安全建议
适用于:
- Microsoft Defender 漏洞管理
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- 服务器计划 1 & 2 的Microsoft Defender
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
组织中发现的网络安全弱点映射到可操作的安全建议,并按其影响确定优先级。 优先级建议有助于缩短缓解或修正漏洞的时间,并推动合规性。
每个安全建议都包括可操作的修正步骤。 为了帮助进行任务管理,还可以使用Microsoft Intune和Microsoft Endpoint Configuration Manager发送建议。 当威胁环境发生变化时,建议也会在不断从环境中收集信息时发生更改。
提示
若要获取有关新漏洞事件的电子邮件,请参阅在 Microsoft Defender for Endpoint 中配置漏洞电子邮件通知
运作方式
根据三个重要因素对组织中的每台设备进行评分,以帮助客户在正确的时间专注于正确的事情。
- 威胁:组织设备和漏洞历史记录中的漏洞和攻击的特征。 根据这些因素,安全建议会显示活动警报、持续威胁活动及其相应威胁分析报告的相应链接。
- 违规可能性:组织的安全状况和对威胁的复原能力。
- 业务价值:组织的资产、关键流程和知识产权。
导航到“安全建议”页
通过几种不同的方式访问“安全建议”页:
- Microsoft Defender门户中的漏洞管理导航菜单
- 漏洞管理仪表板中的热门安全建议
导航菜单
转到 “漏洞管理 ”导航菜单,然后选择“ 建议”。 该页包含组织中发现的威胁和漏洞的安全建议列表。
漏洞管理仪表板中的热门安全建议
在给定的一天中,作为安全管理员,你可以查看漏洞管理仪表板查看你的暴露分数与你的 Microsoft 设备安全功能分数。 目标是 降低 组织的漏洞风险, 提高 组织的设备安全性,以增强对网络安全威胁攻击的复原能力。 热门安全建议列表可帮助你实现这一目标。
最高安全建议根据上一部分中提到的重要因素(威胁、被入侵的可能性和价值)列出优先改进机会。 选择建议将你带到安全建议页,其中包含更多详细信息。
安全建议概述
查看建议、发现的弱点数、相关组件、威胁见解、公开的设备数、状态、修正类型、修正活动、实施建议后对暴露分数和设备的安全功能分数的影响,以及关联的标记。
“公开的设备”图的颜色会随着趋势的变化而变化。 如果公开的设备数量呈上升趋势,则颜色将更改为红色。 如果公开的设备数量减少,则图形的颜色将更改为绿色。
注意
漏洞管理显示 30 天前 正在使用的设备。 这与Microsoft Defender for Endpoint的其余部分不同,如果设备已超过 7 天未使用,则设备处于“非活动”状态。
图标
有用的图标还会快速引起你的注意:
- 可能的活动警报
- 关联的公共攻击
- 建议见解
影响
“影响”列显示实施建议后对曝光分数和设备的安全功能分数的潜在影响。 应确定将降低曝光分数并提高设备安全功能分数的项目的优先级。
暴露分数的潜在减少显示为: 。 较低的暴露分数意味着设备不太容易受到攻击。 由于暴露分数基于多种因素的组合,包括新修正或新发现的漏洞,因此实际分数降低可能较低。
设备安全功能分数的预计增加显示为: 。 更高的设备安全功能分数意味着终结点可以更好地抵御网络安全攻击。
浏览安全建议选项
选择要调查或处理的安全建议。
在浮出控件中,可以选择以下任一选项:
打开软件页面 - 打开软件页面,获取有关软件及其分发方式的更多上下文。 这些信息可能包括威胁上下文、关联的建议、发现的弱点、公开的设备数、发现的漏洞、已安装软件的设备的名称和详细信息,以及版本分发。
修正选项 - 提交修正请求以在 Microsoft Intune 中打开票证,让 IT 管理员进行取件和寻址。 在 修正 页中跟踪修正活动。
异常选项 - 提交异常,提供理由,并设置异常持续时间(如果尚无法修正问题)。
注意
在设备上进行软件更改时,通常需要 2 小时才能将数据反映在安全门户中。 但是,有时可能需要更长时间。 配置更改可能需要 4 到 24 小时。
调查设备暴露或影响方面的更改
如果公开的设备数量大幅增长,或者对组织的暴露分数和设备的安全功能分数的影响急剧增加,则值得调查该安全建议。
- 选择“建议”和 “打开软件”页
- 选择“事件时间线”选项卡以查看与该软件相关的所有影响事件,例如新漏洞或新的公共攻击。 详细了解事件时间线
- 决定如何解决增加的问题或组织的暴露问题,例如提交修正请求
有关设备的建议
若要查看适用于设备的安全建议列表,可以:
注意
如果在 Defender for Endpoint 中启用了 IoT 集成Microsoft Defender,则显示在“IoT 设备”选项卡上的企业 IoT 设备的建议将显示在“安全建议”页上。 有关详细信息,请参阅 使用 Defender for Endpoint 启用企业 IoT 安全性。
请求修正
漏洞管理修正功能通过修正请求工作流弥合了安全性和 IT 管理员之间的差距。 像你这样的安全管理员可以请求 IT 管理员从“安全建议”页修正漏洞,以Intune。 详细了解修正选项
如何请求修正
选择要请求修正的安全建议,然后选择“ 修正选项”。 填写表单并选择“ 提交请求”。 转到 “修正 ”页,查看修正请求的状态。 详细了解如何请求修正
异常的文件
作为目前建议不相关的修正请求的替代方法,可以为建议创建例外。 详细了解异常
仅具有“异常处理”的用户权限可以添加异常。 详细了解 RBAC 角色。
为建议创建异常时,建议不再处于活动状态。 建议状态将更改为 完全例外 或 部分异常 , (设备组) 。
如何创建异常
选择要为其创建例外的安全建议,然后选择 “异常选项”。
填写表单并提交。 若要查看当前和过去) (所有异常,请导航到“威胁 & 漏洞管理”菜单下的“修正”页,然后选择“异常”选项卡。详细了解如何创建异常
报表不准确
当你看到任何模糊、不准确、不完整或已修正的安全建议信息时,可以报告误报。
打开安全建议。
选择要报告的安全建议旁边的三个点,然后选择 “报告不准确”。
在浮出控件窗格中,从下拉菜单中选择“不准确”类别,填写电子邮件地址以及有关不准确的详细信息。
选择“提交”。 你的反馈将立即发送给漏洞管理专家。