分享方式:

使用 Microsoft Intune 來補救適用於端點的 Microsoft Defender 所識別的弱點

  • 文章

在整合 Microsoft Defender for Endpoint 與 Microsoft Intune 時,您可以使用 Intune 安全性工作,利用適用於端點的 Defender 威脅和弱點管理。 Intune 中的安全性工作可協助 Intune 系統管理員瞭解並補救許多Microsoft適用於端點的 Defender 弱點管理功能所識別的裝置弱點。 這項整合會為弱點的探索和優先順序帶來風險型方法,並有助於改善整個環境的補救回應時間。

威脅 & 弱點管理適用於端點Microsoft Defender 的一部分。

整合的運作方式

Intune 連線到 Microsoft Defender for Endpoint 之後,適用於端點的 Defender 會從您使用 Intune 管理的裝置接收威脅和弱點詳細數據。 安全性系統管理員會從 Microsoft Defender 資訊安全中心控制台內看到這些詳細數據。

在 Microsoft Defender 資訊安全中心控制台中,安全性系統管理員可以採取一些簡單的動作,為 Microsoft Intune 建立 安全 性工作,以檢閱端點弱點並採取行動。 安全性工作會立即出現在 Microsoft Intune 系統管理中心,Intune 系統管理員會看到這些工作,然後他們就可以使用詳細數據來採取行動並補救問題。

  • 弱點是以適用於端點Microsoft Defender 掃描和評估裝置時所評估的威脅或問題為基礎。
  • 並非適用於端點的Defender識別的所有弱點和問題都支援透過Intune進行補救。 這類問題不會導致建立 Intune 的安全性工作。

安全性工作識別:

  • 弱點的類型
  • 優先順序
  • 狀態
  • 補救弱點所採取的步驟

在系統管理中心,Intune 系統管理員可以檢閱,然後選擇接受或拒絕工作。 在系統管理員接受 Intune 中的工作之後,他們可以使用 Intune 來補救弱點,並以工作中提供的詳細數據為指導。

成功補救后,Intune 系統管理員會將安全性工作設定為 [完成工作]。 此狀態會顯示在 Intune 中,並傳回至適用於端點的 Defender,安全性系統管理員可以在其中確認已修訂的弱點狀態。

關於安全性工作

每個安全性工作都有 補救類型

  • 應用程式 – 識別出有弱點或問題的應用程式,您可以使用 Intune 來減輕此問題。 例如,Microsoft Defender for Endpoint 會識別名為 Contoso Media Player v4 之應用程式的弱點,而系統管理員會建立安全性工作來更新該應用程式。 Contoso 媒體播放器是使用 Intune 部署的非受控應用程式,而且可能有安全性更新或較新版本的應用程式可解決問題。

  • 設定 – 您可以使用 Intune 端點安全策略來降低環境中的弱點或風險。 例如,Microsoft適用於端點的 Defender 會識別裝置無法防範 潛在的垃圾應用程式 (PUA) 。 系統管理員會針對此問題建立安全性工作,以識別將 [動作] 設定為在防病毒軟體原則的 Microsoft Defender 防病毒軟體配置檔中 對潛在垃圾應用程式採取 動作的防護功能。

    當設定問題沒有 Intune 可提供的合理補救措施時,Microsoft適用於端點的 Defender 不會為其建立安全性工作。

補救動作

常見的補救動作包括:

  • 封鎖 應用程式執行。
  • 部署 操作系統更新以減輕弱點。
  • 部署 端點安全策略以減輕弱點。
  • 修改 登錄值。
  • 停用啟用 組態以影響弱點。
  • 若沒有適當的建議可提供,[需要注意] 會對系統管理員發出威脅警示。

工作流程範例

下列範例示範探索應用程式弱點以進行補救的工作流程。 此相同的一般工作流程適用於設定問題:

  • 適用於端點的 Microsoft Defender 掃描會識別名為 Contoso Media Player v4 之應用程式的弱點,而系統管理員會建立安全性工作來更新該應用程式。 Contoso 媒體播放器是未使用 Intune 部署的 Unmanaged 應用程式。

    此安全性工作會出現在 Microsoft Intune 系統管理中心,狀態為 [擱置中]:

    在 Intune 系統管理中心檢視安全性工作清單

  • Intune 系統管理員會選取安全性工作,以檢視工作的詳細數據。 系統管理員接著會選取 [ 接受],這會更新 Intune 中的狀態,並在 [適用於端點的 Defender] 中選取 [ 接受]

    接受或拒絕安全性工作

  • 系統管理員接著會根據提供的指引來補救工作。 此指引會根據所需的補救類型而有所不同。 如果有的話,補救指引會包含連結,這些鏈接會開啟 Intune 中設定的相關窗格。

    因為此範例中的媒體播放程式不是受控應用程式,所以 Intune 只能提供文字指示。 對於受控應用程式,Intune 可以提供下載更新版本的指示,並提供連結來開啟應用程式的部署,以便將更新的檔案新增至部署。

  • 補救完成之後,Intune 系統管理員會開啟安全性工作,並選取 [ 完成工作]。 Intune 和適用於端點的 Defender 的補救狀態會更新,安全性系統管理員會在其中確認已修訂的弱點狀態。

先決條件

訂用帳戶

適用於端點的 Defender 的 Intune 設定

  • 使用適用於端點的 Microsoft Defender 設定服務對服務連線。

  • 將配置檔類型 為 Microsoft Defender for Endpoint 的裝置設定原則, (執行 Windows 10 或更新版本的傳統型裝置) 至使用適用於端點的 Microsoft Defender 來評估風險的裝置。

    如需如何設定 Intune 以搭配適用於端點的 Defender 使用的資訊,請參閱 在 Intune 中使用條件式存取強制執行適用於端點Microsoft Defender 的合規性

使用安全性工作

您必須先從 Defender 資訊安全中心內建立安全性工作,才能使用安全性工作。 如需使用 Microsoft Defender 資訊安全中心建立安全性工作的相關信息,請參閱適用於端點的 Defender 檔中的使用 威脅和弱點管理來補救弱點

若要管理安全性工作:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [端點安全性安全>性工作]

  3. 從清單中選取工作,以開啟資源視窗,以顯示該安全性工作的更多詳細數據。

    檢視安全性工作資源視窗時,您可以選取其他連結:

    • 受控應用程式 - 檢視易受攻擊的應用程式。 當弱點套用至多個應用程式時,Intune 會顯示已篩選的應用程式清單。
    • 裝置 - 檢視 易受攻擊裝置的清單,您可以從中連結至具有該裝置弱點詳細數據的專案。
    • REQUESTOR - 使用連結將郵件傳送給提交此安全性工作的系統管理員。
    • 附註 - 讀取要求者開啟安全性工作時所提交的自定義訊息。

  4. 取 [接受 ] 或 [ 拒絕 ],將通知傳送至適用於端點的Defender,以取得您計劃的動作。 當您接受或拒絕工作時,可以提交附注,這些附注會傳送至適用於端點的Defender。

  5. 接受工作之後,重新開啟安全性工作 (如果已關閉) ,並遵循補救詳細數據來補救弱點。 適用於端點的 Defender 在安全性工作詳細數據中提供的指示會根據所涉及的弱點而有所不同。

    如果可以這樣做,補救指示會包含連結,這些連結會在 Microsoft Intune 系統管理中心開啟相關的設定物件。

  6. 完成補救步驟之後,開啟安全性工作,然後選取 [ 完成工作]。 此動作會更新 Intune 和適用於端點的 Defender 中的安全性工作狀態。

補救成功之後,根據補救裝置的新資訊,適用於端點的 Defender 中的風險暴露分數可能會下降。

後續步驟

深入瞭解適用於 端點的 Intune 和 Microsoft Defender。

檢閱 Intune Mobile Threat Defense

檢閱 Microsoft Defender for Endpoint 中的威脅 & 弱點管理儀錶板