Delen via

Beveiligingsproblemen in mijn organisatie

  • Artikel

Op de pagina Zwakke punten in Microsoft Defender Vulnerability Management worden bekende veelvoorkomende beveiligingsproblemen en blootstellingen (CVE) vermeld op basis van hun CVE-id.

CVE-id's zijn unieke id's die zijn toegewezen aan openbaar gemaakte beveiligingsproblemen op het gebied van cyberbeveiliging die van invloed zijn op software, hardware en firmware. Ze bieden organisaties een standaardmethode om beveiligingsproblemen te identificeren en bij te houden, en helpen hen deze beveiligingsproblemen in hun organisatie te begrijpen, te prioriteren en aan te pakken. CDE's worden bijgehouden in een openbaar register dat wordt geopend vanuit https://www.cve.org/.

Defender Vulnerability Management gebruikt eindpuntsensoren om deze en andere beveiligingsproblemen in een organisatie te scannen en te detecteren.

Van toepassing op:

Belangrijk

Defender Vulnerability Management kunt u helpen bij het identificeren van Log4j-beveiligingsproblemen in toepassingen en onderdelen. Meer informatie.

Tip

Wist u dat u alle functies in Microsoft Defender Vulnerability Management gratis kunt uitproberen? Meer informatie over hoe u zich kunt aanmelden voor een gratis proefversie.

Overzichtspagina zwakke punten

Als u de pagina Zwakke punten wilt openen, selecteert u Zwakke punten in het navigatiemenu Beheer van beveiligingsproblemen in de Microsoft Defender-portal

De pagina Zwakke punten wordt geopend met een lijst met de CVE's waaraan uw apparaten worden blootgesteld. U kunt de ernst, de CVSS-classificatie (Common Vulnerability Scoring System), de bijbehorende inzichten in inbreuken en bedreigingen bekijken, en meer.

Schermopname van de landingspagina voor zwakke punten

Opmerking

Als er geen officiële CVE-id is toegewezen aan een beveiligingsprobleem, wordt de naam van het beveiligingsprobleem toegewezen door Microsoft Defender Vulnerability Management en heeft deze de indeling TVM-2020-002.

Opmerking

Het maximum aantal records dat u van de zwakke puntenpagina naar een CSV-bestand kunt exporteren, is 8000 en de export mag niet groter zijn dan 64 KB. Als u een bericht ontvangt waarin staat dat de resultaten te groot zijn om te exporteren, verfijnt u uw query zodat er minder records worden opgenomen.

Inzichten in inbreuken en bedreigingen

Het is belangrijk om prioriteit te geven aan aanbevelingen die zijn gekoppeld aan doorlopende bedreigingen. U kunt de informatie in de kolom Bedreigingen gebruiken om prioriteit te geven aan beveiligingsproblemen. Als u beveiligingsproblemen met doorlopende bedreigingen wilt bekijken, filtert u de kolom Bedreigingen op:

  • Gekoppelde actieve waarschuwing
  • Exploit is beschikbaar
  • Misbruik is geverifieerd
  • Deze exploit maakt deel uit van een exploit kit

Het pictogram bedreigingsinformatie Eenvoudige tekening van een rode bug. is gemarkeerd in de kolom Bedreigingen als er aanvallen in een beveiligingsprobleem zijn gekoppeld.

Schermopname van de kolompictogrammen voor bedreigingen

Als u de muisaanwijzer boven het pictogram houdt, ziet u of de bedreiging deel uitmaakt van een exploit kit of is verbonden met specifieke geavanceerde permanente campagnes of activiteitengroepen. Indien beschikbaar, is er een koppeling naar een Bedreigingsanalyse-rapport met zero-day-exploitatienieuws, openbaarmakingen of gerelateerde beveiligingsadviezen.

Bedreigingsinformatietekst die kan worden weergegeven wanneer u het pictogram aanwijst. Deze heeft meerdere opsommingstekens en gekoppelde tekst.

Het pictogram Voor inbreukinzichten is gemarkeerd als er een beveiligingsprobleem is gevonden in uw organisatie. Eenvoudige tekening van een pijl die een doel raakt.

Voorbeeld van een tekst voor inbreukinzichten die kan worden weergegeven wanneer u het pictogram aanwijst. In deze tekst staat:'mogelijke actieve waarschuwing is gekoppeld aan deze aanbeveling.

In de kolom Blootgestelde apparaten ziet u hoeveel apparaten momenteel worden blootgesteld aan een beveiligingsprobleem. Als in de kolom 0 wordt weergegeven, loopt u geen risico.

Inzichten in beveiligingsproblemen verkrijgen

Als u een CVE selecteert op de pagina zwakke punten, wordt er een flyoutvenster geopend met meer informatie, zoals de beschrijving, details en bedreigingsinformatie. De beschrijving van het door AI gegenereerde beveiligingsprobleem bevat gedetailleerde informatie over het beveiligingsprobleem, het effect ervan, aanbevolen herstelstappen en eventuele aanvullende informatie, indien beschikbaar.

Schermopname van het deelvenster zwakke punten-flyout

Voor elke CVE ziet u een lijst met de blootgestelde apparaten en de betrokken software.

Exploit Prediction Scoring System (EPSS)

Het Exploit Prediction Scoring System (EPSS) genereert een gegevensgestuurde score voor de kans dat een bekend softwareprobleem in het wild wordt misbruikt. EPSS maakt gebruik van actuele bedreigingsinformatie van de CVE en praktijkexplosies. Voor elke CVE produceert het EPSS-model een waarschijnlijkheidsscore tussen 0 en 1 (0% en 100%). Hoe hoger de score, hoe groter de kans dat een beveiligingsprobleem wordt misbruikt. Meer informatie over EPSS.

EPSS is ontworpen om uw kennis van zwakke punten en de kans op misbruik te verrijken, en stelt u in staat om dienovereenkomstig prioriteiten te stellen.

Als u de EPSS-score wilt zien, selecteert u een CVE op de pagina Zwakke punten in de Microsoft Defender-portal:

Schermopname van de epss-score voor zwakke punten.

Wanneer de EPSS groter is dan 0,9, wordt de knopinfo voor de kolom Bedreigingen bijgewerkt met de waarde om de urgentie van beperking aan te geven:

Schermopname van de epss-score voor zwakke punten in de knopinfo voor bedreigingen.

Opmerking

Houd er rekening mee dat als de EPSS-score kleiner is dan 0,001, deze wordt beschouwd als 0.

U kunt de API voor beveiligingsproblemen gebruiken om de EPSS-score te bekijken.

Gebruik beveiligingsaanbeveling om de beveiligingsproblemen op blootgestelde apparaten op te lossen en het risico voor uw assets en organisatie te verminderen. Wanneer een beveiligingsaanmelding beschikbaar is, kunt u Ga naar de gerelateerde beveiligingsaanmelding selecteren voor meer informatie over het oplossen van het beveiligingsprobleem.

Voorbeeld van een flyout voor zwakte.

Aanbevelingen voor een CVE zijn vaak bedoeld om het beveiligingsprobleem op te lossen via een beveiligingsupdate voor de gerelateerde software. Sommige CVE's hebben echter geen beveiligingsupdate beschikbaar. Dit kan van toepassing zijn op alle gerelateerde software voor een CVE of alleen een subset. Een softwareleverancier kan bijvoorbeeld besluiten het probleem niet op een bepaalde kwetsbare versie op te lossen.

Wanneer een beveiligingsupdate alleen beschikbaar is voor een deel van de gerelateerde software, heeft de CVE de tag 'Sommige updates beschikbaar' onder de CVE-naam. Zodra er ten minste één update beschikbaar is, kunt u naar de gerelateerde beveiligingsaanbeveling gaan.

Als er geen beveiligingsupdate beschikbaar is, heeft de CVE de tag 'Geen beveiligingsupdate' onder de CVE-naam. Er is geen optie om naar de gerelateerde beveiligingsaanbeveling te gaan, omdat software waarvoor geen beveiligingsupdate beschikbaar is, wordt uitgesloten van de pagina Beveiligingsaanbeveling.

Opmerking

Beveiligingsaanbevelingen omvatten alleen apparaten en softwarepakketten waarvoor beveiligingsupdates beschikbaar zijn.

CVE-ondersteuning aanvragen

Een CVE voor software die momenteel niet wordt ondersteund door beveiligingsbeheer, wordt nog steeds weergegeven op de pagina Zwakke punten. Omdat de software niet wordt ondersteund, zijn er slechts beperkte gegevens beschikbaar. Beschikbare apparaatgegevens zijn niet beschikbaar voor CVE's met niet-ondersteunde software.

Als u een lijst met niet-ondersteunde software wilt weergeven, filtert u de zwakke puntenpagina op de optie 'Niet beschikbaar' in de sectie 'Blootgestelde apparaten'.

U kunt ondersteuning aanvragen om te worden toegevoegd aan Defender Vulnerability Management voor een bepaalde CVE. Ondersteuning aanvragen:

  1. Selecteer de CVE op de pagina Zwakke punten in de Microsoft Defender-portal

  2. Selecteer Deze CVE ondersteunen op het tabblad Details van beveiligingsproblemen

    De aanvraag wordt verzonden naar Microsoft en helpt ons bij het prioriteren van deze CVE, onder andere in ons systeem.

    Opmerking

    Ondersteuningsfunctionaliteit voor CVE aanvragen is niet beschikbaar voor GCC-, GCC High- en DoD-klanten.

    Voorbeeld van een flyout met ondersteunings-CVE-knop.

Veelvoorkomende vermeldingen voor beveiligingsproblemen en blootstellingen (CVE) op andere plaatsen weergeven

Meest kwetsbare software in het dashboard

  1. Ga naar het dashboard Defender Vulnerability Management en schuif omlaag naar de widget Bovenste kwetsbare software. U ziet het aantal beveiligingsproblemen dat in elke software is gevonden, samen met bedreigingsinformatie en een weergave op hoog niveau van de blootstelling van apparaten in de loop van de tijd.

    Top kwetsbare softwarekaart.

  2. Selecteer de software die u wilt onderzoeken.

  3. Selecteer het tabblad Gedetecteerde beveiligingsproblemen .

  4. Selecteer het beveiligingsprobleem dat u wilt onderzoeken om een flyoutvenster met de CVE-details te openen.

Beveiligingsproblemen op de apparaatpagina detecteren

Informatie over gerelateerde zwakke punten weergeven op de apparaatpagina.

  1. Selecteer Apparaten in het navigatiemenu Activa in de Microsoft Defender portal.
  2. Selecteer op de pagina Apparaatinventaris de apparaatnaam die u wilt onderzoeken.
  3. Selecteer Apparaatpagina openen en selecteer Gedetecteerde beveiligingsproblemen op de apparaatpagina.
  4. Selecteer het beveiligingsprobleem dat u wilt onderzoeken om een flyoutvenster met de CVE-details te openen.

LOGICA voor CVE-detectie

Net als bij het software-bewijs tonen we de detectielogica die we op een apparaat hebben toegepast om aan te geven dat het kwetsbaar is.

De detectielogica bekijken:

  1. Selecteer een apparaat op de pagina Apparaatinventarisatie.

  2. Selecteer Apparaatpagina openen en selecteer Gedetecteerde beveiligingsproblemen op de apparaatpagina.

  3. Selecteer het beveiligingsprobleem dat u wilt onderzoeken.

    Er wordt een flyout geopend en de sectie Detectielogica toont de detectielogica en de bron.

    Voorbeeld van detectielogica waarin de software wordt vermeld die is gedetecteerd op het apparaat en de KB's.

De categorie 'Besturingssysteemfunctie' wordt ook weergegeven in relevante scenario's. Dit is wanneer een CVE van invloed is op apparaten met een kwetsbaar besturingssysteem als een specifiek besturingssysteemonderdeel is ingeschakeld. Als Windows Server 2019 of Windows Server 2022 bijvoorbeeld een beveiligingsprobleem bevat in het DNS-onderdeel, koppelen we deze CVE alleen aan de Windows Server 2019- en Windows Server 2022-apparaten waarvoor de DNS-functie is ingeschakeld in het besturingssysteem.

Onnauwkeurigheid rapporteren

Meld een fout-positief wanneer u vage, onnauwkeurige of onvolledige informatie ziet. U kunt ook rapporteren over beveiligingsaanbeveling die al zijn hersteld.

  1. Open de CVE op de pagina Zwakke punten.

  2. Selecteer Onnauwkeurigheid rapporteren.

  3. Kies in het flyoutvenster een probleem dat u wilt melden.

  4. Vul de gevraagde details in over de onnauwkeurigheid. Dit is afhankelijk van het probleem dat u rapporteert.

  5. Selecteer Verzenden. Uw feedback wordt onmiddellijk verzonden naar de Microsoft Defender Vulnerability Management experts.

    Opties voor onnauwkeurigheid rapporteren.