Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der Agent zur Behebung von Sicherheitsrisiken befindet sich derzeit in einer eingeschränkten öffentlichen Vorschau und ist nur für eine ausgewählte Gruppe von Kunden verfügbar. Wenn Sie Zugriff haben möchten oder mehr erfahren möchten, wenden Sie sich bitte an Ihr Vertriebsteam, um weitere Details und die nächsten Schritte zu erhalten.
In der öffentlichen Vorschau verwendet der Agent zur Behebung von Sicherheitsrisiken für Security Copilot in Intune Daten aus Microsoft Defender Vulnerability Management, um allgemeine Sicherheitsrisiken und -expositionen (COMMON Vulnerabilities and Exposures, CVEs) auf Ihren verwalteten Geräten zu identifizieren. Die Ergebnisse werden für die Behebung priorisiert und enthalten schrittweise Anleitungen, die Sie bei der Verwendung von Intune zur Behebung der Bedrohung unterstützen. Dieser Copilot-Agent kann Ihnen helfen, die Zeit zu reduzieren, die zum Untersuchen, Identifizieren und Beheben von Bedrohungen benötigt wird, und letztendlich den allgemeinen Sicherheitsstatus Ihrer organization zu verbessern.
Wenn der Agent ausgeführt wird, analysiert er Daten aus Microsoft Defender Vulnerability Management und stellt eine priorisierte Liste von Vorschlägen bereit, die im Intune Admin Center angezeigt werden. Sie können einen Drilldown zu jedem Vorschlag durchführen, um Details anzuzeigen, die Folgendes umfassen:
- Die Anzahl der zugeordneten Sicherheitsrisiken (CVEs)
- Eine copilot-gestützte zusammengefasste Auswirkungsanalyse
- Empfohlene Maßnahmen
- Betroffene Systeme
- Verfügbar gemachte Geräte
- Mögliche Auswirkungen
- Schritt-für-Schritt-Anleitung für die Verwendung von Intune zur Behebung
Nachdem Sie einen Agent-Vorschlag korrigiert haben, können Sie ihn als angewendet markieren, damit der Agent einen Datensatz beibehält, den Sie zum Nachverfolgen von Wartungsaktionen im Laufe der Zeit verwenden können.
Da sich CVE-Details und empfohlene Anleitungen zur Behebung im Laufe der Zeit ändern können, können nachfolgende Ausführungen des Agents neue Details, Geräteanzahl und Wiederherstellungsschritte bereitstellen. Wenn Sie nachfolgende Bedrohungsberichte verwalten, kann ihnen die Aufzeichnung Ihrer zuvor angewendeten Lösungen helfen, die Änderung bestimmter Risiken basierend auf Ihren vorherigen Korrekturen nachzuverfolgen.
Informationen zu anderen Security Copilot-Agents in Intune und allgemeinen Features finden Sie unter Security Copilot Agents in Microsoft Intune.
Voraussetzungen
Lizenzierung und Plug-Ins
Microsoft Intune Plan 1-Abonnement: Dieses Abonnement bietet die wichtigsten Intune Funktionen.
Microsoft Security Copilot: Security Copilot müssen einen Mandanten für Intune freigeben, und zum Einrichten des Agents muss Ihr Konto über die Berechtigung für den Arbeitsbereich für Security Copilot verfügen. Weitere Informationen finden Sie unter Erste Schritte mit Microsoft Security Copilot.
Sicherheitscomputeeinheiten (Security Compute Units, SCU): Sie müssen über ausreichende SCUs verfügen, um Security Copilot Workloads, einschließlich Agents, zu unterstützen.
Microsoft Defender Vulnerability Management: Diese Funktion wird von Microsoft Defender for Endpoint P2 oder Defender Vulnerability Management Standalone bereitgestellt.
Support für Government Cloud
Die aktuelle Version des Agents zur Behebung von Sicherheitsrisiken wird in der öffentlichen Cloud unterstützt, aber nicht in Government-Clouds.
Unterstützte Anwendungen und Plattformen
Der Agent zur Behebung von Sicherheitsrisiken unterstützt Auswertungen und Empfehlungen für die folgenden Anwendungen und Plattformen:
- Windows 10
- Windows 11
- Apps in Intune
Rollenbasierte Zugriffssteuerung
Damit ein Intune Administrator (Administrator) den Agent für die Behebung von Sicherheitsrisiken erfolgreich verwalten oder verwenden kann, muss ihm die rollenbasierte Zugriffssteuerung (RBAC) für Intune, Microsoft Defender und Security Copilot zugewiesen werden, wie in den folgenden Abschnitten beschrieben.
Wenn Sie Administratoren RBAC-Rollen und -Berechtigungen zuweisen, um den Agent zu verwalten und zu verwenden, weisen Sie die integrierte RBAC-Rolle mit den geringsten Berechtigungen oder eine benutzerdefinierte Rolle zu, die die minimalen Berechtigungen enthält, die zum Ausführen ihrer Administrativen Aufgaben erforderlich sind.
| Aktion | Microsoft Intune | Microsoft Defender | Security Copilot |
|---|---|---|---|
| Einrichten und Entfernen | Admin muss eine Intune-Lizenz zugewiesen werden. Berechtigungen (integrierte oder benutzerdefinierte Rolle) müssen Folgendes umfassen: – Verwaltete Apps/Lesen - Mobile Apps/Lesen - Gerätekonfigurationen/Lesen Die am wenigsten privilegierten Intune integrierte Rolle: Schreibgeschützter Operator. |
Der Administrator muss über Berechtigungen verfügen, die der Rolle Microsoft Entra Sicherheitsleser entsprechen. | Der Administrator muss ein Copilot-Besitzer sein. |
| Arbeiten mit dem installierten Agent | Admin muss eine Intune-Lizenz zugewiesen werden. Berechtigungen (integrierte oder benutzerdefinierte Rolle) müssen Folgendes umfassen: – Verwaltete Apps/Lesen - Mobile Apps/Lesen - Gerätekonfigurationen/Lesen Die am wenigsten privilegierten Intune integrierte Rolle: Schreibgeschützter Operator. |
Der Administrator muss über Berechtigungen verfügen, die der Rolle Microsoft Entra Sicherheitsleser entsprechen. | Der Administrator muss ein Copilot-Mitwirkender sein. |
Wichtig
Der Agent zur Behebung von Sicherheitsrisiken wird unter der Identität und den Berechtigungen des Administrators ausgeführt, der den Agent eingerichtet hat. Während der öffentlichen Vorschau kann die Identität nicht bearbeitet werden. Um diese Identität zu ändern, muss der Agent entfernt und erneut eingerichtet werden.
Daten, die vom Agent gemeldet und über Agentvorschläge angezeigt werden, sind möglicherweise für Administratoren mit Zugriff auf die Anzeige des Agents im Intune Admin Center sichtbar, auch wenn diese Daten außerhalb der Administratoren sind, denen Intune Rollen oder Bereich zugewiesen sind.
Begrenzungen
- Ein Administrator muss den Agent manuell starten. Sobald der Agent gestartet wird, gibt es keine Optionen, um ihn zu beenden oder anzuhalten.
- Der Agent wird dauerhaft in der Identität und den Berechtigungen des Intune Administrators ausgeführt, der den Agent ursprünglich eingerichtet hat. Diese Identität wird bei jeder Agentausführung aktualisiert und läuft ab, wenn der Agent 90 aufeinanderfolgende Tage lang nicht ausgeführt wurde. Es gibt keine Benachrichtigung über das Ende der genehmigten Frist. Um den Agent erneut zu authentifizieren, muss er entfernt und dann erneut eingerichtet werden.
- Starten Sie den Agent nur im Microsoft Intune Admin Center.
- Zugeordnete CVEs enthalten die Anzahl von CVEs auf Geräten mit Windows 10 und 11 Clientbetriebssystemeditionen, schließen jedoch Geräte mit Windows Server Editionen aus. CVEs werden gemäß der CVSS-Skalierung (Common Vulnerability Scoring System) nach Niedrig, Mittel, Hoch und Kritisch klassifiziert.
- Die Liste der verfügbar gemachten Geräte enthält nur Geräte, die in Microsoft Entra gefunden wurden, und die nicht Windows Server Editionen sind.
- Der Agent unterstützt keine Bereichstags in der öffentlichen Vorschau.
- Nur der Benutzer, der den Agent eingerichtet hat, kann Sitzungsdetails im Microsoft Security Copilot-Portal anzeigen.
Erste Schritte
Schließen Sie den Setupprozess ab, um den Agent zur Behebung von Sicherheitsrisiken zum ersten Mal zu starten:
Melden Sie sich beim Microsoft Intune Admin Center mit einem Konto an, das über die erforderlichen RBAC-Berechtigungen und Zugriff auf Ihre Mandanten Security Copilot Arbeitsbereich verfügt.
Suchen Sie auf der Startseite des Admin Centers nach dem Banner Erste Schritte mit Security Copilot, und wählen Sie die Kachel Sicherheitsrisikobehebungs-Agent (Vorschau) aus. Im Admin Center wird die Seite Endpoint Security>Vulnerability Remediation Agent (Vorschau) geöffnet:
Wählen Sie Agent einrichten aus, um den Einrichtungsbereich zu öffnen. Dieser Bereich zeigt Details zum Agent an, erfordert jedoch keine Konfiguration. Überprüfen Sie die Details, um sicherzustellen, dass die Anforderungen erfüllt sind, und wählen Sie dann Agent starten aus, um den Einrichtungsbereich zu schließen und die erste Ausführung des Agents zu starten.
Der Agent wird ausgeführt, bis er abgeschlossen ist, und zeigt dann seine Ergebnisse im Bereich Sicherheitsrisikobehebungs-Agent des Admin Centers an.
Verwalten von Sicherheitsrisiken und dem Agent
Nachdem der Agent seine erste Ausführung abgeschlossen hat, können Administratoren die Vorschläge für den Agent zur Behebung von Sicherheitsrisiken im Intune Admin Center überprüfen und verwalten. Wechseln Sie zuEndpunktsicherheits-Agent zur Behebung von Sicherheitsrisiken (Vorschau).> Standardmäßig wird die Agent-Seite mit der Registerkarte Übersicht geöffnet. Auf dieser Registerkarte können Administratoren die priorisierte Liste der Sicherheitsrisiken anzeigen, weitere Details und Korrekturschritte anzeigen und den Ausführungsverlauf des Agents anzeigen.
Die andere verfügbare Registerkarte ist die Registerkarte Einstellungen , die eingeschränkte Details zur Konfiguration des Agents enthält.
Registerkarte „Übersicht“
Nachdem der Agent für die Behebung von Sicherheitsrisiken eine Ausführung abgeschlossen hat, wird die Registerkarte Übersicht mit der liste der wichtigsten Sicherheitsrisiken aktualisiert.
Die folgenden Informationen sind auf dieser Registerkarte verfügbar:
- Verfügbarkeit und Ausführung des Agents status
- Agentvorschläge, bei denen es sich um die priorisierte Liste von Sicherheitsrisiken handelt.
- Die Liste der vergangenen Agent-Aktivitäten.
Agent-Vorschläge
Agentvorschläge sind eine priorisierte Liste der wichtigsten Sicherheitsrisiken, die basierend auf den Daten aus Microsoft Defender Vulnerability Management identifiziert wurden. Diese Informationen können geringfügig von den gleichen Informationen abweichen, die Sie in der Microsoft Defender-Konsole anzeigen können.
In dieser Liste werden auch die folgenden Spaltendetails angezeigt:
Empfohlene nächste Schritte: Jeder vorgeschlagene nächste Schritt ist ein Link, der einen Bereich für vorgeschlagene Aktionen öffnet. Im Bereich Vorgeschlagene Aktion finden Sie Details zu den zugehörigen Sicherheitsrisiken (für Intune verwalteten Geräten), vorgeschlagenen Maßnahmen zur Behebung der Bedrohung und einer Option, um die Behebung als Angewendet zu markieren.
Der Leitfaden zur Behebung gliedert sich in die folgenden Kategorien:
Apps: Um Apps zu beheben, empfiehlt der Agent möglicherweise die Bereitstellung einer aktualisierten App oder eines Intune Profils, um zu verwalten, was die App tun kann oder verwendet werden kann, was eine Bedrohung darstellt.
Windows : Um Windows-Sicherheitsrisiken zu beheben, umfassen häufige Empfehlungen die Bereitstellung einer Qualitätsupdaterichtlinie oder die beschleunigte Bereitstellung einer Qualitätsupdaterichtlinie mithilfe von Windows-Updateringen, um die Bedrohung zu beheben.
Wenn eine Empfehlung ein Windows-Update umfasst, enthält der Agent-Leitfaden Details zur Verwendung von Updateringen , um einen kontrollierteren Rollout des Updates zu verwalten.
Wichtig
Einige empfohlene Empfehlungen für Windows-Updates beginnen mit Expedite. Der Agent verwendet dieses Format, wenn die CVSS-Bewertung (Common Vulnerability Scoring System) der CVE einen Risikowert von 9,0 oder höher erreicht. Für diese Risikostufe empfiehlt der Agent, diese Updates sofort für Ihre Geräte zu beschleunigen. Um Ihnen bei der Bereitstellung dieser wichtigeren Updates zu helfen, enthält der Leitfaden, wie Sie die beschleunigte Installation von Qualitätsupdates verwenden, um das empfohlene Update schneller bereitzustellen.
Die folgende Abbildung zeigt ein Beispiel für den Bereich "Vorgeschlagene Aktion " für eine App-Sicherheitslücke. In diesem Beispiel wird empfohlen, die App auf eine neuere Version zu aktualisieren:
Nach der Überprüfung der Agentvorschläge und dem Anwenden einer empfohlenen Korrektur können Administratoren die Anwendung dieser Korrekturen selbst bestätigen, indem sie Als angewendet markieren auswählen. Diese Aktion bestätigt, dass die Korrekturschritte abgeschlossen sind. Das Markieren eines Vorschlags als angewendet löst keine Geräteänderungen durch den Agent aus, fügt jedoch einen Zeitstempel namens Zuletzt markiert als angewendet auf den Vorschlag hinzu, der den Zeitpunkt dieses Nachweises angibt.
Bei nachfolgenden Ausführungen des Agents können Vorschläge aktualisiert werden. Wenn der vorherige Vorschlag als angewendet markiert wurde, können Administratoren selbst bestätigen, dass sie die neueren Vorschläge angewendet haben, indem sie Update als angewendet auswählen. Durch diese Aktion wird der Zeitstempel Zuletzt als angewendet markiert auf die aktuelle Uhrzeit aktualisiert.
Das Markieren einer vorgeschlagenen Aktion als angewendet ist zwar optional, hilft dabei, nachzuverfolgen, wann eine vorgeschlagene Korrektur implementiert wurde. Als angewendet markierte Empfehlungen bleiben in der Liste der Agent-Vorschläge erhalten und dienen als Baseline für zukünftige Ausführungen des Agents, sodass Sie neue Ergebnisse und Änderungen für dieselbe Sicherheitsanfälligkeit vergleichen können.
Aufprall: Dieser Wert ist die potenzielle Auswirkung der Expositionsbewertung, die von Microsoft Defender Vulnerability Management identifiziert wird.
Verfügbar gemachte Geräte: Die Anzahl der betroffenen Geräte. Die vom Agent angezeigte anzahl zugeordneter CVEs gilt nur für Geräte mit Windows 10- und Windows 11 Clientbetriebssystemeditionen und umfasst keine Servereditionen. Die unter Export to .csv aufgeführten Geräte entfernen alle Geräte, die nicht in Microsoft Entra gefunden wurden.
Tipp
Der Agent unterstützt während der öffentlichen Vorschau keine Bereichstags.
Status: Standardmäßig ist die status für eine gemeldete Sicherheitsanfälligkeit auf Nicht angewendet festgelegt. Ein Administrator kann einen Drilldown in eine gemeldete Sicherheitsanfälligkeit ausführen, um die vorgeschlagene Korrektur zu überprüfen und bereitzustellen, und dann die Option auswählen, um diesen Vorschlag als angewendet zu markieren, wodurch der status des Vorschlags des Agents in Angewendet geändert wird. Als angewendet markieren bestätigt, dass ein Administrator bestätigt hat, dass er die Korrekturschritte abgeschlossen hat. Für Geräte wird vom Agent keine Aktion ausgeführt.
Zuletzt angewendet: Dieser Wert gibt das Datum und die Uhrzeit an, zu dem ein Administrator die Option ausgewählt hat, um den Wartungsleitfaden als angewendet zu markieren.
Aktivität
In diesem Abschnitt werden die aktuellen und vergangenen Ausführungsaktivitäten des Agents nachverfolgt. Wenn der Agent noch aktiv ausgeführt wird, wird in der Spalte Status ausgeführt ausgeführt angezeigt. In der spalte status wird Abgeschlossen für frühere Agent-Ausführungen angezeigt.
Registerkarte "Einstellungen"
Auf der Registerkarte Einstellungen für den Sicherheitsrisikomanagement-Agent können Administratoren die vorhandenen Details zur aktuellen Konfiguration des Agents anzeigen. Während der öffentlichen Vorschau können keine Änderungen vorgenommen werden.
Ausführen des Agents
Um den Agent zur Behebung von Sicherheitsrisiken zu starten und auszuführen, wechseln Sie im Intune Admin Center zu Agent zur Behebung von Sicherheitsrisiken für Endpunktsicherheit>(Vorschau), und wählen Sie Ausführen aus. Diese Option ist erst verfügbar, nachdem der Agent eingerichtet und seine erste Ausführung abgeschlossen wurde.
Wichtig
Der Agent wird unter der Identität und den Berechtigungen des Benutzers ausgeführt, der ihn in Ihrem Mandanten aktiviert hat. Diese Identität wird bei jeder Agentausführung aktualisiert und läuft ab, wenn der Agent 90 aufeinanderfolgende Tage lang nicht ausgeführt wurde. Es gibt keine Benachrichtigung über das Ende der genehmigten Frist.
Der Agent zur Behebung von Sicherheitsrisiken unterstützt keinen wiederkehrenden Zeitplan und muss manuell gestartet werden.
Nach dem Start wird der Agent ausgeführt, bis er seine Auswertung abgeschlossen hat. Sie kann nicht angehalten oder angehalten werden.
Entfernen des Agents
Um den Agent zur Behebung von Sicherheitsrisiken zu entfernen, wechseln Sie im Intune Admin Center zu Agent zur Behebung von Sicherheitsrisiken für Endpunktsicherheit>(Vorschau), und wählen Sie Agent entfernen aus. Nachdem ein Administrator die Eingabeaufforderung akzeptiert hat, wird der Agent entfernt, und der Agentbereich wird in seinem ursprünglichen Zustand wiederhergestellt.
Hinweis
Um die Agent-instance zu entfernen, muss das Administratorkonto über die Rolle Besitzer in Security Copilot verfügen. Ein Konto mit der Rolle Mitwirkender kann den Agent ausführen und Ergebnisse anzeigen, aber den Agent nicht instance verwalten.
Warnung
Wenn ein Agent entfernt wird, werden alle vorhandenen Agent-Vorschläge gelöscht. Dies schließt Details zu Vorschlägen ein, die als Angewendet gekennzeichnet wurden.
Später kann ein Administrator die Agent-Einrichtung ausführen, um ihn neu zu installieren.
Protokolle des Agents zur Behebung von Sicherheitsrisiken
Während der öffentlichen Vorschau sind nur eingeschränkte Protokolle für den Agent verfügbar.
Alle Agent-Verwaltungs-, Erstellungs-, Lösch-, Ausführungs- und Berechtigungsfehler sind in Security Copilot Protokollen verfügbar. Die Protokollierung erkannter Sicherheitsrisiken oder des Zeitpunkts der Anwendung einer Korrektur ist nicht verfügbar. Verwenden Sie stattdessen die Optionen, um ein behobenes Sicherheitsrisiko als Angewendet zu markieren.
Häufig gestellte Fragen (FAQs)
Fehler: Sie haben keinen Zugriff auf diesen Agent – Lizenzen
Details: Sie verfügen nicht über die Lizenzen, die für den Zugriff auf diesen Agent erforderlich sind.
Überprüfen Sie die Voraussetzungen für die Lizenz- und Plug-In-Anforderungen für diesen Agent, und stellen Sie sicher, dass Lizenzzuweisungen und zugehörige Produktlizenzen und -konfigurationen in Ihrem Mandanten verfügbar sind.
Fehler: Sie haben keinen Zugriff auf diesen Agent – Arbeitsbereich.
Details: Sie sind nicht Teil des Arbeitsbereichs, der für den Zugriff auf diesen Agent erforderlich ist.
Diese Meldung gibt an, dass Ihr Konto nicht über die Berechtigung zum Anzeigen oder Verwenden des Security Copilot Arbeitsbereichs verfügt, der zum Zeitpunkt des Hinzufügens Security Copilot zu Ihrem Mandanten konfiguriert ist. Wenden Sie sich an den Administrator, der Ihr Security Copilot-Abonnement installiert oder verwaltet, um Hilfe beim Zugriff zu erhalten. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung in Microsoft Security Copilot.
Fehler: Sie haben keinen Zugriff auf diesen Agent – Berechtigungen
Details: Sie verfügen nicht über die erforderlichen Berechtigungen für den Zugriff auf diesen Agent.
Überprüfen Sie die Voraussetzungen für die rollenbasierte Zugriffssteuerungsberechtigung , die für die Verwendung dieses Agents erforderlich ist. Wenden Sie sich an einen Intune Administrator, um Ihrem Konto die erforderlichen Berechtigungen zuzuweisen.
Fehler: Der Agent ist auf einen Fehler gestoßen und hat die Ausführung nicht abgeschlossen. Versuchen Sie erneut, den Agent auszuführen.
Details: Der Agent instance konnte seine Ausführung nicht starten oder erfolgreich abschließen. Details des Fehlers können nicht identifiziert werden. Obwohl es nicht ausgeführt oder abgeschlossen werden kann, können Administratoren weiterhin die Agent-Vorschläge aus früheren Ausführungen anzeigen und verwalten.
Wenn der Agent weiterhin fehlschlägt, ist es möglich, dass er die Autorisierung für sein Identitätskonto verloren hat und erst ausgeführt werden kann, wenn er erneut authentifiziert wurde. Mögliche Gründe für einen Autorisierungsverlust sind unter anderem:
- Die Autorisierungsfrist des Agenten von 90 Tagen wurde erreicht.
- Das Benutzerkonto, mit dem der Agent installiert wurde, unterliegt einer Richtlinie, die eine regelmäßige erneute Authentifizierung erfordert.
- Ein Zugriffstoken wurde widerrufen.
Während der öffentlichen Vorschau erfordert die erneute Autorisierung des Agents, dass der Agent entfernt und dann erneut eingerichtet wird.
Warnung
Wenn ein Agent entfernt wird, werden alle vorhandenen Agent-Vorschläge gelöscht. Dies schließt Details zu Vorschlägen ein, die als Angewendet gekennzeichnet wurden.
Verwandte Inhalte
Microsoft Defender Sicherheitsrisikomanagement
Security Copilot Agents in Microsoft Intune
Microsoft Security Copilot