Använda Intune för att åtgärda sårbarheter som identifierats av Microsoft Defender för slutpunkt

När du integrerar Intune med Microsoft Defender för slutpunkt kan du dra nytta av Defender för slutpunktens Hantering av hot och säkerhetsrisker och använda Intune för att åtgärda svagheter i slutpunkter som identifieras av Defender hantering av säkerhetsrisker-funktionen. Den här integreringen ger en riskbaserad metod för identifiering och prioritering av sårbarheter som kan förbättra svarstiden för åtgärder i din miljö.

Threat & Vulnerability Management är en del av Microsoft Defender för slutpunkten.

Så här fungerar integreringen

När du har anslutt Intune till Microsoft Defender för slutpunkt tar Defender for Endpoint emot hot- och sårbarhetsinformation från hanterade enheter.

  • De säkerhetsrisker som identifieras baseras inte på konfigurationer från Intune. De baseras på Microsoft Defender för slutpunktskonfigurationer och genomsökningsinformation.
  • Det är bara problem som kan åtgärdas via Intune som flaggas som säkerhetsuppgifter för Intune.

I Microsoft Defender Säkerhetscenter-konsolen granskar Defender for Endpoint Security-administratörer data om sårbarheter i slutpunkter. Administratörerna kan sedan med ett enda musklick skapa säkerhetsuppgifter som flaggar sårbara enheter för reparation. Säkerhetsuppgifterna skickas direkt till Intune-konsolen där Intune-administratörer kan se dem. Säkerhetsuppgiften anger typen av säkerhetsrisk, prioritet, status och vilka åtgärder som måste vidtas för att åtgärda säkerhetsrisken. Intune-administratören väljer att godkänna eller avvisa uppgiften.

När en uppgift godkänns agerar Intune-administratören sedan för att åtgärda säkerhetsrisken via Intune med hjälp av de riktlinjer som tillhandahålls som en del av säkerhetsuppgiften.

Varje uppgift identifieras med en Åtgärdstyp:

  • Program – ett program med en sårbarhet eller ett problem som du kan åtgärda via Intune har identifierats. Microsoft Defender för slutpunkt identifierar till exempel en säkerhetsrisk för en app med namnet Contoso Media Player v4, och en administratör skapar en säkerhetsuppgift för att uppdatera appen. Contoso Media Player är en ohanterad app som har distribuerats via Intune, och det kan finnas en säkerhetsuppdatering eller en nyare version av appen som löser problemet.

  • Konfiguration – du kan undvika sårbarheter eller risker i miljön med Intune Endpoint Security-policyer. Microsoft Defender för slutpunkt identifierar till exempel att enheter saknar skydd mot potentiellt oönskade program (PUA). En administratör skapar en säkerhetsuppgift för det här, som identifierar åtgärden att konfigurera inställningen Åtgärd som ska vidtas för oönskade appar i Microsoft Defender Antivirus-profilen för antiviruspolicyn.

    När det inte finns någon rimlig reparation som Intune kan tillhandahålla för konfigurationsproblem skapar inte Microsoft Defender för slutpunkten någon säkerhetsuppgift för den.

Vanliga åtgärder är:

  • Blockera ett program från att köras.
  • Distribuera en operativsystemuppdatering för att minska säkerhetsrisken.
  • Distribuera Endpoint Security-policyn för att åtgärda sårbarheten.
  • Ändra ett registervärde.
  • Inaktivera eller aktivera en konfiguration för att påverka säkerhetsrisken.
  • Aviseringen Kräver uppmärksamhet informerar administratören om hotet när det inte finns någon lämplig rekommendation att tillhandahålla.

Här är ett exempelarbetsflöde för ett program. Samma generella arbetsflöde gäller för konfigurationsproblem:

  • En genomsökning i Microsoft Defender for Endpoint identifierar en säkerhetsrisk för en app med namnet Contoso Media Player v4 och en administratör skapar en säkerhetsuppgift för att uppdatera appen. Contoso Media Player är en ohanterad app som distribuerades med Intune.

    Den här säkerhetsuppgiften visas i Intune-konsolen med statusen Väntar:

    Visa listan över säkerhetsuppgifter i Intune-konsolen

  • Intune-administratören väljer en säkerhetsuppgift att visa detaljer om den åtgärden. Administratören väljer sedan Acceptera, vilket uppdaterar statusen i Intune och i Defender för att slutpunkten ska godkännas.

    Godkänna eller avvisa en säkerhetsuppgift

  • Administratören utför sedan åtgärden baserat på vägledningen som tillhandahålls. Vägledningen varierar beroende på vilken typ av åtgärd som behövs. När det är tillgängligt innehåller åtgärdsvägledningen länkar till relevanta fönster för konfigurationer i Intune.

    Eftersom mediaspelaren i det här exemplet inte är en hanterad app kan Intune endast ge textinstruktioner. Om appen hade varit hanterad kunde Intune ha gett anvisningar för att hämta en uppdaterad version och visat en länk för att öppna distributionen för appen, så att de uppdaterade filerna kan läggas till i distributionen.

  • När åtgärden har slutförts öppnar Intune-administratören säkerhetsuppgiften och väljer Slutför uppgift. Reparationsstatusen uppdateras för Intune och i Defender för slutpunkt, där säkerhetsadministratörer bekräftar den ändrade statusen för säkerhetsrisken.

Krav

Prenumerationer:

Intune-konfigurationer för Defender för slutpunkt:

  • Konfigurera en tjänst-till-tjänst-anslutning med Microsoft Defender för slutpunkt.

  • Distribuera en princip för enhetskonfiguration med profiltypen Microsoft Defender för slutpunkt (Windows 10 Desktop) till enheter som har en risk som utvärderas av Defender för slutpunkt.

    Information om hur du ställer in Intune för att arbeta med Defender för slutpunkt finns i Framtvinga efterlevnad för Microsoft Defender för slutpunkt med villkorlig åtkomst i Intune.

Arbeta med säkerhetsuppgifter

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Välj Slutpunktssäkerhet > Säkerhetsaktiviteter.

  3. Markera en aktivitet i listan för att öppna ett resursfönster som visar ytterligare information för den säkerhetsuppgiften.

    När du visar resursfönstret för säkerhetsuppgiften kan du välja ytterligare länkar:

    • HANTERADE APPAR – Visa den app som är sårbar. När det gäller sårbarheten för flera appar visas en filtrerad lista över appar.
    • ENHETER – Visa en lista över Sårbara enheter, från vilken du kan länka till en post med mer information för sårbarhetsbedömning på den enheten.
    • BEGÄRANDE – Använd länken för att skicka e-post till den administratör som skickade den här säkerhetsuppgiften.
    • INFORMATION – Läs anpassade meddelanden som skickas av förfrågaren när du öppnar säkerhetsuppgiften.
  4. Välj Acceptera eller Avvisa för att skicka ett meddelande till Defender för slutpunkt för din planerade åtgärd. När du godkänner eller avvisar en uppgift kan du skicka anteckningar som skickas till Defender för slutpunkt.

  5. När du har godkänt en uppgift ska du öppna säkerhetsuppgiften igen (om den är stängd) och följa anvisningarna för att åtgärda sårbarheten. Anvisningarna i informationen om säkerhetsuppgiften i Defender for Endpoint varierar beroende på vilken säkerhetsrisk det gäller.

    När det är möjligt innehåller åtgärdsanvisningarna länkar till de relevanta konfigurationsobjekten i Intune-konsolen.

  6. När du har slutfört åtgärdsanvisningarna ska du öppna säkerhetsuppgiften och välja Slutför uppgift. Den här åtgärden uppdaterar status för säkerhetsuppgiften i både Intune och Defender för slutpunkt.

När reparationen har lyckats kan riskexponeringspoängen i Microsoft Defender för slutpunkten minska baserat på ny information från de åtgärdade enheterna.

Nästa steg

Läs mer om Intune och Microsoft Defender för slutpunkt.

Titta närmare på Intune Mobile Threat Defense.

Granska instrumentpanelen Threat & Vulnerability Management i Microsoft Defender for Endpoint.