Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Der Agent zur Behebung von Sicherheitsrisiken befindet sich derzeit in einer eingeschränkten öffentlichen Vorschau und ist nur für eine ausgewählte Gruppe von Kunden verfügbar. Wenn Sie Zugriff haben möchten oder mehr erfahren möchten, wenden Sie sich bitte an Ihr Vertriebsteam, um weitere Details und die nächsten Schritte zu erhalten.
Der Sicherheitsrisikobehebungs-Agent für Security Copilot in Intune verwendet Daten aus Microsoft Defender Vulnerability Management, um allgemeine Sicherheitsanfälligkeiten (Common Vulnerabilities and Exposures, CVEs) auf Ihren verwalteten Geräten zu identifizieren. Die Ergebnisse werden für die Behebung priorisiert und enthalten schrittweise Anleitungen, die Sie bei der Verwendung von Intune zur Behebung der Bedrohung unterstützen. Dieser Copilot-Agent kann Ihnen helfen, die Zeit zu reduzieren, die zum Untersuchen, Identifizieren und Beheben von Bedrohungen benötigt wird, und letztendlich den allgemeinen Sicherheitsstatus Ihrer organization zu verbessern.
Wenn der Agent ausgeführt wird, analysiert er Daten aus Microsoft Defender Vulnerability Management und stellt eine priorisierte Liste von Vorschlägen bereit, die im Intune Admin Center angezeigt werden. Sie können einen Drilldown zu jedem Vorschlag durchführen, um Details anzuzeigen, die Folgendes umfassen:
- Die Anzahl der zugeordneten Sicherheitsrisiken (CVEs)
- Eine copilot-gestützte zusammengefasste Auswirkungsanalyse
- Empfohlene Maßnahmen
- Betroffene Systeme
- Verfügbar gemachte Geräte
- Mögliche Auswirkungen
- Schritt-für-Schritt-Anleitung für die Verwendung von Intune zur Behebung
Nachdem Sie einen Agent-Vorschlag korrigiert haben, können Sie ihn als angewendet markieren, damit der Agent einen Datensatz beibehält, den Sie zum Nachverfolgen von Wartungsaktionen im Laufe der Zeit verwenden können.
Da sich CVE-Details und empfohlene Anleitungen zur Behebung im Laufe der Zeit ändern können, können nachfolgende Ausführungen des Agents neue Details, Geräteanzahl und Wiederherstellungsschritte bereitstellen. Wenn Sie nachfolgende Bedrohungsberichte verwalten, kann ihnen die Aufzeichnung Ihrer zuvor angewendeten Lösungen helfen, die Änderung bestimmter Risiken basierend auf Ihren vorherigen Korrekturen nachzuverfolgen.
Tipp
Auf den Agent zur Behebung von Sicherheitsrisiken kann im Intune Admin Center sowohl über die Knoten Agents als auch Endpunktsicherheit zugegriffen werden. Jeder Pfad bietet Zugriff auf denselben Agent. In dieser Dokumentation wird für Verweise auf den Speicherort der Knoten Agents verwendet.
Inhalt dieses Artikels:
- Listet die Voraussetzungen für die Verwendung des Agents auf.
- Erläutert die Funktionsweise des Agents.
- Zeigt Ihnen, wie Sie den Agent einrichten.
- Zeigt Ihnen, wie Sie den Agent verlängern oder entfernen.
Informationen zu anderen Security Copilot-Agents in Intune und allgemeinen Features finden Sie unter Security Copilot Agents in Microsoft Intune.
Voraussetzungen
Cloudanforderungen
Der Agent wird nur in der öffentlichen Cloud unterstützt. Sie wird in Government Clouds nicht unterstützt.
Lizenzanforderungen
Um Security Copilot Agents in Microsoft Intune verwenden zu können, sind die folgenden Lizenzen erforderlich:
- Microsoft Intune Plan 1-Abonnement
- Microsoft Security Copilot mit ausreichenden Sicherheitscomputeeinheiten (SCUs)
- Microsoft Defender Vulnerability Management: Diese Funktion wird von Microsoft Defender for Endpoint P2 oder Defender Vulnerability Management Standalone bereitgestellt.
Plug-In-Anforderungen
Plug-Ins ermöglichen es Security Copilot Agents, sich mit Microsoft-Diensten zu verbinden und spezielle Aktionen auszuführen. Für diesen Agent sind die folgenden Plug-Ins erforderlich:
Wenn Sie Copilot in Intune verwenden, ist das Intune-Plug-In bereits aktiviert. Erfahren Sie mehr über Plug-Ins.
Geräteplattformanforderungen
Der Agent für die Behebung von Sicherheitsrisiken unterstützt Auswertungen und Empfehlungen für die folgenden Plattformen und Anwendungen:
- Windows
- Apps in Intune
Rollenanforderungen
Verwenden Sie zum Aktivieren und Konfigurieren des Agents ein Konto mit den folgenden Rollen:
Intune Rollen:
- Schreibgeschützter Operator oder eine benutzerdefinierte Rolle mit den folgenden Berechtigungen:
- Verwaltete Apps/lesen
- Mobile Apps/Lesen
- Gerätekonfigurationen/Lesen
Microsoft Defender Rollen:
- Dem Konto, das vom Agent für seine Identität verwendet wird, müssen Berechtigungen zugewiesen werden, die Microsoft Defender XDR RBAC-Konfigurationen entsprechen:
- Einheitliche RBAC:Rolle "Sicherheitsleseberechtigter "
- Differenzierte RBAC: Benutzerdefinierte RBAC-Rolle mit Berechtigungen, die der Rolle "Unified RBAC Security Reader" entsprechen
Security Copilot Rollen:
Um den Agent zu verwenden und Ergebnisse anzuzeigen, verwenden Sie ein Konto mit den folgenden Rollen:
- Schreibgeschützter Operator oder gleichwertige Berechtigungen
Funktionsweise des Agents
Der Agent zur Behebung von Sicherheitsrisiken führt automatisierte Auswertungen durch, um Sicherheitsrisiken auf Ihren verwalteten Geräten zu identifizieren und zu priorisieren. Funktionsweise:
1. Datensammlung: Der Agent sammelt Sicherheitsrisikodaten von Microsoft Defender Vulnerability Management und analysiert allgemeine Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVEs) auf Ihren verwalteten Geräten.
2. Analyse und Priorisierung : Der Agent wertet Sicherheitsrisikodaten aus und priorisiert Bedrohungen basierend auf Faktoren wie CVSS-Bewertungen, Gefährdungsauswirkungen und Geräteanzahl, um sich zuerst auf die kritischsten Probleme zu konzentrieren.
3. Anleitung zur Behebung: Für jede identifizierte Sicherheitsanfälligkeit bietet der Agent schrittweise Anleitungen zur Behebung, die auf Intune Funktionen zugeschnitten sind, einschließlich Richtlinienempfehlungen und Konfigurationsanleitungen.
4. Nachverfolgung und Berichterstellung : Der Agent verwaltet Aufzeichnungen der vorgeschlagenen Korrekturen und ermöglicht es Ihnen, angewendete Lösungen im Laufe der Zeit nachzuverfolgen, um die Bemühungen zur Verbesserung der Sicherheit zu messen.
Agent-Identität
Standardmäßig wird der Agent zur Behebung von Sicherheitsrisiken unter der Identität und den Berechtigungen des Administratorkontos ausgeführt, das zum Einrichten des Agents verwendet wird. Nach dem Setup kann diese Identität geändert werden.
Das Ändern der Identität wirkt sich nicht auf den Ausführungsverlauf des Agents aus, der weiterhin verfügbar ist.
Das Agent-Verhalten ist auf die Berechtigungen der Benutzeridentität beschränkt, unter der der Agent ausgeführt wird.
Der Agent wird dauerhaft in der Identität und den Berechtigungen des Intune Administratorkontos ausgeführt, das als Identität des Agents zugewiesen ist.
Die Agent-Identität wird bei jeder Agentausführung aktualisiert und läuft ab, wenn der Agent 90 aufeinanderfolgende Tage lang nicht ausgeführt wird. Wenn sich das Ablaufdatum nähert, erhält jeder Copilot-Besitzer und jede Copilot-Mitwirkender ein Warnbanner zur Verlängerung der Agent-Identität, wenn sie die Agent-Übersichtsseite anzeigen. Wenn die Agent-Authentifizierung abläuft, schlagen nachfolgende Agent-Ausführungen fehl, bis die Authentifizierung erneuert wird. Weitere Informationen zum Verlängern der Authentifizierung finden Sie unter Verlängern des Agents.
Wichtig
Wenn die Agent-Authentifizierung erneuert wird, beginnt der Agent mit der Verwendung der Anmeldeinformationen der Person, die auf die Schaltfläche Authentifizierung verlängern klickt.
Betriebsbezogene Überlegungen
Beachten Sie vor dem Ausführen des Agents zur Behebung von Sicherheitsrisiken die folgenden Punkte:
- Ein Administrator muss den Agent manuell starten. Sobald der Agent gestartet wird, gibt es keine Optionen, um ihn zu beenden oder anzuhalten.
- Starten Sie den Agent nur im Microsoft Intune Admin Center.
- Zugeordnete CVEs enthalten die Anzahl von CVEs auf Geräten mit Windows-Clientbetriebssystemeditionen, schließen jedoch Geräte mit Windows Server Editionen aus. CVEs werden gemäß der CVSS-Skalierung (Common Vulnerability Scoring System) als Niedrig, Mittel, Hoch und Kritisch klassifiziert.
- Die Liste der verfügbar gemachten Geräte enthält nur Geräte, die in Microsoft Entra gefunden wurden, und die nicht Windows Server Editionen sind.
- Der Agent unterstützt keine Bereichstags in der öffentlichen Vorschau.
- Nur der Benutzer, der den Agent eingerichtet hat, kann Sitzungsdetails im Microsoft Security Copilot-Portal anzeigen.
Wichtig
Daten, die der Agent meldet, werden durch Agent-Vorschläge sichtbar gemacht. Diese Daten sind möglicherweise für Administratoren sichtbar, die zugriffen, um den Agent im Intune Admin Center anzuzeigen, auch wenn sich diese Daten außerhalb der Administratoren befinden, denen Intune Rollen oder Bereich zugewiesen sind.
Einrichten des Agents
Der Agent wird unter der Identität und den Berechtigungen des Kontos ausgeführt, das während des Setups verwendet wird. Seine Aktionen sind auf die Berechtigungen dieses Kontos beschränkt, und die Identität wird bei jeder Ausführung aktualisiert.
So richten Sie den Agent ein:
Wechseln Sie im Microsoft Intune Admin Center zu Agent für dieSicherheitsrisikobehebung durch Agents>.
Wählen Sie unter Übersicht die Option Agent einrichten aus. Dieser Bereich zeigt Details zum Agent an, erfordert jedoch keine Konfiguration.
Überprüfen Sie die Details, um sicherzustellen, dass die Anforderungen erfüllt sind, und wählen Sie dann Agent starten aus, um den Setupbereich zu schließen und die erste Ausführung des Agents zu starten.
Nach Abschluss des Setups kann der Agent verwendet werden. Weitere Informationen zur Verwendung des Agents finden Sie unter Verwenden des Agents zur Behebung von Sicherheitsrisiken.
Verlängern des Agents
Wenn Sie 90 Tage lang keinen Agent verwenden, läuft die Agent-Autorisierung ab, und die Agentausführung schlägt bis zur erneuten Authentifizierung fehl. Sie können die Agent-Authentifizierung jederzeit verlängern.
Wenn der Ablauf näher rückt, zeigt Intune auf der Übersichtsseite des Agents eine Warnung an, die jeder Copilot-Besitzer und copilot-Mitwirkender sehen kann. Die Warnung fordert sie auf, die Agent-Identität zu erneuern.
Um die Agent-Identität erneut zu authentifizieren, wählen Sie Authentifizierung erneuern aus. Wenn Sie die Agent-Authentifizierung verlängern, verwendet der Agent automatisch die Anmeldeinformationen. Wenn Sie die Anmeldeinformationen nicht verwenden möchten, wählen Sie die Registerkarte >Agent-Einstellungen>Eine andere Identität auswählen aus.
Nach der Verlängerung verschwindet das Warnbanner, und eine Popupbenachrichtigung überprüft, ob die Verlängerung erfolgreich war.
Ändern der Agent-Identität
Standardmäßig wird der Agent unter der Identität des Administratorbenutzers ausgeführt, der den Agent im Mandanten eingerichtet hat. Nach dem Setup kann sich die Agent-Identität ändern, wenn ein anderer Benutzer den Agent erneuert, und durch Bearbeiten der Agent-Einstellungen, um explizit eine neue Agent-Identität zuzuweisen.
Eine Änderung der Agent-Identität wirkt sich nicht auf den Ausführungsverlauf des Agents aus.
Um eine neue Identität zuzuweisen, wechseln Sie im Intune Admin Center zum Agent für dieSicherheitsrisikobehebung für Agents> (Vorschau), und wählen Sie die Registerkarte Einstellungen aus. Unter Identität wird das aktuelle Benutzerkonto angezeigt, unter dem der Agent ausgeführt wird. Wählen Sie Andere Identität auswählen aus, um eine Kontoanmeldungsaufforderung zu öffnen. Wählen Sie ein neues Konto aus, das als Agentidentität verwendet werden soll, und authentifizieren Sie es dann.
Wichtig
Das Verhalten des Agents ist auf die Berechtigungsebene beschränkt, die der Identität des Benutzers zugewiesen sind, unter dem der Agent ausgeführt wird. Wenn der Benutzer, unter dessen Identität der Agent ausgeführt wird, über unzureichende Berechtigungen verfügt, kann der Agent nicht ausgeführt werden.
Entfernen des Agents
Wenn Sie einen Agent entfernen, werden alle zugehörigen Daten, einschließlich Vorschlägen und Aktivitäten, gelöscht. Zuvor angewendete Vorschläge bleiben unverändert.
Schritte zum Entfernen eines Agent-instance:
- Wählen Sie im Microsoft Intune Admin CenterAgents aus.
- Wählen Sie den Agent instance aus, den Sie entfernen möchten.
- Wählen Sie Agent entfernen aus, und bestätigen Sie die Entfernung.
Nach dem Entfernen:
- Der Agentbereich kehrt in den ursprünglichen Zustand zurück.
- Ein Administrator kann den Agent später erneut installieren, indem er den Setupvorgang wiederholt.
Hinweis
Um den Agent-instance zu entfernen, muss Ihr Konto ein Security Copilot Besitzer sein.
Mitgestalten der Zukunft von Intune Agents
Nehmen Sie an unserem feedback-Forum für Intune Agents teil, um Erkenntnisse zu teilen und zukünftige Funktionen in Microsoft Intune zu beeinflussen.
Registrieren Sie sich, und erfahren Sie mehr: https://aka.ms/IntuneAgentsForum