Использование Microsoft Intune задач безопасности для устранения уязвимостей устройств, определенных Microsoft Defender для конечной точки

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет использовать контроль угроз и уязвимостей Defender с помощью Intune задач безопасности. Эти задачи помогают администраторам Intune понимать и устранять текущие уязвимости на основе рекомендаций Defender для конечной точки. Эта интеграция улучшает обнаружение и определение приоритетов уязвимостей, повышая время реагирования на исправление в вашей среде.

Средство по управлению угрозами и уязвимостями входит в состав Microsoft Defender для конечной точки.

Как работает интеграция

После интеграции Intune с Microsoft Defender для конечной точки Defender для конечной точки получает сведения об угрозах и уязвимостях с устройств, управляемых Intune. Эти сведения видны администраторам безопасности в консоли Центр безопасности в Microsoft Defender.

В консоли Центра безопасности администраторы безопасности могут просматривать уязвимости конечных точек и создавать задачи безопасности, управляемые с помощью Intune. Эти задачи отображаются в Центре администрирования Microsoft Intune, где администраторы Intune могут действовать и устранять проблемы в соответствии с рекомендациями Defender:

• Уязвимости определяются с помощью проверок и оценок Microsoft Defender для конечной точки.
• Не все обнаруженные уязвимости поддерживают исправление через Intune. Только те уязвимости, которые совместимы, приводят к выполнению задач безопасности.

Задачи безопасности определяют:

• Тип уязвимости
• Priority
• Состояние
• Действия по исправлению

Intune администраторы могут просмотреть задачу безопасности, а затем принять или отклонить ее. Для принятых задач администратор следует инструкциям по использованию Intune для исправления. После успешного исправления администратор устанавливает для задачи значение Завершить задачу, что обновляет ее состояние как в Intune, так и в Defender для конечной точки, где администраторы безопасности могут проверить измененное состояние уязвимости.

Типы задач безопасности

Каждая задача безопасности имеет тип исправления:

• Приложение: например, Microsoft Defender для конечной точки находит уязвимость в приложении, например Contoso Media Player версии 4. Администратор создает задачу для обновления приложения, которая может включать применение обновления для системы безопасности или установку новой версии.
• Конфигурация. Например, если устройства не имеют защиты от потенциально нежелательных приложений (PUA), администратор создает задачу для настройки параметра в профиле антивирусной программы Microsoft Defender.

Если Intune не поддерживает реализацию подходящего исправления, Microsoft Defender для конечной точки не создает задачу безопасности.

Действия по исправлению

Ниже перечислены распространенные исправления задач безопасности.

• Блокировка запуска приложения.
• Развертывание обновления операционной системы для устранения уязвимости.
• Развертывание политики безопасности конечной точки для устранения уязвимости.
• Изменение значения реестра.
• Отключение или включение конфигурации, влияющей на уязвимость.
• Требовать внимания, который оповещает администратора о недоступности подходящей рекомендации.

Пример рабочего процесса

Ниже приведен пример рабочего процесса для обнаружения и устранения уязвимости приложения:

• При проверке Microsoft Defender для конечной точки обнаруживается уязвимость в приложении Contoso Media Player версии 4, которое является неуправляемым приложением, которое не развертывается Intune. Администратор создает задачу безопасности для обновления приложения.
• Задача безопасности отображается в Центре администрирования Microsoft Intune с состоянием Ожидание.
• Администратор Intune просматривает сведения о задаче и выбирает Принять, что изменяет состояние задачи на Принято как в Intune, так и в Defender для конечной точки.
• Администратор следует предоставленным рекомендациям по исправлению. Для управляемых приложений Intune могут содержать инструкции или ссылки для обновления приложения. Для неуправляемых приложений Intune могут предоставлять только текстовые инструкции.
• После устранения уязвимости администратор Intune помечает задачу как *Завершенная задача. Это действие обновляет состояние как в Intune, так и в Defender для конечной точки, где администраторы безопасности подтверждают успешное и завершенное исправление.

Предварительные требования

Подписки:

• Microsoft Intune (план 1)
• Microsoft Defender для конечной точки (зарегистрироваться для получения бесплатной пробной версии)

Конфигурации Intune для Defender для конечной точки:

• Настройте подключение между службами с помощью Microsoft Defender для конечной точки.
• Разверните политику Intune, которая настраивает параметры для Microsoft Defender для конечной точки на устройствах для оценки риска.

Работа с задачами по обеспечению безопасности

Перед управлением задачами безопасности их необходимо создать в Центре безопасности Defender. Подробные инструкции см. в документации по Defender для конечной точки по устранению уязвимостей.

Управление задачами безопасности:

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Безопасность конечной точки>Задачи безопасности.

3. Выберите задачу безопасности, чтобы просмотреть сведения о ней. В окне задачи можно выбрать дополнительные ссылки, в том числе:

   • "Управляемые приложения" — просмотрите уязвимое приложение. Если уязвимость применяется к нескольким приложениям, Intune отображает отфильтрованный список приложений.
   • УСТРОЙСТВА . Просмотрите список уязвимых устройств , с которых можно связаться с записью с дополнительными сведениями об уязвимости на этом устройстве.
   • "Источник запроса" — воспользуйтесь ссылкой для отправки почты администратору, отправившему эту задачу по обеспечению безопасности.
   • "Заметки" — прочтите пользовательские сообщения, отправленные источником запроса, при открытии задачи по обеспечению безопасности.

4. Выберите Принять или Отклонить для отправки в Defender для конечной точки уведомления о запланированном действии. При принятии или отклонении задачи можно отправлять заметки, которые передаются в Defender для конечной точки.

5. Приняв задачу по обеспечению безопасности, снова откройте ее (если она закрыта) и устраните уязвимость в соответствии с указаниями в разделе "Исправление". Инструкции, предоставленные Defender для конечной точки в сведениях о задаче обеспечения безопасности, зависят от конкретной уязвимости.

6. Выполнив действия по устранению уязвимости, откройте задачу по обеспечению безопасности и выберите Завершение задачи. При этом состояние задачи по обеспечению безопасности обновится в Intune и Microsoft Defender для конечной точки.

Успешное исправление может снизить оценку риска в Defender для конечной точки на основе последующих обновлений состояния с исправленных устройств.

Связанные материалы

• Узнайте об Intune и Microsoft Defender для конечной точки.
• Просмотрите сведения о службе защиты от угроз на мобильных устройствах Intune.
• Ознакомьтесь с панелью мониторинга средства по управлению угрозами и уязвимостями в Microsoft Defender для конечной точки.