通过

使用 Microsoft Intune 修正 Microsoft Defender for Endpoint 识别的漏洞

  • 项目

将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成后,可以使用 Intune 安全任务利用 Defender for Endpoint 的威胁和漏洞管理。 Intune 中的安全任务可帮助 Intune 管理员了解并修正 Defender for Endpoint 漏洞管理功能Microsoft识别的许多设备弱点。 此集成提供了一种基于风险的方法来发现漏洞并确定漏洞的优先级,并有助于缩短整个环境的修正响应时间。

威胁和漏洞管理属于 Microsoft Defender for Endpoint

集成的工作原理

将 Intune 连接到 Microsoft Defender for Endpoint 后,Defender for Endpoint 将从使用 Intune 管理的设备接收威胁和漏洞详细信息。 安全管理员可从 Microsoft Defender 安全中心控制台中查看这些详细信息。

在 Microsoft Defender 安全中心控制台中,安全管理员可以通过执行一些为 Microsoft Intune 创建 安全任务的 简单操作来查看和处理终结点漏洞。 安全任务立即显示在 Microsoft Intune 管理中心中,Intune 管理员随后可以使用详细信息来解决问题。

  • 漏洞基于 Microsoft Defender for Endpoint 扫描和评估设备时评估的威胁或问题。
  • 并非所有 Defender for Endpoint 识别的漏洞和问题都支持通过 Intune 进行修正。 此类问题不会导致为 Intune 创建安全任务。

安全任务标识:

  • 漏洞类型
  • 优先级
  • 状态
  • 修正漏洞的步骤

在管理中心,Intune 管理员可以查看并选择接受或拒绝任务。 在 Intune 中接受任务后,管理员可以根据任务中提供的详细信息,使用 Intune 修正漏洞。

成功修正后,Intune 管理员会将安全任务设置为 “完成任务”。 此状态显示在 Intune 中,并传回 Defender for Endpoint,安全管理员可在其中确认漏洞的修订状态。

关于安全任务

每个安全任务都有一个 修正类型

  • 应用程序 - 如果某个应用程序具有可通过 Intune 缓解的漏洞或问题,则会标识该应用程序。 例如,Microsoft Defender for Endpoint 识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media player 是使用 Intune 部署的非托管应用,可能会有一个安全更新或更新版本的应用程序能够解决此问题。

  • 配置 - 你的环境中的漏洞或风险可以通过使用 Intune 终结点安全策略来缓解。 例如,Microsoft Defender for Endpoint 确定设备缺少“可能不需要的应用程序”(PUA) 的保护。 管理员为此问题创建一个安全任务,该任务标识了将设置 “操作”配置为针对防病毒 策略Microsoft Defender 防病毒配置文件的一部分对可能不需要的应用采取的缓解措施。

    当配置问题没有 Intune 可以提供的合理修正时,Microsoft Defender for Endpoint 不会为其创建安全任务。

修正操作

常见的修正操作包括:

  • 阻止应用程序运行。
  • 部署操作系统更新,从而缓解漏洞。
  • 部署终结点安全策略,以减小漏洞的影响。
  • 修改注册表值。
  • 禁用启用某个配置,从而影响漏洞。
  • 需要引起注意警告管理员有关无合适建议的威胁。

工作流示例

以下示例演示了发现应用程序漏洞以修正的工作流。 此常规工作流也适用于配置问题:

  • 一个 Microsoft Defender for Endpoint 扫描识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media 播放器是未使用 Intune 部署的非托管应用。

    此安全任务显示在 Microsoft Intune 管理中心,状态为“挂起”:

    在 Intune 管理中心查看安全任务列表

  • Intune 管理员选择该安全任务以查看有关该任务的详细信息。 然后,管理员选择“接受”,这样会将 Intune 和 Defender for Endpoint 中的状态更新为“已接受”

    接受或拒绝安全任务

  • 然后,管理员根据提供的指导修正任务。 指南因所需的修正类型而异。 修正指导(如果有)包括可在 Intune 中打开配置的相关窗格的链接。

    由于此示例中的媒体播放器不是托管应用,因此 Intune 只能提供文本说明。 对于托管应用,Intune 可以提供下载更新版本的说明,并提供用于打开应用部署的链接,以便将更新的文件添加到部署。

  • 修正完成后,Intune 管理员打开安全任务并选择“ 完成任务”。 修正状态已针对 Intune 进行了更新,安全管理员在 Defender for Endpoint 中确认了修改后的漏洞状态。

先决条件

订阅

Defender for Endpoint 的 Intune 配置

  • 配置与 Microsoft Defender for Endpoint 的服务到服务连接。

  • 将配置文件类型为 Microsoft Defender for Endpoint 的设备配置策略 (运行 Windows 10 或更高版本的桌面设备) 部署到使用 Microsoft Defender for Endpoint 来评估风险的设备。

    有关如何将 Intune 设置为使用 Defender for Endpoint 的信息,请参阅使用 Intune 中的条件访问强制执行 Microsoft Defender for Endpoint 的合规性

使用安全任务

必须先从 Defender 安全中心内创建安全任务,然后才能处理这些任务。 有关使用Microsoft Defender 安全中心创建安全任务的信息,请参阅 Defender for Endpoint 文档中的使用威胁和漏洞管理来修正漏洞

若要管理安全任务,请执行以下操作:

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“终结点安全”>“安全任务”。

  3. 从列表中选择一个任务以打开一个资源窗口,该窗口显示该安全任务的更多详细信息。

    查看安全任务资源窗口时,可以选择其他链接:

    • 托管应用 - 查看易受攻击的应用。 当漏洞应用于多个应用时,Intune 会显示筛选的应用列表。
    • 设备 - 查看易受攻击的设备的列表,你可以在其中链接到具有该设备上的漏洞的更多详细信息的条目。
    • 请求者 - 使用该链接将邮件发送给提交了此安全任务的管理员。
    • 说明 - 打开安全任务时读取由请求者提交的自定义消息。

  4. 选择“接受”或“拒绝”将通知发送到 Defender for Endpoint 以执行计划的操作。 接受或拒绝任务后,可以提交发送到 Defender for Endpoint 的说明。

  5. 接受任务后,重新打开安全任务(如果已关闭),然后按照修正详细信息修正漏洞。 安全任务详细信息中 Defender for Endpoint 提供的说明因所涉及的漏洞而异。

    如果可以这样做,修正说明包括链接,这些链接用于在 intune 管理中心Microsoft打开相关配置对象。

  6. 完成修正步骤后,打开安全任务并选择“完成任务”。 此操作将更新 Intune 和 Defender for Endpoint 中的安全任务状态。

修正成功后,Defender for Endpoint 中的风险暴露分数可以根据修正设备中的新信息下降。

后续步骤

了解有关 Intune 和 Microsoft Defender for Endpoint 的详细信息。

查看 Intune 移动威胁防御

查看 Microsoft Defender for Endpoint 中的威胁和漏洞管理仪表板