使用 Intune 修正由 Microsoft Defender for Endpoint 标识的漏洞

如果将 Intune 与 Microsoft Defender for Endpoint 集成,则可以充分利用 Defender for Endpoint 威胁和漏洞管理,并使用 Intune 修正由 Defender 的漏洞管理功能发现的终结点漏洞。 此集成带来了基于风险的方法来发现漏洞并对其设置优先级,可缩短整个环境的修正响应时间。

威胁和漏洞管理属于 Microsoft Defender for Endpoint

集成的工作原理

将 Intune 连接到 Microsoft Defender for Endpoint 后,Defender for Endpoint 会从托管设备中收到威胁和漏洞的详细信息。

  • 发现的漏洞不基于 Intune 中的配置。 它们基于 Microsoft Defender for Endpoint 配置和扫描详细信息。
  • 只有那些可通过 intune 来修正的问题会作为 Intune 的安全任务被引发。

在 Microsoft Defender 安全中心控制台中,Defender for Endpoint 安全管理员可查看有关终结点漏洞的数据。 然后,管理员使用单击来创建用于标记需修正的易受攻击的设备的安全任务。 安全任务会立即传递到 Intune 控制台,Intune 管理员可以在其中查看它们。 安全任务标识漏洞类型、优先级、状态和用于修正漏洞的步骤。 Intune 管理员选择接受或拒绝该任务。

在任务被接受后,Intune 管理员会遵循作为安全任务的一部分提供的指导通过 Intune 修正漏洞。

每个任务都使用某个“修正类型”来标识:

  • 应用程序 - 如果某个应用程序具有可通过 Intune 缓解的漏洞或问题,则会标识该应用程序。 例如,Microsoft Defender for Endpoint 识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media player 是使用 Intune 部署的非托管应用,可能会有一个安全更新或更新版本的应用程序能够解决此问题。

  • 配置 - 你的环境中的漏洞或风险可以通过使用 Intune 终结点安全策略来缓解。 例如,Microsoft Defender for Endpoint 确定设备缺少“可能不需要的应用程序”(PUA) 的保护。 管理员为此创建了一个安全任务,该任务确定了“要对可能不需要的应用执行的操作”设置出现了减弱,该设置是用于防病毒策略的 Microsoft Defender 防病毒配置文件的一部分。

    对于配置问题,如果 Intune 无法提供看似合理的修正,Microsoft Defender for Endpoint 不会为其创建安全任务。

修正的常见操作包括:

  • 阻止 应用程序运行。
  • 部署 操作系统更新,从而缓解漏洞。
  • 部署 终结点安全策略,以减小漏洞的影响。
  • 修改 注册表值。
  • 禁用启用 某个配置,从而影响漏洞。
  • 需要引起注意 警告管理员有关无合适建议的威胁。

下面是应用程序工作流示例。 此常规工作流也适用于配置问题:

  • 一个 Microsoft Defender for Endpoint 扫描识别了名为 Contoso Media Player v4 的应用的一个漏洞,管理员会创建一个安全任务来更新该应用。 Contoso Media Player 是使用 Intune 部署的非托管应用。

    此安全任务显示在 Intune 控制台中,状态为“挂起”:

    在 Intune 控制台中查看安全任务的列表

  • Intune 管理员选择该安全任务以查看有关该任务的详细信息。 然后,管理员选择“接受”,这样会将 Intune 和 Defender for Endpoint 中的状态更新为“已接受”。

    接受或拒绝安全任务

  • 然后,管理员根据提供的指导修正任务。 指导因所需的修正类型而异。 修正指导(如果有)包括可在 Intune 中打开配置的相关窗格的链接。

    由于此示例中的媒体播放器不是托管应用,因此 Intune 只能提供文本说明。 如果应用已托管,则 Intune 可以提供下载更新版本的说明,并提供用于打开应用部署的链接,以便更新的文件可以添加到部署。

  • 在完成修正后,Intune 管理员会打开安全任务,并选择“完成任务”。 修正状态已针对 Intune 进行了更新,安全管理员在 Defender for Endpoint 中确认了修改后的漏洞状态。

必备条件

订阅

Defender for Endpoint 的 Intune 配置:

使用安全任务

  1. 登录到 Microsoft 终结点管理器管理中心

  2. 选择“终结点安全” > “安全任务” 。

  3. 从列表中选择一项任务以打开显示有关该安全任务的其他详细信息的资源窗口。

    查看安全任务资源窗口时,可以选择其他链接:

    • 托管应用 - 查看易受攻击的应用。 多个应用中出现漏洞时,你会看到筛选后的应用列表。
    • 设备 - 查看易受攻击的设备 的列表,你可以在其中链接到具有该设备上的漏洞的更多详细信息的条目。
    • 请求者 - 使用该链接将邮件发送给提交了此安全任务的管理员。
    • 说明 - 打开安全任务时读取由请求者提交的自定义消息。
  4. 选择“接受”或“拒绝”将通知发送到 Defender for Endpoint 以执行计划的操作。 接受或拒绝任务后,可以提交发送到 Defender for Endpoint 的说明。

  5. 接受任务后,重新打开安全任务(如果已关闭),然后按照修正详细信息修正漏洞。 安全任务详细信息中 Defender for Endpoint 提供的说明因所涉及的漏洞而异。

    可以这样做时,修正说明包括可在 Intune 控制台中打开相关配置对象的链接。

  6. 完成修正步骤后,打开安全任务并选择“完成任务” 。 此操作将更新 Intune 和 Defender for Endpoint 中的安全任务状态。

修正成功后,根据已修正设备中的新信息,Microsoft Defender for Endpoint 中的风险危险性分数可能会下降。

后续步骤

了解有关 Intune 和 Microsoft Defender for Endpoint 的详细信息。

查看 Intune 移动威胁防御

查看 Microsoft Defender for Endpoint 中的威胁和漏洞管理仪表板