Используйте Microsoft Intune задачи безопасности для устранения уязвимостей устройств, выявленных Microsoft Defender для конечной точки

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет использовать Управление уязвимостями Microsoft Defender с помощью Intune задач безопасности. Эти задачи помогают администраторам Intune понимать и устранять текущие уязвимости на основе рекомендаций Defender для конечной точки. Эта интеграция улучшает обнаружение и определение приоритетов уязвимостей, повышая время реагирования на исправление в вашей среде.

Управление уязвимостями Microsoft Defender является частью Microsoft Defender для конечной точки.

Предварительные требования

Подписки:

• Intune план 1
• Defender для конечной точки (зарегистрируйтесь для получения бесплатной пробной версии).)

Конфигурации Intune для Defender для конечной точки:

• Настройте подключение между службами с помощью Microsoft Defender для конечной точки и включите подключение Microsoft Intune на портале Microsoft Defender. Это подключение позволяет администраторам безопасности создавать Intune задач безопасности при отправке запросов на исправление. Инструкции по настройке см. в статье Подключение Microsoft Defender для конечной точки к Intune.
• Разверните политики для подключения устройств к Defender для конечной точки и включите оценку рисков. См. раздел Настройка Microsoft Defender для конечной точки с помощью Intune.

Как работает интеграция

После интеграции Intune с Defender для конечной точки Управление уязвимостями Defender выявляет уязвимости на управляемых устройствах.

На портале Defender администраторы безопасности могут просматривать уязвимости конечных точек и создавать Intune задач безопасности для исправления. Эти задачи отображаются в Центре администрирования Intune, где администраторы Intune могут действовать и устранять проблемы в соответствии с рекомендациями Defender:

• Defender для конечной точки идентифицирует уязвимости с помощью проверок и оценок.
• Не все обнаруженные уязвимости поддерживают исправление с помощью Intune. Только совместимые уязвимости приводят к выполнению задач безопасности.

Задачи безопасности определяют:

• Тип уязвимости
• Priority
• Состояние
• Действия по исправлению

Intune администраторы могут просмотреть задачу безопасности, а затем принять или отклонить ее. Для принятых задач администратор следует инструкциям по использованию Intune для исправления. После успешного исправления администратор устанавливает для задачи значение Завершить задачу, что обновляет ее состояние как в Intune, так и в Defender для конечной точки, где администраторы безопасности могут проверить измененное состояние уязвимости.

Пример рабочего процесса

В следующем примере показан рабочий процесс обнаружения и устранения уязвимости приложения:

• Проверка Defender для конечной точки определяет уязвимость в приложении Contoso Проигрыватель мультимедиа версии 4, который является неуправляемым приложением, которое не развертывается Intune. Администратор безопасности на портале Defender создает Intune задачу безопасности для обновления приложения.
• Задача безопасности отображается в Центре администрирования Intune с состоянием Ожидание.
• Администратор Intune просматривает сведения о задаче и выбирает Принять, что изменяет состояние задачи на Принято как в Intune, так и в Defender для конечной точки.
• Администратор следует предоставленным рекомендациям по исправлению. Для управляемых приложений Intune могут содержать инструкции или ссылки для обновления приложения. Для неуправляемых приложений Intune могут предоставлять только текстовые инструкции.
• После устранения уязвимости администратор Intune помечает задачу как завершенную. Это действие обновляет состояние как в Intune, так и в Defender для конечной точки, где администраторы безопасности подтверждают успешное и завершенное исправление.

Типы задач безопасности

Каждая задача безопасности имеет тип исправления:

• Приложение. Например, Defender для конечной точки находит уязвимость в приложении, например Contoso Проигрыватель мультимедиа версии 4. Администратор создает задачу для обновления приложения, которая может включать применение обновления для системы безопасности или установку новой версии.
• Конфигурация. Например, если устройства не имеют защиты от потенциально нежелательных приложений (PUA), администратор создает задачу для настройки параметра в профиле антивирусной программы Microsoft Defender.

Если Intune не поддерживает реализацию подходящего исправления, Defender для конечной точки не создает задачу безопасности.

Действия по исправлению

Ниже перечислены распространенные исправления задач безопасности.

• Блокировка запуска приложения.
• Развертывание обновления операционной системы для устранения уязвимости.
• Развертывание политики безопасности конечной точки для устранения уязвимости.
• Изменение значения реестра.
• Отключение или включение конфигурации, влияющей на уязвимость.
• Требовать внимания, который оповещает администратора о недоступности подходящей рекомендации.

Работа с задачами по обеспечению безопасности

Прежде чем управлять задачами безопасности в центре администрирования Intune, администратор безопасности должен сначала создать их на портале Defender. Администраторы безопасности создают задачи, отправляя запросы на исправление через Управление уязвимостями Defender. Инструкции см. в статье Устранение уязвимостей с помощью Управление уязвимостями Microsoft Defender документации по Defender.

Управление задачами безопасности:

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите Безопасность конечной точки>Задачи безопасности.

3. Выберите задачу безопасности, чтобы просмотреть сведения о ней. В окне задачи можно выбрать дополнительные ссылки, в том числе:

   • УПРАВЛЯЕМЫЕ ПРИЛОЖЕНИЯ— просмотр уязвимого приложения. Если уязвимость применяется к нескольким приложениям, Intune отображает отфильтрованный список приложений.
   • УСТРОЙСТВА . Просмотрите список уязвимых устройств , с которых можно связаться с записью с дополнительными сведениями об уязвимости на этом устройстве.
   • "Источник запроса" — воспользуйтесь ссылкой для отправки почты администратору, отправившему эту задачу по обеспечению безопасности.
   • "Заметки" — прочтите пользовательские сообщения, отправленные источником запроса, при открытии задачи по обеспечению безопасности.

4. Выберите Принять или Отклонить для отправки в Defender для конечной точки уведомления о запланированном действии. При принятии или отклонении задачи можно отправлять заметки, которые передаются в Defender для конечной точки.

5. Приняв задачу по обеспечению безопасности, снова откройте ее (если она закрыта) и устраните уязвимость в соответствии с указаниями в разделе "Исправление". Инструкции, предоставленные Defender для конечной точки в сведениях о задаче обеспечения безопасности, зависят от конкретной уязвимости.

6. Выполнив действия по устранению уязвимости, откройте задачу по обеспечению безопасности и выберите Завершение задачи. При этом состояние задачи по обеспечению безопасности обновится в Intune и Microsoft Defender для конечной точки.

Успешное исправление может снизить оценку риска в Defender для конечной точки на основе последующих обновлений состояния с исправленных устройств. Эти уровни риска можно отслеживать , чтобы отслеживать улучшения соответствия требованиям с течением времени.

Устранение неполадок

Если задачи безопасности не отображаются в Intune:

• Убедитесь, что подключение Intune включено на портале Defender.
• Убедитесь, что устройства подключены к Defender для конечной точки.
• Убедитесь, что администраторы безопасности создают задачи для уязвимостей, которые Intune могут устранить.
• Время синхронизации задач между порталами.

Дальнейшие действия

• Настройка интеграции — выполнение предварительных требований и подключение служб.
• Мониторинг соответствия уровням риска — отслеживание оценок рисков для устройств.
• Ознакомьтесь с Управление уязвимостями Microsoft Defender. Общие сведения о рекомендациях по безопасности.
• Узнайте о защите от угроз на мобильных устройствах. Изучите другие варианты защиты от угроз для Intune.