Utiliser Intune pour corriger les vulnérabilités identifiées par Microsoft Defender ATPUse Intune to remediate vulnerabilities identified by Microsoft Defender ATP

Lorsque vous intégrez Intune à Microsoft Defender Advanced Threat Protection (ATP), vous pouvez tirer parti de Threat & Vulnerability Management (TVM) d’ATP et utiliser Intune pour corriger la faiblesse de point de terminaison identifiée par TVM.When you integrate Intune with Microsoft Defender Advanced Threat Protection (ATP), you can take advantage of ATPs Threat & Vulnerability Management (TVM) and use Intune to remediate endpoint weakness identified by TVM. Cette intégration permet une approche basée sur les risques de la découverte et de la hiérarchisation des vulnérabilités qui peut améliorer les temps de réponse de correction au sein de votre environnement.This integration brings a risk-based approach to the discovery and prioritization of vulnerabilities that can improve remediation response time across your environment.

Threat & Vulnerability Management fait partie de Microsoft Defender Advanced Threat Protection.Threat & Vulnerability Management is part of Microsoft Defender Advanced Threat Protection.

Fonctionnement de l’intégrationHow integration works

Une fois que vous vous connectez Intune à Microsoft Defender Advanced Threat Protection, ATP reçoit contre les détails des menaces et des vulnérabilités des appareils gérés.After you connect Intune to Microsoft Defender Advanced Threat Protection, ATP receives threat and vulnerability details from managed devices.

Dans la console Microsoft Defender Security Center, les administrateurs de sécurité ATP administrent les données de révision sur les vulnérabilités du point de terminaison.In the Microsoft Defender Security Center console, ATP security admins review data about endpoint vulnerabilities. Ensuite, par un simple clic, les administrateurs créent des tâches de sécurité qui signalent les appareils vulnérables à corriger.The admins then use a single-click to create security tasks that flag the vulnerable devices for remediation. Les tâches de sécurité sont immédiatement transmises à la console Intune, où les administrateurs Intune peuvent les afficher.The security tasks are immediately passed to the Intune console where Intune admins can view them. La tâche de sécurité identifie le type de vulnérabilité, la priorité, l’état et les étapes à suivre pour corriger la vulnérabilité.The security task identifies the type of vulnerability, priority, status, and the steps to take to remediate the vulnerability. L’administrateur Intune choisit d’accepter ou de rejeter la tâche.The Intune admin chooses to accept or reject the task.

Lorsqu’une tâche est acceptée, l’administrateur Intune agit alors pour corriger la vulnérabilité dans tout Intune en suivant les instructions fournies dans le cadre de la tâche de sécurité.When a task is accepted, the Intune admin then acts to remediate the vulnerability though Intune, using the guidance provided as part of the security task.

Les actions courantes de correction sont les suivantes :Common actions for remediation include:

  • Bloquer l’exécution d’une applicationBlock an application from being run
  • Déployer une mise à jour du système d’exploitation pour atténuer la vulnérabilité.Deploy an operating system update to mitigate the vulnerability.
  • Modifier une valeur de Registre.Modify a registry value.
  • Désactiver ou Activer une configuration pour affecter la vulnérabilité.Disable or Enable a configuration to affect the vulnerability.
  • Les alertes Attention avertissent l’administrateur de la menace lorsqu’aucune recommandation appropriée ne peut être fournie.Require Attention alerts the admin to the threat when there's no suitable recommendation to provide.

Un exemple de flux de travail :An example workflow:

  • Au sein de Microsoft Defender ATP, une vulnérabilité est détectée pour une application nommée Contoso Media Player v4, et un administrateur crée une tâche de sécurité pour mettre à jour cette application.Within Microsoft Defender ATP, a vulnerability for an app named Contoso Media Player v4 is discovered and an admin creates a security task to update that app. Le lecteur multimédia Contoso est une application non managée qui a été déployée avec Intune.The Contoso Media player is an unmanaged app that was deployed with Intune.

    La tâche de sécurité s’affiche dans la console Intune avec l’état En attente :This security task appears in the Intune console with a status of Pending:

    Afficher la liste des tâches de sécurité dans la console Intune

  • L’administrateur Intune sélectionne la tâche de sécurité pour en afficher les détails.The Intune admin selects the security task to view details about the task. L’administrateur sélectionne ensuite Accepter, qui met à jour l’état dans Intune et dans ATP pour que la tâche soit Acceptée.The admin then selects Accept, which updates the status in Intune, and in ATP to be Accepted.

    Accepter ou rejeter une tâche de sécurité

  • L’administrateur corrige alors la tâche selon les instructions fournies.The admin then remediates the task based on the guidance provided. Les instructions varient selon le type de correction nécessaire.The guidance varies depending on the type of remediation that's needed. Lorsqu’ils sont disponibles, les conseils de correction incluent des liens ouvrant les volets pertinents pour les configurations dans Intune.When available, remediation guidance includes links that open relevant panes for configurations in Intune.

    Étant donné que le lecteur multimédia dans cet exemple n’est pas une application managée, Intune peut fournir uniquement des instructions sous forme de texte.Because the media player in this example isn't a managed app, Intune can only provide text instructions. Si l’application était managée, Intune peut fournir des instructions pour télécharger une version mise à jour et fournir un lien permettant d’ouvrir le déploiement de l’application afin que les fichiers mis à jour puissent être ajoutés au déploiement.If the app was managed, Intune could provide instructions to download an updated version, and provide a link to open the deployment for the app so that the updated files can be added to the deployment.

  • Après avoir effectué la correction, l’administrateur Intune ouvre la tâche de sécurité et sélectionne Effectuer la tâche.After the completing the remediation, the Intune admin opens the security task and selects Complete Task. L’état de correction est mis à jour pour Intune et dans ATP, où les administrateurs de sécurité confirment l’état révisé pour la vulnérabilité.The remediation status is updated for Intune and in ATP, where security admins confirm the revised status for the vulnerability.

PrérequisPrerequisites

Abonnements :Subscriptions:

Configurations Intune pour ATP :Intune configurations for ATP:

Travailler avec des tâches de sécuritéWork with security tasks

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Sécurité des points de terminaison > Tâches de sécurité.Select Endpoint security > Security tasks.

  3. Sélectionnez une tâche dans la liste pour ouvrir une fenêtre de ressources qui affiche des détails supplémentaires sur cette tâche de sécurité.Select a task from the list to open a resource window that displays additional details for that security task.

    Lorsque vous affichez la fenêtre de ressource de la tâche de sécurité, vous pouvez sélectionner des liens supplémentaires :While viewing the security task resource window, you can select additional links:

    • APPLICATIONS GÉRÉES : afficher l’application vulnérable.MANAGED APPS - View the app that is vulnerable. Lorsque la vulnérabilité s’applique à plusieurs applications, vous voyez une liste filtrée des applications.When the vulnerability applies to multiple apps, you'll see a filtered list of apps.
    • APPAREILS : afficher une liste des Appareils vulnérables à partir de laquelle vous pouvez accéder via un lien à une entrée contenant plus de détails sur la vulnérabilité de ces appareils.DEVICES - View a list of the Vulnerable devices, from which you can link through to an entry with more details for the vulnerability on that device.
    • DEMANDEUR : utiliser le lien suivant pour envoyer du courrier à l’administrateur qui a envoyé cette tâche de sécurité.REQUESTOR - Use the link to send mail to the admin who submitted this security task.
    • NOTES : lire des messages personnalisés envoyés par le demandeur lors de l’ouverture de la tâche de sécurité.NOTES - Read custom messages submitted by the requestor when opening the security task.
  4. Sélectionnez Accepter ou Rejeter pour envoyer à ATP une notification relative à votre action planifiée.Select Accept or Reject to send notification to ATP for your planned action. Lorsque vous acceptez ou rejetez une tâche, vous pouvez envoyer des notes qui sont envoyées à ATP.When you accept or reject a task, you can submit notes, which are sent to ATP.

  5. Après avoir accepté une tâche, rouvrez la tâche de sécurité (si elle est fermée), puis suivez les détails de CORRECTION pour corriger la vulnérabilité.After accepting a task, reopen the security task (if it closed), and follow the REMEDIATION details to remediate the vulnerability. Les instructions fournies par ATP dans les détails de la tâche de sécurité varient en fonction de la vulnérabilité concernée.The instructions provided by ATP in the security task details vary depending on the vulnerability involved.

    Lorsque c’est possible, les instructions de correction incluent des liens qui ouvrent les objets de configuration pertinents dans la console Intune.When it's possible to do so, the remediation instructions include links that open the relevant configuration objects in the Intune console.

  6. Après avoir effectué les étapes de correction, ouvrez la tâche de sécurité et sélectionnez Effectuer la tâche.After completing the remediation steps, open the security task and select Complete Task. Cette action met à jour l’état de la tâche de sécurité dans Intune et dans ATP.This action updates the security task status in both Intune and ATP.

Après la correction, le score de risque d’exposition dans ATP peut baisser en raison des nouvelles informations provenant des appareils corrigés.After remediation is successful, the risk exposure score in ATP can drop, based on new information from the remediated devices.

Étapes suivantesNext Steps

Découvrez plus en détails Intune et Microsoft Defender – PACM.Learn more about Intune and Microsoft Defender ATP.

Découvrez Mobile Threat Defense d’Intune.Review Intune Mobile Threat Defense.

Examinez le Tableau de bord de la Gestion des menaces et des vulnérabilités de Microsoft Defender – PACM.Review the Threat & Vulnerability Management dashboard in Microsoft Defender ATP.