Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota:
El Agente de corrección de vulnerabilidades está actualmente en una versión preliminar pública limitada y está disponible solo para un grupo selecto de clientes. Si está interesado en obtener acceso o desea obtener más información, póngase en contacto con el equipo de ventas para obtener más información y los pasos siguientes.
El agente de corrección de vulnerabilidades para Security Copilot en Intune usa datos de Administración de vulnerabilidades de Microsoft Defender para identificar vulnerabilidades y exposiciones comunes (CVE) en los dispositivos administrados. Los resultados se priorizan para la corrección e incluyen instrucciones paso a paso que le guiarán en el uso de Intune para corregir la amenaza. Este agente de Copilot puede ayudarle a reducir el tiempo que se tarda en investigar, identificar y corregir amenazas, lo que, en última instancia, mejora la posición de seguridad general de su organización.
Cuando se ejecuta el agente, analiza los datos de Administración de vulnerabilidades de Microsoft Defender y proporciona una lista priorizada de sugerencias que aparecen en el centro de administración de Intune. Puede profundizar en cada sugerencia para ver los detalles que incluyen:
- Recuento de vulnerabilidades asociadas (CVE)
- Un análisis de impacto resumido asistido por Copilot
- Acciones recomendadas
- Sistemas afectados
- Dispositivos expuestos
- Posible impacto
- Guía paso a paso para usar Intune para corregirlo
Una vez que corrija una sugerencia del agente, puede marcarla como aplicada para que el agente conserve un registro que puede usar para realizar el seguimiento de las acciones de corrección a lo largo del tiempo.
Dado que los detalles de CVE y las instrucciones de corrección recomendadas pueden cambiar con el tiempo, las ejecuciones posteriores del agente pueden proporcionar nuevos detalles, recuentos de dispositivos y pasos de corrección. A medida que administra informes posteriores de amenazas, el registro de las soluciones aplicadas anteriormente puede ayudarle a realizar un seguimiento del cambio en riesgos específicos en función de las correcciones anteriores.
Sugerencia
El agente de corrección de vulnerabilidades es accesible en el centro de administración de Intune desde los nodos de seguridad Agentes y Punto de conexión. Cada ruta de acceso proporciona acceso al mismo agente. En esta documentación, las referencias a su ubicación usan el nodo Agentes .
En este artículo:
- Enumera los requisitos previos para usar el agente.
- Explica cómo funciona el agente
- Muestra cómo configurar el agente
- Muestra cómo renovar o quitar el agente
Para obtener información sobre otros agentes de Security Copilot en Intune y características comunes, consulte agentes de Security Copilot en Microsoft Intune.
Requisitos previos
Requisitos de la nube
El agente solo se admite en la nube pública. No se admite en nubes gubernamentales.
Requisitos de licencia
Para usar Security Copilot agentes en Microsoft Intune, se requieren las siguientes licencias:
- Plan 1 de Microsoft Intune suscripción
- Microsoft Security Copilot con suficientes unidades de proceso de seguridad (SKU)
- Administración de vulnerabilidades de Microsoft Defender: esta funcionalidad la proporciona Microsoft Defender para punto de conexión P2 o Administración de vulnerabilidades de Defender independiente.
Requisitos de complementos
Los complementos permiten a Security Copilot agentes conectarse a los servicios de Microsoft y realizar acciones especializadas. Este agente requiere los siguientes complementos:
Si usa Copilot en Intune, el complemento Intune ya está habilitado. Obtenga más información sobre los complementos.
Requisitos de la plataforma de dispositivos
El Agente de corrección de vulnerabilidades admite la evaluación y las recomendaciones para las siguientes plataformas y aplicaciones:
- Windows
- Aplicaciones en Intune
Requisitos de roles
Para habilitar y configurar el agente, use una cuenta con los siguientes roles:
Intune roles:
- Operador de solo lectura o un rol personalizado con los permisos siguientes:
- Aplicaciones administradas o lectura
- Aplicaciones móviles/lectura
- Configuraciones o lecturas de dispositivos
Microsoft Defender roles:
- La cuenta usada por el agente para su identidad debe tener permisos asignados que se alineen con Microsoft Defender XDR configuraciones de RBAC:
- RBAC unificado: rol lector de seguridad
- RBAC granular: Rol RBAC personalizado con permisos equivalentes al rol lector de seguridad de RBAC unificado
Security Copilot roles:
Para usar el agente y ver los resultados, use una cuenta con los siguientes roles:
- Operador de solo lectura o permisos equivalentes
Funcionamiento del agente
El Agente de corrección de vulnerabilidades realiza evaluaciones automatizadas para identificar y priorizar vulnerabilidades en los dispositivos administrados. Aquí se muestra cómo funciona:
1. Recopilación de datos: el agente recopila datos de vulnerabilidades de Administración de vulnerabilidades de Microsoft Defender, analizando vulnerabilidades y exposiciones comunes (CVE) en los dispositivos administrados.
2. Análisis y priorización : el agente evalúa los datos de vulnerabilidad y prioriza las amenazas en función de factores como las puntuaciones de CVSS, el impacto de la exposición y el recuento de dispositivos para centrarse primero en los problemas más críticos.
3. Guía de corrección: para cada vulnerabilidad identificada, el agente proporciona instrucciones de corrección paso a paso adaptadas a las capacidades de Intune, incluidas las recomendaciones de directivas y las instrucciones de configuración.
4. Seguimiento e informes : el agente mantiene registros de correcciones sugeridas y le permite realizar un seguimiento de las soluciones aplicadas a lo largo del tiempo, lo que ayuda a medir los esfuerzos de mejora de la seguridad.
Identidad del agente
De forma predeterminada, el Agente de corrección de vulnerabilidades se ejecuta bajo la identidad y los permisos de la cuenta de administrador que se usa para configurar el agente. Después de la instalación, esta identidad se puede cambiar.
Cambiar la identidad no afecta al historial de ejecución del agente, que sigue estando disponible.
El comportamiento del agente se limita a los permisos de la identidad de usuario en la que se ejecuta el agente.
El agente se ejecuta de forma persistente en la identidad y los permisos de la cuenta de administrador de Intune que se asigna como identidad del agente.
La identidad del agente se actualiza con cada ejecución del agente y expira si el agente no se ejecuta durante 90 días consecutivos. Cuando se acerca la fecha de expiración, cada propietario de Copilot y colaborador de Copilot recibe un banner de advertencia sobre la renovación de la identidad del agente cuando ven la página de información general del agente. Si expira la autenticación del agente, se producirá un error en las ejecuciones posteriores del agente hasta que se renueve la autenticación. Para obtener más información sobre la renovación de la autenticación, consulte Renovación del agente.
Importante
Cuando se renueva la autenticación del agente, el agente comienza a usar las credenciales del individuo que hace clic en el botón Renovar autenticación.
Consideraciones operativas
Antes de ejecutar el Agente de corrección de vulnerabilidades, tenga en cuenta estos puntos:
- Un administrador debe iniciar manualmente el agente. Una vez que se inicia el agente, no hay ninguna opción para detenerlo o pausarlo.
- Inicie solo el agente desde el centro de administración de Microsoft Intune.
- Los CVE asociados contienen el recuento de CVE en dispositivos con ediciones de sistema operativo cliente de Windows, pero excluyen los dispositivos con ediciones Windows Server. Los CVE se clasifican como Bajo, Medio, Alto y Crítico según la escala CVSS (Common Vulnerability Scoring System).
- La lista de dispositivos expuestos solo incluye los dispositivos que se encuentran en Microsoft Entra y que no son ediciones Windows Server.
- El agente no admite etiquetas de ámbito en versión preliminar pública.
- Solo el usuario que configura el agente puede ver los detalles de la sesión en el portal de Microsoft Security Copilot.
Importante
Los datos que informa el agente se hacen visibles a través de sugerencias del agente. Estos datos pueden ser visibles para los administradores con acceso para ver el agente dentro del centro de administración de Intune, incluso cuando esos datos están fuera de los administradores asignados Intune roles o ámbito.
Configuración del agente
El agente se ejecuta con la identidad y los permisos de la cuenta usada durante la instalación. Sus acciones se limitan a los permisos de esa cuenta y la identidad se actualiza con cada ejecución.
Para configurar el agente:
En el centro de administración de Microsoft Intune, vaya a Agente decorrección de vulnerabilidades>.
En Información general, seleccione Configurar agente. Este panel muestra detalles sobre el agente, pero no requiere ninguna configuración.
Revise los detalles para asegurarse de que se cumplen los requisitos y, a continuación, seleccione Iniciar agente para cerrar el panel de configuración e iniciar la primera ejecución del agente.
Una vez completada la instalación, el agente está listo para usarse. Para más información sobre el uso del agente, consulte Uso del agente de corrección de vulnerabilidades.
Renovación del agente
Si no usa un agente durante 90 días, la autorización del agente expira y se ejecuta el agente hasta que se vuelve a autenticar. Puede renovar la autenticación del agente en cualquier momento.
A medida que se acerca la expiración, Intune muestra una advertencia en la página de información general del agente que puede ver cada propietario de Copilot y colaborador de Copilot. La advertencia le pide que renueve la identidad del agente.
Para volver a autenticar la identidad del agente, seleccione Renovar autenticación. Al renovar la autenticación del agente, el agente usa automáticamente las credenciales de sesión iniciadas. Si no desea usar las credenciales de inicio de sesión, seleccione la pestaña >Configuración del agente >Elija otra identidad.
Después de la renovación, el banner de advertencia desaparece y una notificación del sistema valida que la renovación se realiza correctamente.
Cambio de la identidad del agente
De forma predeterminada, el agente se ejecuta bajo la identidad del usuario administrativo que configuró el agente en el inquilino. Después de la instalación, la identidad del agente puede cambiar cuando un usuario diferente renueva el agente y editando la configuración del agente para asignar explícitamente una nueva identidad de agente.
Un cambio de la identidad del agente no afecta al historial de ejecución del agente.
Para asignar una nueva identidad, en el centro de administración de Intune, vaya a Agente decorrección de vulnerabilidades de agentes> (versión preliminar) y seleccione la pestaña Configuración. En Identidad, puede ver la cuenta de usuario actual en la que se ejecuta el agente. Seleccione Elegir otra identidad para abrir un símbolo del sistema de inicio de sesión de la cuenta. Seleccione y autentique una nueva cuenta para usarla como identidad de agentes.
Importante
El comportamiento del agente se limita al nivel de permisos asignados a la identidad del usuario en el que se ejecuta el agente. Cuando el usuario cuya identidad ejecuta el agente no tiene permisos suficientes, el agente no se puede ejecutar.
Quitar el agente
Al quitar un agente, se eliminan todos los datos asociados generados, incluidas las sugerencias y las actividades. Las sugerencias aplicadas anteriormente permanecen sin cambios.
Pasos para quitar una instancia del agente:
- En el centro de administración de Microsoft Intune, seleccione Agentes.
- Seleccione la instancia del agente que desea quitar.
- Seleccione Quitar agente y confirme la eliminación.
Después de la eliminación:
- El panel del agente vuelve a su estado original.
- Un administrador puede volver a instalar el agente más adelante si repite el proceso de instalación.
Nota:
Para quitar la instancia del agente, la cuenta debe ser un propietario de Security Copilot.
Ayudar a dar forma al futuro de los agentes de Intune
Únase a nuestro foro de comentarios de Intune Agents para compartir información e influir en las próximas funcionalidades en Microsoft Intune.
Regístrese y obtenga más información: https://aka.ms/IntuneAgentsForum