Utilizar Microsoft Intune tarefas de segurança para remediar vulnerabilidades de dispositivos identificadas pelo Microsoft Defender para o ponto final

Ao integrar Microsoft Defender para Ponto de Extremidade com Microsoft Intune, pode tirar partido do Gerenciamento de Ameaças e Vulnerabilidades do Defender através de tarefas de segurança Intune. Estas tarefas ajudam os administradores Intune a compreender e a resolver as vulnerabilidades atuais com base na documentação de orientação do Defender para Endpoint. Esta integração melhora a deteção e atribuição de prioridades de vulnerabilidades, melhorando os tempos de resposta da remediação em todo o seu ambiente.

O Gerenciamento de Ameaças e Vulnerabilidades faz parte do Microsoft Defender para Ponto de Extremidade.

Como funciona a integração

Depois de integrar Intune com Microsoft Defender para Ponto de Extremidade, o Defender para Endpoint recebe detalhes de ameaças e vulnerabilidades de dispositivos geridos Intune. Estes detalhes são visíveis para os administradores de segurança na consola do Central de Segurança do Microsoft Defender.

Na consola do Centro de Segurança, os administradores de segurança podem rever as vulnerabilidades dos pontos finais e criar tarefas de segurança geridas através de Intune. Estas tarefas são apresentadas no centro de administração do Microsoft Intune, onde Intune administradores podem agir e remediar problemas com base na documentação de orientação do Defender:

• As vulnerabilidades são identificadas através de análises e avaliações por Microsoft Defender para Ponto de Extremidade.
• Nem todas as vulnerabilidades identificadas suportam a remediação através de Intune; apenas as vulnerabilidades compatíveis resultam em tarefas de segurança.

As tarefas de segurança identificam:

• O tipo de vulnerabilidade
• Prioridade
• Status
• Passos para a remediação

Intune administradores podem ver uma tarefa de segurança e, em seguida, optar por aceitá-la ou rejeitá-la. Para tarefas aceites, o administrador segue as orientações fornecidas para utilizar Intune para remediação. Assim que a remediação for concluída com êxito, o administrador define a tarefa como Concluir Tarefa, que atualiza o respetivo status tanto no Intune como no Defender para Endpoint, onde os administradores de segurança podem verificar a status revista da vulnerabilidade.

Tipos de tarefas de segurança

Cada tarefa de segurança tem um Tipo de Remediação:

• Aplicação: por exemplo, Microsoft Defender para Ponto de Extremidade encontra uma vulnerabilidade numa aplicação como o Leitor de Multimédia da Contoso v4. Um administrador cria uma tarefa para atualizar a aplicação, o que pode envolver a aplicação de uma atualização de segurança ou a instalação de uma nova versão.
• Configuração: por exemplo, se não tiver proteção contra aplicações potencialmente indesejadas (PUA), um administrador cria uma tarefa para configurar a definição no perfil antivírus do Microsoft Defender.

Quando Intune não suporta a implementação de uma remediação adequada, Microsoft Defender para Ponto de Extremidade não cria uma tarefa de segurança.

Ações de correção

As remediações de tarefas de segurança comuns incluem:

• Bloquear a execução de uma aplicação.
• Implantar uma atualização do sistema operacional para reduzir a vulnerabilidade.
• Implantar a política de segurança de ponto de extremidade para mitigar a vulnerabilidade.
• Modificar um valor de registro.
• Desabilitar ou Habilitar uma configuração para afetar a vulnerabilidade.
• Exigir Atenção, que alerta o administrador quando não existe nenhuma recomendação adequada disponível.

Exemplo de Fluxo de Trabalho

Segue-se um exemplo do fluxo de trabalho para detetar e remediar uma vulnerabilidade da aplicação:

• Uma análise de Microsoft Defender para Ponto de Extremidade identifica uma vulnerabilidade na aplicação Contoso Media Player v4, que é uma aplicação não gerida que não é implementada pelo Intune. Um administrador cria uma tarefa de segurança para atualizar a aplicação.
• A tarefa de segurança é apresentada no centro de administração do Microsoft Intune com uma status de Pendente.
• O administrador do Intune vê os detalhes da tarefa e seleciona Aceitar, o que altera a status da tarefa para Aceite no Intune e no Defender para Ponto Final.
• O administrador segue as orientações de remediação fornecidas. Para aplicações geridas, Intune podem incluir instruções ou ligações para atualizar a aplicação. Para aplicações não geridas, Intune só podem fornecer instruções de texto.
• Depois de resolver a vulnerabilidade, o administrador do Intune marca a tarefa como *Concluir Tarefa. Esta ação atualiza o status no Intune e no Defender para Endpoint, onde os administradores de segurança confirmam que a remediação foi concluída e bem-sucedida.

Pré-requisitos

Assinaturas:

• Microsoft Intune (plano 1)
• Microsoft Defender para Ponto de Extremidade (Inscreva-se para uma avaliação gratuita.)

Configurações do Intune para o Defender para Ponto de Extremidade:

• Configure uma ligação serviço a serviço com Microsoft Defender para Ponto de Extremidade.
• Implemente uma política de Intune que configure definições para Microsoft Defender para Ponto de Extremidade em dispositivos para avaliar o risco.

Trabalhe com as tarefas de segurança

Antes de gerir as tarefas de segurança, estas têm de ser criadas no Centro de Segurança do Defender. Para obter instruções detalhadas, veja a documentação do Defender para Endpoint sobre como remediar vulnerabilidades.

Para gerenciar tarefas de segurança:

1. Entre no Centro de administração do Microsoft Intune.

2. Selecione a Segurança do ponto de extremidade>Tarefas de segurança.

3. Escolha uma tarefa de segurança para ver os respetivos detalhes. Na janela de tarefas, pode selecionar ligações adicionais, incluindo:

   • APLICATIVOS GERENCIADOS - Exiba o aplicativo vulnerável. Quando a vulnerabilidade se aplica a várias aplicações, Intune apresenta uma lista filtrada de aplicações.
   • DISPOSITIVOS – veja uma lista dos dispositivos Vulneráveis a partir dos quais pode ligar a uma entrada com mais detalhes sobre a vulnerabilidade nesse dispositivo.
   • SOLICITANTE: use este link para enviar um email ao administrador que enviou a tarefa de segurança.
   • OBSERVAÇÕES - Leia as mensagens personalizadas enviadas pelo solicitante ao abrir a tarefa de segurança.

4. Selecione Aceitar ou Rejeitar para enviar a notificação ao Defender para Ponto de Extremidade para a ação planejada. Ao aceitar ou rejeitar uma tarefa, você pode enviar observações, que são enviadas ao Defender para Ponto de Extremidade.

5. Depois de aceitar uma tarefa, abra novamente a tarefa de segurança (se estiver fechada) e siga os detalhes de CORREÇÃO para corrigir a vulnerabilidade. As instruções fornecidas pelo Defender para Ponto de Extremidade nos detalhes da tarefa de segurança variam de acordo com a vulnerabilidade envolvida.

6. Depois de concluir as etapas de correção, abra a tarefa de segurança e selecione Concluir Tarefa. Essa ação atualiza o status da tarefa de segurança no Intune e no Defender para Ponto de Extremidade.

A remediação bem-sucedida pode reduzir a pontuação de exposição ao risco no Defender para Endpoint com base nas atualizações subsequentes status dos dispositivos remediados.

Conteúdo relacionado

• Saiba mais sobre o Intune e o Microsoft Defender para Ponto de Extremidade.
• Examine a Defesa contra ameaças móveis do Intune.
• Confira o Painel de Gerenciamento de Ameaças e Vulnerabilidades no Microsoft Defender para Ponto de Extremidade.