Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Opmerking
De agent voor het herstellen van beveiligingsproblemen bevindt zich momenteel in een beperkte openbare preview en is alleen beschikbaar voor een selecte groep klanten. Als u toegang wilt krijgen of meer wilt weten, neemt u contact op met uw verkoopteam voor meer informatie en de volgende stappen.
In openbare preview gebruikt de agent voor het herstellen van beveiligingsproblemen voor Security Copilot in Intune gegevens van Microsoft Defender Vulnerability Management om veelvoorkomende beveiligingsproblemen en blootstellingen (CVE's) op uw beheerde apparaten te identificeren. De resultaten hebben prioriteit voor herstel en bevatten stapsgewijze instructies om u te helpen bij het gebruik van Intune om de bedreiging te verhelpen. Deze Copilot-agent kan u helpen de tijd te verkorten die nodig is om bedreigingen te onderzoeken, te identificeren en te herstellen, waardoor uiteindelijk de algehele beveiligingspostuur van uw organisatie wordt verbeterd.
Wanneer de agent wordt uitgevoerd, worden gegevens uit Microsoft Defender Vulnerability Management geanalyseerd en wordt een lijst met suggesties met prioriteit weergegeven in het Intune-beheercentrum. U kunt inzoomen op elke suggestie om details weer te geven, waaronder:
- Het aantal gekoppelde beveiligingsproblemen (CVE's)
- Een met Copilot ondersteunde samenvattende impactanalyse
- Voorgestelde acties
- Betrokken systemen
- Blootgestelde apparaten
- Mogelijke impact
- Stapsgewijze richtlijnen voor het gebruik van Intune om deze te herstellen
Zodra u een agentsuggesties hebt hersteld, kunt u deze markeren als toegepast, zodat de agent een record behoudt die u kunt gebruiken bij het bijhouden van herstelacties in de loop van de tijd.
Omdat CVE-details en aanbevolen herstelrichtlijnen in de loop van de tijd kunnen veranderen, kunnen volgende uitvoeringen van de agent nieuwe details, aantal apparaten en herstelstappen bieden. Wanneer u volgende rapporten van bedreigingen beheert, kan de record van uw eerder toegepaste oplossingen u helpen bij het bijhouden van de wijziging van specifieke risico's op basis van uw eerdere herstelbewerkingen.
Zie Security Copilot agents in Microsoft Intune voor meer informatie over andere Security Copilot agents in Intune en algemene functies.
Vereisten
Licenties en invoegtoepassingen
Microsoft Intune Plan 1-abonnement: dit abonnement biedt de belangrijkste Intune mogelijkheden.
Microsoft Security Copilot: Security Copilot moet een tenant delen met Intune en om de agent in te stellen, moet uw account gemachtigd zijn voor de werkruimte voor Security Copilot. Zie Aan de slag met Microsoft Security Copilot voor meer informatie.
Security Compute Units (SCU): u moet voldoende SKU's hebben om Security Copilot workloads aan te kunnen, inclusief agents.
Microsoft Defender Vulnerability Management: deze mogelijkheid wordt geleverd door Microsoft Defender voor Eindpunt P2 of Defender Vulnerability Management Standalone.
Cloudondersteuning voor de overheid
De huidige release van de Agent voor herstel van beveiligingsproblemen wordt ondersteund in de openbare cloud, maar niet in overheidsclouds.
Ondersteunde toepassingen en platforms
De Agent voor herstel van beveiligingsproblemen ondersteunt evaluatie en aanbevelingen voor de volgende toepassingen en platforms:
- Windows 10
- Windows 11
- Apps in Intune
Toegangsbeheer op basis van rollen
Een Intune beheerder kan de agent voor herstel van beveiligingsproblemen alleen beheren of gebruiken als de op rollen gebaseerde toegangsbeheeropties (RBAC) voor Intune, Microsoft Defender en Security Copilot zijn toegewezen, zoals beschreven in de volgende secties.
Wanneer u RBAC-rollen en -machtigingen toewijst aan beheerders om de agent te beheren en te gebruiken, wijst u de ingebouwde RBAC-rol met de minste bevoegdheden of een aangepaste rol toe die de minimale machtigingen bevat die nodig zijn om hun beheertaken te voltooien.
| Actie | Microsoft Intune | Microsoft Defender | Security Copilot |
|---|---|---|---|
| Instellen en verwijderen | aan Beheer moet een Intune licentie worden toegewezen. Machtigingen (ingebouwde of aangepaste rol) moeten het volgende omvatten: - Beheerde apps/lezen - Mobiele apps/lezen - Apparaatconfiguraties/lezen Minst bevoegde Intune ingebouwde rol: Alleen-lezenoperator. |
De beheerder moet machtigingen hebben die gelijk zijn aan de rol Microsoft Entra Beveiligingslezer. | De beheerder moet een Copilot-eigenaar zijn. |
| Werken met geïnstalleerde agent | aan Beheer moet een Intune licentie worden toegewezen. Machtigingen (ingebouwde of aangepaste rol) moeten het volgende omvatten: - Beheerde apps/lezen - Mobiele apps/lezen - Apparaatconfiguraties/lezen Minst bevoegde Intune ingebouwde rol: Alleen-lezenoperator. |
De beheerder moet machtigingen hebben die gelijk zijn aan de rol Microsoft Entra Beveiligingslezer. | De beheerder moet een Copilot-inzender zijn. |
Belangrijk
De agent voor herstel van beveiligingsproblemen wordt uitgevoerd onder de identiteit en machtigingen van de beheerder die de agent heeft ingesteld. Tijdens openbare preview kan de identiteit niet worden bewerkt. Als u deze identiteit wilt wijzigen, moet de agent worden verwijderd en opnieuw worden ingesteld.
Gegevens die door de agent worden gerapporteerd en zichtbaar zijn via agentsuggesties, kunnen zichtbaar zijn voor beheerders met toegang tot de agent in het Intune beheercentrum, zelfs als deze gegevens zich buiten de beheerders bevinden die zijn toegewezen Intune rollen of bereik.
Beperkingen
- Een beheerder moet de agent handmatig starten. Zodra de agent wordt gestart, zijn er geen opties om deze te stoppen of te onderbreken.
- De agent wordt permanent uitgevoerd in de identiteit en machtigingen van de Intune beheerder die de agent in eerste instantie heeft ingesteld. Deze identiteit wordt vernieuwd wanneer elke agent wordt uitgevoerd en verloopt als de agent gedurende 90 opeenvolgende dagen niet is uitgevoerd. Er wordt geen melding gedaan over het einde van de toegestane periode. Als u de agent opnieuw wilt controleren, moet deze worden verwijderd en vervolgens opnieuw worden ingesteld .
- Start de agent alleen vanuit het Microsoft Intune-beheercentrum.
- Gekoppelde CVE's bevatten het aantal CVE's op apparaten met Windows 10 en 11 edities van het clientbesturingssysteem, maar apparaten met Windows Server edities worden uitgesloten. CVE's worden geclassificeerd op Laag, Gemiddeld, Hoog en Kritiek volgens de CVSS-schaal (Common Vulnerability Scoring System).
- De lijst met weergegeven apparaten bevat alleen apparaten in Microsoft Entra en die niet Windows Server edities zijn.
- Agent biedt geen ondersteuning voor bereiktags in openbare preview.
- Alleen de gebruiker die de agent instelt, kan sessiedetails bekijken in de Microsoft Security Copilot portal.
Aan de slag
Voltooi het installatieproces om de agent voor het herstellen van beveiligingsproblemen voor de eerste keer te starten:
Meld u aan bij het Microsoft Intune-beheercentrum met een account met de vereiste RBAC-machtigingen en toegang tot uw tenants Security Copilot werkruimte.
Zoek in het startscherm van het beheercentrum de banner Aan de slag met Security Copilot en selecteer de tegel Vulnerability Remediation Agent (preview). Het beheercentrum opent de pagina Endpoint Security>Vulnerability Remediation Agent (preview):
Selecteer Agent instellen om het installatievenster te openen. In dit deelvenster worden details over de agent weergegeven, maar er is geen configuratie vereist. Controleer de details om te controleren of aan de vereisten wordt voldaan en selecteer vervolgens Agent starten om het installatievenster te sluiten en de eerste uitvoering van de agent te starten.
De agent wordt uitgevoerd totdat deze is voltooid en geeft vervolgens de resultaten weer in het deelvenster Agent voor herstel van beveiligingsproblemen van het beheercentrum.
Beveiligingsproblemen en de agent beheren
Nadat de agent in eerste instantie is uitgevoerd, kunnen beheerders de suggesties van de agent voor het herstellen van beveiligingsproblemen bekijken en beheren in het Intune-beheercentrum. Ga naar Endpoint Security>Vulnerability Remediation Agent (preview). De agentpagina wordt standaard geopend op het tabblad Overzicht . Op dit tabblad kunnen beheerders de lijst met beveiligingsproblemen met prioriteit bekijken, inzoomen op meer details en herstelstappen en de uitvoeringsgeschiedenis van de agent bekijken.
Het andere beschikbare tabblad is het tabblad Instellingen , met beperkte informatie over de configuratie van de agent.
Tabblad Overzicht
Nadat de agent voor het herstellen van beveiligingsproblemen een uitvoering heeft voltooid, wordt het tabblad Overzicht bijgewerkt met de lijst met de belangrijkste beveiligingsproblemen met agents met prioriteit.
De volgende informatie is beschikbaar op dit tabblad:
- De beschikbaarheid en uitvoeringsstatus van de agent
- Agentsuggesties, de lijst met beveiligingsproblemen met prioriteit.
- De lijst met eerdere agentactiviteit.
Agentsuggesties
Suggesties voor agents zijn een lijst met prioriteit van de belangrijkste beveiligingsproblemen die zijn geïdentificeerd op basis van de gegevens van Microsoft Defender Vulnerability Management. Deze informatie kan enigszins afwijken van dezelfde informatie die u kunt weergeven in de Microsoft Defender-console.
In deze lijst worden ook de volgende kolomdetails weergegeven:
Voorgestelde volgende stappen: Elke voorgestelde volgende stap is een koppeling waarmee een deelvenster Voorgestelde actie wordt geopend. In het deelvenster Voorgestelde actie vindt u details over de bijbehorende beveiligingsproblemen (voor Intune beheerde apparaten), voorgestelde acties die moeten worden ondernomen om de bedreiging te verhelpen en een optie om het herstel te markeren als Toegepast.
Richtlijnen voor herstel vallen in de volgende categorieën:
Apps: als u apps wilt herstellen, kan de agent de implementatie van een bijgewerkte app of van een Intune-profiel aanbevelen om te beheren wat de app kan doen of gebruikt kan worden om een bedreiging te vormen.
Windows : om Windows-beveiligingsproblemen te verhelpen, zijn veelvoorkomende aanbevelingen de implementatie van een kwaliteitsupdatebeleid of de versnelde implementatie van een kwaliteitsupdatebeleid met behulp van Windows Update-ringen om de bedreiging op te lossen.
Wanneer een aanbeveling betrekking heeft op een Windows-update, bevat de agentrichtlijnen details over het gebruik van updateringen om een meer gecontroleerde implementatie van de update te beheren.
Belangrijk
Sommige aanbevolen aanbevelingen voor Windows-updates beginnen met Expedite. De agent gebruikt deze indeling wanneer de CVSS-score (Common Vulnerability Scoring System) van de CVE een risicowaarde van 9,0 of hoger bereikt. Voor dit risiconiveau raadt de agent aan om deze updates onmiddellijk op uw apparaten te versnellen. Om u te helpen bij het implementeren van deze meer essentiële updates, bevat de richtlijnen het gebruik van Versnelde installatie van kwaliteitsupdates om de aanbevolen update sneller te implementeren.
De volgende afbeelding is een voorbeeld van het deelvenster Voorgestelde actie voor een app-beveiligingsprobleem. In dit voorbeeld wordt aanbevolen om de app bij te werken naar een nieuwere versie:
Nadat de suggesties van de agent zijn bekeken en een aanbevolen herstel is toegepast, kunnen beheerders zelf bevestigen dat deze herstelbewerkingen worden toegepast door Markeren als toegepast te selecteren. Deze actie bevestigt dat de herstelstappen zijn voltooid. Als u een suggestie markeert als toegepast, worden er geen apparaatwijzigingen door de agent geactiveerd, maar wordt wel een tijdstempel met de naam Laatst gemarkeerd als toegepast toegevoegd aan de suggestie die de tijd van die attestation identificeert.
Bij volgende uitvoeringen van de agent kunnen suggesties worden bijgewerkt. Als de vorige suggestie is gemarkeerd als toegepast, kunnen beheerders zelf bevestigen dat ze de recentere suggesties hebben toegepast door Bijwerken zoals toegepast te selecteren. Met deze actie wordt de tijdstempel Laatst gemarkeerd als toegepast bijgewerkt naar de huidige tijd.
Hoewel dit optioneel is, kunt u als u een voorgestelde actie markeert als toegepast, bijhouden wanneer een voorgestelde herstelbewerking is geïmplementeerd. Aanbevelingen die zijn gemarkeerd als toegepast, blijven behouden in de lijst met agentsuggesties, die fungeren als basislijn voor toekomstige uitvoeringen van de agent, zodat u nieuwe resultaten en wijzigingen voor hetzelfde beveiligingsprobleem kunt vergelijken.
Impact: Deze waarde is de mogelijke impact op de blootstellingsscore zoals geïdentificeerd door Microsoft Defender Vulnerability Management.
Blootgestelde apparaten: Het aantal betrokken apparaten. Het aantal gekoppelde CVE's dat door de agent wordt weergegeven, is alleen voor apparaten met Windows 10 en Windows 11 clientbesturingssystemen en bevat geen serverversies. Met de apparaten die worden vermeld in exporteren naar .csv worden alle apparaten verwijderd die niet in Microsoft Entra zijn gevonden.
Tip
De agent biedt geen ondersteuning voor bereiktags tijdens de openbare preview.
Status: De status van een gemeld beveiligingsprobleem is standaard ingesteld op Niet toegepast. Een beheerder kan inzoomen op een gemeld beveiligingsprobleem om het voorgestelde herstel te controleren en implementeren en vervolgens de optie selecteren om die suggestie te markeren als toegepast, waardoor de status van de suggestie van de agent wordt gewijzigd in Toegepast. Markeren als toegepast bevestigt dat een beheerder de herstelstappen heeft voltooid. Er wordt geen actie ondernomen op apparaten door de agent.
Laatst toegepast: Deze waarde geeft de datum en tijd aan waarop een beheerder de optie heeft geselecteerd om de herstelrichtlijnen te markeren als toegepast.
Activiteit
In deze sectie worden de huidige en eerdere uitvoeringsactiviteit van de agent bijgehouden. Wanneer de agent nog actief wordt uitgevoerd, wordt in de kolom Status uitvoering weergegeven. In de statuskolom wordt Voltooid weergegeven voor eerdere agentuitvoeringen.
Tabblad Instellingen
Op het tabblad Instellingen voor beveiligingsherstelagent kunnen beheerders de bestaande details over de huidige configuratie van de agent bekijken. Tijdens de openbare preview kunnen er geen wijzigingen of wijzigingen worden aangebracht.
De agent uitvoeren
Als u de agent voor het herstellen van beveiligingsproblemen wilt starten en uitvoeren, gaat u in het Intune beheercentrum naar Endpoint Security>Vulnerability Remediation Agent (preview) en selecteert u Uitvoeren. Deze optie is pas beschikbaar nadat de agent is ingesteld en de eerste uitvoering heeft voltooid.
Belangrijk
De agent wordt uitgevoerd onder de identiteit en machtigingen van de gebruiker die deze heeft ingeschakeld in uw tenant. Deze identiteit wordt vernieuwd wanneer elke agent wordt uitgevoerd en verloopt als de agent gedurende 90 opeenvolgende dagen niet is uitgevoerd. Er wordt geen melding gedaan over het einde van de toegestane periode.
De agent voor herstel van beveiligingsproblemen biedt geen ondersteuning voor een terugkerende planning en moet handmatig worden gestart.
Zodra de agent is gestart, wordt deze uitgevoerd totdat de evaluatie is voltooid. Deze kan niet worden gestopt of onderbroken.
De agent verwijderen
Als u de agent voor het herstellen van beveiligingsproblemen wilt verwijderen, gaat u in het Intune-beheercentrum naar Endpoint Security>Vulnerability Remediation Agent (preview) en selecteert u Agent verwijderen. Nadat een beheerder de prompt heeft geaccepteerd, wordt de agent verwijderd en wordt het deelvenster agent teruggezet naar de oorspronkelijke status.
Opmerking
Als u het agentexemplaren wilt verwijderen, moet het beheerdersaccount de rol Eigenaar hebben in Security Copilot. Een account met de rol Inzender kan de agent uitvoeren en resultaten weergeven, maar kan het agentexemplaren niet beheren.
Waarschuwing
Wanneer een agent wordt verwijderd, worden alle bestaande agentsuggesties verwijderd. Dit omvat details over suggesties die zijn gemarkeerd als Toegepast.
Later kan een beheerder de agent instellen om deze opnieuw te installeren.
Agentlogboeken voor herstel van beveiligingsproblemen
Tijdens de openbare preview zijn er beperkte logboeken beschikbaar voor de agent.
Alle agentbeheer, maken, verwijderen, uitvoeren en eventuele machtigingsfouten zijn beschikbaar in Security Copilot logboeken. Logboekregistratie van gedetecteerde beveiligingsproblemen of wanneer een herstel is toegepast, zijn niet beschikbaar. Gebruik in plaats daarvan de opties om een hersteld beveiligingsprobleem te markeren als Toegepast.
Veelgestelde vragen (veelgestelde vragen)
Fout: U hebt geen toegang tot deze agent – Licenties
Bijzonderheden: U hebt niet de benodigde licenties voor toegang tot deze agent.
Controleer de vereisten voor de licentie- en invoegtoepassingsvereisten voor deze agent en zorg ervoor dat licentietoewijzingen en gerelateerde productlicenties en configuraties beschikbaar zijn in uw tenant.
Fout: U hebt geen toegang tot deze agent – Werkruimte
Bijzonderheden: U maakt geen deel uit van de werkruimte die nodig is voor toegang tot deze agent.
Dit bericht geeft aan dat uw account niet gemachtigd is om de Security Copilot werkruimte weer te geven of te gebruiken, die is geconfigureerd op het moment dat Security Copilot wordt toegevoegd aan uw tenant. Neem contact op met de beheerder die uw Security Copilot-abonnement heeft geïnstalleerd of beheert voor hulp bij het verkrijgen van toegang en zie Verificatie begrijpen in Microsoft Security Copilot.
Fout: U hebt geen toegang tot deze agent – Machtigingen
Bijzonderheden: U beschikt niet over de benodigde machtigingen voor toegang tot deze agent.
Controleer de vereisten voor de machtiging voor op rollen gebaseerd toegangsbeheer die vereist is voor het gebruik van deze agent. Werk met een Intune-beheerder om uw account de vereiste machtigingen toe te wijzen.
Fout: Er is een fout opgetreden in de agent en de uitvoering is niet voltooid. Voer de agent opnieuw uit.
Bijzonderheden: Het agentexemplaren kan niet worden gestart of de uitvoering is voltooid. Details van de fout kunnen niet worden geïdentificeerd. Beheerders kunnen de agentsuggesties uit eerdere uitvoeringen blijven bekijken en beheren, hoewel deze niet kunnen worden uitgevoerd.
Als de agent blijft mislukken, is het mogelijk dat de autorisatie voor het identiteitsaccount is verloren en niet kan worden uitgevoerd totdat de agent opnieuw is geverifieerd. Mogelijke redenen voor het verlies van autorisatie zijn, maar zijn niet beperkt tot:
- De autorisatieperiode van 90 dagen van de agent is bereikt.
- Het gebruikersaccount waarmee de agent is geïnstalleerd, is onderworpen aan een beleid dat periodieke herverificatie vereist.
- Een toegangstoken is ingetrokken.
Tijdens de openbare preview moet de agent opnieuw worden geverifieerd en vervolgens opnieuw worden ingesteld.
Waarschuwing
Wanneer een agent wordt verwijderd, worden alle bestaande agentsuggesties verwijderd. Dit omvat details over suggesties die zijn gemarkeerd als Toegepast.
Verwante onderwerpen
Microsoft Defender Vulnerability Management
Security Copilot agents in Microsoft Intune
Microsoft Copilot voor beveiliging