Udostępnij za pośrednictwem


Korygowanie luk w zabezpieczeniach zidentyfikowanych przez Microsoft Defender dla punktu końcowego przy użyciu Microsoft Intune zadań zabezpieczeń

Podczas integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Intune można korzystać z Zarządzanie zagrożeniami i lukami usługi Defender za pośrednictwem Intune zadań zabezpieczeń. Te zadania pomagają Intune administratorom w zrozumieniu i rozwiązaniu bieżących luk w zabezpieczeniach na podstawie wskazówek z usługi Defender for Endpoint. Ta integracja zwiększa odnajdywanie i określanie priorytetów luk w zabezpieczeniach, poprawiając czas odpowiedzi korygowania w całym środowisku.

Zarządzanie lukami w zabezpieczeniach & zagrożeń jest częścią Ochrona punktu końcowego w usłudze Microsoft Defender.

Jak działa integracja

Po zintegrowaniu Intune z usługą Ochrona punktu końcowego w usłudze Microsoft Defender usługa Defender for Endpoint otrzymuje szczegółowe informacje o zagrożeniach i lukach w zabezpieczeniach z urządzeń zarządzanych przez Intune. Te szczegóły są widoczne dla administratorów zabezpieczeń w konsoli Centrum zabezpieczeń usługi Microsoft Defender.

W konsoli usługi Security Center administratorzy zabezpieczeń mogą przeglądać luki w zabezpieczeniach punktów końcowych i tworzyć zadania zabezpieczeń zarządzane za pośrednictwem Intune. Te zadania są wyświetlane w centrum administracyjnym Microsoft Intune, w którym administratorzy Intune mogą rozwiązywać problemy i rozwiązywać je na podstawie wskazówek usługi Defender:

  • Luki w zabezpieczeniach są identyfikowane za pomocą skanów i ocen według Ochrona punktu końcowego w usłudze Microsoft Defender.
  • Nie wszystkie zidentyfikowane luki w zabezpieczeniach obsługują korygowanie za pośrednictwem Intune. Tylko te luki w zabezpieczeniach, które są zgodne, powodują zadania zabezpieczeń.

Zadania zabezpieczeń identyfikują:

  • Typ luki w zabezpieczeniach
  • Priority (Priorytet)
  • Stan
  • Kroki korygowania

Intune administratorzy mogą wyświetlać zadanie zabezpieczeń, a następnie akceptować je lub odrzucać. W przypadku akceptowanych zadań administrator jest zgodny ze wskazówkami podanymi w celu używania Intune do korygowania. Gdy korygowanie zakończy się pomyślnie, administrator ustawia zadanie na Ukończono zadanie, które aktualizuje jego stan zarówno w Intune, jak i w usłudze Defender for Endpoint, gdzie administratorzy zabezpieczeń mogą zweryfikować poprawiony stan luki w zabezpieczeniach.

Typy zadań zabezpieczeń

Każde zadanie zabezpieczeń ma typ korygowania:

  • Aplikacja: na przykład Ochrona punktu końcowego w usłudze Microsoft Defender znajduje lukę w zabezpieczeniach w aplikacji, takiej jak Contoso Media Player w wersji 4. Administrator tworzy zadanie aktualizacji aplikacji, które może obejmować zastosowanie aktualizacji zabezpieczeń lub zainstalowanie nowej wersji.
  • Konfiguracja: Jeśli na przykład urządzenia nie mają ochrony przed potencjalnie niechcianych aplikacji (PUA), administrator tworzy zadanie skonfigurowania ustawienia w profilu programu antywirusowego Microsoft Defender.

Jeśli Intune nie obsługuje implementacji odpowiedniego korygowania, Ochrona punktu końcowego w usłudze Microsoft Defender nie tworzy zadania zabezpieczeń.

Działania naprawcze

Typowe korygowania zadań zabezpieczeń obejmują:

  • Zablokuj uruchamianie aplikacji.
  • Wdróż aktualizację systemu operacyjnego, aby wyeliminować lukę w zabezpieczeniach.
  • Wdróż zasady zabezpieczeń punktu końcowego, aby wyeliminować lukę w zabezpieczeniach.
  • Modyfikowanie wartości rejestru.
  • Wyłącz lub Włącz konfigurację, aby wpłynąć na tę lukę w zabezpieczeniach.
  • Wymagaj uwagi, która ostrzega administratora, gdy nie jest dostępne odpowiednie zalecenie.

Przykład przepływu pracy

Poniżej przedstawiono przykład przepływu pracy na potrzeby odnajdywania i korygowania luki w zabezpieczeniach aplikacji:

  • Skanowanie Ochrona punktu końcowego w usłudze Microsoft Defender identyfikuje lukę w zabezpieczeniach w aplikacji Contoso Media Player w wersji 4, która jest niezarządzaną aplikacją, która nie jest wdrażana przez Intune. Administrator tworzy zadanie zabezpieczeń w celu zaktualizowania aplikacji.
  • Zadanie zabezpieczeń jest wyświetlane w centrum administracyjnym Microsoft Intune ze stanem Oczekujące.
  • Administrator Intune wyświetla szczegóły zadania i wybiera pozycję Akceptuj, co zmienia stan zadania na Zaakceptowane zarówno w Intune, jak i w usłudze Defender for Endpoint.
  • Administrator jest zgodny z podanymi wskazówkami dotyczącymi korygowania. W przypadku aplikacji zarządzanych Intune mogą zawierać instrukcje lub linki do aktualizowania aplikacji. W przypadku aplikacji niezarządzanych Intune może udostępniać tylko instrukcje tekstowe.
  • Po usunięciu luki w zabezpieczeniach administrator Intune oznacza zadanie jako *Ukończone zadanie. Ta akcja aktualizuje stan zarówno w Intune, jak i w usłudze Defender for Endpoint, gdzie administratorzy zabezpieczeń potwierdzają, że korygowanie zakończyło się pomyślnie i zostało zakończone.

Wymagania wstępne

Subskrypcje:

Intune konfiguracje dla usługi Defender dla punktu końcowego:

  • Skonfiguruj połączenie między usługami za pomocą Ochrona punktu końcowego w usłudze Microsoft Defender.
  • Wdróż zasady Intune, które konfigurują ustawienia Ochrona punktu końcowego w usłudze Microsoft Defender na urządzeniach w celu oceny ryzyka.

Praca z zadaniami zabezpieczeń

Przed rozpoczęciem zarządzania zadaniami zabezpieczeń należy je utworzyć w usłudze Defender Security Center. Aby uzyskać szczegółowe instrukcje, zobacz dokumentację usługi Defender for Endpoint dotyczącą korygowania luk w zabezpieczeniach.

Aby zarządzać zadaniami zabezpieczeń:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęZadania zabezpieczeń>punktu końcowego.

  3. Wybierz zadanie zabezpieczeń, aby wyświetlić jego szczegóły. W oknie zadania możesz wybrać dodatkowe linki, w tym:

    • APLIKACJE ZARZĄDZANE — wyświetl aplikację, która jest podatna na zagrożenia. Jeśli luka w zabezpieczeniach dotyczy wielu aplikacji, Intune wyświetla filtrowaną listę aplikacji.
    • URZĄDZENIA — wyświetl listę urządzeń narażonych na zagrożenia , z których można połączyć się z wpisem zawierającym więcej szczegółów dotyczących luki w zabezpieczeniach na tym urządzeniu.
    • REQUESTOR — użyj linku, aby wysłać wiadomość e-mail do administratora, który przesłał to zadanie zabezpieczeń.
    • UWAGI — odczytywanie niestandardowych komunikatów przesłanych przez żądającego podczas otwierania zadania zabezpieczeń.
  4. Wybierz pozycję Zaakceptuj lub odrzuć , aby wysłać powiadomienie do usługi Defender for Endpoint dla planowanej akcji. Gdy zaakceptujesz lub odrzucisz zadanie, możesz przesłać notatki, które są wysyłane do usługi Defender for Endpoint.

  5. Po zaakceptowaniu zadania otwórz ponownie zadanie zabezpieczeń (jeśli zostało zamknięte) i postępuj zgodnie ze szczegółami korygowania, aby skorygować lukę w zabezpieczeniach. Instrukcje podane przez usługę Defender for Endpoint w szczegółach zadania zabezpieczeń różnią się w zależności od luki w zabezpieczeniach.

  6. Po wykonaniu kroków korygowania otwórz zadanie zabezpieczeń i wybierz pozycję Zakończ zadanie. Ta akcja aktualizuje stan zadania zabezpieczeń zarówno w Intune, jak i w usłudze Defender for Endpoint.

Pomyślne korygowanie może zmniejszyć wskaźnik narażenia na ryzyko w usłudze Defender for Endpoint na podstawie kolejnych aktualizacji stanu z skorygowanych urządzeń.