Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Agent für die Behebung von Sicherheitsrisiken verwendet KI-gestützte Analysen, um Sicherheitsrisiken auf Ihren verwalteten Geräten zu identifizieren und zu priorisieren und schrittweise Anleitungen zur Behebung durch das Intune Admin Center bereitzustellen.
Nachdem Sie den Agent eingerichtet haben, können Sie Sicherheitsrisikobewertungen durchführen, priorisierte Vorschläge überprüfen und den Fortschritt der Korrektur im Laufe der Zeit nachverfolgen.
Tipp
Auf den Agent zur Behebung von Sicherheitsrisiken kann im Intune Admin Center sowohl über die Knoten Agents als auch Endpunktsicherheit zugegriffen werden. Jeder Pfad bietet Zugriff auf denselben Agent. In dieser Dokumentation wird für Verweise auf den Speicherort der Knoten Agents verwendet.
In diesem Artikel erfahren Sie, wie Sie den Agent für die Behebung von Sicherheitsrisiken verwenden, einschließlich:
- Ausführen von Sicherheitsrisikobewertungen
- Überprüfen und Verwalten von Vorschlägen
- Grundlegendes zur Anleitung zur Behebung
- Nachverfolgen angewendeter Korrekturen
Weitere Informationen zum Agent und dessen Einrichtung finden Sie unter Agent zur Behebung von Sicherheitsrisiken in Microsoft Intune.
Voraussetzungen
Bevor Sie beginnen, lesen Sie die Anforderungen im Artikel Agent zur Behebung von Sicherheitsrisiken .
Erkunden des Agents zur Behebung von Sicherheitsrisiken
Verwalten Sie den Agent nach der Konfiguration im Bereich Agent für die Behebung von Sicherheitsrisiken.
Wählen Sie im Microsoft Intune Admin Centeragents>Vulnerability Remediation Agent (Vorschau) aus. Wählen Sie die folgenden Registerkarten aus, um mehr zu erfahren:
- Übersicht: Anzeigen der aktuellen status des Agents, der vom Agent identifizierten sicherheitsrelevanten Sicherheitsrisiken mit der höchsten Priorität und Der Datensatz der aktuellen Agent-Aktivität.
- Vorschläge : Hier finden Sie die vollständige Liste der Sicherheitsrisiken, die der Agent identifiziert hat.
- Einstellungen : Auf dieser Registerkarte werden die Konfigurationsdetails des Agents angezeigt.
Die Registerkarte Übersicht enthält Folgendes:
- Agent status: Auf verschiedenen Kacheln wird der Agent vorgestellt, es wird ausführlich beschrieben, ob der Agent verfügbar ist, und seine aktuelle Ausführung status.
- Agentvorschläge : Dies ist eine kurze Liste der wichtigsten Sicherheitsrisiken, die behoben werden sollten.
- Aktivität : In diesem Bereich werden die aktuellen und vergangenen Ausführungsaktivitäten des Agents nachverfolgt. Wenn der Agent noch aktiv ausgeführt wird, wird in der Spalte Status ausgeführt ausgeführt angezeigt. In status Spalte wird Für frühere Agent-Ausführungen abgeschlossen angezeigt.
Nachdem der Agent eine Ausführung abgeschlossen hat, wird die Registerkarte Übersicht mit den wichtigsten Sicherheitsrisiken aktualisiert, die überprüft und behoben werden sollten. Auf dieser Registerkarte werden nur wenige Vorschläge gleichzeitig angezeigt. Die vollständige Liste finden Sie auf der Registerkarte Vorschläge. Verwenden Sie beide Registerkarten, um Einen Drilldown auszuführen und Empfehlungen zu überprüfen oder zu verwalten.
Ausführen des Agents zur Behebung von Sicherheitsrisiken
Führen Sie den Agent aus, um neue Daten aus Defender auszuwerten und Agent-Vorschläge für erkannte Sicherheitsrisiken zu aktualisieren. Der Agent wird ausgeführt, bis die Auswertung abgeschlossen ist. sie kann nicht beendet oder angehalten werden.
Der Agent verwendet die Identität und die Berechtigungen des zugewiesenen Intune Administratorkontos. Seine Vorgänge sind auf die Berechtigungen dieses Kontos beschränkt. Wenn der Agent 90 aufeinanderfolgende Tage nicht ausgeführt wird, läuft seine Authentifizierung ab, und nachfolgende Ausführungen schlagen fehl, bis die Identität erneuert wird.
Der Agent unterstützt keine geplanten Ausführungen und muss jedes Mal manuell gestartet werden, wenn Sie seine Ergebnisse aktualisieren möchten.
So führen Sie den Agent zur Behebung von Sicherheitsrisiken manuell aus:
Wechseln Sie im Microsoft Intune Admin Center zu Agent> fürsicherheitsrisikobehebungs-Agent (Vorschau).
Wählen Sie auf der Registerkarte Übersicht die Option Agent starten aus. Diese Option ist erst verfügbar, nachdem der Agent eingerichtet und seine erste Ausführung abgeschlossen wurde.
Verwalten von Agent-Vorschlägen
Verwenden Sie den Knoten Sicherheitsrisikobehebungs-Agent, um die Vorschläge für Sicherheitsrisiken im Intune Admin Center zu überprüfen und zu verwalten. Agentvorschläge sind eine priorisierte Liste der wichtigsten Sicherheitsrisiken, die basierend auf Daten aus Microsoft Defender Vulnerability Management identifiziert wurden.
Sie können Sowohl auf den Registerkarten Übersicht als auch Vorschläge Agentvorschläge auswählen.
Grundlegendes zu Agentvorschlägen
Agentvorschläge zeigen die folgenden Informationen an:
Empfohlene nächste Schritte: Jeder vorgeschlagene nächste Schritt ist ein Link, über den ein Bereich " Vorgeschlagene Aktion " mit detaillierten Anleitungen zur Behebung geöffnet wird.
Auswirkungen: Die potenziellen Auswirkungen basierend auf dem Expositionsscore, wie von Microsoft Defender Vulnerability Management identifiziert.
Verfügbar gemachte Geräte: Die Anzahl der betroffenen Geräte. Die vom Agent angezeigten CVE-Zähler gelten nur für Geräte mit Windows-Clientbetriebssystemeditionen und enthalten keine Servereditionen.
Status: Standardmäßig ist die status für eine gemeldete Sicherheitsanfälligkeit auf Nicht angewendet festgelegt. Sie können Vorschläge nach der Implementierung der Korrektur als angewendet markieren.
Zuletzt angewendet: Das Datum und die Uhrzeit, zu der Sie den Leitfaden zur Behebung als angewendet markiert haben.
Arbeiten mit vorgeschlagenen Aktionen
Wenn Sie einen vorgeschlagenen nächsten Schritt auswählen, enthält der Bereich Vorgeschlagene Aktion ausführliche Informationen, darunter:
- Details zu den zugehörigen Sicherheitsrisiken (für Intune verwaltete Geräte)
- Empfohlene Maßnahmen zur Behebung der Bedrohung
- Abschnitt "Konfigurationen" mit verfügbaren Einstellungen aus dem Intune-Einstellungskatalog
- Eine Option zum Markieren der Wartung als Angewendet
Anleitungskategorien für Die Wartung
Der Leitfaden zur Behebung gliedert sich in die folgenden Kategorien:
Apps: Um App-Sicherheitsrisiken zu beheben, empfiehlt der Agent möglicherweise Folgendes:
- Bereitstellung einer aktualisierten App-Version
- Bereitstellung eines Intune-Profils zum Verwalten des App-Verhaltens und Reduzieren von Sicherheitsrisiken
Betriebssystem: Zur Behebung von Sicherheitsrisiken für Das Betriebssystem (z. B. für Windows) werden häufig folgende Empfehlungen empfohlen:
- Bereitstellung einer Richtlinie für Qualitätsupdates
- Beschleunigte Bereitstellung von Qualitätsupdates mithilfe von Windows-Updateringen
Wenn eine Empfehlung ein Windows-Update umfasst, enthält der Agent-Leitfaden Details zur Verwendung von Updateringen zur Verwaltung eines kontrollierten Rollouts des Updates.
Wichtig
Einige empfohlene Windows Update-Empfehlungen beginnen mit Expedite. Der Agent verwendet dieses Format, wenn die CVSS-Bewertung (Common Vulnerability Scoring System) der CVE einen Risikowert von 9,0 oder höher erreicht. Für diese Risikostufe empfiehlt der Agent, diese Updates sofort für Ihre Geräte zu beschleunigen. Der Leitfaden enthält, wie Sie die beschleunigte Installation von Qualitätsupdates verwenden, um das empfohlene Update schneller bereitzustellen.
Konfigurationsempfehlungen
Hinweis
Es gibt ein aktives, aber vorübergehendes Problem, das sich auf den Agent zur Behebung von Sicherheitsrisiken auswirkt. Bis es behoben ist, kann der Agent keine empfohlenen Konfigurationen für Einstellungen bereitstellen, die für diese Bedrohung verwendet werden sollen. Der Agent identifiziert weiterhin Bedrohungen, erklärt deren Hintergrund und bietet schrittweise Aktionen an.
Konfigurationsempfehlungen werden automatisch fortgesetzt, sobald das Problem behoben wurde.
Im Abschnitt Konfigurationen enthält der Agent Details zum Erstellen einer Gerätekonfigurationsrichtlinie mithilfe der verfügbaren Einstellungen aus dem Einstellungskatalog. Dieser Leitfaden hilft Ihnen, Ihre Angriffsfläche auf Sicherheitsrisiken zu reduzieren, und umfasst Folgendes:
- Eine Liste der relevanten Einstellungen, die Sie über eine Katalogrichtlinie für Intune Einstellungen konfigurieren können
- Für jede Einstellung wird die empfohlene Konfiguration angezeigt.
- Wenn Sie das Zitatsymbol neben einer Einstellung auswählen, wird die Beschreibung dieser Einstellung und möglicherweise Links zur zugrunde liegenden Dokumentation des Konfigurationsdienstanbieters (Configuration Service Provider, CSP) angezeigt.
Wenn keine empfohlenen Gerätekonfigurationseinstellungen für die Bereitstellung vorhanden sind, wird im Abschnitt Konfigurationen angegeben, dass keine empfohlenen Einstellungen für Katalogrichtlinienkonfigurationen verfügbar sind.
Nachverfolgen angewendeter Korrekturen
Nachdem Sie agent-Vorschläge überprüft und empfohlene Korrekturen angewendet haben, können Sie die Anwendung dieser Korrekturen selbst bestätigen, indem Sie Als angewendet markieren auswählen. Diese Aktion:
- Bestätigt, dass die Korrekturschritte abgeschlossen sind
- Löst keine Geräteänderungen durch den Agent aus.
- Fügt einen Zeitstempel namens Zuletzt als angewendet markiert hinzu, um nachzuverfolgen, wann die Korrektur implementiert wurde.
Bei nachfolgenden Ausführungen des Agents können Vorschläge aktualisiert werden. Wenn ein vorheriger Vorschlag als angewendet markiert wurde, können Sie die Anwendung der neueren Vorschläge selbst bestätigen, indem Sie Update als angewendet markieren auswählen. Dadurch wird der Zeitstempel Zuletzt als angewendet markiert auf die aktuelle Uhrzeit aktualisiert.
Das Markieren einer vorgeschlagenen Aktion als angewendet ist zwar optional, hilft dabei, nachzuverfolgen, wann die vorgeschlagenen Korrekturen implementiert wurden. Als angewendet markierte Empfehlungen bleiben in der Liste der Agent-Vorschläge erhalten und dienen als Baseline für zukünftige Ausführungen und ermöglichen es Ihnen, neue Ergebnisse und Änderungen im Laufe der Zeit für dasselbe Sicherheitsrisiko zu vergleichen.
Anzeigen der Agent-Aktivität
Im Abschnitt Aktivität werden die aktuellen und vergangenen Ausführungsaktivitäten des Agents nachverfolgt:
- Wenn der Agent aktiv ausgeführt wird, wird in der Spalte Status ausgeführt ausgeführt angezeigt.
- In der Spalte status wird Abgeschlossen für frühere Agent-Ausführungen angezeigt.
Dieser Abschnitt bietet Einblick in:
- Wann der Agent zuletzt ausgeführt wurde
- Wie lange dauerte die Ausführung der einzelnen Ausführungsausführungen
- Erfolg oder Fehler status jeder Ausführung
Agent-Protokolle
Alle Agent-Verwaltungsaktionen (Erstellen, Löschen, Ausführen) und alle Berechtigungsfehler sind in Security Copilot Protokollen verfügbar. Die Protokollierung der ermittelten Sicherheitsrisiken oder des Zeitpunkts der Anwendung von Korrekturen ist nicht verfügbar. Verwenden Sie stattdessen die Optionen, um behobene Sicherheitsrisiken als Angewendet zu markieren.
Häufige Fehler
Während die Agent-Ausführung aufgrund unzureichender SCUs fehlschlägt, gibt es weitere mögliche Fehler, die auftreten können. In diesem Abschnitt werden einige häufige Fehlermeldungen aufgeführt, die bei der Verwendung des Agents auftreten können, sowie Erläuterungen und vorgeschlagene Aktionen.
Der Agent liefert keine genauen Vorschläge.
In diesem Fall verfügt der Agent möglicherweise nicht über genügend Daten, um genaue Vorschläge zu generieren, oder seine Einstellungen stimmen möglicherweise nicht vollständig mit der Umgebung Ihres organization überein.
Um zukünftige Vorschläge zu verbessern, verwenden Sie die Schaltflächen 
"Gefällt mir" bzw. "Gefällt mir nicht", die für jeden Vorschlag verfügbar sind, um Ihr Feedback zu teilen.
Sie haben keinen Zugriff auf diesen Agent: Lizenzen
Details: Sie verfügen nicht über die Lizenzen, die für den Zugriff auf diesen Agent erforderlich sind.
Überprüfen Sie die Lizenzierungs- und Plug-Ins-Anforderungen für diesen Agent, und stellen Sie sicher, dass die erforderlichen Lizenzen und Konfigurationen in Ihrem Mandanten zugewiesen sind.
Sie haben keinen Zugriff auf diesen Agent : Arbeitsbereich
Details: Sie sind nicht Teil des Arbeitsbereichs, der für den Zugriff auf diesen Agent erforderlich ist.
Diese Meldung gibt an, dass Ihr Konto nicht über die Berechtigung zum Anzeigen oder Verwenden des Security Copilot Arbeitsbereichs verfügt, der zum Zeitpunkt des Hinzufügens Security Copilot zu Ihrem Mandanten konfiguriert ist. Wenden Sie sich an den Administrator, der Ihr Security Copilot-Abonnement installiert oder verwaltet, um Hilfe beim Zugriff zu erhalten. Weitere Informationen finden Sie unter Grundlegendes zur Authentifizierung in Microsoft Security Copilot.
Sie haben keinen Zugriff auf diesen Agent: Berechtigungen
Details: Sie verfügen nicht über die erforderlichen Berechtigungen für den Zugriff auf diesen Agent.
Überprüfen Sie die Rollenanforderungen für die Verwendung des Agents. Wenden Sie sich an einen Intune Administrator, um Ihrem Konto die erforderlichen Berechtigungen zuzuweisen.
Der Agent ist auf einen Fehler gestoßen und hat die Ausführung nicht abgeschlossen. Versuchen Sie erneut, den Agent auszuführen.
Details: Der Agent instance konnte seine Ausführung nicht starten oder erfolgreich abschließen. Details des Fehlers können nicht identifiziert werden. Obwohl es nicht ausgeführt oder abgeschlossen werden kann, können Administratoren weiterhin die Agent-Vorschläge aus früheren Ausführungen anzeigen und verwalten.
Wenn der Agent weiterhin fehlschlägt, ist es möglich, dass seine Autorisierung für sein Identitätskonto verloren gegangen ist und erst ausgeführt werden kann, wenn er erneut authentifiziert wird. Mögliche Gründe für einen Autorisierungsverlust sind unter anderem:
- Die Autorisierungsfrist des Agenten von 90 Tagen wurde erreicht.
- Das Benutzerkonto, mit dem der Agent installiert wurde, unterliegt einer Richtlinie, die eine regelmäßige erneute Authentifizierung erfordert.
- Ein Zugriffstoken wurde widerrufen.
Die erneute Autorisierung des Agents erfordert, dass der Agent entfernt und dann erneut eingerichtet wird.
Warnung
Wenn ein Agent entfernt wird, werden alle vorhandenen Agent-Vorschläge gelöscht. Dies schließt Details zu Vorschlägen ein, die als Angewendet gekennzeichnet wurden.