Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El Agente de corrección de vulnerabilidades está actualmente en una versión preliminar pública limitada y está disponible solo para un grupo selecto de clientes. Si está interesado en obtener acceso o desea obtener más información, póngase en contacto con el equipo de ventas para obtener más información y los pasos siguientes.
En versión preliminar pública, el Agente de corrección de vulnerabilidades para Security Copilot en Intune usa datos de Administración de vulnerabilidades de Microsoft Defender para identificar vulnerabilidades y exposiciones comunes (CVE) en los dispositivos administrados. Los resultados se priorizan para la corrección e incluyen instrucciones paso a paso que le guiarán en el uso de Intune para corregir la amenaza. Este agente de Copilot puede ayudarle a reducir el tiempo que se tarda en investigar, identificar y corregir amenazas, lo que, en última instancia, mejora la posición de seguridad general de su organización.
Cuando se ejecuta el agente, analiza los datos de Administración de vulnerabilidades de Microsoft Defender y proporciona una lista priorizada de sugerencias que aparecen en el centro de administración de Intune. Puede profundizar en cada sugerencia para ver los detalles que incluyen:
- Recuento de vulnerabilidades asociadas (CVE)
- Un análisis de impacto resumido asistido por Copilot
- Acciones recomendadas
- Sistemas afectados
- Dispositivos expuestos
- Posible impacto
- Guía paso a paso para usar Intune para corregirlo
Una vez que corrija una sugerencia del agente, puede marcarla como aplicada para que el agente conserve un registro que puede usar para realizar el seguimiento de las acciones de corrección a lo largo del tiempo.
Dado que los detalles de CVE y las instrucciones de corrección recomendadas pueden cambiar con el tiempo, las ejecuciones posteriores del agente pueden proporcionar nuevos detalles, recuentos de dispositivos y pasos de corrección. A medida que administra informes posteriores de amenazas, el registro de las soluciones aplicadas anteriormente puede ayudarle a realizar un seguimiento del cambio en riesgos específicos en función de las correcciones anteriores.
Para obtener información sobre otros agentes de Security Copilot en Intune y características comunes, consulte agentes de Security Copilot en Microsoft Intune.
Requisitos previos
Licencias y complementos
Plan 1 de Microsoft Intune suscripción: esta suscripción proporciona las funcionalidades básicas de Intune.
Microsoft Security Copilot: Security Copilot debe compartir un inquilino con Intune y para configurar el agente, la cuenta debe tener permiso para Security Copilot en el área de trabajo. Para obtener más información, consulte Introducción a Microsoft Security Copilot.
Unidades de proceso de seguridad (SCU): debe tener suficientes SCU para alimentar Security Copilot cargas de trabajo, incluidos los agentes.
Administración de vulnerabilidades de Microsoft Defender: esta funcionalidad la proporciona Microsoft Defender para punto de conexión P2 o Administración de vulnerabilidades de Defender independiente.
Soporte técnico de la nube de administración pública
La versión actual del agente de corrección de vulnerabilidades se admite en la nube pública, pero no se admite en las nubes gubernamentales.
Aplicaciones y plataformas admitidas
El Agente de corrección de vulnerabilidades admite la evaluación y las recomendaciones para las siguientes aplicaciones y plataformas:
- Windows 10
- Windows 11
- Aplicaciones en Intune
Control de acceso basado en roles
Para que un administrador de Intune (administrador) administre o use correctamente el Agente de corrección de vulnerabilidades, se les deben asignar los controles de acceso basado en rol (RBAC) para Intune, Microsoft Defender y Security Copilot, como se describe en las secciones siguientes.
Al asignar roles y permisos de RBAC a los administradores para administrar y usar el agente, asigne el rol RBAC integrado con privilegios mínimos o un rol personalizado que incluya los permisos mínimos necesarios para completar sus tareas administrativas.
| Acción | Microsoft Intune | Microsoft Defender | Security Copilot |
|---|---|---|---|
| Configuración y eliminación | Administración debe tener asignada una licencia de Intune. Los permisos (rol integrado o personalizado) deben incluir: - Aplicaciones administradas/lectura - Aplicaciones móviles/lectura - Configuraciones o lecturas de dispositivos Rol integrado con privilegios mínimos Intune: operador de solo lectura. |
El administrador debe tener permisos iguales al rol lector de seguridad de Microsoft Entra. | El administrador debe ser el propietario de Copilot. |
| Trabajar con el agente instalado | Administración debe tener asignada una licencia de Intune. Los permisos (rol integrado o personalizado) deben incluir: - Aplicaciones administradas/lectura - Aplicaciones móviles/lectura - Configuraciones o lecturas de dispositivos Rol integrado con privilegios mínimos Intune: operador de solo lectura. |
El administrador debe tener permisos iguales al rol lector de seguridad de Microsoft Entra. | El administrador debe ser colaborador de Copilot. |
Importante
El agente de corrección de vulnerabilidades se ejecuta bajo la identidad y los permisos del administrador que configuró el agente. Durante la versión preliminar pública, la identidad no se puede editar. Para cambiar esta identidad, el agente debe quitarse y configurarse de nuevo.
Los datos notificados por el agente y visibles a través de sugerencias de agente pueden ser visibles para los administradores con acceso para ver el agente en el centro de administración de Intune, incluso cuando esos datos están fuera de los administradores asignados Intune roles o ámbito.
Limitaciones
- Un administrador debe iniciar manualmente el agente. Una vez que se inicia el agente, no hay ninguna opción para detenerlo o pausarlo.
- El agente se ejecuta de forma persistente en la identidad y los permisos del administrador de Intune que configuró inicialmente el agente. Esta identidad se actualiza con cada ejecución del agente y expira si el agente no se ha ejecutado durante 90 días consecutivos. No hay ninguna notificación sobre el final del período autorizado. Para volver a autenticar el agente, debe quitarse y, a continuación, volver a configurarlo .
- Inicie solo el agente desde el centro de administración de Microsoft Intune.
- Los CVE asociados contienen el recuento de CVE en dispositivos con ediciones de sistema operativo Windows 10 y 11 cliente, pero excluye los dispositivos con ediciones Windows Server. Los CVE se clasifican por baja, media, alta y crítica según la escala CVSS (Common Vulnerability Scoring System).
- La lista de dispositivos expuestos solo incluye los dispositivos que se encuentran en Microsoft Entra y que no son ediciones Windows Server.
- El agente no admite etiquetas de ámbito en versión preliminar pública.
- Solo el usuario que configura el agente puede ver los detalles de la sesión en el portal de Microsoft Security Copilot.
Introducción
Complete el proceso de instalación para iniciar el Agente de corrección de vulnerabilidades por primera vez:
Inicie sesión en el centro de administración de Microsoft Intune con una cuenta que tenga los permisos de RBAC necesarios y acceso a los inquilinos Security Copilot área de trabajo.
En la pantalla Inicio del centro de administración, busque el banner Introducción a Security Copilot y seleccione el icono Agente de corrección de vulnerabilidades (versión preliminar). El centro de administración abre la páginaAgente de corrección de vulnerabilidades deseguridad> de punto de conexión (versión preliminar):
Seleccione Configurar agente para abrir el panel de configuración. Este panel muestra detalles sobre el agente, pero no requiere ninguna configuración. Revise los detalles para asegurarse de que se cumplen los requisitos y, a continuación, seleccione Iniciar agente para cerrar el panel de configuración e iniciar la primera ejecución del agente.
El agente se ejecuta hasta que finaliza y, a continuación, muestra sus resultados en el panel Agente de corrección de vulnerabilidades del centro de administración.
Administración de vulnerabilidades y el agente
Una vez que el agente finaliza su ejecución inicial, los administradores pueden revisar y administrar las sugerencias del Agente de corrección de vulnerabilidades en el centro de administración de Intune. Vaya a Agentede corrección de vulnerabilidades de seguridad > de puntos de conexión(versión preliminar). De forma predeterminada, la página del agente se abre en la pestaña Información general . En esta pestaña, los administradores pueden ver la lista priorizada de vulnerabilidades, profundizar para obtener más detalles y pasos de corrección, y ver el historial de ejecución del agente.
La otra pestaña disponible es la pestaña Configuración , que proporciona detalles limitados sobre la configuración del agente.
Pestaña da Información general
Una vez que el agente de corrección de vulnerabilidades finaliza una ejecución, la pestaña Información general se actualiza con la lista de vulnerabilidades principales priorizada de los agentes.
La siguiente información está disponible en esta pestaña:
- Disponibilidad y estado de ejecución del agente
- Sugerencias del agente, que son la lista prioritaria de vulnerabilidades.
- Lista de la actividad del agente anterior.
Sugerencias del agente
Las sugerencias del agente son una lista con prioridad de las principales vulnerabilidades identificadas en función de los datos de Administración de vulnerabilidades de Microsoft Defender. Esta información puede diferir ligeramente de la misma información que puede ver en la consola de Microsoft Defender.
En esta lista también se muestran los siguientes detalles de columna:
Pasos siguientes sugeridos: Cada paso siguiente sugerido es un vínculo que abre un panel de acciones sugerido . En el panel Acción sugerida se muestran detalles sobre las vulnerabilidades asociadas (para Intune dispositivos administrados), las acciones sugeridas que se deben realizar para corregir la amenaza y una opción para marcar la corrección como Aplicada.
Las instrucciones de corrección se dividen en las siguientes categorías:
Aplicaciones: para corregir las aplicaciones, el agente podría recomendar la implementación de una aplicación actualizada o de un perfil de Intune para ayudar a administrar lo que la aplicación puede hacer o usar para hacer que representa una amenaza.
Windows : para corregir las vulnerabilidades de Windows, las recomendaciones comunes incluyen la implementación de una directiva de actualización de calidad o la implementación acelerada de una directiva de actualización de calidad mediante anillos de actualización de Windows para resolver la amenaza.
Cuando una recomendación implica una actualización de Windows, la guía del agente incluye detalles sobre el uso de anillos de actualización para ayudar a administrar una implementación más controlada de la actualización.
Importante
Algunas recomendaciones de actualizaciones de Windows sugeridas comienzan por Acelerar. El agente usa este formato cuando la puntuación del sistema de puntuación de vulnerabilidades comunes (CVSS) de CVE alcanza un valor de riesgo de 9,0 o superior. Para este nivel de riesgo, el agente recomienda acelerar estas actualizaciones en los dispositivos inmediatamente. Para ayudarle a implementar estas actualizaciones más críticas, la guía incluye cómo usar la instalación rápida de actualizaciones de calidad para implementar más rápidamente la actualización recomendada.
La siguiente imagen es un ejemplo del panel de acciones Sugerido para una vulnerabilidad de aplicación. En este ejemplo, la recomendación es actualizar la aplicación a una versión más reciente:
Después de revisar las sugerencias del agente y aplicar una corrección recomendada, los administradores pueden atestiguar automáticamente la aplicación de esas correcciones seleccionando Marcar como aplicado. Esta acción confirma que se han completado los pasos de corrección. Marcar una sugerencia como aplicada no desencadena ningún cambio de dispositivo por parte del agente, pero agrega una marca de tiempo denominada Last marcada como aplicada a la sugerencia que identifica la hora de esa atestación.
Con las ejecuciones posteriores del agente, es posible que se actualicen las sugerencias. Si la sugerencia anterior se ha marcado como aplicada, los administradores pueden dar fe de haber aplicado las sugerencias más recientes seleccionando Realizar actualización como aplicada. Esta acción actualiza la última marca de tiempo marcada como aplicada a la hora actual.
Aunque es opcional, marcar una acción sugerida como aplicada ayuda a realizar un seguimiento de cuándo se implementó una corrección sugerida. Las recomendaciones marcadas como aplicadas se conservan en la lista de sugerencias del agente, lo que sirve como línea base para futuras ejecuciones del agente, lo que le permite comparar nuevos resultados y cambios para esa misma vulnerabilidad.
Impacto: Este valor es el posible impacto en la puntuación de exposición identificada por Administración de vulnerabilidades de Microsoft Defender.
Dispositivos expuestos: Recuento de dispositivos afectados. El número de CVE asociado que muestra el agente es solo para dispositivos con ediciones de sistema operativo de cliente de Windows 10 y Windows 11 y no incluye ediciones de servidor. Los dispositivos enumerados en La exportación a .csv quitan los dispositivos que no se encuentran en Microsoft Entra.
Sugerencia
El agente no admite etiquetas de ámbito durante la versión preliminar pública.
Estado: De forma predeterminada, una vulnerabilidad notificada tiene su estado establecido en No aplicado. Un administrador puede explorar en profundidad una vulnerabilidad notificada para revisar e implementar la corrección sugerida y, a continuación, seleccionar la opción para marcar esa sugerencia como aplicada, que cambia el estado de la sugerencia del agente a Aplicado. Marcar como aplicado confirma que un administrador ha atestiguado haber completado los pasos de corrección. El agente no realiza ninguna acción en los dispositivos.
Última aplicación: Este valor identifica la fecha y hora en que un administrador seleccionó la opción para marcar las instrucciones de corrección como aplicadas.
Actividad
En esta sección se realiza un seguimiento de la actividad de ejecución actual y pasada del agente. Cuando el agente sigue ejecutándose activamente, la columna Estado muestra Ejecutar en curso. La columna de estado muestra Completado para las ejecuciones anteriores del agente.
Pestaña Configuración
En la pestaña Configuración del agente de corrección de vulnerabilidades, los administradores pueden ver los detalles existentes sobre la configuración actual del agente. Durante la versión preliminar pública, no se pueden realizar modificaciones ni cambios.
Ejecución del agente
Para iniciar y ejecutar el Agente de corrección de vulnerabilidades, en el centro de administración de Intune, vaya a Agente de corrección de vulnerabilidades de seguridad> de puntos de conexión(versión preliminar) y seleccione Ejecutar. Esta opción no está disponible hasta después de configurar el agente y completar su primera ejecución.
Importante
El agente se ejecuta con la identidad y los permisos del usuario que lo ha habilitado dentro del inquilino. Esta identidad se actualiza con cada ejecución del agente y expira si el agente no se ha ejecutado durante 90 días consecutivos. No hay ninguna notificación sobre el final del período autorizado.
El agente de corrección de vulnerabilidades no admite una programación periódica y debe iniciarse manualmente.
Una vez iniciado, el agente se ejecuta hasta que finaliza su evaluación. No se puede detener ni pausar.
Quitar el agente
Para quitar el Agente de corrección de vulnerabilidades, en el centro de administración de Intune , vaya a Agente de corrección de vulnerabilidades de seguridad> de puntos de conexión(versión preliminar) y seleccione Quitar agente. Una vez que un administrador acepta el mensaje, se quita el agente y el panel del agente se restaura a su estado original.
Nota:
Para quitar la instancia del agente, la cuenta de administrador debe tener el rol Propietario en Security Copilot. Una cuenta con el rol Colaborador puede ejecutar el agente y ver los resultados, pero no puede administrar la instancia del agente.
Advertencia
Cuando se quita un agente, se eliminan todas las sugerencias de agente existentes. Esto incluye detalles sobre las sugerencias marcadas como Aplicadas.
Más adelante, un administrador puede ejecutar la configuración del agente para volver a instalarla.
Registros del Agente de corrección de vulnerabilidades
Durante la versión preliminar pública, hay registros limitados disponibles para el agente.
Todos los errores de administración, creación, eliminación, ejecución y permisos del agente están disponibles en los registros de Security Copilot. El registro de vulnerabilidades detectadas o cuando se aplicó una corrección no está disponible. En su lugar, use las opciones para marcar una vulnerabilidad corregida como Aplicada.
Preguntas más frecuentes (P+F)
Error: No tiene acceso a este agente: licencias
Detalles: No tiene las licencias necesarias para acceder a este agente.
Revise los requisitos previos para los requisitos de licencia y complemento para este agente y asegúrese de que las asignaciones de licencias y las configuraciones y licencias de producto relacionadas están disponibles en el inquilino.
Error: No tiene acceso a este agente: área de trabajo
Detalles: No forma parte del área de trabajo necesaria para acceder a este agente.
Este mensaje indica que la cuenta no tiene permiso para ver o usar el área de trabajo de Security Copilot, que se configura en el momento en que se agrega Security Copilot al inquilino. Póngase en contacto con el administrador que instaló o administra la suscripción de Security Copilot para obtener ayuda para obtener acceso y consulte Descripción de la autenticación en Microsoft Security Copilot.
Error: no tiene acceso a este agente: permisos
Detalles: No tiene los permisos necesarios para acceder a este agente.
Revise los requisitos previos para el permiso de control de acceso basado en rol necesario para usar este agente. Trabaje con un administrador de Intune para asignar a su cuenta los permisos necesarios.
Error: el agente encontró un error y no finalizó la ejecución. Vuelva a intentar ejecutar el agente.
Detalles: La instancia del agente no se pudo iniciar o completar correctamente su ejecución. No se pueden identificar los detalles del error. A pesar de no ejecutarse o completarse, los administradores pueden seguir viendo y administrando las sugerencias del agente de ejecuciones pasadas.
Si el agente sigue produciendo un error, es posible que pierda la autorización de su cuenta de identidad y no podrá ejecutarse hasta que se vuelva a autenticar. Entre los posibles motivos para la pérdida de autorización se incluyen, entre otros:
- Se ha alcanzado el período de autorización del agente de 90 días.
- La cuenta de usuario con la que se instaló el agente está sujeta a una directiva que requiere una reautorización periódica.
- Se ha revocado un token de acceso.
Durante la versión preliminar pública, la reautorización del agente requiere que se quite el agente y, a continuación, se vuelva a configurar.
Advertencia
Cuando se quita un agente, se eliminan todas las sugerencias de agente existentes. Esto incluye detalles sobre las sugerencias marcadas como Aplicadas.
Contenido relacionado
Administración de vulnerabilidades de Microsoft Defender
agentes de Security Copilot en Microsoft Intune
Seguridad de Microsoft Copilot