脆弱なコンポーネント

  • [アーティクル]

適用対象:

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

セキュリティ管理者が、組織で使用される一般的な、独自のオープンソースのソフトウェア コンポーネントと依存関係に関連するセキュリティとコンプライアンスのリスクを特定して軽減することは、ますます困難になっています。 この課題に対処するために、Defender 脆弱性管理は、過去にセキュリティの問題が発生したことが知られているコンポーネントで見つかった脆弱性の特定、報告、および修復の推奨をサポートします。

デバイスに脆弱なコンポーネントが存在する状況を把握できるため、セキュリティ管理者は、関連するリスクを軽減するための手順を実行することに注意とリソースを集中できます。

ヒント

Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。

脆弱なコンポーネント機能の概要については、次のビデオをwatchします。

脆弱なコンポーネント ページに移動する

  1. Microsoft Defender ポータル[脆弱性管理>インベントリ] に移動します。
  2. [ 脆弱なコンポーネント ] タブを選択します。

[脆弱なコンポーネント] ページが開き、organizationで特定された既知の脆弱なコンポーネントの一覧が表示されます。 コンポーネント名とベンダー、そのコンポーネントに対して見つかった弱点の数、それに関連するアクティブな脅威またはアラートがある場合などの情報が提供されます。

脆弱なコンポーネントのランディング ページの例。

注:

サポートは現在、次の脆弱なコンポーネントでのみ使用できます。

  • Apache Commons Text
  • Apache Log4j
  • Apache ストラット
  • libwebp
  • LiteDB
  • Openssl
  • Spring Framework

コンポーネントの詳細

脆弱なコンポーネントを選択すると、その脆弱なコンポーネントの詳細が表示されるポップアップ ウィンドウが開きます。

脆弱なコンポーネントの詳細ページの例。

[ インストール済みデバイス ] タブを選択すると、コンポーネントがインストールされているデバイスの一覧が表示されます。

[脆弱なファイル] タブを選択すると、脆弱なファイルのパスとバージョン、関連する脆弱性、公開されているデバイスに関する情報が表示されます。

脆弱なコンポーネントの脆弱なファイル ページの例。

ポップアップ ウィンドウから、[ Open component]\(コンポーネントを開く\) ページを選択して脆弱なコンポーネントをさらに詳しく調べるか、「 脆弱なコンポーネント」ページを参照するか、[ レポートの不正確さ] を選択して技術的な不整合にフラグを設定することもできます。「 レポートの不正確さ」を参照してください。

[脆弱なコンポーネント] ページ

脆弱なコンポーネントの [ コンポーネント ページを開く ] を選択すると、そのコンポーネントのすべての詳細が表示されます。

脆弱なコンポーネント ページの例。

このページには、コンポーネント ベンダーに関する情報、コンポーネントがインストールされているデバイス、検出された脆弱性と公開されているデバイスの数を示すデータ視覚化が含まれています。

タブには、脆弱なコンポーネントに固有の次のような情報が含まれています。

  • 特定された脆弱性に対応するセキュリティに関する推奨事項。
  • 脆弱なファイルのパスとバージョン、関連する脆弱性、公開されているデバイスなど、脆弱なファイル情報。

レコメンデーションを表示する

脆弱なコンポーネントのセキュリティに関する推奨事項を表示するには:

  1. Microsoft Defender ポータル[脆弱性管理>インベントリ] に移動します。
  2. [ 脆弱なコンポーネント ] タブを選択します。
  3. 脆弱なコンポーネントを選択し、ポップアップ ウィンドウで [関連するセキュリティの推奨事項に移動 ] を選択します。

または、コンポーネント ポップアップ ウィンドウから [ コンポーネント ページを開く ] を選択し、コンポーネント ページから [ セキュリティの推奨事項 ] タブを選択します。

脆弱なコンポーネントに対するソフトウェアの推奨事項の例。

セキュリティに関する推奨事項を選択すると、ポップアップ ウィンドウに、セキュリティに関する推奨事項の種類が [注意が必要] であることが表示されます。

これは、脆弱なコンポーネントを修正または修正する簡単な方法がないためです。 [注意が必要] ラベルを使用すると、セキュリティ管理者は脆弱なコンポーネントに関する情報を使用して、提案された修復がorganization全体に及ぼす影響を評価できます。

デバイス上の脆弱なコンポーネント

デバイス上の脆弱なコンポーネントの一覧を表示することもできます。 デバイス ページを開き、[ インベントリ ] と [ 脆弱なコンポーネント ] を選択して、そのデバイスにインストールされている脆弱なコンポーネントの一覧を表示します。