注:
Microsoft Defender ポータルの [脆弱性の管理] セクションが [露出管理] の下に表示されるようになりました。 この変更により、セキュリティ公開データと脆弱性データを統合された場所で使用および管理し、既存の脆弱性管理機能を強化できるようになりました。 詳細情報 を参照してください。
これらの変更は、プレビューのお客様に関連します (Microsoft Defender XDR + Microsoft Defender for Identity プレビュー オプション)。
重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
セキュリティ管理者が、組織で使用される一般的な、独自のオープンソースのソフトウェア コンポーネントと依存関係に関連するセキュリティとコンプライアンスのリスクを特定して軽減することは、ますます困難になっています。 この課題に対処するために、Defender 脆弱性の管理は、過去にセキュリティの問題が発生したことが知られているコンポーネントで検出された脆弱性の特定、報告、および修復の推奨をサポートします。
デバイスに存在するソフトウェア コンポーネントを可視化することで、セキュリティ管理者は、関連するリスクを軽減するための手順を実行することに注意とリソースを集中させることができます。
注:
[ 脆弱なコンポーネント] ページの名前が [ソフトウェア コンポーネント] に変更されました。
ヒント
Microsoft Defender 脆弱性の管理のすべての機能を無料で試すことができることをご存知でしたか? 無料試用版にサインアップする方法について説明します。
[ソフトウェア コンポーネント] ページに移動します
- Microsoft Defender ポータルで、次のいずれかの操作を行います。
- Microsoft Defender XDR + Microsoft Defender for Identity プレビューのお客様の場合は、[露出管理>Vulnerability management>Inventories] を選択します。
- 既存の顧客の場合は、[ エンドポイント>Vulnerability management>Inventories] を選択します。
- [ ソフトウェア コンポーネント ] タブを選択します。
[ソフトウェア コンポーネント] ページが開き、organizationで識別された既知のソフトウェア コンポーネントの一覧が表示されます。 コンポーネント名とベンダー、そのコンポーネントに対して見つかった弱点の数、それに関連するアクティブな脅威またはアラートがある場合などの情報が提供されます。
サポートされているコンポーネント
Defender 脆弱性の管理では、次のソフトウェア コンポーネントがサポートされています。
- Openssl
- LiteDB
- XZ Utils
- Log4J
- libwebp
- Apache Commons Text
- Spring Framework
- Apache Tomcat
- Next.js
- Ghostscript (GPL)
- React Server DOM Webpack
- Apache Struts
- React Native コミュニティ CLI
- Spring Framework
- Apache Parquet Avro
- Langflow
- Ghostscript
- SAP NetWeaver Application Server Visual Composer
- React Server DOM パーセル
- React Server DOM Turbopack
コンポーネントの詳細
ソフトウェア コンポーネントを選択してポップアップ ウィンドウを開くと、そのソフトウェア コンポーネントの詳細が表示されます。
![[ソフトウェア コンポーネントの詳細] ページの例。](/ja-jp/defender/media/defender-vulnerability-management/tvm-vulnerable-components-details.png)
[ コンポーネントを含むデバイス ] タブを選択すると、コンポーネントがインストールされているデバイスの一覧が表示されます。
[脆弱なファイル] タブを選択すると、脆弱なファイルのパスとバージョン、関連する脆弱性、公開されているデバイスに関する情報が表示されます。
![[ソフトウェア コンポーネントの脆弱なファイル] ページの例。](/ja-jp/defender/media/defender-vulnerability-management/tvm-vulnerable-components-files.png)
ポップアップ ウィンドウから、[ Open component page]\(コンポーネントを開く\) ページを選択してコンポーネントの詳細を確認したり、[ ソフトウェア コンポーネント] ページを参照したり、[ レポートの不正確さ] を選択して技術的な不整合にフラグを設定したりすることもできます。「 レポートの不正確さ」を参照してください。
[ソフトウェア コンポーネント] ページ
ソフトウェア コンポーネントの [ コンポーネントを開く] ページ を選択すると、そのコンポーネントのすべての詳細が表示されます。
![[ソフトウェア コンポーネント] ページの例。](/ja-jp/defender/media/defender-vulnerability-management/tvm-vulnerable-components-page.png#lightbox)
このページには、コンポーネント ベンダーに関する情報、コンポーネントがインストールされているデバイス、検出された脆弱性と公開されているデバイスの数を示すデータ視覚化が含まれています。
次のようなソフトウェア コンポーネントに固有の情報を含むタブを使用できます。
- 特定された脆弱性に対応するセキュリティに関する推奨事項。
- 脆弱なファイルのパスとバージョン、関連する脆弱性、公開されているデバイスなど、脆弱なファイル情報。
レコメンデーションを表示する
ソフトウェア コンポーネントのセキュリティに関する推奨事項を表示するには:
- [インベントリ] ページ で 、[ ソフトウェア コンポーネント ] タブを選択します。
- ソフトウェア コンポーネントを選択し、ポップアップ ウィンドウで [ 関連するセキュリティの推奨事項に移動 ] を選択します。
または、コンポーネント ポップアップ ウィンドウから [ コンポーネント ページを開く ] を選択し、コンポーネント ページから [ セキュリティの推奨事項 ] タブを選択します。
セキュリティに関する推奨事項を選択すると、ポップアップ ウィンドウに、セキュリティに関する推奨事項の種類が "所有アプリ" であることがわかります。
これは、ソフトウェア コンポーネントを修正または修正する簡単な方法がないためです。 所有アプリ ラベルを使用すると、セキュリティ管理者はソフトウェア コンポーネントに関する情報を使用して、提案された修復がorganization全体に及ぼす影響を評価できます。
デバイス上のソフトウェア コンポーネント
デバイス上のソフトウェア コンポーネントの一覧を表示することもできます。 デバイス ページを開き、[ インベントリ ] を選択し、[ ソフトウェア コンポーネント ] を選択して、そのデバイスにインストールされているソフトウェア コンポーネントの一覧を表示します。