Использование Microsoft Intune для устранения уязвимостей, обнаруженных Microsoft Defender для конечной точки

Интеграция Microsoft Defender для конечной точки с Microsoft Intune позволяет воспользоваться преимуществами управления угрозами и уязвимостями Defender для конечной точки с помощью задач безопасности Intune. Задачи безопасности в Intune помогают администраторам Intune понять, а затем устранить многие недостатки устройств, определяемые возможностями управления уязвимостями Microsoft Defender для конечной точки. Эта интеграция обеспечивает основанный на рисках подход к обнаружению и определению приоритетов уязвимостей и может помочь увеличить время реагирования на исправление в вашей среде.

Средство по управлению угрозами и уязвимостями входит в состав Microsoft Defender для конечной точки.

Как работает интеграция

После подключения Intune к Microsoft Defender для конечной точки Defender для конечной точки получает сведения об угрозах и уязвимостях с устройств, которыми вы управляете с помощью Intune. Эти сведения становятся видны администраторам безопасности в консоли Центра безопасности Microsoft Defender.

В консоли Центра безопасности Microsoft Defender администраторы безопасности могут проверять уязвимости конечных точек и действовать над ними, выполнив несколько простых действий, которые создают задачи безопасности для Microsoft Intune. Задачи безопасности сразу же отображаются в Центре администрирования Microsoft Intune, где они видны администраторам Intune, которые затем могут использовать сведения для действий и устранения проблем.

  • Уязвимости основаны на угрозах или проблемах, оцениваемых Microsoft Defender для конечной точки при сканировании и оценке устройства.
  • Не все уязвимости и проблемы, обнаруженные Defender для конечной точки, поддерживают исправление через Intune. Такие проблемы не приводят к созданию задачи безопасности для Intune.

Задачи безопасности определяют:

  • Тип уязвимости
  • Priority
  • Состояние
  • Действия, которые необходимо предпринять для устранения уязвимости

В Центре администрирования администратор Intune может проверить, а затем принять или отклонить задачу. После того как администратор примет задачу в Intune, он может использовать Intune для устранения уязвимости, руководствуясь сведениями, указанными в задаче.

После успешного исправления администратор Intune устанавливает для задачи безопасности значение Завершить задачу. Это состояние отображается в Intune и передается обратно в Defender для конечной точки, где администраторы безопасности могут подтвердить измененное состояние уязвимости.

Сведения о задачах безопасности:

Каждая задача безопасности имеет тип исправления:

  • Приложение — идентифицировано приложение с уязвимостью или проблемой, которую можно устранить с помощью Intune. Например, Microsoft Defender для конечной точки определяет уязвимость приложения Contoso Media Player версии 4, и администратор создает задачу по обеспечению безопасности для обновления этого приложения. Проигрыватель мультимедиа Contoso — это неуправляемое приложение, развернутое с помощью Intune. Для него может существовать обновление системы безопасности или более новая версия приложения, которая устраняет проблему.

  • Конфигурация — уязвимости или риски в среде могут быть устранены с помощью политик безопасности конечной точки Intune. Например, Microsoft Defender для конечной точки определяет, что устройства не имеют защиты от потенциально нежелательных приложений (PUA). Администратор создает задачу безопасности для этой проблемы, которая определяет, как устранить проблему настройки параметра Действие для принятия потенциально нежелательных приложений в рамках профиля антивирусной программы в Microsoft Defender для антивирусной программы.

    Если проблема конфигурации не имеет правдоподобных исправлений, которые может предоставить Intune, Microsoft Defender для конечной точки не создает для нее задачу безопасности.

Действия по исправлению:

Ниже перечислены распространенные действия по исправлению.

  • Блокировка работы приложения.
  • Развертывание обновления операционной системы для устранения уязвимости.
  • Развертывание политики безопасности конечной точки для устранения уязвимости.
  • Изменение значения реестра.
  • Отключение или включение конфигурации, влияющей на уязвимость.
  • Сообщение, требующее внимания, обращает внимание администратора на угрозу, если подходящих рекомендаций нет.

Пример рабочего процесса:

В следующем примере показан рабочий процесс обнаружения уязвимости приложения к исправлению. Этот же общий рабочий процесс применим к проблемам конфигурации:

  • Microsoft Defender для конечной точки определяет уязвимость приложения Contoso Media Player версии 4, и администратор создает задачу по обеспечению безопасности для обновления этого приложения. Проигрыватель Contoso Media — это неуправляемое приложение, которое не было развернуто с помощью Intune.

    Эта задача безопасности отображается в Центре администрирования Microsoft Intune с состоянием Ожидание:

    Просмотр списка задач безопасности в Центре администрирования Intune

  • Администратор Intune выбирает задачу по обеспечению безопасности для получения сведений о ней. Затем он выбирает Принять, после чего состояние в Intune и Microsoft Defender для конечной точки меняется на Принято.

    Принятие или отклонение задачи по обеспечению безопасности

  • Затем администратор выполняет задачу по предоставленным инструкциям. Рекомендации зависят от типа необходимого исправления. Инструкции по исправлению включают ссылки (если они доступны), открывающие соответствующие области для настроек в Intune.

    Так как проигрыватель мультимедиа в этом примере — неуправляемое приложение, Intune может предоставить только текстовые инструкции. Для управляемого приложения Intune может предоставить инструкции по скачиванию обновленной версии и ссылку для открытия развертывания приложения, чтобы можно было добавить обновленные файлы в развертывание.

  • После завершения исправления администратор Intune открывает задачу безопасности и выбирает Завершить задачу. Состояние исправления обновляется в Intune и Microsoft Defender для конечной точки, где администратор безопасности подтверждает измененное состояние для устранения уязвимости.

Предварительные требования

Подписки:

Конфигурации Intune для Defender для конечной точки:

Работа с задачами по обеспечению безопасности

Прежде чем начать работать с задачами безопасности, их необходимо создать в Центре безопасности Defender. Сведения об использовании Центра безопасности Microsoft Defender для создания задач безопасности см. в статье Исправление уязвимостей с помощью контроля угроз и уязвимостей в документации Defender для конечной точки.

Управление задачами безопасности:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность конечной точки>Задачи безопасности.

  3. Выберите задачу из списка, чтобы открыть окно ресурсов, в котором отображаются дополнительные сведения об этой задаче безопасности.

    При просмотре окна ресурсов задачи по обеспечению безопасности можно выбрать дополнительные ссылки:

    • "Управляемые приложения" — просмотрите уязвимое приложение. Если уязвимость применяется к нескольким приложениям, Intune отображает отфильтрованный список приложений.
    • "Устройства" — просмотрите список уязвимых устройств, из которого по ссылке можно перейти к записи с подробными сведениями об уязвимости на этом устройстве.
    • "Источник запроса" — воспользуйтесь ссылкой для отправки почты администратору, отправившему эту задачу по обеспечению безопасности.
    • "Заметки" — прочтите пользовательские сообщения, отправленные источником запроса, при открытии задачи по обеспечению безопасности.
  4. Выберите Принять или Отклонить для отправки в Defender для конечной точки уведомления о запланированном действии. При принятии или отклонении задачи можно отправлять заметки, которые передаются в Defender для конечной точки.

  5. Приняв задачу по обеспечению безопасности, снова откройте ее (если она закрыта) и устраните уязвимость в соответствии с указаниями в разделе "Исправление". Инструкции, предоставленные Defender для конечной точки в сведениях о задаче обеспечения безопасности, зависят от конкретной уязвимости.

    Если это возможно, инструкции по исправлению включают ссылки, которые открывают соответствующие объекты конфигурации в Центре администрирования Microsoft Intune.

  6. Выполнив действия по устранению уязвимости, откройте задачу по обеспечению безопасности и выберите Завершение задачи. При этом состояние задачи по обеспечению безопасности обновится в Intune и Microsoft Defender для конечной точки.

После успешного устранения уязвимости оценка риска в Defender для конечной точки может снизиться на основе новой информации, полученной от устройств с устраненными уязвимостями.

Дальнейшие действия

Узнайте об Intune и Microsoft Defender для конечной точки.

Просмотрите сведения о службе защиты от угроз на мобильных устройствах Intune.

Ознакомьтесь с панелью мониторинга средства по управлению угрозами и уязвимостями в Microsoft Defender для конечной точки.