组织的安全状况不是通过一次性努力实现的,它需要一致的评估和维护。 由于在不断发展的威胁环境中新发现的漏洞,在部署时被视为安全的系统很快被视为不安全。 因此,应通过在整个企业强制实施的标准化流程来持续评估和更新系统和基线。 Microsoft 365 定期扫描其所有系统和适用的网络设备,以查找已知漏洞,并在与其严重性直接相关的时间范围内集中跟踪其修正。
扫描工具和方法
Microsoft 365 使用第三方扫描工具,利用三种不同的技术来确保其资产的完全覆盖:基于主机、基于网络和容器的映像配置扫描。
对于能够运行主机代理的所有服务器和网络可访问设备,第一方代理用于拍摄主机级快照,该快照将上传到中心位置进行评估。 此代理作为 Microsoft 365 服务载入过程的一部分以整体方式部署,并且每天计算身份验证速率,以确保资产扫描覆盖率达到 95% 的身份验证率目标。 包含元数据的主机快照将创建并存储在沙盒环境中,在沙盒环境中对其进行漏洞评估。 通过在沙盒环境中而不是在主机上运行扫描,可以降低攻击者可能执行供应链攻击的风险。
无法运行本地代理的资产(例如网络设备和一小部分裸机服务器)由网络扫描工具捕获。
最后,容器映像配置在中央注册表中列出,并扫描是否有任何漏洞。 如果进行了任何更改,新映像将部署到所有活动实例。
扫描使用来自行业来源(例如 Microsoft 安全响应中心 (MSRC) 、 NIST 国家漏洞数据库和 MITRE 常见漏洞和披露数据库)的最新漏洞信息评估资产是否存在缺失的修补程序、配置问题和应用程序漏洞。
每天执行基于主机的扫描,每周执行一次网络扫描,每个扫描都配置为搜索签名数据库中的所有已知漏洞。 扫描过程包括一项检查,以确保签名更新已发生,并将结果发送到 Azure 数据资源管理器进行集中存储。 从那里,将聚合扫描结果,确定会审的优先级,并通过内部开发的仪表板进行报告。
Reporting
Microsoft 365 安全中心使用自动报告来比较一段时间内的扫描结果,在发现新漏洞时显示这些结果。 这些报告每天更新,并通过威胁和漏洞报告 (TVR) 仪表板向授权人员提供。 TVR 仪表板是跟踪和报告所有 Microsoft 365 漏洞数据的事实来源。
仪表板显示:
- 实时漏洞指标,包括主机计数。
- 针对服务团队的建议解决方案
- 有关扫描质量和符合修正要求的指标
- 所有活动漏洞的列表。
修复
拥有具有检测资产的服务团队负责修正已识别的漏洞。 他们可以根据需要跟踪修正,但在通过清除扫描反映在 TVR 仪表板中之前,该漏洞不会被视为已解决。
漏洞修正各不相同,可能包括对基本映像配置进行更新、应用修补程序和删除有问题的组件等操作。 必须在 30、90 和 180 天内针对高、中和低漏洞分别完成修正。
如果漏洞为误报、Microsoft 有降低漏洞严重性的缓解控制措施,或者尚未发布解决问题的修补程序,Microsoft 365 工程团队还可以针对漏洞提出例外。 然后,Microsoft 365 TVR 异常评审委员会会审查这些请求,并根据安全性和合规性需求批准或拒绝这些请求。 如果被拒绝,服务团队将继续执行修正过程。 如果接受,则会处理异常,以便在将来的扫描期间不会为该系统标记该异常。
资产覆盖范围
为了确保 Microsoft 365 中所有系统的修正,TVR 将其结果与所有物理和虚拟资产的完整清单进行比较。
虚拟资产列表在内部 Azure 工具中维护,该工具在创建新资产和部署新资产时自动更新。 物理资产由拥有这些资产的单个服务团队维护。
TVR 使用自动脚本和查询将清单数据集中到 TVR 工具中,并执行每月评审,以确保脚本继续捕获完整且准确的列表。 这允许 TVR 团队跟踪修补覆盖范围,并确保漏洞修正是全面的。