MS Defender for Endpoint的漏洞管理

Microsoft Defender Vulnerability Management根據已知的攻擊媒介和軟體漏洞發現易受攻擊和配置錯誤的裝置。

漏洞管理允許安全管理員和 IT 管理員無縫協作來修復問題。

• Remediation requests sent to IT — 根據特定安全建議在 Microsoft Intune 中建立修復任務。
• Alternate mitigations — 深入了解更多緩解措施，例如可以降低與軟體漏洞相關的風險的配置變更。
• Real-time remediation status — 即時監控整個組織內修復活動的狀態和進度。

漏洞管理功能

Microsoft Defender 漏洞管理根據授權提供以下功能：

Add-on capabilities for Defender for Endpoint Plan 2提供的功能:

• Security baselines assessment
• Block vulnerable applications
• Browser extensions
• Digital certificate assessment
• Network share analysis

Core capabilities part of Defender for Endpoint Plan 2提供的功能

• Device discovery
• Device inventory
• Vulnerability assessment
• Configuration assessment
• Risk based prioritization
• Remediation tracking
• Continuous monitoring
• Software assessment

Standalone Full vulnerability Management capabilities則是Add-on + Core的功能

Microsoft Defender 網站的漏洞管理區域中可以看到以下功能區：

• Dashboard
• Recommendations
• Remediation
• Inventories
  此頁面會顯示網路中安裝的軟體清單，包括供應商名稱、發現的弱點、與其相關的威脅、暴露的設備、對暴露分數的影響和標籤。可以根據軟體中發現的弱點、與之相關的威脅以及軟體是否已終止支援等標籤來過濾清單視圖。
• Weaknesses
  「弱點」頁面透過列出常見漏洞和暴露 (CVE) ID 來列出裝置面臨的軟體漏洞。還可以查看嚴重性、常見漏洞評分系統 (CVSS) 評級、組織中的相關度、相應的漏洞、威脅洞察等。
• Event timeline
  這是一個風險新聞源(risk news feed)，可幫助我們解釋如何透過新漏洞或漏洞將風險引入組織。可以查看可能影響組織風險的事件。例如，可以找到引入的新漏洞、可利用的漏洞、加入到exploit kit中的漏洞等等。事件時間軸也講述了暴露分數和 Microsoft 裝置安全分數的情況，以便可以確定重大變化的原因。事件可能會影響設備或設備安全分數。根據優先安全建議解決需要修復的問題，從而減少風險。
• Baseline Assessments
  與其運作一個持續不斷的合規性掃描，這次一個可監控組織的安全基線合規性並即時識別變更。security baseline profile是可以建立的customized profile，用於根據產業安全基準評估和監控組織中的端點。建立security baseline profile時，將建立一個模板，其中包含多個裝置配置設定和用於比較的基本基準。

有漏洞的裝置回報

Microsoft Defender 網站中的報告區域有一個易受攻擊的裝置報告。該報告顯示了包含易受攻擊設備趨勢和當前統計數據的圖表和長條圖。目的是讓我們了解設備暴露的廣度和範圍。

圖表包括：

• Severity level graphs -
  根據該設備上發現的最嚴重的漏洞，每個設備僅計數一次。
• Exploit availability graphs -
  根據已知漏洞利用的最高等級，每個設備僅計數一次。
• Vulnerability age graphs -
  根據最早的漏洞發布日期，每個設備僅計數一次。較舊的漏洞被利用的機會較高。
• Vulnerable devices by operating system platform graphs-
  每個作業系統上因軟體漏洞而曝險的設備數量。
• Vulnerable devices by Windows version graphs -
  每個 Windows 版本上因易受攻擊的應用程式或作業系統而暴露的裝置數量。

修復管理

漏洞管理功能透過修復請求工作流程彌合了安全性和 IT 管理員之間的差距。安全管理員可以請 IT 管理員透過 Intune 的「Recommendation」頁面修復漏洞。

修復請求步驟

• 前往 Microsoft Defender 網站中的漏洞管理導覽選單，然後選擇「Recommendations」。
• 選擇想要請求修復的安全性建議，然後選擇修復選項。
• 填寫表格，包括要求修復的內容、適用的設備群組、優先順序、到期日期和可選註釋。如果選擇「attention required」修復選項，則無法選擇截止日期，因為沒有特定操作。
• 選擇Submit request。提交修復請求會在漏洞管理中建立修復活動項目，可用於監控此建議的修復進度。這不會觸發修復或對裝置套用任何變更。
• 通知 IT 管理員有關新請求的資訊，並讓他們登入 Intune 批准或拒絕該請求並開始package部署。

當從安全建議頁面提交修復請求時，它會啟動修復活動。將建立可在修復頁面上追蹤的安全任務，並在 Microsoft Intune 中建立remediation ticket。

如果選擇「需要注意」修復選項，則不會有進度顯示、ticket狀態或到期日期，因為無法監控任何實際操作。

進入修復頁面後，選擇要查看的修復活動。可以按照修復步驟操作、追蹤進度、查看相關建議、匯出到 CSV 或標記為完成。