Udostępnij za pośrednictwem

Korygowanie luk w zabezpieczeniach zidentyfikowanych przez usługę Microsoft Defender dla punktu końcowego przy użyciu usługi Microsoft Intune

  • Artykuł

Po zintegrowaniu usługi Microsoft Defender for Endpoint z usługą Microsoft Intune możesz skorzystać z funkcji zarządzania zagrożeniami i lukami w zabezpieczeniach usługi Defender for Endpoint przy użyciu zadań zabezpieczeń usługi Intune. Zadania zabezpieczeń w usłudze Intune ułatwiają administratorom usługi Intune zrozumienie, a następnie korygowanie wielu słabych stron urządzeń zidentyfikowanych przez funkcję zarządzania lukami w zabezpieczeniach w usłudze Microsoft Defender for Endpoint. Ta integracja zapewnia oparte na ryzyku podejście do odnajdywania i określania priorytetów luk w zabezpieczeniach oraz może pomóc w skróceniu czasu reakcji korygowania w całym środowisku.

Zarządzanie lukami w zabezpieczeniach & zagrożeń jest częścią usługi Microsoft Defender for Endpoint.

Jak działa integracja

Po połączeniu usługi Intune z usługą Microsoft Defender for Endpoint usługa Defender dla punktu końcowego otrzymuje szczegółowe informacje o zagrożeniach i lukach w zabezpieczeniach z urządzeń zarządzanych za pomocą usługi Intune. Te szczegóły stają się widoczne dla administratorów zabezpieczeń z poziomu konsoli usługi Microsoft Defender Security Center.

W konsoli usługi Microsoft Defender Security Center administratorzy zabezpieczeń mogą przeglądać luki w zabezpieczeniach punktów końcowych i działać na nich, wykonując kilka prostych akcji, które tworzą zadania zabezpieczeń dla usługi Microsoft Intune. Zadania zabezpieczeń są natychmiast wyświetlane w centrum administracyjnym usługi Microsoft Intune, gdzie są widoczne dla administratorów usługi Intune, którzy mogą następnie użyć tych szczegółów do działania i rozwiązania problemów.

  • Luki w zabezpieczeniach są oparte na zagrożeniach lub problemach ocenianych przez usługę Microsoft Defender dla punktu końcowego podczas skanowania i oceniania urządzenia.
  • Nie wszystkie luki w zabezpieczeniach i problemy identyfikowane przez usługę Defender for Endpoint za pośrednictwem usługi Intune. Takie problemy nie powodują utworzenia zadania zabezpieczeń dla usługi Intune.

Zadania zabezpieczeń identyfikują:

  • Typ luki w zabezpieczeniach
  • Priority (Priorytet)
  • Stan
  • Kroki, które należy wykonać, aby skorygować lukę w zabezpieczeniach

W centrum administracyjnym administrator usługi Intune może przejrzeć, a następnie zaakceptować lub odrzucić zadanie. Gdy administrator zaakceptuje zadanie w usłudze Intune, może użyć usługi Intune do skorygowania luki w zabezpieczeniach, korzystając ze szczegółów podanych w zadaniu.

Po pomyślnym korygowaniu administrator usługi Intune ustawia zadanie zabezpieczeń na Ukończono zadanie. Ten stan jest wyświetlany w usłudze Intune i jest przekazywany z powrotem do usługi Defender for Endpoint, gdzie administratorzy zabezpieczeń mogą potwierdzić poprawiony stan luki w zabezpieczeniach.

Informacje o zadaniach zabezpieczeń:

Każde zadanie zabezpieczeń ma typ korygowania:

  • Aplikacja — zidentyfikowano aplikację, która ma lukę w zabezpieczeniach lub problem, który można wyeliminować za pomocą usługi Intune. Na przykład usługa Microsoft Defender dla punktu końcowego identyfikuje lukę w zabezpieczeniach aplikacji o nazwie Contoso Media Player w wersji 4, a administrator tworzy zadanie zabezpieczeń w celu zaktualizowania tej aplikacji. Odtwarzacz Multimediów firmy Contoso to niezarządzana aplikacja, która została wdrożona w usłudze Intune i może istnieć aktualizacja zabezpieczeń lub nowsza wersja aplikacji, która rozwiązuje problem.

  • Konfiguracja — luki w zabezpieczeniach lub zagrożenia w środowisku można ograniczyć za pomocą zasad zabezpieczeń punktu końcowego usługi Intune. Na przykład usługa Microsoft Defender dla punktu końcowego identyfikuje, że urządzenia nie mają ochrony przed potencjalnie niechcianych aplikacji (PUA). Administrator tworzy zadanie zabezpieczeń dla tego problemu, które identyfikuje ograniczenie ryzyka konfigurowania ustawienia Akcja do wykonania dla potencjalnie niechcianych aplikacji w ramach profilu programu antywirusowego Microsoft Defender dla zasad ochrony antywirusowej.

    Jeśli problem z konfiguracją nie ma wiarygodnego rozwiązania, które może zapewnić usługa Intune, usługa Microsoft Defender dla punktu końcowego nie tworzy dla niego zadania zabezpieczeń.

Akcje korygowania:

Typowe akcje korygowania obejmują:

  • Zablokuj uruchamianie aplikacji.
  • Wdróż aktualizację systemu operacyjnego, aby wyeliminować lukę w zabezpieczeniach.
  • Wdróż zasady zabezpieczeń punktu końcowego, aby wyeliminować lukę w zabezpieczeniach.
  • Modyfikowanie wartości rejestru.
  • Wyłącz lub Włącz konfigurację, aby wpłynąć na tę lukę w zabezpieczeniach.
  • Pozycja Wymagaj uwagi powiadamia administratora o zagrożeniu, gdy nie ma odpowiednich zaleceń do dostarczenia.

Przykład przepływu pracy:

W poniższym przykładzie przedstawiono przepływ pracy polegający na odnalezieniu luki w zabezpieczeniach aplikacji w celu skorygowania. Ten sam ogólny przepływ pracy ma zastosowanie w przypadku problemów z konfiguracją:

  • Skanowanie usługi Microsoft Defender dla punktu końcowego identyfikuje lukę w zabezpieczeniach aplikacji o nazwie Contoso Media Player w wersji 4, a administrator tworzy zadanie zabezpieczeń w celu zaktualizowania tej aplikacji. Contoso Media player to niezarządzana aplikacja, która nie została wdrożona w usłudze Intune.

    To zadanie zabezpieczeń jest wyświetlane w centrum administracyjnym usługi Microsoft Intune ze stanem Oczekujące:

    Wyświetlanie listy zadań zabezpieczeń w centrum administracyjnym usługi Intune

  • Administrator usługi Intune wybiera zadanie zabezpieczeń, aby wyświetlić szczegółowe informacje o zadaniu. Następnie administrator wybiera pozycję Akceptuj, która aktualizuje stan w usłudze Intune, a następnie w usłudze Defender dla punktu końcowego, który ma zostać zaakceptowany.

    Akceptowanie lub odrzucanie zadania zabezpieczeń

  • Następnie administrator koryguje zadanie na podstawie podanych wskazówek. Wskazówki różnią się w zależności od typu wymaganej korygowania. Jeśli są dostępne, wskazówki dotyczące korygowania zawierają linki, które otwierają odpowiednie okienka dla konfiguracji w usłudze Intune.

    Ponieważ odtwarzacz multimediów w tym przykładzie nie jest aplikacją zarządzaną, usługa Intune może udostępniać tylko instrukcje tekstowe. W przypadku aplikacji zarządzanej usługa Intune może dostarczyć instrukcje dotyczące pobierania zaktualizowanej wersji i udostępnić link umożliwiający otwarcie wdrożenia aplikacji w celu dodania zaktualizowanych plików do wdrożenia.

  • Po zakończeniu korygowania administrator usługi Intune otwiera zadanie zabezpieczeń i wybiera pozycję Zakończ zadanie. Stan korygowania jest aktualizowany dla usługi Intune i usługi Defender for Endpoint, gdzie administratorzy zabezpieczeń potwierdzają poprawiony stan luki w zabezpieczeniach.

Wymagania wstępne

Subskrypcje:

Konfiguracje usługi Intune dla usługi Defender dla punktu końcowego:

Praca z zadaniami zabezpieczeń

Przed rozpoczęciem pracy z zadaniami zabezpieczeń należy je utworzyć z poziomu usługi Defender Security Center. Aby uzyskać informacje na temat korzystania z usługi Microsoft Defender Security Center do tworzenia zadań zabezpieczeń, zobacz Korygowanie luk w zabezpieczeniach związanych z zarządzaniem zagrożeniami i lukami w zabezpieczeniach w dokumentacji usługi Defender for Endpoint.

Aby zarządzać zadaniami zabezpieczeń:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęZadania zabezpieczeń>punktu końcowego.

  3. Wybierz zadanie z listy, aby otworzyć okno zasobu zawierające więcej szczegółów dotyczących tego zadania zabezpieczeń.

    Podczas wyświetlania okna zasobu zadania zabezpieczeń możesz wybrać dodatkowe linki:

    • APLIKACJE ZARZĄDZANE — wyświetl aplikację, która jest podatna na zagrożenia. Jeśli luka w zabezpieczeniach dotyczy wielu aplikacji, usługa Intune wyświetla filtrowaną listę aplikacji.
    • URZĄDZENIA — wyświetl listę urządzeń narażonych na zagrożenia, z których można połączyć się z wpisem zawierającym więcej szczegółów dotyczących luki w zabezpieczeniach na tym urządzeniu.
    • REQUESTOR — użyj linku, aby wysłać wiadomość e-mail do administratora, który przesłał to zadanie zabezpieczeń.
    • UWAGI — odczytywanie niestandardowych komunikatów przesłanych przez żądającego podczas otwierania zadania zabezpieczeń.

  4. Wybierz pozycję Zaakceptuj lub odrzuć , aby wysłać powiadomienie do usługi Defender for Endpoint dla planowanej akcji. Gdy zaakceptujesz lub odrzucisz zadanie, możesz przesłać notatki, które są wysyłane do usługi Defender for Endpoint.

  5. Po zaakceptowaniu zadania otwórz ponownie zadanie zabezpieczeń (jeśli zostało zamknięte) i postępuj zgodnie ze szczegółami korygowania, aby skorygować lukę w zabezpieczeniach. Instrukcje podane przez usługę Defender for Endpoint w szczegółach zadania zabezpieczeń różnią się w zależności od luki w zabezpieczeniach.

    Jeśli jest to możliwe, instrukcje korygowania zawierają linki, które otwierają odpowiednie obiekty konfiguracji w centrum administracyjnym usługi Microsoft Intune.

  6. Po wykonaniu kroków korygowania otwórz zadanie zabezpieczeń i wybierz pozycję Zakończ zadanie. Ta akcja aktualizuje stan zadania zabezpieczeń zarówno w usłudze Intune, jak i w usłudze Defender for Endpoint.

Po pomyślnym skorygowaniu wskaźnik narażenia na ryzyko w usłudze Defender for Endpoint może paść na podstawie nowych informacji z skorygowanych urządzeń.

Następne kroki

Dowiedz się więcej o usłudze Intune i usłudze Microsoft Defender for Endpoint.

Zapoznaj się z tematem Usługa Intune Mobile Threat Defense.

Zapoznaj się z pulpitem nawigacyjnym zarządzania lukami w zabezpieczeniach & w usłudze Microsoft Defender dla punktu końcowego.