Beheben von mit Microsoft Defender für Endpunkt gefundenen Sicherheitsrisiken mithilfe von Intune

Wenn Sie Intune in Microsoft Defender für Endpunkt integrieren, können Sie das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender für Endpunkt nutzen und mithilfe von Intune die mit dieser Komponente identifizierten Schwachstellen von Endpunkten beseitigen. Diese Integration bietet einen risikobasierten Ansatz für die Ermittlung und Priorisierung von Sicherheitsrisiken, der die Korrekturreaktionszeiten in Ihrer gesamten Umgebung verbessern kann.

Bedrohungs- und Sicherheitsrisikomanagement ist Teil von Microsoft Defender für Endpunkt.

Funktionsweise der Integration

Nachdem Sie Intune mit Microsoft Defender für Endpunkt verbunden haben, empfängt Defender für Endpunkt Details zu Bedrohungen und Sicherheitsrisiken von verwalteten Geräten.

  • Erkannte Sicherheitsrisiken basieren nicht auf Konfigurationen von Intune. Sie basieren auf Konfigurationen und Untersuchungsdetails von Microsoft Defender für Endpunkt.
  • Nicht alle Probleme, die von Microsoft Defender für Endpunkt für Korrekturmaßnahmen gekennzeichnet werden, ermöglichen die Behebung durch die Erstellung einer Sicherheitsaufgabe für Intune.

In der Microsoft Defender Security Center-Konsole überprüfen Sicherheitsadministratoren von Defender für Endpunkt Daten auf Sicherheitsrisiken bei Endpunkten. Die Administratoren erstellen dann mit wenigen Klicks Sicherheitsaufgaben, mit denen die anfälligen Geräte für die Korrektur gekennzeichnet werden. Die Sicherheitsaufgaben werden sofort an das Microsoft Endpoint Manager Admin Center übergeben, wo Intune-Administratoren diese anzeigen können. Die Sicherheitsaufgabe identifiziert den Typ des Sicherheitsrisikos, seine Priorität, den Status und die zu unternehmenden Schritte, um das Sicherheitsrisiko zu beheben. Der Intune-Administrator entscheidet, ob die Aufgabe akzeptiert oder abgelehnt wird.

Wenn eine Aufgabe akzeptiert wird, ergreift der Intune-Administrator Maßnahmen, um das Sicherheitsrisiko über Intune zu beheben. Hierbei verwendet er die Anleitung, die im Rahmen der Sicherheitsaufgabe bereitgestellt wird.

Jede Aufgabe wird durch einen Wartungstyp identifiziert:

  • Anwendung: Es wurde eine Anwendung mit einem Sicherheitsrisiko oder Problem identifiziert, das durch Intune gemindert werden kann. Angenommen, Microsoft Defender für Endpunkt identifiziert ein Sicherheitsrisiko bei einer App namens Contoso Media Player v4, und ein Administrator erstellt eine Sicherheitsaufgabe, um diese App zu aktualisieren. Bei Contoso Media Player handelt es sich um eine nicht verwaltete App, die mit Intune bereitgestellt wurde, und es könnte ein Sicherheitsupdate oder eine neue Version einer Anwendung geben, die das Problem behebt.

  • Konfiguration: Hierbei handelt es sich um Sicherheitsrisiken in Ihrer Umgebung, die mithilfe von Endpunktsicherheitsrichtlinien von Intune behoben werden können. Angenommen, Microsoft Defender für Endpunkt erkennt, dass Geräte über keinen Schutz vor potenziell unerwünschten Anwendungen verfügen. Ein Administrator erstellt hierfür eine Sicherheitsaufgabe, die eine Risikominderung durch Konfiguration der Einstellung Aktion für potenziell unerwünschte Apps im Rahmen des Microsoft Defender Antivirus-Profils für die Antivirusrichtlinie erkennt.

    Wenn für Konfigurationsprobleme keine plausible Option für die Wartung von Intune angeboten wird, erstellt Microsoft Defender für Endpunkt keine Sicherheitsaufgabe dafür.

Gängige Korrekturmaßnahmen umfassen:

  • Blockieren der Ausführung einer Anwendung
  • Bereitstellen eines Betriebssystemupdates, um das Sicherheitsrisiko zu mindern.
  • Bereitstellen einer Endpunktsicherheitsrichtlinie zum Mindern des Sicherheitsrisikos
  • Ändern eines Registrierungswerts.
  • Deaktivieren oder Aktivieren einer Konfiguration, um das Sicherheitsrisiko zu beeinflussen.
  • Eingreifen erforderlich-Benachrichtigungen an den Administrator wegen der Bedrohung, wenn keine geeignete Empfehlung bereitgestellt werden kann.

Im Folgenden finden Sie einen Beispielworkflow für eine Anwendung. Derselbe allgemeine Workflow gilt für Konfigurationsprobleme:

  • Eine Überprüfung von Microsoft Defender für Endpunkt identifiziert ein Sicherheitsrisiko bei einer App namens Contoso Media Player v4, und ein Administrator erstellt eine Sicherheitsaufgabe, um diese App zu aktualisieren. Der Contoso Media Player ist eine nicht verwaltete App, die mit Intune bereitgestellt wurde.

    Diese Sicherheitsaufgabe wird in der Intune-Konsole mit dem Status „Ausstehend“ angezeigt:

    Anzeigen der Liste mit Sicherheitsaufgaben in der Intune-Konsole

  • Der Intune-Administrator wählt die Sicherheitsaufgabe aus, um Details zur Aufgabe anzuzeigen. Dann wählt der Administrator Akzeptieren aus, wodurch der Status in Intune und in Defender für Endpunkt in Akzeptiert geändert wird.

    Akzeptieren oder Ablehnen einer Sicherheitsaufgabe

  • Der Administrator korrigiert dann die Aufgabe gemäß der bereitgestellten Anleitung. Die Anleitung variiert je nach Art der erforderlichen Korrektur. Sofern verfügbar, enthält eine Anleitung für Abhilfemaßnahmen Links, über die relevante Bereiche für Konfigurationen in Intune geöffnet werden.

    Da der Media Player in diesem Beispiel keine verwaltete App ist, kann Intune nur Textanweisungen bereitstellen. Wenn die App verwaltet wäre, könnte Intune Anweisungen zum Herunterladen einer aktualisierten Version bereitstellen sowie einen Link, um die Bereitstellung für die App zu öffnen, damit die aktualisierten Dateien der Bereitstellung hinzugefügt werden können.

  • Nach Abschluss der Korrektur öffnet der Intune-Administrator die Sicherheitsaufgabe und wählt Aufgabe abschließen aus. Der Korrekturstatus wird für Intune und in Defender für Endpunkt aktualisiert, wo Sicherheitsadministratoren den überarbeiteten Status für das Sicherheitsrisiko bestätigen.

Voraussetzungen

Abonnements:

Intune-Konfigurationen für Defender für Endpunkt:

  • Konfigurieren Sie eine Dienst-zu-Dienst-Verbindung mit Microsoft Defender für Endpunkt.

  • Stellen Sie eine Gerätekonfigurationsrichtlinie mit dem Profiltyp Microsoft Defender für Endpunkt (Desktopgeräte, auf denen Windows 10 oder höher ausgeführt wird) auf Geräten bereit, deren Risiko von Defender für Endpunkt bewertet wird.

    Informationen zum Einrichten von Intune für die Zusammenarbeit mit Defender für Endpunkt finden Sie unter Erzwingen der Konformität für Windows Defender für Endpunkt mit bedingtem Zugriff in Intune.

Arbeiten mit Sicherheitsaufgaben

Bevor Sie mit Sicherheitsaufgaben arbeiten können, müssen diese im Defender Security Center erstellt werden. Informationen zur Verwendung des Microsoft Defender Security Center zum Erstellen von Sicherheitsaufgaben finden Sie unter Beheben von Sicherheitsrisiken mittels Bedrohungs- und Sicherheitsrisikomanagement in der Dokumentation zu Defender für Endpunkt.

So verwalten Sie Sicherheitsaufgaben:

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.

  2. Wählen Sie Endpunktsicherheit > Sicherheitsaufgaben aus.

  3. Wählen Sie eine Aufgabe aus der Liste aus, um ein Ressourcenfenster mit weiteren Details zu dieser Sicherheitsaufgabe zu öffnen.

    Während Sie das Ressourcenfenster für die Sicherheitsaufgabe anzeigen, können Sie zusätzliche Links auswählen:

    • VERWALTETE APPS: Anzeigen der anfälligen App. Wenn das Sicherheitsrisiko für mehrere Apps gilt, wird eine gefilterte Liste von Apps angezeigt.
    • GERÄTE: Anzeigen einer Liste Anfälliger Geräte, über die Sie mittels Links zu einem Eintrag mit weiteren Details zu der Sicherheitslücke auf dem Gerät wechseln können.
    • ANFORDERER: Verwenden Sie den Link zum Senden einer E-Mail an den Administrator, der diese Sicherheitsaufgabe übermittelt hat.
    • HINWEISE: Lesen benutzerdefinierter Nachrichten, die vom Anforderer übermittelt werden, wenn Sie die Sicherheitsaufgabe öffnen.
  4. Wählen Sie Akzeptieren oder Ablehnen aus, um eine Benachrichtigung an Defender für Endpunkt über Ihre geplante Aktion zu senden. Wenn Sie eine Aufgabe akzeptieren oder ablehnen, können Sie Hinweise übermitteln, die an Defender für Endpunkt gesendet werden.

  5. Öffnen Sie nach dem Akzeptieren einer Aufgabe die Sicherheitsaufgabe erneut (wenn sie geschlossen wurde), und befolgen Sie die WARTUNG-Details, um das Sicherheitsrisiko zu beheben. Die von Defender für Endpunkt in den Details der Sicherheitsaufgabe bereitgestellten Anleitungen hängen von dem beteiligten Sicherheitsrisiko ab.

    Nach Möglichkeit enthalten die Korrekturanweisungen Links, die die relevanten Konfigurationsobjekte in der Intune-Konsole öffnen.

  6. Nach Abschluss der Korrekturschritte öffnen Sie die Sicherheitsaufgabe, und wählen Sie Aufgabe abschließen aus. Diese Aktion aktualisiert den Status der Sicherheitsaufgabe in Intune und Defender für Endpunkt.

Nach erfolgreicher Korrektur kann die Bewertung des Gefahrenpotenzials durch Risiken in Microsoft Defender für Endpunkt sinken, basierend auf neuen Informationen von den korrigierten Geräten.

Nächste Schritte

Weitere Informationen zu Intune und Microsoft Defender für Endpunkt.

Lesen Sie Intune Mobile Threat Defense.

Schauen Sie sich das Dashboard für das Bedrohungs- und Sicherheitsrisikomanagement in Microsoft Defender für Endpunkt an.