次の方法で共有

組織の脆弱性

Microsoft Defender 脆弱性の管理の [弱点] ページには、CVE ID によって既知の一般的な脆弱性と公開 (CVEs) が一覧表示されます。

CVE ID は、ソフトウェア、ハードウェア、ファームウェアに影響を与える、公開されているサイバーセキュリティの脆弱性に割り当てられた一意の ID です。 組織は、脆弱性を特定して追跡するための標準的な方法を提供し、organizationでこれらの脆弱性を理解し、優先順位を付け、対処するのに役立ちます。 CVEs は、 https://www.cve.org/からアクセスされたパブリック レジストリで追跡されます。

Defender 脆弱性の管理では、エンドポイント センサーを使用して、organization内のこれらの脆弱性やその他の脆弱性をスキャンして検出します。

適用対象:

重要

Defender 脆弱性の管理は、アプリケーションとコンポーネントの Log4j の脆弱性を特定するのに役立ちます。 詳細情報 を参照してください。

弱点の概要ページ

[弱点] ページにアクセスするには、Microsoft Defender ポータル[脆弱性管理] ナビゲーション メニューから [弱点] を選択します。

[弱点] ページが開き、デバイスが公開されている CV の一覧が表示されます。 重大度、一般的な脆弱性スコアリング システム (CVSS) の評価、対応する侵害と脅威の分析情報などを表示できます。

弱点のランディング ページのスクリーンショット

脆弱性に公式の CVE-ID が割り当てられていない場合、脆弱性名は TVM-2020-002 形式を使用してDefender 脆弱性の管理によって割り当てられます。

注:

弱点ページから CSV ファイルにエクスポートできるレコードの最大数は 8,000 で、エクスポートは 64 KB を超えてはなりません。 結果が大きすぎてエクスポートできなくなるというメッセージが表示される場合は、クエリを絞り込んで含めるレコード数を減らします。

現在、Defender 脆弱性の管理では、脆弱性 (CVEs) をデバイスに関連付ける場合、32 ビットと 64 ビットのシステム アーキテクチャは区別されません。 この制限により、特に CVE が 1 つのアーキテクチャの種類にのみ適用される場合に、誤検知が発生する可能性があります。 たとえば、Windows Server 2016 マシンでは、PHP にCVE-2024-11236のフラグが正しく設定されませんでした。これは、32 ビット システムにのみ影響します。 アーキテクチャは現在相関プロセスに組み込まれていないため、CVE は 64 ビット サーバーに誤って関連付けされていました。 これは既知の問題であり、解決策はロードマップにあります。

侵害と脅威に関する分析情報

進行中の脅威に関連する推奨事項に優先順位を付ける必要があります。 [脅威] 列にある情報を使用して 脆弱性の優先順位を付けることができます。 進行中の脅威の脆弱性を表示するには、[ 脅威 ] 列を次のようにフィルター処理します。

  • 関連するアクティブなアラート
  • Exploit を使用できます
  • Exploit が検証されました
  • Exploit はエクスプロイト キットの一部です

脅威分析情報アイコン 赤いバグの単純な描画 。脆弱性に関連する悪用がある場合は、[ 脅威 ] 列で強調表示されます。

脅威列アイコンのスクリーンショット

アイコンの上にマウス ポインターを合わせると、脅威が悪用キットの一部であるか、特定の高度な永続的なキャンペーンまたはアクティビティ グループに接続されているかが示されます。 使用可能な場合は、脅威分析レポートへのリンクがあり、0 日間の悪用に関するニュース、開示、または関連するセキュリティ アドバイザリが含まれます。

アイコンの上にマウス ポインターを合わせると表示される可能性がある脅威分析情報のテキスト。これは、複数の箇条書きとリンクされたテキストを持っています。

organizationに脆弱性が見つかった場合は、侵害分析情報アイコンが強調表示されます。 ターゲットに当たる矢印の単純な描画。 .

アイコンの上にマウス ポインターを合わせると表示される可能性がある侵害分析情報テキストの例。これは、「可能なアクティブなアラートは、この推奨事項に関連付けられています。

[ 公開されたデバイス] 列には、脆弱性に現在公開されているデバイスの数が表示されます。 列に 0 が表示されている場合は、リスクが発生していないことを意味します。

脆弱性に関する分析情報を取得する

脆弱性ページから CVE を選択すると、ポップアップ パネルが開き、脆弱性の説明、詳細、脅威の分析情報などの詳細情報が表示されます。 AI によって生成された脆弱性の説明は、脆弱性、その影響、推奨される修復手順、および利用可能な場合は追加情報に関する詳細情報を提供します。

弱点 -ポップアップ ウィンドウのスクリーンショット

CVE ごとに、公開されているデバイスと影響を受けるソフトウェアの一覧が表示されます。

Exploit Prediction Scoring System (EPSS)

Exploit Prediction Scoring System (EPSS) は、既知のソフトウェアの脆弱性が野生で悪用される確率のデータドリブン スコアを生成します。 EPSS では、CVE と実際のエクスプロイト データからの現在の脅威情報が使用されます。 各 CVE について、EPSS モデルは 0 ~ 1 (0% から 100%) の確率スコアを生成します。 スコアが高いほど、脆弱性が悪用される可能性が高くなります。 EPSS の詳細については、こちらをご覧ください。

EPSS は、弱点とその悪用確率に関する知識を強化し、それに応じて優先順位を付けることができるよう設計されています。

EPSS スコアを表示するには、Microsoft Defender ポータルの [弱点] ページから CVE を選択します。

弱点 epss スコアのスクリーンショット。

EPSS が 0.9 より大きい場合、 脅威 列のヒントが値で更新され、軽減策の緊急性が伝えられます。

脅威のヒントの弱点 epss スコアのスクリーンショット。

注:

EPSS スコアが0.001より小さい場合は、 0と見なされます。

脆弱性 API を使用して、EPSS スコアを確認できます。

セキュリティに関する推奨事項を使用して、公開されているデバイスの脆弱性を修復し、資産とorganizationのリスクを軽減します。 セキュリティに関する推奨事項が利用可能な場合は、[ 関連するセキュリティに関する推奨事項に移動 ] を選択して、脆弱性を修復する方法の詳細を確認できます。

弱点のポップアップの例。

CVE の推奨事項は、多くの場合、関連するソフトウェアのセキュリティ更新プログラムを通じて脆弱性を修復することです。 ただし、一部の CVEs にはセキュリティ更新プログラムがありません。 これは、CVE またはサブセットに関連するすべてのソフトウェアに適用される場合があります。たとえば、ソフトウェア発行元は、特定の脆弱なバージョンで問題を解決しないことを決定する場合があります。

セキュリティ更新プログラムが関連する一部のソフトウェアでのみ使用できる場合、CVE には CVE 名の下に "利用可能な更新プログラム" というタグがあります。 利用可能な更新プログラムが少なくとも 1 つある場合は、関連するセキュリティに関する推奨事項に移動できます。

使用可能なセキュリティ更新プログラムがない場合、CVE には CVE 名の下に "セキュリティ更新プログラムなし" というタグがあります。 この場合、関連するセキュリティの推奨事項に移動するオプションはありません。 使用できるセキュリティ更新プログラムがないソフトウェアは、[セキュリティに関する推奨事項] ページから除外されます。

注:

セキュリティに関する推奨事項には、セキュリティ更新プログラムが利用可能なデバイスとソフトウェア パッケージのみが含まれます。

CVE のサポートを要求する

脆弱性管理で現在サポートされていないソフトウェアの CVE は、[弱点] ページに引き続き表示されます。 このソフトウェアはサポートされていないため、利用できるデータは限られています。 公開されているデバイス情報は、サポートされていないソフトウェアの CVEs では使用できません。

サポートされていないソフトウェアの一覧を表示するには、[公開されているデバイス] セクションの [利用できない] オプションで弱点ページをフィルター処理します。

特定の CVE のDefender 脆弱性の管理にサポートを追加するように要求できます。 サポートを要求するには:

  1. Microsoft Defender ポータルで、[Endpoints>Vulnerability management] に移動し、[弱点] を選択します。 一覧で CVE を選択します。

  2. [ 脆弱性の詳細 ] タブで、[ この CVE をサポートしてください] を選択します。 お客様の要求は Microsoft に送信され、システム内の他の CVE の優先順位付けに役立ちます。

    注:

    要求 CVE サポート機能は、GCC、GCC High、DoD のお客様には使用できません。

    サポート CVE ボタンを使用した弱点のポップアップの例。

ダッシュボードの脆弱な上位のソフトウェア

  1. Microsoft Defender ポータルで、Endpoints>Vulnerability Management>Dashboard に移動し、[脆弱なソフトウェアの上位] カードまで下にスクロールします。 ソフトウェア アプリケーションで見つかった脆弱性の数と、脅威情報と、時間の経過に伴うデバイスの露出の概要が表示されます。

    脆弱なソフトウェアカードの上位。

  2. 調査するソフトウェアを選択します。

  3. [ 検出された脆弱性 ] タブを選択します。

  4. 調査する脆弱性を選択して、CVE の詳細を含むポップアップ パネルを開きます。

デバイス ページで脆弱性を検出する

デバイス ページで関連する弱点情報を表示します。

  1. Microsoft Defender ポータルの [資産] で、[デバイス] を選択します

  2. [ デバイス インベントリ ] ページで、調査するデバイス名を選択します。

  3. [ デバイス ページを開く ] を選択し、[ 検出された脆弱性] を選択します。

  4. 調査する脆弱性を選択して、CVE の詳細を含むポップアップ パネルを開きます。

CVE 検出ロジック

ソフトウェアの証拠と同様に、デバイスに適用されている検出ロジックを表示して、脆弱であることを示すことができます。 検出ロジックを確認するには:

  1. Microsoft Defender ポータルの [資産] で、[デバイス] を選択して [デバイス インベントリ] ページを開きます。 次に、デバイスを選択します。

  2. [ デバイス ページを開く ] を選択し、デバイス ページから [ 検出された脆弱性 ] を選択します。

  3. 調査する脆弱性を選択します。 ポップアップが開き、[ 検出ロジック ] セクションに検出ロジックとソースが表示されます。

    デバイスと KB で検出されたソフトウェアを一覧表示する検出ロジックの例。

"OS 機能" カテゴリは、関連するシナリオにも表示されます。 これは、特定の OS コンポーネントが有効になっている場合、脆弱性のある OS を実行するデバイスに CVE が影響を与える場合です。 たとえば、2019 または Windows Server 2022 Windows Server実行しているデバイスの DNS コンポーネントに脆弱性がある場合、CVE は DNS 機能が有効になっているデバイスにのみアタッチされます。

不正確さを報告する

あいまい、不正確、または不完全な情報が表示された場合は、誤検知を報告します。 また、既に修復されているセキュリティに関する推奨事項を報告することもできます。

  1. Microsoft Defender ポータルで、[Endpoints>Vulnerability management] に移動し、[弱点] を選択します。

  2. アイテムを選択し、[ レポートの不正確さ] を選択します。

  3. ポップアップ ウィンドウで、報告する問題を選択します。

  4. 不正確さに関する要求された詳細を入力します。 これは、報告する問題によって異なります。

  5. [送信] を選択します。 フィードバックはすぐにDefender 脆弱性の管理エキスパートに送信されます。

    レポートの不正確なオプション。

ヒント

Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。