使用 Intune 來補救 Microsoft Defender for Endpoint 所識別的弱點

當您整合 Intune 與適用于端點的 Microsoft Defender 時,您可以利用 defender 作為端點的威脅與弱點管理,並使用 Intune 來補救 defender 弱點管理功能所識別的端點弱點。 這項整合會產生一種以風險為基礎的方法來探索及優先處理弱點,可改善整個環境中的補救回應時間。

威脅 & 弱點管理Microsoft Defender for Endpoint的一部分。

整合的運作方式

將 Intune 連線至適用于端點的 Microsoft Defender 之後,Defender for Endpoint 會從受管理的裝置接收威脅和弱點詳細資料。

  • 探索到的弱點不會以 Intune 設定為基礎。 它們是以 Microsoft Defender 的端點設定和掃描詳細資料為基礎。
  • 只有 Intune 可補救的問題才會引發為 Intune 的安全性工作。

在 Microsoft Defender 資訊安全中心主控台中,Defender for endpoint Security 系統管理員會檢查有關端點弱點的資料。 管理員接著會使用按一下的方式來建立安全性工作,為有弱點的裝置加上旗標以進行補救。 安全性工作會立即傳遞至 Intune 主控台,讓 Intune 管理員能夠檢視它們。 安全性工作會識別弱點的類型、優先順序、狀態,以及要採取來補救弱點的步驟。 Intune 管理員選擇接受或拒絕工作。

當工作被接受時,Intune 管理員接著會使用安全性工作中提供的指引,透過 Intune 來補救弱點。

每個工作都是依照「補救類型」來識別:

  • 應用程式 – 識別出具有您可使用 Intune 降低弱點或問題風險的應用程式。 例如,Microsoft Defender for Endpoint 會識別名為 Contoso Media Player v4 的應用程式的弱點,而系統管理員會建立安全性工作來更新該應用程式。 Contoso Media Player 是以 Intune 部署的未受控應用程式,而且可能有可解決問題的安全性更新或較新版本的應用程式。

  • 設定 – 您環境中的弱點或風險可以透過使用 Intune 端點安全性原則來降低風險。 例如,適用于端點的 Microsoft Defender 會找出裝置缺少對 潛在垃圾應用程式 的保護 (PUA) 。 系統管理員會為此建立安全性工作,以識別出在防毒原則的 Microsoft Defender 防毒軟體設定檔中設定 [要對潛在的垃圾應用程式採取的動作] 設定的風險降低方式。

    針對設定問題,當 Intune 無法提供合理補救時,Microsoft Defender for Endpoint 不會為其建立安全性工作。

進行補救的常見動作包括:

  • 封鎖 應用程式使其無法執行。
  • 部署 作業系統更新以降低弱點的風險。
  • 部署 端點安全性原則來降低弱點的風險。
  • 修改 登錄值。
  • 停用啟用 會對弱點產生作用的設定。
  • 需要注意 會在未提供任何適當的建議時,為管理員警示威脅。

以下是應用程式的範例工作流程。 此相同的一般工作流程適用於設定問題:

  • 適用于端點掃描的 Microsoft Defender 會識別名為 Contoso Media Player v4 的應用程式的弱點,而系統管理員會建立安全性工作來更新該應用程式。 Contoso Media Player 是使用 Intune 部署的非受控應用程式。

    此安全性工作會出現在 Intune 主控台中且狀態為「擱置」:

    在 Intune 主控台中檢視安全性工作的清單

  • Intune 管理員會選取安全性工作來檢視有關工作的詳細資料。 系統管理員接著會選取 [ 接受],以更新 Intune 中的狀態,並在 Defender 中選取要 接受 的端點。

    接受或拒絕安全性工作

  • 管理員接著根據所提供的指引來補救工作。 此指引會依據所需的補救類型而有所不同。 可供使用時,補救指引會包含可在 Intune 中開啟設定相關窗格的連結。

    因為此範例中的媒體播放器不是受控應用程式,所以 Intune 只會提供文字指示。 如果應用程式是受控的,Intune 就會提供指示來下載更新的版本,並提供連結來開啟適用於應用程式的部署,如此即可將已更新的檔案新增至部署。

  • 完成補救之後,Intune 系統管理員會開啟安全性工作並選取 [ 完成 工作]。 Intune 和 Defender for Endpoint 中的補救狀態會更新,其中安全性系統管理員會確認弱點的修訂狀態。

先決條件

訂閱

適用于 Defender 端點的 Intune 設定:

使用安全性工作

  1. 登入 Microsoft Endpoint Manager 系統管理中心

  2. 選取 [端點安全性] > [安全性工作] 。

  3. 從清單中選取工作來開啟資源視窗,以顯示該安全性工作的其他詳細資料。

    檢視安全性工作資源視窗時,您可以選取其他連結:

    • 受控應用程式:檢視有弱點的應用程式。 當弱點適用於多個應用程式時,您將看到篩選過的應用程式清單。
    • 裝置:檢視「有弱點的裝置」 清單,您可以從此處連結至含有更多該裝置弱點之詳細資料的項目。
    • 要求者:使用連結以將郵件傳送給提交此安全性工作的管理員。
    • 附註:開啟安全性工作時,讀取要求者所提交的自訂訊息。
  4. 選取 [ 接受 ] 或 [ 拒絕 ] 以針對您計畫的動作,將端點的通知傳送給 Defender。 當您接受或拒絕工作時,您可以提交 notes,以傳送給 Defender 的端點。

  5. 接受工作之後,重新開啟安全性工作 (如果它已關閉),並遵循補救詳細資料來補救此弱點。 Defender 針對安全性工作詳細資料中的端點所提供的指示,會依據相關的弱點而有所不同。

    如果可以執行此動作,補救指示就會包含可在 Intune 主控台中開啟相關設定物件的連結。

  6. 完成補救步驟之後,開啟安全性工作,然後選取 [完成工作] 。 此動作會更新 Intune 和 Defender for Endpoint 中的安全性工作狀態。

補救成功之後,Microsoft Defender for Endpoint 的風險暴露分數可能會根據補救裝置的新資訊而下降。

後續步驟

深入瞭解 Intune 和 適用于端點的 Microsoft Defender

檢閱 Intune Mobile Threat Defense

查看 Microsoft Defender for Endpoint 中的 威脅 & 弱點管理儀表板