Condividi tramite

Agente di correzione delle vulnerabilità in Microsoft Intune

Nota

L'agente di correzione delle vulnerabilità è attualmente disponibile in un'anteprima pubblica limitata e disponibile solo per un gruppo selezionato di clienti. Se si è interessati a ottenere l'accesso o si vuole saperne di più, contattare il team di vendita per ulteriori dettagli e passaggi successivi.

L'agente di correzione delle vulnerabilità per Security Copilot in Intune usa i dati di Gestione delle vulnerabilità di Microsoft Defender per identificare le vulnerabilità e le esposizioni comuni nei dispositivi gestiti. I risultati hanno la priorità per la correzione e includono istruzioni dettagliate per guidare l'utente nell'uso di Intune per correggere la minaccia. Questo agente Copilot consente di ridurre il tempo necessario per analizzare, identificare e correggere le minacce, migliorando infine il comportamento di sicurezza complessivo dell'organizzazione.

Quando viene eseguito, l'agente analizza i dati da Gestione delle vulnerabilità di Microsoft Defender e fornisce un elenco con priorità di suggerimenti visualizzati nell'interfaccia di amministrazione Intune. È possibile eseguire il drill-in di ogni suggerimento per visualizzare i dettagli che includono:

  • Numero di vulnerabilità associate (CVE)
  • Analisi di impatto riepilogativa assistita da Copilot
  • Azioni consigliate
  • Sistemi interessati
  • Dispositivi esposti
  • Potenziale impatto
  • Linee guida dettagliate per l'uso di Intune per risolverlo

Dopo aver risolto un suggerimento dell'agente, è possibile contrassegnarlo come applicato per fare in modo che l'agente mantenga un record che è possibile usare per tenere traccia delle azioni correttive nel tempo.

Poiché i dettagli CVE e le indicazioni consigliate per la correzione possono cambiare nel tempo, le esecuzioni successive dell'agente potrebbero fornire nuovi dettagli, conteggi dei dispositivi e passaggi di correzione. Man mano che si gestiscono i report successivi delle minacce, il record delle soluzioni applicate in precedenza consente di tenere traccia della modifica a rischi specifici in base alle correzioni precedenti.

Consiglio

L'agente di correzione della vulnerabilità è accessibile nell'interfaccia di amministrazione di Intune sia dai nodi di sicurezza agenti che endpoint. Ogni percorso fornisce l'accesso allo stesso agente. In questa documentazione i riferimenti alla relativa posizione usano il nodo Agenti .

Questo articolo:

  • Elenca i prerequisiti per l'uso dell'agente
  • Spiega come funziona l'agente
  • Illustra come configurare l'agente
  • Mostra come rinnovare o rimuovere l'agente

Per informazioni su altri agenti Security Copilot in Intune e funzionalità comuni, vedere Security Copilot agenti in Microsoft Intune.

Prerequisiti

Requisiti del cloud

L'agente è supportato solo nel cloud pubblico. Non è supportato nei cloud per enti pubblici.

Requisiti di licenza

Per usare gli agenti Security Copilot in Microsoft Intune, sono necessarie le licenze seguenti:

Requisiti dei plug-in

I plug-in consentono agli agenti Security Copilot di connettersi con i servizi Microsoft ed eseguire azioni specializzate. Questo agente richiede i plug-in seguenti:

Se si usa Copilot in Intune, il plug-in Intune è già abilitato. Altre informazioni sui plug-in.

Requisiti della piattaforma del dispositivo

L'agente di correzione delle vulnerabilità supporta la valutazione e le raccomandazioni per le piattaforme e le applicazioni seguenti:

  • Windows
  • App in Intune

Requisiti dei ruoli

Per abilitare e configurare l'agente, usare un account con i ruoli seguenti:

Intune ruoli:

Microsoft Defender ruoli:

  • All'account usato dall'agente per la relativa identità devono essere assegnate autorizzazioni allineate alle configurazioni del controllo degli accessi in base al ruolo Microsoft Defender XDR:
    • Ruolo Unified RBAC:Security Reader
    • Controllo degli accessi in base al ruolo granulare: Ruolo controllo degli accessi in base al ruolo personalizzato con autorizzazioni equivalenti al ruolo lettore di sicurezza controllo degli accessi in base al ruolo unificato

Security Copilot ruoli:

Per usare l'agente e visualizzare i risultati, usare un account con i ruoli seguenti:

Intune ruoli:

Security Copilot ruoli:

Funzionamento dell'agente

L'agente di correzione delle vulnerabilità esegue valutazioni automatizzate per identificare e assegnare priorità alle vulnerabilità nei dispositivi gestiti. Tenere presente quanto segue:

1. Raccolta di dati: l'agente raccoglie i dati sulle vulnerabilità da Gestione delle vulnerabilità di Microsoft Defender, analizzando vulnerabilità ed esposizioni comuni nei dispositivi gestiti.

2. Analisi e definizione delle priorità : l'agente valuta i dati sulle vulnerabilità e assegna priorità alle minacce in base a fattori come i punteggi CVSS, l'impatto sull'esposizione e il numero di dispositivi per concentrarsi prima sui problemi più critici.

3. Linee guida per la correzione: per ogni vulnerabilità identificata, l'agente fornisce istruzioni di correzione dettagliate su misura per le funzionalità di Intune, incluse raccomandazioni sui criteri e indicazioni sulla configurazione.

4. Monitoraggio e creazione di report : l'agente mantiene i record delle correzioni suggerite e consente di tenere traccia delle soluzioni applicate nel tempo, contribuendo a misurare gli sforzi di miglioramento della sicurezza.

Identità dell'agente

Per impostazione predefinita, l'agente di correzione della vulnerabilità viene eseguito con l'identità e le autorizzazioni dell'account amministratore usato per configurare l'agente. Dopo l'installazione, questa identità può essere modificata.

  • La modifica dell'identità non influisce sulla cronologia di esecuzione dell'agente, che rimane disponibile.

  • Il comportamento dell'agente è limitato alle autorizzazioni dell'identità utente in cui viene eseguito l'agente.

  • L'agente viene eseguito in modo permanente nell'identità e nelle autorizzazioni dell'account amministratore Intune assegnato come identità dell'agente.

L'identità dell'agente viene aggiornata con ogni esecuzione dell'agente e scade se l'agente non viene eseguito per 90 giorni consecutivi. Quando la data di scadenza si avvicina, ogni proprietario copilot e collaboratore copilot riceve un banner di avviso sul rinnovo dell'identità dell'agente quando visualizza la pagina di panoramica dell'agente. Se l'autenticazione dell'agente scade, l'esecuzione dell'agente successivo non riesce fino al rinnovo dell'autenticazione. Per altre informazioni sul rinnovo dell'autenticazione, vedere Rinnovare l'agente.

Importante

Quando l'autenticazione dell'agente viene rinnovata, l'agente inizia a usare le credenziali dell'utente che fa clic sul pulsante Rinnova autenticazione.

Considerazioni operative

Prima di eseguire l'agente di correzione della vulnerabilità, tenere presenti questi punti:

  • Un amministratore deve avviare manualmente l'agente. Dopo l'avvio dell'agente, non sono disponibili opzioni per arrestarlo o sospenderlo.
  • Avviare l'agente solo dall'interno dell'interfaccia di amministrazione Microsoft Intune.
  • I file CVE associati contengono il numero di CVE nei dispositivi con edizioni del sistema operativo client Windows, ma esclude i dispositivi con edizioni Windows Server. I cve sono classificati come bassi, medi, alti e critici in base alla scala CVSS (Common Vulnerability Scoring System).
  • L'elenco di dispositivi esposti include solo i dispositivi presenti in Microsoft Entra e che non sono Windows Server edizioni.
  • Agent non supporta i tag di ambito nell'anteprima pubblica.
  • Solo l'utente che configura l'agente può visualizzare i dettagli della sessione nel portale di Microsoft Security Copilot.

Importante

I dati che l'agente segnala vengono resi visibili tramite i suggerimenti dell'agente. Questi dati potrebbero essere visibili agli amministratori con accesso per visualizzare l'agente all'interno dell'interfaccia di amministrazione Intune, anche quando tali dati sono esterni agli amministratori assegnati Intune ruoli o ambito.

Configurare l'agente

L'agente viene eseguito con l'identità e le autorizzazioni dell'account usato durante l'installazione. Le azioni sono limitate alle autorizzazioni di tale account e l'identità viene aggiornata a ogni esecuzione.

Per configurare l'agente:

  1. Nell'interfaccia di amministrazione Microsoft Intune passare a Agentedi correzione della vulnerabilitàagenti>.

  2. In Panoramica selezionare Configura agente. Questo riquadro visualizza i dettagli sull'agente, ma non richiede alcuna configurazione.

  3. Esaminare i dettagli per verificare che siano soddisfatti i requisiti, quindi selezionare Avvia agente per chiudere il riquadro di installazione e avviare la prima esecuzione dell'agente.

    Screenshot che visualizza la pagina

Al termine dell'installazione, l'agente è pronto per l'uso. Per altre informazioni sull'uso dell'agente, vedere Usare l'agente di correzione della vulnerabilità.

Rinnovare l'agente

Se non si usa un agente per 90 giorni, l'autorizzazione dell'agente scade e l'esecuzione dell'agente ha esito negativo fino alla riautenticazione. È possibile rinnovare l'autenticazione dell'agente in qualsiasi momento.

Man mano che la scadenza si avvicina, Intune mostra un avviso nella pagina di panoramica dell'agente che può essere visualizzato da ogni proprietario copilot e collaboratore copilot. L'avviso richiede di rinnovare l'identità dell'agente.

Per riautorizzare l'identità dell'agente, selezionare Rinnova autenticazione. Quando si rinnova l'autenticazione dell'agente, l'agente usa automaticamente le credenziali di accesso. Se non si vogliono usare le credenziali di accesso, selezionare la scheda >Impostazioni agente >Scegliere un'altra identità.

Dopo il rinnovo, il banner di avviso scompare e una notifica di tipo avviso popup verifica che il rinnovo sia riuscito.

Modificare l'identità dell'agente

Per impostazione predefinita, l'agente viene eseguito sotto l'identità dell'utente amministratore che ha configurato l'agente nel tenant. Dopo l'installazione, l'identità dell'agente può cambiare quando un utente diverso rinnova l'agente e modificando le impostazioni dell'agente per assegnare in modo esplicito una nuova identità dell'agente.

Una modifica dell'identità dell'agente non influisce sulla cronologia di esecuzione dell'agente.

Per assegnare una nuova identità, nell'interfaccia di amministrazione Intune passare a Agentedi correzione della vulnerabilità agenti > (anteprima) e selezionare la scheda Impostazioni. In Identità è possibile visualizzare l'account utente corrente in cui viene eseguito l'agente. Selezionare Scegli un'altra identità per aprire un prompt di accesso dell'account. Selezionare e quindi autenticare un nuovo account da usare come identità degli agenti.

Importante

Il comportamento dell'agente è limitato al livello di autorizzazioni assegnate all'identità dell'utente in cui viene eseguito l'agente. Quando l'utente la cui identità viene eseguita dall'agente non dispone di autorizzazioni sufficienti, l'agente non viene eseguito.

Rimuovere l'agente

Quando si rimuove un agente, tutti i dati associati generati, inclusi i suggerimenti e le attività, vengono eliminati. I suggerimenti applicati in precedenza rimangono invariati.

Procedura per rimuovere un'istanza dell'agente:

  1. Nell'interfaccia di amministrazione Microsoft Intune selezionare Agenti.
  2. Selezionare l'istanza dell'agente da rimuovere.
  3. Selezionare Rimuovi agente e confermare la rimozione.

Dopo la rimozione:

  • Il riquadro dell'agente torna allo stato originale.
  • Un amministratore può reinstallare l'agente in un secondo momento ripetendo il processo di installazione.

Nota

Per rimuovere l'istanza dell'agente, l'account deve essere un Security Copilot Proprietario.

Contribuire a plasmare il futuro degli agenti Intune

Partecipa al forum di feedback degli agenti di Intune per condividere informazioni dettagliate e influenzare le funzionalità future in Microsoft Intune.

Iscriversi e altre informazioni: https://aka.ms/IntuneAgentsForum

Passaggi successivi

Informazioni su come usare l'agente di correzione della vulnerabilità

Contenuto correlato

  • Last updated on