Поделиться через

Использование агента устранения уязвимостей

Агент по устранению уязвимостей использует анализ на основе ИИ для выявления и определения приоритетов уязвимостей на управляемых устройствах, предоставляя пошаговое руководство по исправлению через центр администрирования Intune.

После настройки агента можно выполнить оценку уязвимостей, просмотреть приоритетные предложения и отслеживать ход исправления с течением времени.

Совет

Агент по устранению уязвимостей доступен в центре администрирования Intune с узлов безопасности агентов и конечных точек. Каждый путь обеспечивает доступ к одному агенту. В этой документации ссылки на его расположение используют узел Агенты .

В этой статье показано, как использовать агент устранения уязвимостей, в том числе:

  • Выполнение оценки уязвимостей
  • Просмотр предложений и управление ими
  • Общие сведения о руководстве по исправлению
  • Отслеживание примененных исправлений

Сведения об агенте и его настройке см. в статье Агент устранения уязвимостей в Microsoft Intune.

Предварительные условия

Прежде чем начать, ознакомьтесь с требованиями, приведенными в статье Агент исправления уязвимостей .

Знакомство с агентом по устранению уязвимостей

После настройки управляйте агентом из области Агент устранения уязвимостей.

В Центре администрирования Microsoft Intune выберите Агенты>для устранения уязвимостей Агенты (предварительная версия). Чтобы узнать больше, выберите следующие вкладки:

  • Обзор . Просмотр текущего состояния агента, наиболее приоритетных уязвимостей, обнаруженных агентом, и записей о последних действиях агента.
  • Предложения . Здесь вы найдете полный список уязвимостей, обнаруженных агентом.
  • Параметры . На этой вкладке отображаются сведения о конфигурации агента.

На вкладке "Обзор" представлены следующие компоненты:

  • Состояние агента . Различные плитки представляют агент с подробными сведениями о доступности агента и его текущем состоянии выполнения.
  • Предложения агентов . Это краткий список основных уязвимостей, которые следует устранить.
  • Действие — эта область отслеживает текущее и прошедшее выполнение действий агента. Когда агент по-прежнему активно работает, в столбце Состояние отображается состояние Выполняется. В столбце состояние отображается значение Завершено для прошлых запусков агента.

После завершения выполнения агента на вкладке Обзор будут обновлены основные уязвимости, которые необходимо проверить и устранить. На этой вкладке одновременно отображается только несколько вариантов. Полный список доступен на вкладке Предложения. Используйте вкладку для детализации и просмотра рекомендаций или управления ими.

Снимок экрана: домашняя страница агента исправления в Центре администрирования.

Запуск агента устранения уязвимостей

Запустите агент, чтобы оценить новые данные из Defender и обновить предложения агента для обнаруженных уязвимостей. Агент выполняется до завершения оценки; вы не можете остановить или приостановить его.

Агент использует удостоверение и разрешения назначенной учетной записи администратора Intune. Его операции ограничены разрешениями этой учетной записи. Если агент не работает в течение 90 дней подряд, его проверка подлинности истечет и последующие запуски завершаются ошибкой, пока удостоверение не будет обновлено.

Агент не поддерживает запланированные запуски и должен запускаться вручную при каждом обновлении результатов.

Чтобы вручную запустить агент исправления уязвимостей, выполните следующие действия:

  1. В центре администрирования Microsoft Intune перейдите в раздел Агенты>для устранения уязвимостей агентов (предварительная версия).

  2. На вкладке Обзор выберите Запустить агент. Этот параметр недоступен до тех пор, пока агент не настроится и не завершит свой первый запуск.

Управление предложениями агентов

Используйте узел Агент устранения уязвимостей для просмотра предложений уязвимостей и управления ими в Центре администрирования Intune. Предложения агентов — это приоритетный список основных уязвимостей, выявленных на основе данных из Управление уязвимостями Microsoft Defender.

Предложения агентов можно выбрать на вкладках Обзор и Предложения .

Общие сведения о предложениях агентов

В предложениях агентов отображаются следующие сведения:

  • Предлагаемые дальнейшие действия: Каждый предлагаемый следующий шаг — это ссылка, которая открывает область предлагаемых действий с подробными рекомендациями по исправлению.

  • Влияние: Потенциальное воздействие на основе оценки воздействия, определяемой Управление уязвимостями Microsoft Defender.

  • Предоставляемые устройства: Количество затронутых устройств. Количество CVE, отображаемое агентом, относится только к устройствам с выпусками клиентской операционной системы Windows и не включает серверные выпуски.

  • Статус: По умолчанию состояние сообщаемой уязвимости имеет значение Не применено. После реализации исправления предложения можно пометить как примененные.

  • Последнее применение: Дата и время, когда вы помечаете руководство по исправлению как примененное.

Снимок экрана: рекомендуемые действия для уязвимости приложения.

Работа с предлагаемыми действиями

При выборе предлагаемого следующего шага область предлагаемые действия содержит подробные сведения, включая следующие:

  • Сведения о связанных уязвимостях (для Intune управляемых устройств)
  • Рекомендуемые действия для устранения угрозы
  • Раздел Конфигурации с доступными параметрами из каталога параметров Intune.
  • Параметр для пометки исправления как примененного

Категории руководства по исправлению

Рекомендации по исправлению делятся на следующие категории:

Приложения. Чтобы устранить уязвимости приложений, агент может порекомендовать следующее:

  • Развертывание обновленной версии приложения
  • Развертывание профиля Intune для управления поведением приложений и снижения рисков безопасности

Операционная система. Для устранения уязвимостей операционной системы (ОС), таких как для Windows, ниже перечислены распространенные рекомендации.

  • Развертывание политики обновления качества
  • Ускоренное развертывание обновлений качества с помощью кругов обновления Windows

Если рекомендация связана с обновлением Windows, руководство агента содержит сведения об использовании кругов обновления для управления управляемым развертыванием обновления.

Важно!

Некоторые рекомендации по обновлению Windows начинаются с ускорения. Агент использует этот формат, когда оценка общей системы оценки уязвимостей CVE (CVSS) достигает значения риска 9,0 или выше. Для этого уровня риска агент рекомендует немедленно обновить эти обновления на ваших устройствах. Руководство включает в себя использование ускоренной установки обновлений качества для более быстрого развертывания рекомендуемого обновления.

Рекомендации по настройке

Примечание.

Существует активная, но временная проблема, затрагивающая агент исправления уязвимостей. Пока она не будет устранена, агент не может предоставить рекомендуемые конфигурации для параметров, которые следует использовать для этой угрозы. Агент по-прежнему определяет угрозы, объясняет их происхождение и предлагает пошаговые действия.

Рекомендации по настройке будут автоматически возобновлены после устранения проблемы.

В разделе Конфигурации агент предоставляет сведения о создании политики конфигурации устройств с помощью доступных параметров из каталога параметров. Это руководство поможет сократить количество атак на уязвимости и включает в себя:

  • Список параметров, которые можно настроить с помощью политики каталога параметров Intune.
  • Каждому параметру предоставляется рекомендуемая конфигурация.
  • При выборе значка ссылки рядом с параметром отображается описание этого параметра и могут содержаться ссылки на базовую документацию по поставщику служб конфигурации (CSP)

Если рекомендуемые параметры конфигурации устройства для развертывания отсутствуют, в разделе Конфигурации указано, что рекомендуемые параметры конфигурации политики каталога недоступны.

Снимок экрана: пример раздела Конфигурации области предлагаемых действий.

Отслеживание примененных исправлений

После просмотра предложений агента и применения рекомендуемых исправлений можно самостоятельно проверить применение этих исправлений, выбрав Пометить как примененное. Это действие:

  • Подтверждает, что действия по исправлению завершены
  • Не активирует никаких изменений устройства агентом
  • Добавляет метку времени с именем Last, помеченную как примененную , чтобы отслеживать, когда было реализовано исправление.

При последующих запусках агента предложения могут быть обновлены. Если предыдущее предложение было отмечено как примененное, вы можете самостоятельно подтвердить применение более поздних предложений, выбрав Пометить обновление как примененное. Последняя метка времени, помеченная как примененная , обновит текущее время.

Хотя предлагаемое действие является необязательным, пометка предлагаемого действия как примененного помогает отслеживать, когда предлагаемые исправления были реализованы. Рекомендации, помеченные как примененные, сохраняются в списке предложений агента, что служит базовым показателем для будущих запусков и позволяет сравнивать новые результаты и изменения для той же уязвимости с течением времени.

Просмотр действия агента

В разделе Действие отслеживается текущее и прошедшее выполнение действий агента:

  • Когда агент активно работает, в столбце Состояние отображается выполнение выполнения.
  • В столбце состояние отображается значение Завершено для прошлых запусков агента.

В этом разделе представлено следующее:

  • Когда агент в последний раз выполнялся
  • Сколько времени занимает выполнение каждого запуска
  • Состояние успеха или сбоя каждого запуска

Журналы агента

Все действия по управлению агентом (создание, удаление, запуск) и все сбои разрешений доступны в журналах Security Copilot. Ведение журнала обнаруженных уязвимостей или случаев применения исправлений недоступны. Вместо этого используйте параметры, чтобы пометить исправленные уязвимости как примененные.

Распространенные ошибки

Хотя выполнение агента может завершиться ошибкой из-за нехватки SKU, могут возникнуть и другие возможные ошибки. В этом разделе перечислены некоторые распространенные сообщения об ошибках, которые могут возникнуть при использовании агента, а также объяснения и рекомендуемые действия.

Агент не предоставляет точные предложения

В этом случае у агента может быть недостаточно данных для создания точных предложений или его параметры могут не полностью соответствовать среде вашей организации.

Чтобы улучшить будущие предложения, используйте кнопки нравится и не нравится, доступные для каждого предложения, чтобы поделиться своим отзывом.

У вас нет доступа к этому агенту — лицензии

Детали: У вас нет лицензий, необходимых для доступа к этому агенту.

Проверьте требования к лицензированию и подключаемым модулям для этого агента и убедитесь, что в клиенте назначены необходимые лицензии и конфигурации.

У вас нет доступа к этому агенту — Рабочая область

Детали: Вы не входите в рабочую область, необходимую для доступа к этому агенту.

Это сообщение указывает, что у вашей учетной записи нет разрешения на просмотр или использование рабочей области Security Copilot, настроенной при добавлении Security Copilot в клиент. Обратитесь к администратору, который установил или управляет подпиской на Security Copilot, чтобы получить доступ, и ознакомьтесь с разделом Общие сведения о проверке подлинности в Microsoft Security Copilot.

У вас нет доступа к этому агенту — разрешения

Детали: У вас нет разрешений, необходимых для доступа к этому агенту.

Просмотрите требования к ролям для использования агента. Обратитесь к администратору Intune, чтобы назначить вашей учетной записи необходимые разрешения.

Агент обнаружил ошибку и не завершил выполнение. Попробуйте запустить агент еще раз.

Детали: Экземпляру агента не удалось запустить или успешно завершить выполнение. Сведения о сбое не удается определить. Несмотря на неудачный запуск или завершение, администраторы могут продолжать просматривать предложения агента из предыдущих запусков и управлять ими.

Если агент продолжает завершать сбой, возможно, его авторизация для учетной записи удостоверений потеряна и не может быть запущена до повторной авторизации. Возможные причины потери авторизации включают, но не ограничиваются следующими:

  • Достигнут период авторизации агента в 90 дней.
  • Учетная запись пользователя, с помощью которую был установлен агент, подчиняется политике, требующей периодической повторной проверки подлинности.
  • Маркер доступа отозван.

Для повторной проверки подлинности агента требуется удалить агент, а затем настроить его снова.

Предупреждение

При удалении агента удаляются все существующие предложения агента. Сюда входят сведения о предложениях, помеченных как Примененные.

Связанные материалы

  • Last updated on