使用 Intune 修復 Microsoft Defender for Endpoint 所識別的漏洞
當您整合 Intune 與 Microsoft Defender for endpoint 時,您可以利用 defender 做為端點的威脅與弱點管理,並使用 Intune 修正由 Defender 的弱點管理能力所識別的端點弱點。 這項整合會為安全隱患的探索和優先順序劃分方式,以改善整個環境中的修復回應時間。
威脅 & 漏洞管理 是 Microsoft Defender for Endpoint的一部分。
整合的運作方式
在您將 Intune 連接至 Microsoft Defender for Endpoint 後,Defender for Endpoint 會從受管理的裝置接收威脅和弱點詳細資料。
- 探索的漏洞不是以 Intune 的設定為基礎。 它們是以 Microsoft Defender for Endpoint 設定及掃描詳細資料為基礎。
- 並非所有供補救之端點旗標的問題,都是透過建立 Intune 安全性工作來修正。
在 Microsoft Defender 資訊安全中心主控台中,endpoint Security admins 管理員會檢查端點弱點的相關資料。 系統管理員只需按幾下滑鼠,即可建立安全工作,以標記可用於修復的易受攻擊裝置。 安全性工作會立即傳遞至 Microsoft 端點管理員系統管理中心,Intune 系統管理員可以在這裡查看這些任務。 [安全性] 工作會識別弱點的類型、優先順序、狀態,以及修正此弱點所採取的步驟。 Intune 管理員選擇接受或拒絕工作。
當接受任務時,Intune 系統管理員會使用在安全性工作中提供的指導方針,透過 Intune 修正此弱點。
每個任務都是以 修正類型 來識別:
Application –識別出存在弱點或問題的應用程式,您可以使用 Intune 加以緩解。 例如,Microsoft Defender for Endpoint 會識別名為 Contoso Media Player v4 之應用程式的弱點,而且系統管理員會建立安全性工作來更新該應用程式。 Contoso Media player 是使用 Intune 部署的非管理應用程式,而且可能會有安全性更新或更新版本的應用程式可解決問題。
設定 –您 環境中的弱點或風險可透過使用 Intune 端點安全性原則來緩解。 例如,Microsoft Defender for Endpoint 會識別裝置缺乏對 潛在有害應用程式 的防護 (PUA) 。 系統管理員會為此建立安全性工作,這會發現設定 動作要對可能有害的應用程式 進行的緩解,做為防病毒原則的 Microsoft Defender 防毒軟體設定檔的一部分。
針對設定問題,當 Intune 未提供 plausible 修復時,Microsoft Defender for Endpoint 不會為其建立安全性工作。
修復的常見動作包括:
- 封鎖 應用程式的執行。
- 部署 作業系統更新,以減輕此弱點。
- 部署 端點安全性原則,以減輕此弱點。
- 修改 登錄值。
- 停 用或 啟用 設定以影響此弱點。
- 當沒有適當的建議提供時,需要注意 向系統管理員警示威脅。
以下是應用程式的範例工作流程。 此相同的一般工作流程適用于設定問題:
Microsoft Defender for Endpoint scan 會識別名為 Contoso Media Player v4 之應用程式的弱點,而且系統管理員會建立安全性工作來更新該應用程式。 Contoso Media player 是使用 Intune 部署的非管理應用程式。
這項安全性工作會出現在 Intune 主控台中,狀態為擱置:
Intune 系統管理員會選取安全性工作以查看有關任務的詳細資料。 然後,系統管理員會選取 [ 接受],以更新 Intune 中的狀態,並在更新要 接受 的端點中。
然後,系統管理員會根據所提供的指引 remediates 任務。 指導方針會根據所需的修復類型而有所不同。 若有可用,補救指導方針會包含針對 Intune 中的設定開啟相關窗格的連結。
因為此範例中的媒體播放機不是受管理的應用程式,所以 Intune 只會提供文字指示。 若應用程式是受管理的,Intune 可提供下載更新版本的指示,並提供連結來開啟應用程式的部署,使更新的檔案可以新增至部署。
完成修復後,Intune 系統管理員會開啟安全性工作並選取 [ 完成任務]。 修正狀態會針對 Intune 及 Defender for Endpoint 進行更新,其中安全性管理員會確認該弱點的修訂狀態。
必要條件
訂閱:
- Microsoft Intune
- Microsoft Defender for Endpoint (註冊免費試用版。 )
Defender For Endpoint 的 Intune 設定:
使用 Microsoft Defender for Endpoint 設定服務對服務連線。
使用執行 Windows 10 或更新版本 (桌面裝置,將裝置設定原則部署為執行或更新) 版本的桌面裝置,將會以 Defender for endpoint 評估風險的裝置。
如需如何設定 Intune 以使用 Defender for Endpoint 的詳細資訊,請參閱 在 Intune 中強制使用條件式存取的 Microsoft Defender For Endpoint 相容性。
使用安全性工作
在您可以使用安全性工作之前,必須先在 Defender Security Center 中建立這些工作。 如需使用 Microsoft Defender 資訊安全中心建立安全性工作的詳細資訊,請參閱在 Defender for Endpoint 檔中使用威脅與弱點管理修正漏洞。
若要管理安全性工作:
選取 端點安全性 > 安全性 工作。
從清單中選取任務,開啟顯示該安全性工作詳細資料的資源視窗。
在查看 [安全性工作資源] 視窗時,您可以選取其他連結:
- 受管理的應用程式-查看易受攻擊的應用程式。 當此弱點套用至多個應用程式時,您會看到一個已篩選的應用程式清單。
- 裝置-查看 有漏洞裝置 的清單,從中您可以連結到具有該裝置之弱點之詳細資料的專案。
- 要求者-使用連結,將郵件傳送給提交此安全性工作的系統管理員。
- 記事-開啟安全性工作時,讀取要求者提交的自訂訊息。
選取 [ 接受 ] 或 [ 拒絕 ],以傳送您計畫動作的 Defender for Endpoint 的通知。 當您接受或拒絕工作時,您可以提交附注,將其傳送至端點的 Defender。
接受工作之後,請重新開啟安全性工作 (如果它) 關閉,然後遵循修正詳細資料以修正此弱點。 「安全性工作」詳細資料中的 [Defender for Endpoint] 提供的指示會因相關的弱點而異。
在可能的情況下,修正指示包括在 Intune 主控台中開啟相關 configuration 物件的連結。
完成修復步驟之後,請開啟安全性工作並選取 [ 完成任務]。 此動作會更新 Intune 和 Defender for Endpoint 中的安全性任務狀態。
修正成功後,可根據修正裝置中的新資訊,將 Endpoint 中的風險暴露分數丟棄。
後續步驟
深入瞭解 Intune 和 Microsoft Defender For Endpoint。
回顧 Intune 行動 威脅防護。
在 Microsoft Defender for Endpoint 中檢查 威脅 & 漏洞管理儀表板 。