使用 Intune 修復 Microsoft Defender for Endpoint 所識別的漏洞

當您整合 Intune 與 Microsoft Defender for endpoint 時,您可以利用 defender 做為端點的威脅與弱點管理,並使用 Intune 修正由 Defender 的弱點管理能力所識別的端點弱點。 這項整合會為安全隱患的探索和優先順序劃分方式,以改善整個環境中的修復回應時間。

威脅 & 漏洞管理Microsoft Defender for Endpoint的一部分。

整合的運作方式

在您將 Intune 連接至 Microsoft Defender for Endpoint 後,Defender for Endpoint 會從受管理的裝置接收威脅和弱點詳細資料。

  • 探索的漏洞不是以 Intune 的設定為基礎。 它們是以 Microsoft Defender for Endpoint 設定及掃描詳細資料為基礎。
  • 並非所有供補救之端點旗標的問題,都是透過建立 Intune 安全性工作來修正。

在 Microsoft Defender 資訊安全中心主控台中,endpoint Security admins 管理員會檢查端點弱點的相關資料。 系統管理員只需按幾下滑鼠,即可建立安全工作,以標記可用於修復的易受攻擊裝置。 安全性工作會立即傳遞至 Microsoft 端點管理員系統管理中心,Intune 系統管理員可以在這裡查看這些任務。 [安全性] 工作會識別弱點的類型、優先順序、狀態,以及修正此弱點所採取的步驟。 Intune 管理員選擇接受或拒絕工作。

當接受任務時,Intune 系統管理員會使用在安全性工作中提供的指導方針,透過 Intune 修正此弱點。

每個任務都是以 修正類型 來識別:

  • Application –識別出存在弱點或問題的應用程式,您可以使用 Intune 加以緩解。 例如,Microsoft Defender for Endpoint 會識別名為 Contoso Media Player v4 之應用程式的弱點,而且系統管理員會建立安全性工作來更新該應用程式。 Contoso Media player 是使用 Intune 部署的非管理應用程式,而且可能會有安全性更新或更新版本的應用程式可解決問題。

  • 設定 –您 環境中的弱點或風險可透過使用 Intune 端點安全性原則來緩解。 例如,Microsoft Defender for Endpoint 會識別裝置缺乏對 潛在有害應用程式 的防護 (PUA) 。 系統管理員會為此建立安全性工作,這會發現設定 動作要對可能有害的應用程式 進行的緩解,做為防病毒原則的 Microsoft Defender 防毒軟體設定檔的一部分。

    針對設定問題,當 Intune 未提供 plausible 修復時,Microsoft Defender for Endpoint 不會為其建立安全性工作。

修復的常見動作包括:

  • 封鎖 應用程式的執行。
  • 部署 作業系統更新,以減輕此弱點。
  • 部署 端點安全性原則,以減輕此弱點。
  • 修改 登錄值。
  • 用或 啟用 設定以影響此弱點。
  • 當沒有適當的建議提供時,需要注意 向系統管理員警示威脅。

以下是應用程式的範例工作流程。 此相同的一般工作流程適用于設定問題:

  • Microsoft Defender for Endpoint scan 會識別名為 Contoso Media Player v4 之應用程式的弱點,而且系統管理員會建立安全性工作來更新該應用程式。 Contoso Media player 是使用 Intune 部署的非管理應用程式。

    這項安全性工作會出現在 Intune 主控台中,狀態為擱置:

    在 Intune 主控台中查看安全性工作清單

  • Intune 系統管理員會選取安全性工作以查看有關任務的詳細資料。 然後,系統管理員會選取 [ 接受],以更新 Intune 中的狀態,並在更新要 接受 的端點中。

    接受或拒絕安全性任務

  • 然後,系統管理員會根據所提供的指引 remediates 任務。 指導方針會根據所需的修復類型而有所不同。 若有可用,補救指導方針會包含針對 Intune 中的設定開啟相關窗格的連結。

    因為此範例中的媒體播放機不是受管理的應用程式,所以 Intune 只會提供文字指示。 若應用程式是受管理的,Intune 可提供下載更新版本的指示,並提供連結來開啟應用程式的部署,使更新的檔案可以新增至部署。

  • 完成修復後,Intune 系統管理員會開啟安全性工作並選取 [ 完成任務]。 修正狀態會針對 Intune 及 Defender for Endpoint 進行更新,其中安全性管理員會確認該弱點的修訂狀態。

必要條件

訂閱

Defender For Endpoint 的 Intune 設定:

  • 使用 Microsoft Defender for Endpoint 設定服務對服務連線。

  • 使用執行 Windows 10 或更新版本 (桌面裝置,將裝置設定原則部署為執行或更新) 版本的桌面裝置,將會以 Defender for endpoint 評估風險的裝置。

    如需如何設定 Intune 以使用 Defender for Endpoint 的詳細資訊,請參閱 在 Intune 中強制使用條件式存取的 Microsoft Defender For Endpoint 相容性

使用安全性工作

在您可以使用安全性工作之前,必須先在 Defender Security Center 中建立這些工作。 如需使用 Microsoft Defender 資訊安全中心建立安全性工作的詳細資訊,請參閱在 Defender for Endpoint 檔中使用威脅與弱點管理修正漏洞

若要管理安全性工作:

  1. 登入 Microsoft 端點管理員系統管理中心

  2. 選取 端點安全性 > 安全性 工作。

  3. 從清單中選取任務,開啟顯示該安全性工作詳細資料的資源視窗。

    在查看 [安全性工作資源] 視窗時,您可以選取其他連結:

    • 受管理的應用程式-查看易受攻擊的應用程式。 當此弱點套用至多個應用程式時,您會看到一個已篩選的應用程式清單。
    • 裝置-查看 有漏洞裝置 的清單,從中您可以連結到具有該裝置之弱點之詳細資料的專案。
    • 要求者-使用連結,將郵件傳送給提交此安全性工作的系統管理員。
    • 記事-開啟安全性工作時,讀取要求者提交的自訂訊息。
  4. 選取 [ 接受 ] 或 [ 拒絕 ],以傳送您計畫動作的 Defender for Endpoint 的通知。 當您接受或拒絕工作時,您可以提交附注,將其傳送至端點的 Defender。

  5. 接受工作之後,請重新開啟安全性工作 (如果它) 關閉,然後遵循修正詳細資料以修正此弱點。 「安全性工作」詳細資料中的 [Defender for Endpoint] 提供的指示會因相關的弱點而異。

    在可能的情況下,修正指示包括在 Intune 主控台中開啟相關 configuration 物件的連結。

  6. 完成修復步驟之後,請開啟安全性工作並選取 [ 完成任務]。 此動作會更新 Intune 和 Defender for Endpoint 中的安全性任務狀態。

修正成功後,可根據修正裝置中的新資訊,將 Endpoint 中的風險暴露分數丟棄。

後續步驟

深入瞭解 Intune 和 Microsoft Defender For Endpoint

回顧 Intune 行動 威脅防護

在 Microsoft Defender for Endpoint 中檢查 威脅 & 漏洞管理儀表板