Situaciones de administración de amenazas & vulnerabilidades

Se aplica a:

Antes de comenzar

Asegúrese de que sus máquinas:

  • Se incorpora protección contra amenazas avanzada de Microsoft defender
  • Ejecutar con Windows 10 1709 (actualización de otoño de Creators) o una versión posterior

Nota

La administración de amenazas & vulnerabilidades también puede analizar equipos que se ejecutan en sistemas operativos Windows 7 y Windows Server 2019, y detecta vulnerabilidades que se resuelven en el martes de parches.

  • Para mejorar las tasas de detección de la evaluación de vulnerabilidad, debe instalar e implementar las siguientes actualizaciones obligatorias en su red:
Lanzamiento Número de KB de actualización de seguridad y vínculo
Clientes de RS3 KB4493441 y KB 4516071
Clientes de RS4 KB4493464 y KB 4516045
Clientes de RS5 KB 4516077
clientes de 19H1 KB 4512941
  • Se incorporan a Microsoft Intune y System Center Configuration Manager (SCCM). Si usa SCCM, actualice la consola a la última versión de mayo de 1905
  • Tener al menos una recomendación de seguridad que se pueda ver en la página del equipo
  • Estén etiquetados o marcados como co-administrados

Reducir la exposición a amenazas y vulnerabilidades

Threat & la administración de vulnerabilidades introduce una nueva métrica de puntuación de exposición, que representa de manera visual la exposición de tu equipo a amenazas inminentes.

El resultado de la exposición se calcula continuamente en cada dispositivo de la organización e influye en los siguientes factores:

  • Debilidades, como vulnerabilidades detectadas en el dispositivo
  • Amenazas externas e internas, como el código y las alertas de seguridad de un público
  • Probabilidad de que el dispositivo se infrinja según su postura de seguridad actual
  • Valor del dispositivo para la organización según su función y su contenido

La puntuación de exposición se divide en los siguientes niveles:

  • 0-29: puntuación de baja exposición
  • 30 – 69: puntuación de exposición media
  • 70 a 100: puntuación de alta calidad

Puede corregir los problemas basados en recomendaciones de seguridad prioritarias para reducir la puntuación de exposición. Cada software tiene debilidades que se convierten en recomendaciones y se priorizan según el riesgo para la organización.

Para reducir la exposición de amenazas y vulnerabilidades:

  1. Revise las principales recomendaciones de seguridad de su Threat & panel de administración de vulnerabilidadesy seleccione el primer elemento de la lista. Se abrirá la página recomendación de seguridad .

    Principales recomendaciones de seguridad

    Nota

    Existen dos tipos de recomendaciones:

    • Actualización de seguridad que hace referencia a recomendaciones que requieren la instalación de un paquete
    • El cambio de configuración que se refiere a las recomendaciones que requieren una modificación del registro o GPO siempre prioriza las recomendaciones asociadas con las amenazas en curso. Estas recomendaciones están marcadas con el icono de Threat Insight Threat Insight y la posible alerta activa posible icono de alerta activa.
  2. La página de recomendaciones de seguridad muestra la lista de elementos que se van a remediar. Seleccione la recomendación de seguridad que necesita investigar. Cuando selecciona una recomendación de la lista, un panel emergente muestra una descripción de lo que necesita para corregir, el número de vulnerabilidades, las explotaciones relacionadas en los equipos, el número de equipos expuestos y los nombres de las máquinas, el impacto empresarial y una lista de CVEs. Haga clic en la opción abrir página de software en el panel de control flotante. Detalles en la página de recomendaciones de seguridad

  3. Haga clic en equipos instalados y seleccione el equipo afectado de la lista para abrir el panel de control flotante con los detalles pertinentes del equipo, los niveles de exposición y riesgo, las alertas y las actividades del incidente. Página detalles en el software

  4. Haga clic en abrir página del equipo para conectarse al equipo y aplicar la recomendación seleccionada. Consulte investigar equipos en la lista de equipos ATP de Microsoft defender para obtener más información. Detalles en la página del equipo

  5. Deje que se propaguen algunas horas para que los cambios se propaguen en el sistema.

  6. Revise de nuevo la pestaña de recomendaciones de seguridad de la máquina. La recomendación que elegiste para la corrección se ha eliminado de la lista de recomendaciones de seguridad y la puntuación de exposición disminuye.

Mejorar la configuración de seguridad

Nota

La puntuación segura ahora forma parte de Threat & la administración de vulnerabilidades como la puntuación de la configuración. La página de puntuación segura está disponible durante algunas semanas. Ver la página de puntuación segura .

Puede mejorar la configuración de seguridad al corregir problemas de la lista de recomendaciones de seguridad. A medida que lo haga, la puntuación de la configuración mejora, lo que significa que su organización es más resistente frente a las amenazas y puntos vulnerables de Cybersecurity.

  1. Desde el widget de puntuación de configuración, seleccione controles de seguridad. Se abre la página de recomendaciones de seguridad y se muestra la lista de problemas relacionados con los controles de seguridad.

    Widget de puntuación de configuración

  2. Seleccionar el primer elemento de la lista. El panel de control flotante se abrirá con una descripción del problema de los controles de seguridad, una breve descripción del riesgo potencial, la información, el identificador de configuración, las máquinas expuestas y el impacto de la empresa. Haga clic en Opciones de corrección. Recomendaciones de seguridad relacionadas con los controles de seguridad

  3. Lea la descripción para comprender el contexto del problema y qué hacer a continuación. Seleccione una fecha de vencimiento, agregue notas y seleccione exportar todos los datos de actividades de corrección a CSV para poder adjuntarlos al correo electrónico que puede enviar a su administrador de TI para realizar un seguimiento.

    Corrección de solicitudes.

    Verá un mensaje de confirmación que indica que se ha creado la tarea de corrección. Confirmación de creación de tarea de corrección

  4. Guarde el archivo CSV. Guardar archivo CSV

  5. Envíe un correo electrónico de seguimiento a su administrador de ti y permita el tiempo que haya asignado para que la corrección se propague en el sistema.

  6. Vuelva a revisar el widget de puntuación de configuración de máquina. Se disminuirá el número de problemas de controles de seguridad. Al hacer clic en controles de seguridad para volver a la página de recomendaciones de seguridad , el elemento que ha corregido ya no figurará en la lista y la puntuación de configuración debería aumentar.

Solicitar una corrección

Nota

Para usar esta funcionalidad, habilite las conexiones de Microsoft Intune. Vaya a configuración > General > características avanzadas. Desplácese hacia abajo y busque conexión de Microsoft Intune. De forma predeterminada, el botón de alternancia está desactivado. Active la opción de alternancia de conexión de Microsoft Intune .

La función de administración de amenazas & vulnerabilidades de Microsoft defender ATP se une al hueco entre los administradores de seguridad y de ti a través del flujo de trabajo de solicitud de corrección.

Administradores de seguridad como usted puede solicitar que el administrador de ti represente una vulnerabilidad de las páginas de recomendación de seguridad a Intune.

  1. Haga clic en la recomendación de seguridad a la que desea solicitar la corrección y, a continuación, haga clic en Opciones de corrección.

  2. Seleccione abrir un vale en Intune (para los dispositivos Unidos a AAD), seleccione una fecha de vencimiento y agregue notas opcionales para el administrador de ti. Haga clic en Enviar solicitud.

  3. Notifique a su administrador de TI sobre la nueva solicitud y pídale que inicie sesión en Intune para aprobar o rechazar la solicitud e iniciar una implementación de paquete.

  4. Vaya a la página de corrección para ver el estado de su solicitud de corrección.

Consulte usar Intune para corregir las vulnerabilidades identificadas por Microsoft defender ATP para obtener más información.

Nota

Si la solicitud implica la corrección de más de 10.000 equipos, solo se pueden enviar 10.000 máquinas para su corrección a Intune.

Archivo para excepción

Con Threat & la administración de vulnerabilidades, puede crear excepciones para las recomendaciones, como alternativa a una solicitud de corrección.

Existen muchas razones por las que las organizaciones crean excepciones para una recomendación. Por ejemplo, si hay una justificación empresarial que impide que la empresa aplique la recomendación, la existencia de un control de compensación o alternativo que proporcione la mayor protección que la recomendación, un falso positivo, entre otros. posibles.

Se pueden crear excepciones para las actualizaciones de seguridad y las recomendaciones de cambio de configuración .

Cuando se crea una excepción para una recomendación, la recomendación ya no está activa. El estado de recomendación cambia a excepcióny ya no se muestra en la lista de recomendaciones de seguridad.

  1. Vaya a la página de recomendaciones de seguridad en el menú de la sección Administración de vulnerabilidades de & de amenazas .

  2. Haga clic en la recomendación principal. Se abrirá un panel de control flotante con los detalles de la recomendación.

  3. Haga clic en Opciones de excepción. Captura de pantalla de la opción de excepción en el panel flotante de corrección

  4. Seleccione la justificación de la excepción que necesita archivar en lugar de corregir la recomendación de seguridad en cuestión. Rellene el contexto de justificación y, a continuación, establezca la duración de la excepción.

Captura de pantalla de la página flotante de excepciones que detalla la justificación y el contexto

  1. Haz clic en Enviar. Un mensaje de confirmación en la parte superior de la página indica que se ha creado la excepción. Captura de pantalla del mensaje de confirmación de excepción

  2. Navegue hasta la página de corrección en el menú de Administración de vulnerabilidades de amenaza & y haga clic en la pestaña excepciones para ver todas las excepciones (actuales y pasadas). Captura de pantalla de la lista de excepciones de excepciones en la página de corrección

Usar la consulta de búsqueda avanzada para buscar equipos con alertas activas o críticas de CVE público

  1. Vaya a búsqueda avanzada en el panel de navegación de la izquierda.

  2. Desplácese hacia abajo hasta los esquemas de búsqueda avanzada de TVM para familiarizarse con los nombres de columna.

  3. Escriba las siguientes consultas:

// Search for machines with High active alerts or Critical CVE public exploit 
DeviceTvmSoftwareInventoryVulnerabilities 
| join kind=inner(DeviceTvmSoftwareVulnerabilitiesKB) on CveId 
| where IsExploitAvailable == 1 and CvssScore >= 7
| summarize NumOfVulnerabilities=dcount(CveId), 
ComputerName=any(ComputerName) by MachineId 
| join kind =inner(AlertEvents) on MachineId  
| summarize NumOfVulnerabilities=any(NumOfVulnerabilities), 
ComputerName=any(ComputerName) by MachineId, AlertId 
| project ComputerName, NumOfVulnerabilities, AlertId  
| order by NumOfVulnerabilities desc 

Temas relacionados