使用Microsoft Intune修正Microsoft Defender for Endpoint识别的漏洞

  • 项目

将 Microsoft Defender for Endpoint 与 Microsoft Intune 集成后,可以使用 Intune 安全任务利用 Defender for Endpoint 的危险和漏洞管理。 Intune中的安全任务可帮助Intune管理员了解并修正Microsoft Defender for Endpoint漏洞管理功能识别的许多设备弱点。 此集成提供了一种基于风险的方法来发现漏洞并确定漏洞的优先级,并有助于缩短整个环境的修正响应时间。

威胁和漏洞管理属于 Microsoft Defender for Endpoint

集成的工作原理

Intune连接到Microsoft Defender for Endpoint后,Defender for Endpoint 将从使用 Intune 管理的设备接收威胁和漏洞详细信息。 安全管理员可从Microsoft Defender 安全中心控制台中查看这些详细信息。

在Microsoft Defender 安全中心控制台中,安全管理员可以通过执行一些为Microsoft Intune创建安全任务的简单操作来查看和处理终结点漏洞。 安全任务立即显示在 Microsoft Intune 管理中心,Intune管理员可以看到这些任务,然后他们可以使用详细信息来解决问题。

  • 漏洞基于扫描和评估设备时Microsoft Defender for Endpoint评估的威胁或问题。
  • 并非所有 Defender for Endpoint 识别的漏洞和问题都支持通过Intune进行修正。 此类问题不会导致创建Intune的安全任务。

安全任务标识:

  • 漏洞类型
  • 优先级
  • 状态
  • 修正漏洞的步骤

在管理中心,Intune管理员可以查看并选择接受或拒绝任务。 在Intune中接受任务后,管理员可以根据任务中提供的详细信息,使用Intune来修正漏洞。

成功修正后,Intune管理员将安全任务设置为“完成任务”。 此状态显示在 Intune 中,并传回 Defender for Endpoint,安全管理员可以在其中确认漏洞的已修改状态。

关于安全任务

每个安全任务都有一个 修正类型

  • 应用程序 - 如果某个应用程序具有可通过 Intune 缓解的漏洞或问题,则会标识该应用程序。 例如,Microsoft Defender for Endpoint 识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media player 是使用 Intune 部署的非托管应用,可能会有一个安全更新或更新版本的应用程序能够解决此问题。

  • 配置 - 你的环境中的漏洞或风险可以通过使用 Intune 终结点安全策略来缓解。 例如,Microsoft Defender for Endpoint 确定设备缺少“可能不需要的应用程序”(PUA) 的保护。 管理员为此问题创建一个安全任务,该任务标识了将设置“操作”配置为在防病毒策略的Microsoft Defender防病毒配置文件中对可能不需要的应用采取的操作的缓解措施。

    当配置问题没有Intune可以提供的合理修正时,Microsoft Defender for Endpoint不会为其创建安全任务。

修正操作

常见的修正操作包括:

  • 阻止应用程序运行。
  • 部署操作系统更新,从而缓解漏洞。
  • 部署终结点安全策略,以减小漏洞的影响。
  • 修改注册表值。
  • 禁用启用某个配置,从而影响漏洞。
  • 需要引起注意警告管理员有关无合适建议的威胁。

工作流示例

以下示例演示了发现应用程序漏洞以修正的工作流。 此常规工作流也适用于配置问题:

  • 一个 Microsoft Defender for Endpoint 扫描识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media 播放器是未使用 Intune 部署的非托管应用。

    此安全任务显示在 Microsoft Intune 管理中心,状态为“挂起”:

    在Intune管理中心查看安全任务列表

  • Intune 管理员选择该安全任务以查看有关该任务的详细信息。 然后,管理员选择“接受”,这样会将 Intune 和 Defender for Endpoint 中的状态更新为“已接受”

    接受或拒绝安全任务

  • 然后,管理员根据提供的指导修正任务。 指南因所需的修正类型而异。 修正指导(如果有)包括可在 Intune 中打开配置的相关窗格的链接。

    由于此示例中的媒体播放器不是托管应用,因此 Intune 只能提供文本说明。 对于托管应用,Intune可以提供下载更新版本的说明,并提供用于打开应用部署的链接,以便将更新的文件添加到部署。

  • 修正完成后,Intune管理员打开安全任务并选择“完成任务”。 修正状态已针对 Intune 进行了更新,安全管理员在 Defender for Endpoint 中确认了修改后的漏洞状态。

先决条件

订阅

Defender for Endpoint 的 Intune 配置

  • 配置与 Microsoft Defender for Endpoint 的服务到服务连接。

  • 使用配置文件类型的Microsoft Defender for Endpoint (桌面设备(运行Windows 10或更高版本) )将设备配置策略部署到使用Microsoft Defender for Endpoint来评估风险的设备。

    有关如何将 Intune 设置为使用 Defender for Endpoint 的信息,请参阅使用 Intune 中的条件访问强制执行 Microsoft Defender for Endpoint 的合规性

使用安全任务

必须先从 Defender 安全中心内创建安全任务,然后才能处理这些任务。 有关使用Microsoft Defender 安全中心创建安全任务的信息,请参阅 Defender for Endpoint 文档中的使用威胁和漏洞管理来修正漏洞

若要管理安全任务,请执行以下操作:

  1. 登录到Microsoft Intune管理中心

  2. 选择“终结点安全”>“安全任务”。

  3. 从列表中选择一个任务以打开一个资源窗口,该窗口显示该安全任务的更多详细信息。

    查看安全任务资源窗口时,可以选择其他链接:

    • 托管应用 - 查看易受攻击的应用。 当漏洞应用于多个应用时,Intune显示筛选的应用列表。
    • 设备 - 查看易受攻击的设备的列表,你可以在其中链接到具有该设备上的漏洞的更多详细信息的条目。
    • 请求者 - 使用该链接将邮件发送给提交了此安全任务的管理员。
    • 说明 - 打开安全任务时读取由请求者提交的自定义消息。

  4. 选择“接受”或“拒绝”将通知发送到 Defender for Endpoint 以执行计划的操作。 接受或拒绝任务后,可以提交发送到 Defender for Endpoint 的说明。

  5. 接受任务后,重新打开安全任务(如果已关闭),然后按照修正详细信息修正漏洞。 安全任务详细信息中 Defender for Endpoint 提供的说明因所涉及的漏洞而异。

    如果可以这样做,修正说明将包括用于在 Microsoft Intune 管理中心中打开相关配置对象的链接。

  6. 完成修正步骤后,打开安全任务并选择“完成任务”。 此操作将更新 Intune 和 Defender for Endpoint 中的安全任务状态。

修正成功后,Defender for Endpoint 中的风险暴露分数可以根据修正设备中的新信息下降。

后续步骤

了解有关 Intune 和 Microsoft Defender for Endpoint 的详细信息。

查看 Intune 移动威胁防御

查看 Microsoft Defender for Endpoint 中的威胁和漏洞管理仪表板