Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Агент устранения уязвимостей в настоящее время находится в ограниченной общедоступной предварительной версии и доступен только для выбранной группы клиентов. Если вы заинтересованы в получении доступа или хотите узнать больше, обратитесь к группе продаж для получения дополнительных сведений и дальнейших действий.
Агент устранения уязвимостей для Security Copilot в Intune использует данные из Управление уязвимостями Microsoft Defender для выявления распространенных уязвимостей и уязвимостей (CVEs) на управляемых устройствах. Результаты являются приоритетными для исправления и включают пошаговые инструкции, которые помогут вам использовать Intune для устранения угрозы. Этот агент Copilot помогает сократить время, необходимое для исследования, выявления и устранения угроз, что в конечном итоге улучшает общее состояние безопасности вашей организации.
При запуске агент анализирует данные из Управление уязвимостями Microsoft Defender и предоставляет приоритетный список предложений, отображаемых в центре администрирования Intune. Вы можете детализировать каждое предложение, чтобы просмотреть сведения, в том числе:
- Количество связанных уязвимостей (CVEs)
- Обобщенный анализ влияния с помощью Copilot
- Рекомендуемые действия
- Затронутые системы
- Предоставляемые устройства
- Потенциальное влияние
- Пошаговое руководство по использованию Intune для его исправления
После исправления предложения агента можно пометить его как примененное, чтобы агент сохранил запись, используемую для отслеживания действий по исправлению с течением времени.
Поскольку сведения о CVE и рекомендуемые рекомендации по исправлению могут со временем изменяться, последующие запуски агента могут предоставлять новые сведения, количество устройств и шаги по исправлению. При управлении последующими сообщениями об угрозах запись ранее примененных решений может помочь отслеживать изменения конкретных рисков на основе предыдущих исправлений.
Совет
Агент по устранению уязвимостей доступен в центре администрирования Intune с узлов безопасности агентов и конечных точек. Каждый путь обеспечивает доступ к одному агенту. В этой документации ссылки на его расположение используют узел Агенты .
В этой статье:
- Список предварительных требований для использования агента
- Описание работы агента
- Показано, как настроить агент
- Показано, как продлить или удалить агент
Сведения о других агентах Security Copilot в Intune и распространенных функциях см. в разделе агенты Security Copilot в Microsoft Intune.
Предварительные условия
Требования к облаку
Агент поддерживается только в общедоступном облаке. Он не поддерживается в облаках государственных организаций.
Требования к лицензированию
Для использования агентов Security Copilot в Microsoft Intune требуются следующие лицензии:
- подписка Microsoft Intune (план 1)
- Microsoft Security Copilot с достаточным количеством единиц вычислений безопасности
- Управление уязвимостями Microsoft Defender . Эта возможность предоставляется Microsoft Defender для конечной точки P2 или Управление уязвимостями Defender Standalone.
Требования к подключаемым модулям
Подключаемые модули позволяют агентам Security Copilot подключаться к службам Майкрософт и выполнять специализированные действия. Для этого агента требуются следующие подключаемые модули:
Если вы используете Copilot в Intune, подключаемый модуль Intune уже включен. Дополнительные сведения о подключаемых модулях.
Требования к платформе устройства
Агент устранения уязвимостей поддерживает оценку и рекомендации для следующих платформ и приложений:
- Windows
- Приложения в Intune
Требования к ролям
Чтобы включить и настроить агент, используйте учетную запись со следующими ролями:
Intune роли:
- Оператор только для чтения или настраиваемая роль со следующими разрешениями:
- Управляемые приложения / чтение
- Мобильные приложения / чтение
- Конфигурации устройств и чтение
Microsoft Defender роли:
- Учетной записи, используемой агентом для удостоверений, должны быть назначены разрешения, соответствующие Microsoft Defender XDR конфигурациям RBAC:
- Роль "Единый RBAC:читатель безопасности"
- Детализированный RBAC: Пользовательская роль RBAC с разрешениями, эквивалентными роли читателя безопасности Единого RBAC
Security Copilot роли:
Чтобы использовать агент и просмотреть результаты, используйте учетную запись со следующими ролями:
- Оператор только для чтения или эквивалентные разрешения
Принцип работы агента
Агент устранения уязвимостей выполняет автоматические оценки для выявления и определения приоритетов уязвимостей на управляемых устройствах. Вот как это работает:
1. Сбор данных. Агент собирает данные об уязвимостях из Управление уязвимостями Microsoft Defender, анализируя распространенные уязвимости и уязвимости (CVEs) на управляемых устройствах.
2. Анализ и определение приоритетов . Агент оценивает данные об уязвимостях и определяет приоритеты угроз на основе таких факторов, как оценки CVSS, влияние воздействия и количество устройств, чтобы в первую очередь сосредоточиться на наиболее важных проблемах.
3. Руководство по исправлению. Для каждой обнаруженной уязвимости агент предоставляет пошаговые инструкции по исправлению, адаптированные для Intune возможностей, включая рекомендации по политике и рекомендации по настройке.
4. Отслеживание и создание отчетов . Агент ведет записи предлагаемых исправлений и позволяет отслеживать применяемые решения с течением времени, помогая измерять усилия по повышению безопасности.
Удостоверение агента
По умолчанию агент устранения уязвимостей запускается под удостоверением и разрешениями учетной записи администратора, используемой для настройки агента. После настройки это удостоверение можно изменить.
Изменение удостоверения не влияет на журнал выполнения агента, который остается доступным.
Поведение агента ограничено разрешениями удостоверения пользователя, под которым выполняется агент.
Агент постоянно выполняется в удостоверении и разрешениях учетной записи администратора Intune, назначенной в качестве удостоверения агента.
Удостоверение агента обновляется при каждом запуске агента и истекает, если агент не работает в течение 90 дней подряд. Когда срок действия истекает, каждый владелец Copilot и Copilot участник получает баннер с предупреждением о продлении удостоверения агента при просмотре страницы обзора агента. Если срок действия проверки подлинности агента истек, последующие запуски агента завершаются ошибкой, пока проверка подлинности не будет продлена. Дополнительные сведения о продлении проверки подлинности см. в разделе Продление агента.
Важно!
При продлении проверки подлинности агента агент начинает использовать учетные данные пользователя, который нажимает кнопку Продлить проверку подлинности.
Рекомендации по эксплуатации
Перед запуском агента устранения уязвимостей учитывайте следующие моменты:
- Администратор должен вручную запустить агент. После запуска агента нет вариантов его остановки или приостановки.
- Запустите агент только из центра администрирования Microsoft Intune.
- Связанные CES содержат количество cvEs на устройствах с клиентскими выпусками операционной системы Windows, но исключают устройства с Windows Server Editions. CvEs классифицируются как низкий, средний, высокий и критический в соответствии с шкалой CVSS (общая система оценки уязвимостей).
- Список доступных устройств включает только устройства, найденные в Microsoft Entra, которые не являются Windows Server выпусками.
- Агент не поддерживает теги область в общедоступной предварительной версии.
- Только пользователь, настроивший агент, может просматривать сведения о сеансе на портале Microsoft Security Copilot.
Важно!
Данные, передаваемые агентом, становятся видимыми с помощью предложений агента. Эти данные могут быть видны администраторам с доступом к просмотру агента в центре администрирования Intune, даже если эти данные находятся за пределами администраторов, которым назначены Intune роли или область.
Настройка агента
Агент выполняется под удостоверением и разрешениями учетной записи, используемой во время установки. Его действия ограничены разрешениями этой учетной записи, и удостоверение обновляется при каждом запуске.
Чтобы настроить агент, выполните следующие действия.
В центре администрирования Microsoft Intune перейдите в раздел Агенты>для устранения уязвимостей.
В разделе Обзор выберите Настроить агент. На этой панели отображаются сведения об агенте, но настройка не требуется.
Просмотрите сведения, чтобы убедиться, что требования выполнены, а затем выберите Запустить агент , чтобы закрыть панель установки и запустить первый запуск агента.
После завершения настройки агент будет готов к использованию. Дополнительные сведения об использовании агента см. в статье Использование агента устранения уязвимостей.
Обновление агента
Если вы не используете агент в течение 90 дней, срок авторизации агента истечет, а его запуск завершается сбоем до повторной проверки подлинности. Проверку подлинности агента можно продлить в любое время.
По мере приближения срока действия Intune отображает предупреждение на странице обзора агента, которое могут видеть каждый владелец Copilot и участник Copilot. Предупреждение предлагает обновить удостоверение агента.
Чтобы повторно авторизовать удостоверение агента, выберите Продлить проверку подлинности. При продлении проверки подлинности агента агент автоматически использует учетные данные для входа. Если вы не хотите использовать учетные данные для входа, выберите вкладку >Параметры агента >Выберите другое удостоверение.
После продления баннер предупреждения исчезнет, а всплывающее уведомление подтверждает успешность продления.
Изменение удостоверения агента
По умолчанию агент запускается под удостоверением пользователя с правами администратора, который настроит агент в клиенте. После настройки удостоверение агента может измениться, когда другой пользователь обновляет агент, а также путем изменения параметров агента, чтобы явно назначить новое удостоверение агента.
Изменение удостоверения агента не влияет на журнал выполнения агента.
Чтобы назначить новое удостоверение, в центре администрирования Intune перейдите в раздел Агенты> поисправлению уязвимостей (предварительная версия) и выберите вкладку Параметры. В разделе Удостоверение отображается текущая учетная запись пользователя, в которой выполняется агент. Выберите Выбрать другое удостоверение , чтобы открыть запрос на вход в учетную запись. Выберите и выполните проверку подлинности новой учетной записи для использования в качестве удостоверения агента.
Важно!
Поведение агента ограничено уровнем разрешений, назначенных удостоверению пользователя, под которым выполняется агент. Если у пользователя, под удостоверением которого выполняется агент, недостаточно разрешений, агент не запускается.
Удаление агента
При удалении агента удаляются все связанные данные, включая предложения и действия. Ранее примененные предложения остаются без изменений.
Действия по удалению экземпляра агента:
- В Центре администрирования Microsoft Intune выберите Агенты.
- Выберите экземпляр агента, который требуется удалить.
- Выберите Удалить агент и подтвердите удаление.
После удаления:
- Область агента возвращается в исходное состояние.
- Администратор может переустановить агент позже, повторив процесс установки.
Примечание.
Чтобы удалить экземпляр агента, ваша учетная запись должна быть владельцем Security Copilot.
Помощь в формировании будущего агентов Intune
Присоединяйтесь к форуму отзывов агентов Intune, чтобы поделиться аналитическими сведениями и повлиять на предстоящие возможности в Microsoft Intune.
Зарегистрируйтесь и узнайте больше: https://aka.ms/IntuneAgentsForum