Phần 6: Quản lý và khắc phục các lỗ hổng (Vulnerability Management)
Microsoft Defender Vulnerability Management (MDVM) là gì?
Defender Vulnerability Management là giải pháp cung cấp khả năng hiển thị danh sách các tài sản, đánh giá thông minh và các công cụ khắc phục tích hợp cho Windows, macOS, Linux, Android, iOS cũng như các thiết bị mạng.
Thông qua việc sử dụng thông tin tình báo (threat intelligence) về các mối đe dọa của Microsoft, dự đoán khả năng vi phạm, đánh giá thiết bị, Defender Vulnerability Management sẽ nhanh chóng và liên tục ưu tiên các lỗ hổng lớn nhất trên các tài sản quan trọng nhất trong tổ chức và đưa ra các khuyến nghị bảo mật để giảm thiểu rủi ro.
Giấy phép sử dụng MDVM
Defender Vulnerability Management gồm phiên bản cho Endpoint và Server.
Defender Vulnerability Management cho Endpoint gồm:
- Phiên bản Core tích hợp sẵn trong Microsoft Defender for Endpoint Plan 2
- Phiên bản Add-on cung cấp thêm các chức năng cao cấp cho phiên bản Core
- Phiên bản độc lập Defender Vulnerability Management Standalone đầy đủ tính năng
MDVM hiện không có trong phiên bản MDE Plan 1 và Defender for Business.
Defender Vulnerability Management cho Servers gồm:
- Defender For Servers Plan 1 tích hợp trong Microsoft Defender for Cloud
- Defender For Servers Plan 2 bổ sung thêm các chức năng cao cấp
Chi tiết tính năng và so sánh của các phiên bản MDVM cho Endpoint và Server có thể tham khảo tại đây https://learn.microsoft.com/en-us/defender-vulnerability-management/defender-vulnerability-management-capabilities
Quản lý các lỗ hổng cùng MDVM
Bài viết minh họa các chức năng trên phiên bản Core của MDVM tích hợp sẵn trong Defender for Endpoint Plan 2.
Truy cập Microsoft Defender Vulnerability Management thông qua Microsoft Defender portal ở đường dẫn https://security.microsoft.com
Trên giao diện Microsoft Defender Vulnerability Management, bạn có thể kiểm tra điểm số phơi nhiễm của hệ thống ở phần Exposure Score. Điểm số càng cao đồng nghĩa hệ thống càng KHÔNG AN TOÀN.
Trong ngữ cảnh điểm số hiện tại của hệ thống là 51/100, đây là điểm số ở mức trung bình và tiệm cận mức độ rủi ro cao, cần thực hiện các biện pháp phù hợp.
Giao diện Recommendations, chúng ta có thể thấy tổng thể về hệ thống những điểm cần cải tiến và được sắp xếp theo mức độ ưu tiên từ cao xuống thấp ứng với mức độ ảnh hưởng đến hệ thống.
Ứng với mỗi đề xuất đều đi kèm một số thông số quan trọng gồm Weakness (số lượng lỗ hổng được tìm thấy), Threats (các insight về mối đe dọa), Exposed devices (số lượng thiết bị ảnh hưởng), Remediation type (hình thức khắc phục), Impact (mức độ ảnh hưởng đến điểm số bảo mật, điểm số phơi nhiễm của hệ thống)
Hình thức khắc phục cụ thể như cần cập nhật phần mềm (Software update), thay đổi một số cấu hình (Configuration Change),…
Trong hình ảnh minh họa, chúng ta cần cập nhật Microsoft Teams lên phiên bản mới, cập nhật Windows 10/11, triển khai một số chính sách bảo mật về Attack Surface Reduction,…
Khi chọn vào một đề xuất cụ thể sẽ xuất hiện trang chi tiết gồm các thông tin quan trọng như số thiết bị đang bị ảnh hưởng (Exposed devices), các thiết bị đã được cài đặt ứng dụng (Installed devices), các lỗ hổng liên quan (Associated CVEs). Có thể xuất danh sách các thiết bị cũng như phiên bản ứng dụng dưới định dạng CSV để xem chi tiết hơn thông qua tùy chọn Export.
Lưu ý rằng để thực hiện các chức năng được đề xuất từ Microsoft Defender for Endpoint chúng ta cần sử dụng Microsoft Intune/GPO/SCCM để thực hiện. Những chức năng trên Microsoft Intune được Microsoft cung cấp sớm nhất và đầy đủ nhất so với các nền tảng khác.
Chọn Request remediation và cập nhật một số thông tin để tạo nhiệm vụ xử lý lỗ hổng. Trong trường hợp muốn tạo ticket cho Intune Admin thực hiện tác vụ này có thể đánh dấu chọn vào ô Open a ticket in Intune.
Các ticket đã tạo sẽ xuất hiện trên thẻ Remediation của Microsoft Defender và trên Intune ở phần Endpoint Security > Security tasks
Thẻ Inventories cung cấp chi tiết đầy đủ các thông tin liên quan đến những phần mềm đang có trên hệ thống và Weakness cung cấp các lỗ hổng bảo mật đang còn tồn tại.
Hướng dẫn triển khai ứng dụng, cập nhật Windows, khắc phục lổ hỗng sẽ được trình bày chi tiết trong các bài viết tiếp theo.
