Use Microsoft Intune tareas de seguridad para corregir las vulnerabilidades de dispositivo identificadas por Microsoft Defender para punto de conexión

Al integrar Microsoft Defender para punto de conexión con Microsoft Intune, puede usar Administración de vulnerabilidades de Microsoft Defender a través de Intune tareas de seguridad. Estas tareas ayudan a Intune administradores a comprender y abordar las vulnerabilidades actuales según la guía de Defender para punto de conexión. Esta integración mejora la detección y priorización de vulnerabilidades, lo que mejora los tiempos de respuesta de corrección en todo el entorno.

Administración de vulnerabilidades de Microsoft Defender forma parte de Microsoft Defender para punto de conexión.

Requisitos previos

Suscripciones:

• plan 1 de Intune
• Defender para punto de conexión (regístrese para obtener una evaluación gratuita).

Configuraciones de Intune para Defender para punto de conexión:

• Configure una conexión de servicio a servicio con Microsoft Defender para punto de conexión y habilite la conexión Microsoft Intune en el portal de Microsoft Defender. Esta conexión permite a los administradores de seguridad crear Intune tareas de seguridad al enviar solicitudes de corrección. Para obtener instrucciones de configuración, consulte Conexión de Microsoft Defender para punto de conexión a Intune.
• Implemente directivas para incorporar dispositivos a Defender para punto de conexión y habilite la evaluación de riesgos. Consulte Configuración de Microsoft Defender para punto de conexión con Intune.

Funcionamiento de la integración

Después de integrar Intune con Defender para punto de conexión, Administración de vulnerabilidades de Defender identifica las vulnerabilidades en los dispositivos administrados.

En el portal de Defender, los administradores de seguridad pueden revisar las vulnerabilidades del punto de conexión y crear Intune tareas de seguridad para la corrección. Estas tareas aparecen en el centro de administración de Intune, donde los administradores de Intune pueden actuar y corregir problemas según las instrucciones de Defender:

• Defender for Endpoint identifica vulnerabilidades a través de exámenes y evaluaciones.
• No todas las vulnerabilidades identificadas admiten la corrección a través de Intune; solo las vulnerabilidades compatibles dan lugar a tareas de seguridad.

Las tareas de seguridad identifican:

• Tipo de vulnerabilidad
• Prioridad
• Estado
• Pasos para la corrección

Intune los administradores pueden ver una tarea de seguridad y, a continuación, elegir aceptarla o rechazarla. En el caso de las tareas aceptadas, el administrador sigue las instrucciones proporcionadas para usar Intune para la corrección. Una vez que la corrección se realiza correctamente, el administrador establece la tarea en Completar tarea, que actualiza su estado tanto en Intune como en Defender para punto de conexión, donde los administradores de seguridad pueden comprobar el estado revisado de la vulnerabilidad.

Ejemplo de flujo de trabajo

En el ejemplo siguiente se muestra el flujo de trabajo para detectar y corregir una vulnerabilidad de aplicación:

• Un examen de Defender para punto de conexión identifica una vulnerabilidad en la aplicación Contoso Media Player v4, que es una aplicación no administrada que no está implementada por Intune. Un administrador de seguridad en el portal de Defender crea una tarea de seguridad Intune para actualizar la aplicación.
• La tarea de seguridad aparece en el centro de administración de Intune con el estado Pendiente.
• El administrador de Intune ve los detalles de la tarea y selecciona Aceptar, lo que cambia el estado de la tarea a Aceptado tanto en Intune como en Defender para punto de conexión.
• El administrador sigue las instrucciones de corrección proporcionadas. En el caso de las aplicaciones administradas, Intune puede incluir instrucciones o vínculos para actualizar la aplicación. En el caso de las aplicaciones no administradas, Intune solo puede proporcionar instrucciones de texto.
• Después de solucionar la vulnerabilidad, el administrador de Intune marca la tarea como Tarea completa. Esta acción actualiza el estado en Intune y Defender para punto de conexión, donde los administradores de seguridad confirman que la corrección se ha completado correctamente.

Tipos de tareas de seguridad

Cada tarea de seguridad tiene un tipo de corrección:

• Aplicación: por ejemplo, Defender para punto de conexión encuentra una vulnerabilidad en una aplicación como Contoso Media Player v4. Un administrador crea una tarea para actualizar la aplicación, lo que podría implicar la aplicación de una actualización de seguridad o la instalación de una nueva versión.
• Configuración: por ejemplo, si los dispositivos carecen de protección contra aplicaciones potencialmente no deseadas (PUA), un administrador crea una tarea para configurar la configuración en el perfil Microsoft Defender Antivirus.

Cuando Intune no admite la implementación de una corrección adecuada, Defender para punto de conexión no crea una tarea de seguridad.

Acciones de corrección

Las correcciones comunes de tareas de seguridad incluyen:

• Bloquee la ejecución de una aplicación.
• Implementar una actualización del sistema operativo para mitigar la vulnerabilidad.
• Implementar la directiva de seguridad de punto de conexión para mitigar la vulnerabilidad.
• Modificar un valor del Registro.
• Deshabilitar o habilitar una configuración para afectar la vulnerabilidad.
• Requerir atención, que alerta al administrador cuando no hay ninguna recomendación adecuada disponible.

Trabajo con tareas de seguridad

Para poder administrar las tareas de seguridad en el centro de administración de Intune, un administrador de seguridad debe crearlas primero en el portal de Defender. Los administradores de seguridad crean tareas mediante el envío de solicitudes de corrección a través de Administración de vulnerabilidades de Defender. Para obtener instrucciones, consulte Corrección de vulnerabilidades con Administración de vulnerabilidades de Microsoft Defender en la documentación de Defender.

Sugerencia

También puede administrar estas tareas desde el panel de tareas de Administración centralizado del centro de administración de Intune.

Para administrar tareas de seguridad:

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Endpoint security (Seguridad del punto de conexión) >Tareas de seguridad.

3. Elija una tarea de seguridad para ver sus detalles. En la ventana de tareas, puede seleccionar vínculos adicionales, entre los que se incluyen:

   • APLICACIONES ADMINISTRADAS: vea la aplicación que es vulnerable. Cuando la vulnerabilidad se aplica a varias aplicaciones, Intune muestra una lista filtrada de aplicaciones.
   • DISPOSITIVOS: vea una lista de los dispositivos vulnerables desde los que puede vincular a una entrada con más detalles sobre la vulnerabilidad en ese dispositivo.
   • REQUESTOR (Solicitante): use el vínculo para enviar un correo al administrador que envió esta tarea de seguridad.
   • NOTES (Notas): lea los mensajes personalizados que envió el solicitante al abrir la tarea de seguridad.

4. Seleccione Aceptar o Rechazar para enviar una notificación a Defender para punto de conexión sobre la acción planeada. Cuando acepta o rechaza una tarea, puede enviar notas, las cuales se envían a Defender para punto de conexión.

5. Después de aceptar una tarea, vuelva a abrir la tarea de seguridad (si está cerrada) y siga los detalles de CORRECCIÓN para corregir la vulnerabilidad. Las instrucciones que proporciona Defender para punto de conexión en los detalles de la tarea de seguridad varían según la vulnerabilidad en cuestión.

6. Después de completar los pasos de corrección, abra la tarea de seguridad y seleccione Completar tarea. Con esta acción se actualiza el estado de la tarea de seguridad tanto en Intune como en Defender para punto de conexión.

Nota:

Cada solicitud de corrección en Defender para punto de conexión está limitada a 10 000 dispositivos. Si una vulnerabilidad afecta a más dispositivos, la tarea de seguridad resultante en Intune cubre solo 10 000 de ellos.

La corrección correcta puede reducir la puntuación de exposición al riesgo en Defender para punto de conexión en función de las actualizaciones de estado posteriores de los dispositivos corregidos. Puede supervisar estos niveles de riesgo para realizar un seguimiento de las mejoras de cumplimiento a lo largo del tiempo.

Solución de problemas

Si las tareas de seguridad no aparecen en Intune:

• Compruebe que la conexión Intune está habilitada en el portal de Defender.
• Confirme que los dispositivos se incorporan a Defender para punto de conexión.
• Compruebe que los administradores de seguridad creen tareas para detectar vulnerabilidades que Intune puedan corregir.
• Permitir tiempo para la sincronización de tareas entre portales.

Pasos siguientes

• Configuración de la integración : complete los requisitos previos y conecte los servicios.
• Supervisión del cumplimiento de los niveles de riesgo : realice un seguimiento de las puntuaciones de riesgo del dispositivo.
• Revisión Administración de vulnerabilidades de Microsoft Defender: descripción de las recomendaciones de seguridad.
• Más información sobre Mobile Threat Defense: explore otras opciones de protección contra amenazas para Intune.