Användarhandbok för utvärdering: Sårbarhetshantering i Microsoft Defender

Den här användarhandboken är ett enkelt verktyg som hjälper dig att konfigurera och få ut det mesta av din kostnadsfria utvärderingsversion av Microsoft Defender Vulnerability Management. Med hjälp av de föreslagna stegen i den här guiden från Microsofts säkerhetsteam får du lära dig hur sårbarhetshantering kan hjälpa dig att skydda dina användare och data.

Obs!

Utvärderingserbjudandet för Microsoft Defender Vulnerability Management är för närvarande inte tillgängligt för:

• Amerikanska myndighetskunder som använder GCC High och DoD
• Microsoft Defender för företag-kunder

Vad är Microsoft Defender hantering av säkerhetsrisker?

Att minska cyberrisken kräver ett omfattande riskbaserat program för sårbarhetshantering för att identifiera, utvärdera, åtgärda och spåra viktiga sårbarheter i dina mest kritiska tillgångar.

Microsoft Defender Vulnerability Management ger tillgångssynlighet, kontinuerlig identifiering i realtid och utvärdering av sårbarheter, kontextmedvetna hot & affärsprioritering och inbyggda reparationsprocesser. Den innehåller funktioner så att dina team kan utvärdera, prioritera och smidigt åtgärda de största riskerna för din organisation.

Titta på följande video om du vill veta mer om Sårbarhetshantering i Defender:

Nu ska vi komma igång

Steg 1: Konfigurera

Obs!

Användare måste ha rollen Global administratör tilldelad i Microsoft Entra-ID för att kunna registrera utvärderingsversionen. Mer information finns i Nödvändiga roller för att starta utvärderingsversionen.

1. Kontrollera behörigheter och förutsättningar.

2. Utvärderingsversionen av Microsoft Defender Vulnerability Management kan nås på flera sätt:

   • Om du har åtkomst till Microsoft Defender 365-portalen går du till Utvärderingsversioner i det vänstra navigeringsfönstret. När du har nått utvärderingshubben för Microsoft 365:

     • Om du har Defender för Endpoint Plan 2 letar du reda på tillägget Defender Vulnerability Management och väljer Prova nu.
     • Om du är en ny kund eller en befintlig Defender för Endpoint P1- eller Microsoft 365 E3-kund väljer du kortet Defender Sårbarhetshantering och väljer Prova nu.

   

   • Registrera dig via Microsoft Admin Center (endast globala administratörer).

   Obs!

   Fler alternativ för hur du registrerar dig för utvärderingsversionen finns i Registrera dig för Microsoft Defender Vulnerability Management.

3. Granska informationen om vad som ingår i utvärderingsversionen och välj sedan Börja utvärderingsversionen. När du aktiverar utvärderingsversionen kan det ta upp till 6 timmar innan de nya funktionerna blir tillgängliga i portalen.

   • Utvärderingsversionen av tillägget Defender Vulnerability Management varar i 90 dagar.
   • Den fristående utvärderingsversionen av Defender Vulnerability Management varar i 90 dagar.

4. När du är redo att komma igång går du till Microsoft Defender-portalen och väljer Sårbarhetshantering i det vänstra navigeringsfältet för att börja använda utvärderingsversionen av Defender Vulnerability Management.

Obs!

Om du är microsoft Defender för moln-kunder kan du läsa mer om funktionerna för hantering av säkerhetsrisker i Defender för din organisation i Funktioner för sårbarhetshantering för servrar .

Prova Sårbarhetshantering i Defender

Steg 1: Veta vad du ska skydda i en enda vy

Inbyggda och agentlösa skannrar övervakar och identifierar kontinuerligt risker även när enheter inte är anslutna till företagsnätverket. Utökad tillgångstäckning konsoliderar program, digitala certifikat, webbläsartillägg och maskinvara och inbyggd programvara i en enda inventeringsvy.

1. Enhetsinventering – Enhetsinventeringen visar en lista över enheterna i nätverket. Som standard visar listan enheter som setts under de senaste 30 dagarna. I korthet visas information som domäner, risknivåer, OS-plattform, associerade CVE:er och annan information för enkel identifiering av de enheter som är mest utsatta.

2. Identifiera och utvärdera din organisations programvara i en enda konsoliderad inventeringsvy:

   • Programinventering – programvaruinventeringen i Defender Vulnerability Management är en lista över kända program i din organisation. Vyn innehåller insikter om sårbarhet och felkonfiguration i installerad programvara med prioriterade effektpoäng och information som operativsystemplattformar, leverantörer, antal svagheter, hot och en vy på entitetsnivå över exponerade enheter.
   • Utvärderingar av webbläsartillägg – sidan med webbläsartillägg visar en lista över tilläggen som är installerade i olika webbläsare i din organisation. Tillägg behöver vanligtvis olika behörigheter för att köras korrekt. Defender Vulnerability Management innehåller detaljerad information om de behörigheter som begärs av varje tillägg och identifierar dem med de högsta associerade risknivåerna, enheterna med tillägget aktiverat, installerade versioner med mera.
   • Certifikatinventering – med certifikatinventeringen kan du identifiera, utvärdera och hantera digitala certifikat som är installerade i organisationen i en enda vy. Detta kan hjälpa dig:
     • Identifiera certifikat som snart upphör att gälla så att du kan uppdatera dem och förhindra avbrott i tjänsten.
     • Identifiera potentiella sårbarheter på grund av användning av svag signaturalgoritm (till exempel SHA-1-RSA), kort nyckelstorlek (till exempel RSA 512-bitars) eller svag signaturhashalgoritm (till exempel MD5).
     • Se till att regelriktlinjer och organisationsprinciper efterlevs.
   • Maskinvara och inbyggd programvara – inventeringen av maskinvara och inbyggd programvara innehåller en lista över känd maskinvara och inbyggd programvara i din organisation. Den tillhandahåller enskilda inventeringar för systemmodeller, processorer och BIOS. Varje vy innehåller information som namnet på leverantören, antalet svagheter, hotinsikter och antalet exponerade enheter.

3. Autentiserad genomsökning efter Windows – med autentiserad genomsökning efter Windows kan du fjärrmåla efter IP-intervall eller värdnamn och genomsöka Windows-tjänster genom att tillhandahålla Defender Vulnerability Management med autentiseringsuppgifter för fjärråtkomst till enheterna. När de ohanterade enheterna har konfigurerats genomsöks de regelbundet efter sårbarheter i programvaran.

4. Tilldela enhetsvärde – genom att definiera en enhets värde kan du skilja mellan tillgångsprioriteringar. Enhetsvärdet används för att införliva riskaptiten för en enskild tillgång i beräkningen av exponeringspoäng för Defender Vulnerability Management. Enheter som har tilldelats som "högt värde" får mer vikt. Alternativ för enhetsvärde:

   • Låg
   • Normal (standard)
   • Högsta

   Du kan också använda API:et för att ange enhetsvärde.

Steg 2: Spåra och åtgärda reparationsaktiviteter

1. Reparation av begäran – funktionerna för sårbarhetshantering överbryggar klyftan mellan säkerhets- och IT-administratörer via arbetsflödet för reparationsbegäran. Säkerhetsadministratörer som du kan begära att IT-administratören åtgärdar en säkerhetsrisk från rekommendationssidorna till Intune.

2. Visa dina reparationsaktiviteter – när du skickar en reparationsbegäran från sidan Säkerhetsrekommendationer startar den en åtgärdsaktivitet. En säkerhetsuppgift skapas som kan spåras på sidan Reparation och en reparationsbegäran skapas i Microsoft Intune.

3. Blockera sårbara program – Det tar tid att åtgärda sårbarheter och kan vara beroende av IT-teamets ansvarsområden och resurser. Säkerhetsadministratörer kan tillfälligt minska risken för en säkerhetsrisk genom att vidta omedelbara åtgärder för att blockera alla kända sårbara versioner av ett program eller varna användare med anpassningsbara meddelanden innan de öppnar sårbara appversioner tills reparationsbegäran har slutförts. Blockeringsalternativet ger IT-teamen tid att korrigera programmet utan säkerhetsadministratörer som oroar sig för att sårbarheterna kommer att utnyttjas under tiden.

   • Så här blockerar du sårbara program
   • Visa reparationsaktiviteter
   • Visa blockerade program
   • Avblockera program

   Obs!

   När utvärderingsversionen slutar blockeras program omedelbart, medan baslinjeprofiler kan lagras en kort stund innan de tas bort.

4. Använd förbättrade utvärderingsfunktioner som analys av nätverksresurser för att skydda sårbara nätverksresurser. Eftersom nätverksresurser enkelt kan nås av nätverksanvändare kan små vanliga svagheter göra dem sårbara. Dessa typer av felkonfigurationer används ofta i naturen av angripare för lateral förflyttning, rekognosering, dataexfiltrering med mera. Därför har vi skapat en ny kategori av konfigurationsutvärderingar i Defender Vulnerability Management som identifierar de vanliga svagheter som exponerar dina slutpunkter för attackvektorer i Windows-nätverksresurser. Detta hjälper dig att:

   • Tillåt inte offlineåtkomst till resurser
   • Ta bort resurser från rotmappen
   • Ta bort resursskrivningsbehörighet inställd på "Alla"
   • Ange mappuppräkning för resurser

5. Visa och övervaka organisationens enheter med hjälp av en rapport om sårbara enheter som visar grafer och stapeldiagram med sårbara enhetstrender och aktuell statistik. Målet är att du ska förstå andan och omfattningen av enhetens exponering.

Steg 3: Konfigurera utvärderingar av säkerhetsbaslinjer

I stället för att köra efterlevnadsgenomsökningar vid tidpunkt hjälper utvärderingen av säkerhetsbaslinjer dig att kontinuerligt och proaktivt övervaka organisationens efterlevnad mot branschsäkerhetsmått i realtid. En säkerhetsbaslinjeprofil är en anpassad profil som du kan skapa för att utvärdera och övervaka slutpunkter i din organisation mot branschsäkerhetsmått (CIS, NIST, MS). När du skapar en säkerhetsbaslinjeprofil skapar du en mall som består av flera inställningar för enhetskonfiguration och ett basmått att jämföra med.

Säkerhetsbaslinjer ger stöd för cis-prestandamått för Center for Internet Security (CIS) för prestandamått för Windows 10, Windows 11 och Windows Server 2008 R2 och senare, samt prestandamått för säkerhetsguider för teknisk implementering (STIG) för Windows 10 och Windows Server 2019.

1. Kom igång med utvärdering av säkerhetsbaslinjer
2. Granska utvärderingsresultat för säkerhetsbaslinjeprofil
3. Använda avancerad jakt

Obs!

När utvärderingsversionen avslutas kan säkerhetsbaslinjeprofiler lagras en kort stund till innan de tas bort.

Steg 4: Skapa meningsfulla rapporter för att få djupgående insikter med hjälp av API:er och avancerad jakt

Defender-API:er för sårbarhetshantering kan hjälpa till att skapa klarhet i din organisation med anpassade vyer om din säkerhetsstatus och automatisering av arbetsflöden för sårbarhetshantering. Minska säkerhetsteamets arbetsbelastning med datainsamling, riskpoänganalys och integreringar med andra organisationsprocesser och lösningar. Mer information finns i:

• Exportera utvärderingsmetoder och egenskaper per enhet
• Bloggen om Defender Vulnerability Management-API:er

Avancerad jakt ger flexibel åtkomst till rådata från Defender Vulnerability Management, vilket gör att du proaktivt kan inspektera entiteter efter kända och potentiella hot. Mer information finns i Hunt for exposed devices (Jaga för exponerade enheter).

Licensierings- och utvärderingsinformation

Som en del av utvärderingsversionen tillämpas de nya utvärderingslicenserna för Defender Vulnerability Management på användarna automatiskt. Därför krävs ingen tilldelning (utvärderingsversionen kan automatiskt tillämpa upp till 1 000 000 licenser). Licenserna är aktiva under hela utvärderingsperioden.

Komma igång med utvärderingsversionen

Du kan börja använda funktionerna för sårbarhetshantering i Defender så snart du ser dem i Microsoft Defender-portalen. Ingenting skapas automatiskt och användarna påverkas inte. När du navigerar till varje lösning kan du vägledas att göra extra konfigurationer för att börja använda funktioner.

Utöka utvärderingsversionen

Du kan förlänga utvärderingsperioden inom de sista 15 dagarna av utvärderingsperioden. Du är begränsad till högst två utvärderingsperioder. Om du inte förlänger innan utvärderingsperioden går ut måste du vänta i minst 30 dagar innan du kan registrera dig för en andra utvärderingsversion.

Avsluta utvärderingsperiod

Administratörer kan inaktivera utvärderingsversionen när som helst genom att välja Utvärderingsversioner i det vänstra navigeringsfönstret, gå till utvärderingskortet för Defender Vulnerability Management och välja Avsluta utvärderingsversion.

Om inget annat anges för lösningen behålls dina utvärderingsdata i tid, vanligtvis 180 dagar, innan de tas bort permanent. Du kan fortsätta att komma åt data som har samlats under utvärderingsperioden fram tills dess.

Ytterligare resurser

• Villkor: Se villkoren för Microsoft 365-utvärderingsversioner.
• Jämför erbjudanden: Sårbarhetshantering i Microsoft Defender
• Dokumentation om Sårbarhetshantering i Defender
• Datablad: Microsoft Defender Sårbarhetshantering: Minska cyberrisken med kontinuerlig sårbarhetsidentifiering och utvärdering, riskbaserad prioritering och reparation