Giới thiệu
Hầu hết các công cụ quản lý lỗ hổng truyền thống đều chạy theo mô hình quét định kỳ, thường gọi là point-in-time scan. Ví dụ, bạn lên lịch quét, công cụ quét (gọi là scanner) sẽ gửi gói tin tới dải IP, thu thập kết quả, rồi đợi tới chu kỳ sau. Hệ thống sẽ không phát hiện lỗ hổng giữa hai lần quét, một điểm “mù” nghiêm trọng trong hệ thống bảo mật.
Microsoft Defender Vulnerability Management (gọi tắt là MDVM) có cách tiếp cận khác khi phát hiện và đánh giá liên tục (continuous discovery and assessment) các lỗ hổng trên hệ thống. MDVM cung cấp khả năng khả năng nắm bắt toàn diện tài sản trong tổ chức, đánh giá thông minh và khắc phục tích hợp sẵn cho Windows, macOS, Linux, Android, iOS và cả thiết bị mạng.
Bài này sẽ giúp bạn mổ xẻ cơ chế hoạt động của MDVM, phát hiện rủi ro ngay cả khi thiết bị không kết nối vào mạng công ty.
Cơ chế hoạt động
Hai loại cơ chế thu thập dữ liệu
MDVM hoạt động dựa trên sự kết hợp của hai cơ chế thu thập dữ liệu: cảm biến tích hợp sẵn (built-in sensor) và agentless scanner (máy quét không dùng agent)
Cảm biến tích hợp sẵn
Đây là thành phần cốt lõi. Khi một thiết bị được onboard vào Defender for Endpoint, sẽ có một cảm biến (sensor) được tích hợp sẵn trong hệ điều hành. Trên Windows 10/11 và Windows Server 2029/2022/2025, cảm biến này là một phần của hệ điều hành, không phải agent cài thêm. Cảm biến liên tục thu thập:
- Danh mục phần mềm đã cài (software inventory)
- Các bản vá đang thiếu (missing KBs)
- Cấu hình bảo mật (security configuration)
- Chứng chỉ số, phần mở rộng cho trình duyệt, thông tin phần cứng/firmware
- Các thay đổi: cài mới, gỡ bỏ, vá lỗi
Cảm biến gửi dữ liệu đo từ xa lên đám mây gần như theo thời gian thực, không đợi lịch quét. Vì cảm biến nằm bên trong thiết bị nên nó nhìn thấy mọi thứ, kể cả khi thiết bị đang ở mạng gia đình, ở quán cà phê, hay dùng 4G, miễn là thiết bị có kết nối internet tới dịch vụ Defender, dữ liệu vẫn sẽ đổ về.
Máy quét không dùng agent
Không phải thiết bị nào cũng cài được agent, onboard được như máy in mạng, thiết bị IoT, server cũ, máy của bên thứ ba,…Cho những trường hợp này, MDVM dùng cơ chế agentless và authenticated scan để phát hiện và đánh giá thiết bị thuộc nhóm không được quản lý (unmanged) từ xa.
Xử lý trong MDVM: từ tín hiệu thô tới đề xuất
Bộ máy phân tích tương quan (correlation engine) đối chiếu phần mềm cài trên máy với danh mục CVE công khai tại cve.org. Mỗi CVE là một định danh chuẩn cho lỗ hổng đã công bố, đi kèm điểm CVSS.
MDVM không chỉ liệt kê CVE mà còn xếp hạng theo rủi ro thực tế: ưu tiên lỗ hổng đang bị khai thác ngoài thực địa, lỗ hổng dính vào một sự cố xâm nhập đang diễn ra trong chính tổ chức bạn (nhờ tương quan với dữ liệu EDR), và lỗ hổng nằm trên thiết bị giá trị cao.
Lưu ý một hạn chế là hiện tại engine chưa phân biệt kiến trúc 32-bit và 64-bit khi tương quan CVE với thiết bị. Điều này có thể tạo tình trạng dương tính giả (false positive) như một CVE chỉ ảnh hưởng hệ 32-bit nhưng vẫn bị gán cho server 64-bit. Microsoft ghi nhận đây là sự cố đã biết và đang có lộ trình khắc phục.
Tính liên tục đóng vai trò cực kỳ quan trọng
Mô hình liên tục thay đổi căn bản về thời gian phát hiện sự cố. Khi một CVE mới được công bố cho một phần mềm phổ biến, MDVM không cần đợi bạn chạy lại vì nó đã biết phần mềm nào đang cài trên máy nào, nó chỉ cần đối chiếu CVE mới với inventory đã có và đề xuất xuất hiện gần như tức thì. Với lỗ hổng zero-day cho sản phẩm Windows, MDVM còn gắn tag “Zero day” xuyên suốt các trang để bạn lọc và xử lý ưu tiên.
Hướng dẫn cấu hình chi tiết
Phần này tập trung vào quá trình onboard thiết bị, điều kiện tiên quyết để cơ chế khám phá liên tục (continuous discovery) hoạt động.
Bước 1: Kiểm tra license và quyền
MDVM có hai hình thức:
- Add-on cho khách hàng đã có Defender for Endpoint Plan 2.
- Standalone cho khách hàng mới hoặc đang có Defender for Endpoint P1, Microsoft 365 E3.
Nếu muốn dùng thử, hiện tại có bản trial 90 ngày (cả add-on lẫn standalone). Lưu ý: sau khi kích hoạt trial, có thể mất tới 6 giờ để tính năng mới xuất hiện trong portal. Người thực hiện cần có vai trò phù hợp trong Microsoft Entra ID.
Bước 2: Chọn hệ điều hành và phương thức onboarding
Đăng nhập Microsoft Defender portal tại đường dẫn https://security.microsoft.com, vào mục Settings > Endpoints > 
.
Chọn hệ điều hành của nhóm thiết bị muốn onboard (Windows, macOS, Linux…).
Chọn phương thức triển khai (deployment method). Quá trình onboard MDVM giống hệt onboard Defender for Endpoint, bạn có thể dùng các phương thức quen thuộc:
- Group Policy (môi trường AD truyền thống)
- Microsoft Intune / MDM (khuyến nghị cho các hệ thống thiết bị client hiện đại)
- Microsoft Configuration Manager (SCCM)
- Local script (cho số lượng nhỏ, lab, kiểm thử)
- VDI (môi trường máy ảo non-persistent)
Tải gói onboarding tương ứng và làm theo hướng dẫn để triển khai lên thiết bị.
Bước 3: Xác minh thiết bị đã lên Device Inventory
Lưu ý rằng Microsoft đã chuyển khu vực Vulnerability Management vào dưới Exposure management trong portal. Với khách hàng bản Preview, đường dẫn sẽ là Exposure management > Vulnerability management. Với khách hàng hiện hữu, vẫn là Vulnerability management.
Danh sách tất cả các lỗ hổng trong hệ thống sẽ hiện ra trong phần Vulnerabilities.
Vào Assets > Devices để truy cập Device Inventory. Mặc định danh sách hiển thị thiết bị được nhìn thấy trong 30 ngày gần nhất.
Kiểm tra các cột quan trọng để xác nhận sensor hoạt động:
- Onboarding status: phải ở trạng thái onboarded.
- Sensor health: phản ánh sensor có gửi telemetry đều đặn không.
- Risk level / Exposure level / OS platform / Associated CVEs.
Lưu ý rằng thiết bị mới onboard không xuất hiện đầy đủ dữ liệu ngay. Sensor cần một khoảng thời gian để hoàn tất thông tin đầu tiên và đẩy lên cloud.
Có thể chọn vào một thiết bị để mở trang thiết bị. Chuyển sang thẻ Discovered vulnerabilities để xem danh sách tất cả các lỗ hổng.
Bước 4: Gán Device Value
Đây là bước thường hay bị bỏ qua nhưng cực kỳ quan trọng cho việc đánh giá ưu tiên. Trong Device inventory, chọn thiết bị (hoặc nhóm thiết bị) và gán Device value: Low, Normal (mặc định), hoặc High.
Thiết bị được gán Device Value là High sẽ nhận trọng số lớn hơn trong công thức tính điểm số phơi nhiễm (exposure score). Các thiết bị thuộc nhóm High này nên là domain controller, máy chủ chứa dữ liệu nhạy cảm, thiết bị của các lãnh đạo,….
Có thể thực hiện tự động hóa cấu hình Device Value hàng loạt thông qua API.
Bước 5: Xác nhận hệ thống đã vận hành
Sau 24–48 giờ, kiểm tra các thông tin:
- Software inventory đã liệt kê đầy đủ thông tin phần mềm trên thiết bị.
- Security recommendations đã sinh ra các đề xuất đầu tiên.
- Exposure score đã có giá trị.
Nếu cả ba phần này có dữ liệu, cơ chế continuous discovery của Microsoft Defender Vulnerability Management đã hoạt động.
