Usar Microsoft Intune tareas de seguridad para corregir las vulnerabilidades de dispositivo identificadas por Microsoft Defender para el punto de conexión

Al integrar Microsoft Defender para punto de conexión con Microsoft Intune, puede aprovechar la Administración de amenazas y vulnerabilidades de Defender a través de Intune tareas de seguridad. Estas tareas ayudan a Intune administradores a comprender y abordar las vulnerabilidades actuales según la guía de Defender para punto de conexión. Esta integración mejora la detección y priorización de vulnerabilidades, lo que mejora los tiempos de respuesta de corrección en todo el entorno.

Threat & Vulnerability Management forma parte de Microsoft Defender para punto de conexión.

Funcionamiento de la integración

Después de integrar Intune con Microsoft Defender para punto de conexión, Defender for Endpoint recibe los detalles de amenazas y vulnerabilidades de los dispositivos administrados por Intune. Estos detalles son visibles para los administradores de seguridad en la consola de Centro de seguridad de Microsoft Defender.

En la consola de Security Center, los administradores de seguridad pueden revisar las vulnerabilidades del punto de conexión y crear tareas de seguridad administradas a través de Intune. Estas tareas aparecen en el centro de administración de Microsoft Intune, donde los administradores de Intune pueden actuar y corregir problemas según las instrucciones de Defender:

• Las vulnerabilidades se identifican mediante exámenes y evaluaciones por Microsoft Defender para punto de conexión.
• No todas las vulnerabilidades identificadas admiten la corrección a través de Intune; solo las vulnerabilidades compatibles dan lugar a tareas de seguridad.

Las tareas de seguridad identifican:

• Tipo de vulnerabilidad
• Prioridad
• Estado
• Pasos para la corrección

Intune los administradores pueden ver una tarea de seguridad y, a continuación, elegir aceptarla o rechazarla. En el caso de las tareas aceptadas, el administrador sigue las instrucciones proporcionadas para usar Intune para la corrección. Una vez que la corrección se realiza correctamente, el administrador establece la tarea en Completar tarea, que actualiza su estado tanto en Intune como en Defender para punto de conexión, donde los administradores de seguridad pueden comprobar el estado revisado de la vulnerabilidad.

Tipos de tareas de seguridad

Cada tarea de seguridad tiene un tipo de corrección:

• Aplicación: por ejemplo, Microsoft Defender para punto de conexión encuentra una vulnerabilidad en una aplicación como Contoso Media Player v4. Un administrador crea una tarea para actualizar la aplicación, lo que podría implicar la aplicación de una actualización de seguridad o la instalación de una nueva versión.
• Configuración: por ejemplo, si los dispositivos carecen de protección contra aplicaciones potencialmente no deseadas (PUA), un administrador crea una tarea para configurar la configuración en el perfil Microsoft Defender Antivirus.

Cuando Intune no admite la implementación de una corrección adecuada, Microsoft Defender para punto de conexión no crea una tarea de seguridad.

Acciones de corrección

Las correcciones comunes de tareas de seguridad incluyen:

• Bloquee la ejecución de una aplicación.
• Implementar una actualización del sistema operativo para mitigar la vulnerabilidad.
• Implementar la directiva de seguridad de punto de conexión para mitigar la vulnerabilidad.
• Modificar un valor del Registro.
• Deshabilitar o habilitar una configuración para afectar la vulnerabilidad.
• Requerir atención, que alerta al administrador cuando no hay ninguna recomendación adecuada disponible.

Ejemplo de flujo de trabajo

A continuación se muestra un ejemplo del flujo de trabajo para detectar y corregir una vulnerabilidad de aplicación:

• Un examen de Microsoft Defender para punto de conexión identifica una vulnerabilidad en la aplicación Contoso Media Player v4, que es una aplicación no administrada que Intune no implementa. Un administrador crea una tarea de seguridad para actualizar la aplicación.
• La tarea de seguridad aparece en el centro de administración de Microsoft Intune con el estado Pendiente.
• El administrador de Intune ve los detalles de la tarea y selecciona Aceptar, que cambia el estado de la tarea a Aceptado en Intune y Defender para punto de conexión.
• El administrador sigue las instrucciones de corrección proporcionadas. En el caso de las aplicaciones administradas, Intune puede incluir instrucciones o vínculos para actualizar la aplicación. En el caso de las aplicaciones no administradas, Intune solo puede proporcionar instrucciones de texto.
• Después de solucionar la vulnerabilidad, el administrador de Intune marca la tarea como *Completar tarea. Esta acción actualiza el estado en Intune y Defender para punto de conexión, donde los administradores de seguridad confirman que la corrección se ha completado correctamente.

Requisitos previos

Suscripciones:

• Plan 1 de Microsoft Intune
• Microsoft Defender para punto de conexión (Regístrese para obtener una versión de prueba gratuita).

Configuraciones de Intune para Defender para punto de conexión:

• Configure una conexión de servicio a servicio con Microsoft Defender para punto de conexión.
• Implemente una directiva de Intune que configure los valores de Microsoft Defender para punto de conexión en los dispositivos para evaluar el riesgo.

Trabajo con tareas de seguridad

Antes de administrar las tareas de seguridad, deben crearse en el Centro de seguridad de Defender. Para obtener instrucciones detalladas, consulte la documentación de Defender para punto de conexión sobre la corrección de vulnerabilidades.

Para administrar tareas de seguridad:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Endpoint security (Seguridad del punto de conexión) >Tareas de seguridad.

3. Elija una tarea de seguridad para ver sus detalles. En la ventana de tareas, puede seleccionar vínculos adicionales, entre los que se incluyen:

   • MANAGED APPS (Aplicaciones administradas): vea cuál es la aplicación vulnerable. Cuando la vulnerabilidad se aplica a varias aplicaciones, Intune muestra una lista filtrada de aplicaciones.
   • DISPOSITIVOS: vea una lista de los dispositivos vulnerables desde los que puede vincular a una entrada con más detalles sobre la vulnerabilidad en ese dispositivo.
   • REQUESTOR (Solicitante): use el vínculo para enviar un correo al administrador que envió esta tarea de seguridad.
   • NOTES (Notas): lea los mensajes personalizados que envió el solicitante al abrir la tarea de seguridad.

4. Seleccione Aceptar o Rechazar para enviar una notificación a Defender para punto de conexión sobre la acción planeada. Cuando acepta o rechaza una tarea, puede enviar notas, las cuales se envían a Defender para punto de conexión.

5. Después de aceptar una tarea, vuelva a abrir la tarea de seguridad (si está cerrada) y siga los detalles de CORRECCIÓN para corregir la vulnerabilidad. Las instrucciones que proporciona Defender para punto de conexión en los detalles de la tarea de seguridad varían según la vulnerabilidad en cuestión.

6. Después de completar los pasos de corrección, abra la tarea de seguridad y seleccione Completar tarea. Con esta acción se actualiza el estado de la tarea de seguridad tanto en Intune como en Defender para punto de conexión.

La corrección correcta puede reducir la puntuación de exposición al riesgo en Defender para punto de conexión en función de las actualizaciones de estado posteriores de los dispositivos corregidos.

Contenido relacionado

• Más información sobre Intune y Microsoft Defender para punto de conexión.
• Revise Defensa contra amenazas móviles de Intune.
• Revise el panel de Threat & Vulnerability Management en Microsoft Defender para punto de conexión.