Använd Microsoft Intune för att åtgärda säkerhetsrisker som identifieras av Microsoft Defender för Endpoint

När du integrerar Microsoft Defender för Endpoint med Microsoft Intune kan du dra nytta av Defender för Endpoints Hantering av hot och säkerhetsrisker med hjälp av Intune säkerhetsuppgifter. Säkerhetsuppgifter i Intune hjälpa Intune administratörer att förstå och sedan åtgärda många enhetsbrister som Microsoft Defender för Endpoint sårbarhetshanteringsfunktionen identifierar. Den här integreringen ger en riskbaserad metod för identifiering och prioritering av sårbarheter och kan bidra till att förbättra svarstiden för åtgärder i hela miljön.

Sårbarhetshantering för hot & ingår i Microsoft Defender för Endpoint.

Så här fungerar integrering

När du har anslutit Intune till Microsoft Defender för Endpoint tar Defender för Endpoint emot hot- och sårbarhetsinformation från de enheter som du hanterar med Intune. Den här informationen blir synlig för säkerhetsadministratörer från Microsoft Defender Säkerhetscenter-konsolen.

I Microsoft Defender Säkerhetscenter-konsolen kan säkerhetsadministratörer granska och agera på sårbarheter i slutpunkter genom att vidta några enkla åtgärder som skapar säkerhetsuppgifter för Microsoft Intune. Säkerhetsaktiviteter visas omedelbart i Microsoft Intune administrationscenter där de är synliga för Intune administratörer som sedan kan använda informationen för att agera och åtgärda problemen.

• Säkerhetsrisker baseras på hot eller problem som utvärderas av Microsoft Defender för Endpoint när den genomsöker och utvärderar en enhet.
• Det är inte alla säkerhetsrisker och problem som Defender för Endpoint identifierar supportreparation via Intune. Sådana problem resulterar inte i att en säkerhetsuppgift skapas för Intune.

Säkerhetsuppgifter identifierar:

• Typ av säkerhetsrisk
• Prioritet
• Status
• Åtgärder att vidta för att åtgärda säkerhetsrisken

I administrationscentret kan en Intune administratör granska och sedan välja att acceptera eller avvisa uppgiften. När en administratör accepterar en uppgift i Intune kan de använda Intune för att åtgärda säkerhetsrisken, med hjälp av informationen i uppgiften.

Med lyckad reparation anger Intune-administratören säkerhetsuppgiften till Slutför uppgift. Den här statusen visas i Intune och skickas tillbaka till Defender för Endpoint, där säkerhetsadministratörer kan bekräfta den ändrade statusen för säkerhetsrisken.

Om säkerhetsuppgifter:

Varje säkerhetsuppgift har en reparationstyp:

• Program – Ett program identifieras som har en säkerhetsrisk eller ett problem som du kan åtgärda med Intune. Till exempel identifierar Microsoft Defender för Endpoint en säkerhetsrisk för en app med namnet Contoso Media Player v4, och en administratör skapar en säkerhetsuppgift för att uppdatera appen. Contoso Media Player är en ohanterad app som har distribuerats med Intune och det kan finnas en säkerhetsuppdatering eller en nyare version av ett program som löser problemet.

• Konfiguration – Sårbarheter eller risker i din miljö kan minimeras genom användning av Intune slutpunktssäkerhetsprinciper. Till exempel identifierar Microsoft Defender för Endpoint att enheter saknar skydd mot potentiellt oönskade program (PUA). En administratör skapar en säkerhetsuppgift för det här problemet, som identifierar en åtgärd för att konfigurera inställningen Åtgärd att vidta för potentiellt oönskade appar som en del av Microsoft Defender Antivirus-profil för antivirusprincip.

  När ett konfigurationsproblem inte har någon rimlig åtgärd som Intune kan tillhandahålla, skapar Microsoft Defender för Endpoint inte någon säkerhetsuppgift för den.

Reparationsåtgärder:

Vanliga åtgärder är:

• Blockera att ett program körs.
• Distribuera en uppdatering av operativsystemet för att minska säkerhetsrisken.
• Distribuera en slutpunktssäkerhetsprincip för att minska säkerhetsrisken.
• Ändra ett registervärde.
• Inaktivera eller aktivera en konfiguration för att påverka säkerhetsrisken.
• Kräv uppmärksamhet varnar administratören om hotet när det inte finns någon lämplig rekommendation att ge.

Arbetsflödesexempel:

I följande exempel visas arbetsflödet för att identifiera ett program som är sårbart för reparation. Samma allmänna arbetsflöde gäller för konfigurationsproblem:

• En Microsoft Defender för Endpoint genomsökning identifierar en säkerhetsrisk för en app med namnet Contoso Media Player v4, och en administratör skapar en säkerhetsuppgift för att uppdatera appen. Contoso Media Player är en ohanterad app som inte har distribuerats med Intune.

  Den här säkerhetsuppgiften visas i Microsoft Intune administrationscenter med statusen Väntar:

  

• Den Intune administratören väljer säkerhetsuppgiften för att visa information om uppgiften. Administratören väljer sedan Acceptera, vilket uppdaterar statusen i Intune och i Defender för Endpoint som accepteras.

  

• Administratören åtgärdar sedan uppgiften baserat på den vägledning som ges. Vägledningen varierar beroende på vilken typ av reparation som behövs. När det är tillgängligt innehåller reparationsvägledning länkar som öppnar relevanta fönster för konfigurationer i Intune.

  Eftersom mediespelaren i det här exemplet inte är en hanterad app kan Intune bara tillhandahålla textinstruktioner. För en hanterad app kan Intune ge instruktioner för att ladda ned en uppdaterad version och tillhandahålla en länk för att öppna distributionen för appen så att de uppdaterade filerna kan läggas till i distributionen.

• När reparationen är klar öppnar Intune administratör säkerhetsuppgiften och väljer Slutför uppgift. Reparationsstatusen uppdateras för Intune och i Defender för Endpoint, där säkerhetsadministratörer bekräftar den ändrade statusen för säkerhetsrisken.

Förutsättningar

Prenumerationer:

• Microsoft Intune plan 1
• Microsoft Defender för Endpoint (Registrera dig för en kostnadsfri utvärderingsversion.)

Intune konfigurationer för Defender för Endpoint:

• Konfigurera en tjänst-till-tjänst-anslutning med Microsoft Defender för Endpoint.

• Distribuera en enhetskonfigurationsprincip med profiltypen Microsoft Defender för Endpoint (stationära enheter som kör Windows 10 eller senare) till enheter som använder Microsoft Defender för Endpoint för att bedöma risker.

  Information om hur du konfigurerar Intune för att arbeta med Defender för Endpoint finns i Framtvinga efterlevnad för Microsoft Defender för Endpoint med villkorlig åtkomst i Intune.

Arbeta med säkerhetsuppgifter

Innan du kan arbeta med säkerhetsuppgifter måste de skapas inifrån Defender Security Center. Information om hur du använder Microsoft Defender Säkerhetscenter för att skapa säkerhetsaktiviteter finns i Åtgärda säkerhetsrisker med Hantering av hot och säkerhetsrisker i dokumentationen för Defender för Endpoint.

Så här hanterar du säkerhetsuppgifter:

1. Logga in på Microsoft Intune administrationscenter.

2. VäljSäkerhetsuppgifter för slutpunktssäkerhet>.

3. Välj en uppgift i listan för att öppna ett resursfönster som visar mer information om den säkerhetsuppgiften.

   När du visar resursfönstret för säkerhetsaktiviteten kan du välja ytterligare länkar:

   • HANTERADE APPAR – Visa appen som är sårbar. När säkerhetsrisken gäller för flera appar visar Intune en filtrerad lista över appar.
   • ENHETER – Visa en lista över sårbara enheter, där du kan länka till en post med mer information om säkerhetsrisken på enheten.
   • REQUESTOR – Använd länken för att skicka e-post till administratören som skickade den här säkerhetsuppgiften.
   • ANTECKNINGAR – Läsa anpassade meddelanden som skickats av beställaren när du öppnar säkerhetsuppgiften.

4. Välj Acceptera eller Avvisa för att skicka ett meddelande till Defender för Endpoint för din planerade åtgärd. När du accepterar eller avvisar en uppgift kan du skicka anteckningar som skickas till Defender för Endpoint.

5. När du har accepterat en uppgift öppnar du säkerhetsuppgiften igen (om den stängs) och följer reparationsinformationen för att åtgärda säkerhetsrisken. Anvisningarna från Defender för Endpoint i säkerhetsuppgiftsinformationen varierar beroende på vilken säkerhetsrisk det gäller.

   När det är möjligt innehåller reparationsanvisningarna länkar som öppnar relevanta konfigurationsobjekt i Microsoft Intune administrationscenter.

6. När du har slutfört reparationsstegen öppnar du säkerhetsuppgiften och väljer Slutför uppgift. Den här åtgärden uppdaterar säkerhetsaktivitetens status i både Intune och Defender för Endpoint.

När reparationen har slutförts kan riskexponeringspoängen i Defender för Endpoint minska, baserat på ny information från de reparerade enheterna.

Nästa steg

Läs mer om Intune och Microsoft Defender för Endpoint.

Granska Intune Mobile Threat Defense.

Granska instrumentpanelen för hantering av hot & säkerhetsrisker i Microsoft Defender för Endpoint.