Usare Microsoft Intune per correggere le vulnerabilità identificate da Microsoft Defender per endpoint

Integrando Microsoft Defender per endpoint con Microsoft Intune, è possibile sfruttare le gestione di minacce e vulnerabilità di Defender per endpoint usando attività di sicurezza Intune. Le attività di sicurezza in Intune consentono agli amministratori di Intune di comprendere e correggere molti punti deboli dei dispositivi identificati dalla funzionalità di gestione delle vulnerabilità di Microsoft Defender per endpoint. Questa integrazione offre un approccio basato sui rischi per l'individuazione e la definizione delle priorità delle vulnerabilità e consente di migliorare il tempo di risposta alla correzione nell'ambiente.

Gestione delle vulnerabilità & delle minacce fa parte di Microsoft Defender per endpoint.

Funzionamento dell'integrazione

Dopo aver connesso Intune a Microsoft Defender per endpoint, Defender per endpoint riceve i dettagli sulle minacce e sulla vulnerabilità dai dispositivi gestiti con Intune. Questi dettagli diventano visibili agli amministratori della sicurezza dalla console di Microsoft Defender Security Center.

Nella console di Microsoft Defender Security Center gli amministratori della sicurezza possono esaminare e intervenire sulle vulnerabilità degli endpoint eseguendo alcune semplici azioni che creano attività di sicurezza per Microsoft Intune. Le attività di sicurezza vengono visualizzate immediatamente nell'interfaccia di amministrazione Microsoft Intune, in cui sono visibili agli amministratori Intune che possono quindi usare i dettagli per agire e correggere i problemi.

  • Le vulnerabilità si basano sulle minacce o sui problemi valutati da Microsoft Defender per endpoint durante l'analisi e la valutazione di un dispositivo.
  • Non tutte le vulnerabilità e i problemi identificati da Defender per endpoint supportano la correzione tramite Intune. Tali problemi non comportano la creazione di un'attività di sicurezza per Intune.

Le attività di sicurezza identificano:

  • Tipo di vulnerabilità
  • Priorità
  • Stato
  • Passaggi da eseguire per correggere la vulnerabilità

Nell'interfaccia di amministrazione un amministratore Intune può esaminare e quindi scegliere di accettare o rifiutare l'attività. Dopo che un amministratore accetta un'attività in Intune, può usare Intune per correggere la vulnerabilità, guidata dai dettagli forniti nell'attività.

Con la correzione corretta, l'amministratore Intune imposta l'attività di sicurezza su Completa attività. Questo stato viene visualizzato in Intune e viene passato nuovamente a Defender per endpoint, dove gli amministratori della sicurezza possono confermare lo stato modificato per la vulnerabilità.

Informazioni sulle attività di sicurezza:

Ogni attività di sicurezza ha un tipo di correzione:

  • Applicazione: viene identificata un'applicazione con una vulnerabilità o un problema che è possibile attenuare con Intune. Ad esempio, Microsoft Defender per endpoint identifica una vulnerabilità per un'app denominata Contoso Media Player v4 e un amministratore crea un'attività di sicurezza per aggiornare l'app. Contoso Media Player è un'app non gestita distribuita con Intune e potrebbe essere presente un aggiornamento della sicurezza o una versione più recente di un'applicazione che risolve il problema.

  • Configurazione: le vulnerabilità o i rischi nell'ambiente possono essere attenuati tramite l'uso di criteri di sicurezza degli endpoint Intune. Ad esempio, Microsoft Defender per endpoint identifica che i dispositivi non sono protetti da applicazioni potenzialmente indesiderate. Un amministratore crea un'attività di sicurezza per questo problema, che identifica una mitigazione della configurazione dell'impostazione Azione per l'esecuzione di app potenzialmente indesiderate come parte del profilo antivirus Microsoft Defender per i criteri antivirus.

    Quando un problema di configurazione non ha una correzione plausibile che Intune può fornire, Microsoft Defender per endpoint non crea un'attività di sicurezza.

Azioni di correzione:

Le azioni di correzione comuni includono:

  • Impedire l'esecuzione di un'applicazione.
  • Distribuire un aggiornamento del sistema operativo per attenuare la vulnerabilità.
  • Distribuire i criteri di sicurezza degli endpoint per attenuare la vulnerabilità.
  • Modificare un valore del Registro di sistema.
  • Disabilitare o abilitare una configurazione per influire sulla vulnerabilità.
  • Richiedi attenzione avvisa l'amministratore della minaccia quando non è disponibile alcuna raccomandazione appropriata da fornire.

Esempio di flusso di lavoro:

Nell'esempio seguente viene illustrato il flusso di lavoro di individuazione di una vulnerabilità dell'applicazione da correggere. Questo stesso flusso di lavoro generale si applica ai problemi di configurazione:

  • Un'analisi Microsoft Defender per endpoint identifica una vulnerabilità per un'app denominata Contoso Media Player v4 e un amministratore crea un'attività di sicurezza per aggiornare l'app. Contoso Media Player è un'app non gestita che non è stata distribuita con Intune.

    Questa attività di sicurezza viene visualizzata nell'interfaccia di amministrazione Microsoft Intune con lo stato In sospeso:

    Visualizzare l'elenco delle attività di sicurezza nell'interfaccia di amministrazione Intune

  • L'amministratore Intune seleziona l'attività di sicurezza per visualizzare i dettagli sull'attività. L'amministratore seleziona quindi Accetta, che aggiorna lo stato in Intune e in Defender per endpoint da accettare.

    Accettare o rifiutare un'attività di sicurezza

  • L'amministratore corregge quindi l'attività in base alle indicazioni fornite. Le indicazioni variano a seconda del tipo di correzione necessario. Quando disponibili, le linee guida per la correzione includono collegamenti che aprono riquadri pertinenti per le configurazioni in Intune.

    Poiché il lettore multimediale in questo esempio non è un'app gestita, Intune può fornire solo istruzioni di testo. Per un'app gestita, Intune potrebbe fornire istruzioni per scaricare una versione aggiornata e fornire un collegamento per aprire la distribuzione per l'app in modo che i file aggiornati possano essere aggiunti alla distribuzione.

  • Al termine della correzione, l'amministratore Intune apre l'attività di sicurezza e seleziona Completa attività. Lo stato di correzione viene aggiornato per Intune e in Defender per endpoint, dove gli amministratori della sicurezza confermano lo stato modificato per la vulnerabilità.

Prerequisiti

Sottoscrizioni:

Intune configurazioni per Defender per endpoint:

  • Configurare una connessione da servizio a servizio con Microsoft Defender per endpoint.

  • Distribuire un criterio di configurazione del dispositivo con un tipo di profilo di Microsoft Defender per endpoint (dispositivi desktop in esecuzione Windows 10 o versioni successive) nei dispositivi che usano Microsoft Defender per endpoint per valutare i rischi.

    Per informazioni su come configurare Intune per l'uso con Defender per endpoint, vedere Applicare la conformità per Microsoft Defender per endpoint con l'accesso condizionale in Intune.

Usare le attività di sicurezza

Prima di poter usare le attività di sicurezza, è necessario crearne una dall'interno del Centro sicurezza di Defender. Per informazioni sull'uso del Microsoft Defender Security Center per creare attività di sicurezza, vedere Correggere le vulnerabilità con gestione di minacce e vulnerabilità nella documentazione di Defender per endpoint.

Per gestire le attività di sicurezza:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Attività di sicurezza>degli endpoint.

  3. Selezionare un'attività dall'elenco per aprire una finestra delle risorse che visualizza altri dettagli per l'attività di sicurezza.

    Durante la visualizzazione della finestra delle risorse dell'attività di sicurezza, è possibile selezionare collegamenti aggiuntivi:

    • APP GESTITE: visualizzare l'app vulnerabile. Quando la vulnerabilità si applica a più app, Intune visualizza un elenco filtrato di app.
    • DISPOSITIVI: visualizzare un elenco dei dispositivi vulnerabili, da cui è possibile collegarsi a una voce con altri dettagli per la vulnerabilità in tale dispositivo.
    • REQUESTOR: usare il collegamento per inviare messaggi di posta elettronica all'amministratore che ha inviato questa attività di sicurezza.
    • NOTE: leggere i messaggi personalizzati inviati dal richiedente all'apertura dell'attività di sicurezza.
  4. Selezionare Accetta o Rifiuta per inviare una notifica a Defender per endpoint per l'azione pianificata. Quando si accetta o si rifiuta un'attività, è possibile inviare note che vengono inviate a Defender per endpoint.

  5. Dopo aver accettato un'attività, riaprire l'attività di sicurezza (se chiusa) e seguire i dettagli di CORREZIONE per correggere la vulnerabilità. Le istruzioni fornite da Defender per endpoint nei dettagli dell'attività di sicurezza variano a seconda della vulnerabilità coinvolta.

    Quando è possibile eseguire questa operazione, le istruzioni di correzione includono collegamenti che aprono gli oggetti di configurazione pertinenti nell'interfaccia di amministrazione Microsoft Intune.

  6. Dopo aver completato i passaggi di correzione, aprire l'attività di sicurezza e selezionare Completa attività. Questa azione aggiorna lo stato dell'attività di sicurezza sia in Intune che in Defender per endpoint.

Dopo aver completato la correzione, il punteggio di esposizione al rischio in Defender per endpoint può diminuire in base alle nuove informazioni dei dispositivi corretti.

Operazioni successive

Altre informazioni su Intune e Microsoft Defender per endpoint.

Esaminare Intune Mobile Threat Defense.

Esaminare il dashboard Gestione vulnerabilità di Threat & in Microsoft Defender per endpoint.