Usare Microsoft Intune attività di sicurezza per correggere le vulnerabilità dei dispositivi identificate da Microsoft Defender per l'endpoint

Integrando Microsoft Defender per endpoint con Microsoft Intune, è possibile sfruttare le gestione di minacce e vulnerabilità di Defender tramite attività di sicurezza Intune. Queste attività consentono agli amministratori Intune di comprendere e risolvere le vulnerabilità correnti in base alle indicazioni di Defender per endpoint. Questa integrazione migliora l'individuazione e la definizione delle priorità delle vulnerabilità, migliorando i tempi di risposta per la correzione nell'ambiente.

Gestione delle vulnerabilità & delle minacce fa parte di Microsoft Defender per endpoint.

Funzionamento dell'integrazione

Dopo aver integrato Intune con Microsoft Defender per endpoint, Defender per endpoint riceve i dettagli sulle minacce e sulla vulnerabilità dai dispositivi gestiti da Intune. Questi dettagli sono visibili agli amministratori della sicurezza nella console di Microsoft Defender Security Center.

Nella console del Centro sicurezza gli amministratori della sicurezza possono esaminare le vulnerabilità degli endpoint e creare attività di sicurezza gestite tramite Intune. Queste attività vengono visualizzate nell'interfaccia di amministrazione Microsoft Intune, in cui gli amministratori Intune possono agire e correggere i problemi in base alle indicazioni di Defender:

• Le vulnerabilità vengono identificate tramite analisi e valutazioni da Microsoft Defender per endpoint.
• Non tutte le vulnerabilità identificate supportano la correzione tramite Intune, ma solo le vulnerabilità compatibili generano attività di sicurezza.

Le attività di sicurezza identificano:

• Tipo di vulnerabilità
• Priorità
• Stato
• Passaggi per la correzione

Intune amministratori possono visualizzare un'attività di sicurezza e quindi scegliere di accettarla o rifiutarla. Per le attività accettate, l'amministratore segue le indicazioni fornite per usare Intune per la correzione. Una volta completata la correzione, l'amministratore imposta l'attività su Completa attività, che ne aggiorna lo stato sia in Intune che in Defender per endpoint, in cui gli amministratori della sicurezza possono verificare lo stato modificato della vulnerabilità.

Tipi di attività di sicurezza

Ogni attività di sicurezza ha un tipo di correzione:

• Applicazione: ad esempio, Microsoft Defender per endpoint trova una vulnerabilità in un'app come Contoso Media Player v4. Un amministratore crea un'attività per aggiornare l'app, che potrebbe comportare l'applicazione di un aggiornamento della sicurezza o l'installazione di una nuova versione.
• Configurazione: ad esempio, se i dispositivi non sono protetti da applicazioni potenzialmente indesiderate, un amministratore crea un'attività per configurare l'impostazione nel profilo antivirus Microsoft Defender.

Quando Intune non supporta l'implementazione di una correzione appropriata, Microsoft Defender per endpoint non crea un'attività di sicurezza.

Azioni correttive

Le correzioni comuni delle attività di sicurezza includono:

• Impedire l'esecuzione di un'applicazione.
• Distribuire un aggiornamento del sistema operativo per attenuare la vulnerabilità.
• Distribuire i criteri di sicurezza degli endpoint per attenuare la vulnerabilità.
• Modificare un valore del Registro di sistema.
• Disabilitare o abilitare una configurazione per influire sulla vulnerabilità.
• Richiedi attenzione, che avvisa l'amministratore quando non è disponibile alcuna raccomandazione appropriata.

Esempio di flusso di lavoro

Di seguito è riportato un esempio del flusso di lavoro per individuare e correggere una vulnerabilità dell'applicazione:

• Un'analisi Microsoft Defender per endpoint identifica una vulnerabilità nell'app Contoso Media Player v4, ovvero un'app non gestita non distribuita da Intune. Un amministratore crea un'attività di sicurezza per aggiornare l'app.
• L'attività di sicurezza viene visualizzata nell'interfaccia di amministrazione Microsoft Intune con lo stato In sospeso.
• L'amministratore Intune visualizza i dettagli dell'attività e seleziona Accetta, che modifica lo stato dell'attività in Accettato sia in Intune che in Defender per endpoint.
• L'amministratore segue le indicazioni per la correzione fornite. Per le app gestite, Intune potrebbero includere istruzioni o collegamenti per aggiornare l'app. Per le app non gestite, Intune possono fornire solo istruzioni di testo.
• Dopo aver affrontato la vulnerabilità, l'amministratore Intune contrassegna l'attività come *Completa attività. Questa azione aggiorna lo stato sia in Intune che in Defender per endpoint, in cui gli amministratori della sicurezza verificano che la correzione sia completata e completata.

Prerequisiti

Sottoscrizioni:

• Microsoft Intune (piano 1)
• Microsoft Defender per endpoint (iscriversi per una versione di valutazione gratuita).

Intune configurazioni per Defender per endpoint:

• Configurare una connessione da servizio a servizio con Microsoft Defender per endpoint.
• Distribuire un criterio di Intune che configura le impostazioni per Microsoft Defender per endpoint ai dispositivi per valutare i rischi.

Usare le attività di sicurezza

Prima di gestire le attività di sicurezza, è necessario crearne all'interno del Centro sicurezza di Defender. Per istruzioni dettagliate, vedere la documentazione di Defender per endpoint sulla correzione delle vulnerabilità.

Per gestire le attività di sicurezza:

1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

2. Selezionare Attività di sicurezza>degli endpoint.

3. Scegliere un'attività di sicurezza per visualizzarne i dettagli. Nella finestra attività è possibile selezionare altri collegamenti, tra cui:

   • APP GESTITE: visualizzare l'app vulnerabile. Quando la vulnerabilità si applica a più app, Intune visualizza un elenco filtrato di app.
   • DISPOSITIVI: visualizzare un elenco dei dispositivi vulnerabili da cui è possibile collegarsi a una voce con altri dettagli per la vulnerabilità in tale dispositivo.
   • REQUESTOR: usare il collegamento per inviare messaggi di posta elettronica all'amministratore che ha inviato questa attività di sicurezza.
   • NOTE: leggere i messaggi personalizzati inviati dal richiedente all'apertura dell'attività di sicurezza.

4. Selezionare Accetta o Rifiuta per inviare una notifica a Defender per endpoint per l'azione pianificata. Quando si accetta o si rifiuta un'attività, è possibile inviare note che vengono inviate a Defender per endpoint.

5. Dopo aver accettato un'attività, riaprire l'attività di sicurezza (se chiusa) e seguire i dettagli di CORREZIONE per correggere la vulnerabilità. Le istruzioni fornite da Defender per endpoint nei dettagli dell'attività di sicurezza variano a seconda della vulnerabilità coinvolta.

6. Dopo aver completato i passaggi di correzione, aprire l'attività di sicurezza e selezionare Completa attività. Questa azione aggiorna lo stato dell'attività di sicurezza sia in Intune che in Defender per endpoint.

La correzione corretta può ridurre il punteggio di esposizione dei rischi in Defender per endpoint in base agli aggiornamenti dello stato successivi dei dispositivi corretti.

Contenuto correlato

• Altre informazioni su Intune e Microsoft Defender per endpoint.
• Esaminare Intune Mobile Threat Defense.
• Esaminare il dashboard Gestione vulnerabilità di Threat & in Microsoft Defender per endpoint.