Vulnerabilidades na minha organização

  • Artigo

A página Fraquezas no Gerenciamento de Vulnerabilidades do Microsoft Defender lista as vulnerabilidades e exposições comuns conhecidas (CVE) por sua ID CVE.

As IDs CVE são IDs exclusivas atribuídas a vulnerabilidades de segurança cibernética divulgadas publicamente que afetam software, hardware e firmware. Elas fornecem às organizações uma maneira padrão de identificar e rastrear vulnerabilidades e as ajuda a entender, priorizar e resolver essas vulnerabilidades em sua organização. Os CVEs são rastreados em um registro público acessado de https://www.cve.org/.

O Gerenciamento de Vulnerabilidades do Defender usa sensores de ponto de extremidade para verificar e detectar essas e outras vulnerabilidades em uma organização.

Aplica-se a:

Importante

O Gerenciamento de Vulnerabilidades do Defender pode ajudar a identificar vulnerabilidades do Log4j em aplicativos e componentes. Saiba mais.

Dica

Você sabia que pode experimentar todos os recursos em Gerenciamento de Vulnerabilidades do Microsoft Defender gratuitamente? Descubra como se inscrever para uma avaliação gratuita.

Página de visão geral de fraquezas

Para acessar a página Fraquezas, selecione Fraquezas no menu de navegação de gerenciamento de vulnerabilidades no portal Microsoft Defender

A página Fraquezas é aberta com uma lista dos CVEs aos quais seus dispositivos estão expostos. Você pode exibir a severidade, a classificação do CVSS (Common Vulnerability Score System), os insights de violação e ameaça correspondentes e muito mais.

Captura de tela da página de destino de fraquezas

Observação

Se não houver nenhuma CVE-ID oficial atribuída a uma vulnerabilidade, o nome da vulnerabilidade será atribuído por Gerenciamento de Vulnerabilidades do Microsoft Defender e será o formato TVM-2020-002.

Observação

O número máximo de registros que você pode exportar da página de fraquezas para um arquivo CSV é 10.000.

Insights de violação e ameaça

É importante priorizar recomendações associadas a ameaças contínuas. Você pode usar as informações disponíveis na coluna Ameaças para ajudar a priorizar vulnerabilidades. Para ver vulnerabilidades com ameaças contínuas, filtre a coluna Ameaças por:

  • Alerta ativo associado
  • A exploração está disponível
  • Exploração é Verificada
  • Essa exploração faz parte de um kit de exploração

O ícone insights de ameaças O desenho simples de um bug vermelho será realçado na coluna Ameaças se houver explorações associadas em uma vulnerabilidade.

Captura de tela dos ícones da coluna ameaças

Passar o mouse sobre o ícone mostra se a ameaça faz parte de um kit de exploração ou conectada a campanhas ou grupos de atividades persistentes avançados específicos. Quando disponível, há um link para um relatório do Threat Analytics com notícias de exploração de zero dias, divulgações ou avisos de segurança relacionados.

Texto de insights de ameaças que pode aparecer ao passar o mouse sobre o ícone. Este tem vários pontos de bala e texto vinculado.

O ícone de insights de violação será realçado se houver uma vulnerabilidade encontrada em sua organização. Desenho simples de uma seta atingindo um destino.

Exemplo de um texto de insights de violação que pode aparecer ao passar o mouse sobre o ícone. Este diz que

A coluna Dispositivos Expostos mostra quantos dispositivos estão atualmente expostos a uma vulnerabilidade. Se a coluna mostrar 0, isso significa que você não está em risco.

Obter insights de vulnerabilidade

Se você selecionar um CVE na página pontos fracos, um painel de sobrevoo será aberto com mais informações, como a descrição da vulnerabilidade, detalhes e insights sobre ameaças. A descrição da vulnerabilidade gerada pela IA fornece informações detalhadas sobre a vulnerabilidade, seu impacto, etapas de correção recomendadas e qualquer informação adicional, se disponível.

Captura de tela do painel fraquezas-flyout

Para cada CVE, você pode ver uma lista dos dispositivos expostos e do software afetado.

Use recomendações de segurança para corrigir as vulnerabilidades em dispositivos expostos e reduzir o risco para seus ativos e organização. Quando uma recomendação de segurança estiver disponível, você pode selecionar Ir para a recomendação de segurança relacionada para obter detalhes sobre como corrigir a vulnerabilidade.

Exemplo de sobrevoo de fraqueza.

As recomendações para um CVE geralmente são corrigir a vulnerabilidade por meio de uma atualização de segurança para o software relacionado. No entanto, alguns CVEs não terão uma atualização de segurança disponível. Isso pode se aplicar a todo o software relacionado para um CVE ou apenas a um subconjunto, por exemplo, um fornecedor de software pode decidir não corrigir o problema em uma versão vulnerável específica.

Quando uma atualização de segurança estiver disponível apenas para alguns dos softwares relacionados, a CVE terá a marca "Algumas atualizações disponíveis" no nome CVE. Depois que houver pelo menos uma atualização disponível, você terá a opção de ir para a recomendação de segurança relacionada.

Se não houver nenhuma atualização de segurança disponível, o CVE terá a marca "Nenhuma atualização de segurança" no nome CVE. Não haverá opção de ir para a recomendação de segurança relacionada, pois o software que não tem uma atualização de segurança disponível é excluído da página recomendações de segurança.

Observação

As recomendações de segurança incluem apenas dispositivos e pacotes de software que têm atualizações de segurança disponíveis.

Solicitar suporte ao CVE

Um CVE para software que não tem suporte no momento pelo gerenciamento de vulnerabilidades ainda aparece na página Fraquezas. Como o software não tem suporte, apenas dados limitados estarão disponíveis. As informações de dispositivo expostas não estarão disponíveis para CVEs com software sem suporte.

Para exibir uma lista de software sem suporte, filtre a página de fraquezas pela opção "Não disponível" na seção "Dispositivos expostos".

Você pode solicitar que o suporte seja adicionado ao Gerenciamento de Vulnerabilidades do Defender para uma CVE específica. Para solicitar suporte:

  1. Selecione a CVE na página Fraquezas no portal Microsoft Defender
  2. Selecione Dar suporte a esse CVE na guia Detalhes da vulnerabilidade

Essa solicitação será enviada para a Microsoft e nos ajudará a priorizar essa CVE entre outras pessoas em nosso sistema.

Ponto de exclusão fraco com o exemplo de botão CVE de suporte.

Exibir entradas CVE (Vulnerabilidades Comuns e Exposições) em outros locais

Software vulnerável superior no dashboard

  1. Acesse o dashboard de Gerenciamento de Vulnerabilidades do Defender e role para baixo até o widget de software vulnerável Superior. Você verá o número de vulnerabilidades encontradas em cada software, juntamente com informações sobre ameaças e uma exibição de alto nível da exposição do dispositivo ao longo do tempo.

Cartão de software vulnerável superior.

  1. Selecione o software que você deseja investigar.
  2. Selecione a guia Vulnerabilidades descobertas .
  3. Selecione a vulnerabilidade que você deseja investigar para abrir um painel de sobrevoo com os detalhes da CVE.

Descobrir vulnerabilidades na página do dispositivo

Exibir informações de fraquezas relacionadas na página do dispositivo.

  1. Selecione Dispositivos no menu de navegação ativos no portal Microsoft Defender.
  2. Na página Inventário de dispositivos , selecione o nome do dispositivo que você deseja investigar.
  3. Selecione Abrir página do dispositivo e selecione Vulnerabilidades descobertas na página do dispositivo.
  4. Selecione a vulnerabilidade que você deseja investigar para abrir um painel de sobrevoo com os detalhes da CVE.

Lógica de detecção de CVE

Semelhante à evidência de software, mostramos a lógica de detecção que aplicamos em um dispositivo para afirmar que ele é vulnerável.

Para ver a lógica de detecção:

  1. Selecione um dispositivo na página Inventário de dispositivos.
  2. Selecione Abrir página do dispositivo e selecione Vulnerabilidades descobertas na página do dispositivo.
  3. Selecione a vulnerabilidade que você deseja investigar.

Um flyout será aberto e a seção Lógica de detecção mostra a lógica e a origem da detecção.

Exemplo de lógica de detecção que lista o software detectado no dispositivo e nos KBs.

A categoria "Recurso do SISTEMA OPERACIONAL" também é mostrada em cenários relevantes. É quando um CVE afeta dispositivos que executam um sistema operacional vulnerável se um componente do sistema operacional específico estiver habilitado. Por exemplo, se o Windows Server 2019 ou o Windows Server 2022 tiver vulnerabilidade em seu componente DNS, só anexaremos esse CVE aos dispositivos Windows Server 2019 e Windows Server 2022 com a funcionalidade DNS habilitada no sistema operacional.

Imprecisão de relatório

Denuncie um falso positivo quando você vir qualquer informação vaga, imprecisa ou incompleta. Você também pode relatar as recomendações de segurança que já foram corrigidas.

  1. Abra o CVE na página Fraquezas.
  2. Selecione Imprecisão de relatório e um painel de sobrevoo será aberto.
  3. No painel de sobrevoo, escolha um problema para relatar.
  4. Preencha os detalhes solicitados sobre a imprecisão. Isso vai variar dependendo do problema que você está relatando.
  5. Selecione Enviar. Seus comentários são imediatamente enviados aos especialistas do Gerenciamento de Vulnerabilidades do Microsoft Defender.

Opções de imprecisão de relatório.