Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Этот компонент находится в состоянии общедоступной предварительной версии. Дополнительные сведения см. в статье Общедоступная предварительная версия в Microsoft Intune.
Агент исправления уязвимостей для copilot безопасности в Intune использует данные из управления уязвимостями Microsoft Defender для выявления распространенных уязвимостей и уязвимостей (CVEs) на управляемых устройствах. Результаты являются приоритетными для исправления и включают пошаговые инструкции, которые помогут вам использовать Intune для устранения угрозы. Этот агент Copilot помогает сократить время, необходимое для исследования, выявления и устранения угроз, что в конечном итоге улучшает общее состояние безопасности вашей организации.
При запуске агента он анализирует данные из Службы управления уязвимостями Microsoft Defender и предоставляет приоритетный список предложений, отображаемых в Центре администрирования Intune. Вы можете детализировать каждое предложение, чтобы просмотреть сведения, в том числе:
- Количество связанных уязвимостей (CVEs)
- Обобщенный анализ влияния с помощью Copilot
- Рекомендуемые действия
- Затронутые системы
- Предоставляемые устройства
- Потенциальное влияние
- Пошаговое руководство по его исправлению с помощью Intune
После исправления предложения агента можно пометить его как примененное, чтобы агент сохранил запись, используемую для отслеживания действий по исправлению с течением времени.
Поскольку сведения о CVE и рекомендуемые рекомендации по исправлению могут со временем изменяться, последующие запуски агента могут предоставлять новые сведения, количество устройств и шаги по исправлению. При управлении последующими сообщениями об угрозах запись ранее примененных решений может помочь отслеживать изменения конкретных рисков на основе предыдущих исправлений.
Совет
Вы можете получить доступ к агенту по исправлению уязвимостей в Центре администрирования Intune из узлов безопасности агентов и конечных точек . Каждый путь обеспечивает доступ к одному агенту. В этой документации ссылки на его расположение используют узел Агенты .
В этой статье:
- Список предварительных требований для использования агента
- Описание работы агента
- Описание модели удостоверений агента
- Показано, как настроить агент
- Показывает, как удалить агент
Сведения о других агентах Copilot security в Intune и распространенных функциях см. в статье Агенты Copilot безопасности в Microsoft Intune.
Предварительные условия
Требования к облаку
Агент поддерживает только общедоступное облако. Он не поддерживает облака для государственных организаций.
Требования к лицензированию
Для использования агентов Security Copilot в Intune требуются следующие лицензии:
- Подписка Microsoft Intune (план 1)
- Microsoft Security Copilot с достаточным количеством единиц вычислений безопасности (SKU)
- Управление уязвимостями в Microsoft Defender . Эта возможность предоставляется Microsoft Defender для конечной точки P2 или автономной службой управления уязвимостями Defender.
Требования к подключаемым модулям
Подключаемые модули позволяют агентам Security Copilot подключаться к службам Майкрософт и выполнять специализированные действия. Для этого агента требуются следующие подключаемые модули:
Если вы используете Copilot в Intune, подключаемый модуль Intune уже включен. Дополнительные сведения о подключаемых модулях.
Требования к платформе устройства
Агент устранения уязвимостей поддерживает оценку и рекомендации для следующих платформ и приложений:
- Windows
- Приложения в Intune
Требования к ролям
Чтобы настроить агент и управлять им , используйте учетную запись со следующими ролями:
Роли Intune:
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Задачи безопасности и чтение
- Мобильные приложения / чтение
- Конфигурации устройств и чтение
- Организация и чтение
Роли Copilot безопасности:
Чтобы запустить агент, пользователю агента необходимо делегировать следующие разрешения. Назначьте эти разрешения за пределами потока агента устранения уязвимостей в центрах администрирования Microsoft Entra и Microsoft Defender.
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Мобильные приложения / чтение
- Конфигурации устройств и чтение
Роли Защитника:
- Пользователю агента должны быть назначены разрешения, соответствующие конфигурациям RBAC XDR в Microsoft Defender:
- Детализированный RBAC: Пользовательская роль RBAC с разрешениями, эквивалентными роли читателя безопасности Единого RBAC
Чтобы просмотреть результаты, используйте учетную запись со следующими ролями:
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Задачи безопасности и чтение
- Мобильные приложения / чтение
- Конфигурации устройств и чтение
- Организация и чтение
Принцип работы агента
Агент устранения уязвимостей выполняет автоматические оценки для выявления и определения приоритетов уязвимостей на управляемых устройствах. Вот как это работает:
1. Сбор данных . Агент собирает данные об уязвимостях из Службы управления уязвимостями Defender, анализируя распространенные уязвимости и уязвимости (CVEs) на управляемых устройствах.
2. Анализ и определение приоритетов . Агент оценивает данные об уязвимостях и определяет приоритеты угроз на основе таких факторов, как оценки CVSS, влияние воздействия и количество устройств, чтобы в первую очередь сосредоточиться на наиболее важных проблемах.
3. Руководство по исправлению . Для каждой обнаруженной уязвимости агент предоставляет пошаговые инструкции по исправлению, адаптированные к возможностям Intune, включая рекомендации по политике и рекомендации по настройке.
4. Отслеживание и создание отчетов . Агент ведет записи предлагаемых исправлений и позволяет отслеживать применяемые решения с течением времени, помогая измерять усилия по повышению безопасности.
Удостоверение агента
Агент устранения уязвимостей использует агентное удостоверение Microsoft Entra, специализированное удостоверение в идентификаторе Microsoft Entra, которое позволяет агенту безопасно и независимо работать. Во время установки агент подготавливает удостоверение агента (и соответствующего агента пользователя) в каталоге Entra клиента. Агент выполняется с разрешениями, делегированными этому агенту, а не под учетной записью пользователя.
Примечание.
Если агент в настоящее время использует удостоверение пользователя, необходимо перейти на агентное удостоверение, прежде чем истечет срок поддержки удостоверения пользователя. Сведения об крайних сроках, шагах и изменениях см. в статье Переход существующих агентов на агентное удостоверение.
Поведение агента ограничено разрешениями и тегами области, назначенными его агентическому пользователю. После настройки необходимо делегировать необходимые разрешения пользователю агента в центрах администрирования Entra и Defender. Список необходимых разрешений см. в разделе Предварительные требования.
Если возникает проблема с текущим удостоверением агента, которую невозможно устранить, необходимо удалить агент и настроить его снова. Дополнительные сведения см. в разделе Удаление агента.
Важно!
Пока вы не делегируете все необходимые разрешения пользователю агента, запуски агента будут отключены. Перед запуском агента необходимо назначить необходимые разрешения и пройти проверку готовности запуска .
Переход существующих агентов на агентное удостоверение
Существующие экземпляры агента, настроенные до выпуска агентского удостоверения, выполняются под удостоверением пользователя. Необходимо перевести эти агенты в агентическое удостоверение. Вот что вам нужно знать:
- Крайний срок — срок проверки подлинности удостоверения пользователя истекает через 90 дней после выпуска агентского удостоверения. После этой даты не могут выполняться агенты, которые не переведены.
- Больше нет назначения пользователей— после 90-дневного срока действия параметры назначения удостоверения пользователя, изменения удостоверения или продления маркера удостоверения пользователя недоступны. Когда появится сообщение о продлении маркера, администраторы могут переключиться на агентное удостоверение.
- Постоянное изменение . После переключения агента на агентное удостоверение он не может вернуться к удостоверению пользователя.
- Журнал выполнения сохраняется . Переход на агентное удостоверение не влияет на журнал выполнения агента.
На странице агента появится баннер, показывающий доступность агентского удостоверения для агентов, которые по-прежнему используют удостоверение пользователя.
Чтобы переключиться с удостоверения пользователя человека на агентное удостоверение, выполните приведенные далее действия.
- В Центре администрирования Intune перейдите в разделАгенты по исправлению уязвимостей (предварительная версия) и выберите вкладку Параметры.> Необходимо иметь роль владельца рабочей области Security Copilot и разрешения на чтение Intune.
- Выберите Создать новое удостоверение , чтобы подготовить новое агентное удостоверение и агента пользователя. Агент автоматически переключается на использование нового удостоверения.
- Делегируйте необходимые разрешения пользователю агента в центрах администрирования Entra и Defender. Список необходимых разрешений см. в разделе Предварительные требования.
- Используйте кнопку Выполнить проверку готовности , чтобы проверить правильность делегирования разрешений. Дополнительные сведения см. в разделе Запуск проверки готовности.
Запуск проверки готовности
После делегирования необходимых разрешений пользователю агента используйте кнопку Выполнить проверку готовности , чтобы убедиться, что разрешения настроены правильно. После успешного завершения проверки готовности включаются кнопка Выполнить и параметр для планирования выполнения.
Восстановление удаленного удостоверения агента
Если удостоверение агента случайно удалено в Entra, попробуйте восстановить его в Центре администрирования Entra. Если восстановление невозможно, необходимо удалить агент и снова настроить его для подготовки нового удостоверения.
Настройка агента
Во время установки агент создает агентное удостоверение (и соответствующего агента пользователя) в каталоге Entra клиента. На странице установки отображаются необходимые разрешения, подключаемые модули и сведения о рабочей области. Он включает обмен сообщениями, который подчеркивает необходимость делегировать разрешения перед успешным запуском агента. Чтобы настроить агент, необходимо иметь разрешения, перечисленные в разделе Настройка и управление в разделе Предварительные требования.
Чтобы настроить агент, выполните следующие действия:
В Центре администрирования Microsoft Intune перейдите в раздел Агенты>для устранения уязвимостей.
В разделе Обзор выберите Настроить агент. На этой панели отображаются сведения об агенте, включая необходимые разрешения и подключаемые модули.
Просмотрите сведения, чтобы убедиться, что требования выполнены, а затем выберите Запустить агент , чтобы закрыть панель установки и запустить первый запуск агента.
После завершения настройки делегируйте необходимые разрешения пользователю агента в центрах администрирования Entra и Defender. Список необходимых разрешений см. в разделе Предварительные требования.
Совет
Используйте кнопку Выполнить проверку готовности , чтобы убедиться, что разрешения делегированы правильно перед запуском агента. Дополнительные сведения см. в разделе Запуск проверки готовности.
После завершения настройки и делегирования разрешений агент будет готов к использованию. Дополнительные сведения об использовании агента см. в статье Использование агента устранения уязвимостей.
Рекомендации по эксплуатации
Перед запуском агента устранения уязвимостей учитывайте следующие моменты:
- Администратор должен вручную запустить агент. После запуска агента нет вариантов его остановки или приостановки.
- Агент можно запустить только из Центра администрирования Intune.
- Связанные cvEs содержат количество CVEs на устройствах с клиентскими выпусками операционной системы Windows, но не включают устройства с выпусками Windows Server. CvEs классифицируются как низкий, средний, высокий и критический в соответствии с шкалой CVSS (общая система оценки уязвимостей).
- Список доступных устройств включает только устройства, найденные в Entra, которые не являются выпусками Windows Server.
- Агент не поддерживает теги области в общедоступной предварительной версии.
Важно!
Администраторы, обращающиеся к Центру администрирования Intune, могут просматривать данные, передаваемые агентом с помощью предложений агента. Эти данные могут быть видны, даже если они находятся за пределами назначенных администратором ролей Или области Intune.
Удаление агента
Если возникает проблема с агентическим удостоверением агента, которая не может быть решена, необходимо удалить агент и снова настроить его для подготовки нового удостоверения. При удалении агента из клиента удаляется текущее удостоверение агента и связанный с ним агентный пользователь.
Примечание.
Сведения об истечении срока действия и миграции удостоверений см. в статье Переход существующих агентов на агентное удостоверение .
Чтобы удалить агент, выполните следующие действия:
- В Центре администрирования Microsoft Intune выберите Агенты.
- Выберите экземпляр агента, который требуется удалить.
- Выберите Удалить агент и подтвердите удаление.
После удаления область агента возвращается в исходное состояние. Администратор может переустановить агент позже, повторив процесс установки.