione scegliere il software, il benchmark di base e il livello di conformità e selezionare Avanti.
Selezionare le configurazioni da aggiungere all'eccezione.
Selezionare Avanti per scegliere i dispositivi da includere nell'eccezione. L'eccezione verrà applicata automaticamente ai dispositivi.
Selezionare Avanti per esaminare l'eccezione.
Selezionare Invia per creare l'eccezione.
Nella pagina finale selezionare Visualizza tutte le eccezioni per tornare alla pagina delle eccezioni.
Nella pagina Eccezioni selezionare una delle eccezioni per aprire un riquadro a comparsa in cui è possibile visualizzare lo stato, modificare o eliminare l'eccezione:
Usare la ricerca avanzata
È possibile eseguire query di ricerca avanzate nelle tabelle seguenti per ottenere visibilità sulle baseline di sicurezza nell'organizzazione:
- DeviceBaselineComplianceProfiles: fornisce dettagli sui profili creati.
- DeviceBaselineComplianceAssessment: informazioni correlate alla conformità del dispositivo.
- DeviceBaselineComplianceAssessmentKB: impostazioni generali per i benchmark CIS e STIG (non correlati ad alcun dispositivo).