Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Uwaga
Agent korygowania luk w zabezpieczeniach jest obecnie w ograniczonej publicznej wersji zapoznawczej i jest dostępny tylko dla wybranej grupy klientów. Jeśli chcesz uzyskać dostęp lub chcesz dowiedzieć się więcej, skontaktuj się z zespołem ds. sprzedaży, aby uzyskać więcej informacji i następne kroki.
Agent korygowania luk w zabezpieczeniach dla Security Copilot w Intune używa danych z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do identyfikowania typowych luk w zabezpieczeniach i ekspozycji (CVE) na zarządzanych urządzeniach. Wyniki są traktowane priorytetowo w celu korygowania i zawierają instrukcje krok po kroku, które ułatwiają korzystanie z Intune w celu skorygowania zagrożenia. Ten agent copilot może pomóc skrócić czas potrzebny na badanie, identyfikowanie i korygowanie zagrożeń, co ostatecznie poprawia ogólną kondycję zabezpieczeń organizacji.
Po uruchomieniu agenta analizuje dane z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender i udostępnia priorytetową listę sugestii wyświetlanych w centrum administracyjnym Intune. Możesz przejść do szczegółów każdej sugestii, aby wyświetlić szczegóły, które obejmują:
- Liczba skojarzonych luk w zabezpieczeniach (CVE)
- Podsumowana analiza wpływu wspomagana przez copilot
- Sugerowane działania
- Systemy, których dotyczy problem
- Uwidocznione urządzenia
- Potencjalny wpływ
- Wskazówki krok po kroku dotyczące używania Intune do jego korygowania
Po skorygowaniu sugestii agenta można oznaczyć ją jako zastosowaną, aby agent zachował rekord, którego można użyć podczas śledzenia akcji korygowania w czasie.
Ponieważ szczegóły CVE i zalecane wskazówki dotyczące korygowania mogą zmieniać się wraz z upływem czasu, kolejne uruchomienia agenta mogą udostępniać nowe szczegóły, liczbę urządzeń i kroki korygowania. W miarę zarządzania kolejnymi raportami o zagrożeniach rekord wcześniej zastosowanych rozwiązań może pomóc w śledzeniu zmian określonych zagrożeń na podstawie poprzednich działań korygujących.
Porada
Agent korygowania luk w zabezpieczeniach jest dostępny w centrum administracyjnym Intune zarówno z węzłów zabezpieczeń agentów, jak i punktów końcowych. Każda ścieżka zapewnia dostęp do tego samego agenta. W tej dokumentacji odwołania do jego lokalizacji korzystają z węzła Agenci .
Ten artykuł:
- Wyświetla listę wymagań wstępnych dotyczących korzystania z agenta
- Objaśnienie działania agenta
- Pokazuje, jak skonfigurować agenta
- Pokazuje, jak odnowić lub usunąć agenta
Aby uzyskać informacje o innych agentach Security Copilot w Intune i typowych funkcjach, zobacz Security Copilot agentów w Microsoft Intune.
Wymagania wstępne
Wymagania dotyczące chmury
Agent jest obsługiwany tylko w chmurze publicznej. Nie jest ona obsługiwana w chmurach rządowych.
Wymagania dotyczące licencjonowania
Aby używać agentów Security Copilot w Microsoft Intune, wymagane są następujące licencje:
- subskrypcja Microsoft Intune (plan 1)
- Microsoft Security Copilot z wystarczającą liczbą jednostek obliczeniowych zabezpieczeń (SCU)
- Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender — ta funkcja jest udostępniana przez Ochrona punktu końcowego w usłudze Microsoft Defender P2 lub Zarządzanie lukami w zabezpieczeniach w usłudze Defender autonomiczny.
Wymagania dotyczące wtyczek
Wtyczki umożliwiają agentom Security Copilot nawiązywanie połączenia z usługami firmy Microsoft i wykonywanie wyspecjalizowanych akcji. Ten agent wymaga następujących wtyczek:
Jeśli używasz programu Copilot w Intune, wtyczka Intune jest już włączona. Dowiedz się więcej o wtyczkach.
Wymagania dotyczące platformy urządzeń
Agent korygowania luk w zabezpieczeniach obsługuje ocenę i zalecenia dla następujących platform i aplikacji:
- System Windows
- Aplikacje w Intune
Wymagania dotyczące ról
Aby włączyć i skonfigurować agenta, użyj konta z następującymi rolami:
role Intune:
- Operator tylko do odczytu lub rola niestandardowa z następującymi uprawnieniami:
- Aplikacje zarządzane / odczyt
- Aplikacje mobilne / odczyt
- Konfiguracje urządzeń / odczyt
role Microsoft Defender:
- Konto używane przez agenta dla jego tożsamości musi mieć przypisane uprawnienia, które są zgodne z Microsoft Defender XDR konfiguracjami RBAC:
- Ujednolicona kontrola dostępu oparta na rolach:Czytelnik zabezpieczeń
- Szczegółowa kontrola rbac: Niestandardowa rola RBAC z uprawnieniami równoważnymi roli ujednoliconego czytnika zabezpieczeń RBAC
role Security Copilot:
Aby użyć agenta i wyświetlić wyniki, użyj konta z następującymi rolami:
- Operator tylko do odczytu lub równoważne uprawnienia
Jak działa agent
Agent korygowania luk w zabezpieczeniach przeprowadza zautomatyzowane oceny w celu identyfikowania i określania priorytetów luk w zabezpieczeniach na zarządzanych urządzeniach. Oto jak to działa:
1. Zbieranie danych — agent zbiera dane luk w zabezpieczeniach z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender, analizując typowe luki w zabezpieczeniach i narażenie (CVE) na zarządzanych urządzeniach.
2. Analiza i priorytetyzacja — agent ocenia dane luk w zabezpieczeniach i ustala priorytety zagrożeń na podstawie takich czynników, jak wyniki CVSS, wpływ ekspozycji i liczba urządzeń, aby najpierw skoncentrować się na najważniejszych problemach.
3. Wskazówki dotyczące korygowania — dla każdej zidentyfikowanej luki w zabezpieczeniach agent udostępnia instrukcje krok po kroku dotyczące korygowania dostosowane do Intune możliwości, w tym zalecenia dotyczące zasad i wskazówki dotyczące konfiguracji.
4. Śledzenie i raportowanie — agent przechowuje rekordy sugerowanych działań korygujących i umożliwia śledzenie zastosowanych rozwiązań w czasie, pomagając mierzyć wysiłki na rzecz poprawy bezpieczeństwa.
Tożsamość agenta
Domyślnie agent korygowania luk w zabezpieczeniach jest uruchamiany w ramach tożsamości i uprawnień konta administratora używanego do konfigurowania agenta. Po skonfigurowaniu tej tożsamości można zmienić.
Zmiana tożsamości nie wpływa na historię uruchamiania agenta, która pozostaje dostępna.
Zachowanie agenta jest ograniczone do uprawnień tożsamości użytkownika, w ramach których działa agent.
Agent trwale uruchamia tożsamość i uprawnienia konta administratora Intune przypisanego jako tożsamość agenta.
Tożsamość agenta jest odświeżana po każdym uruchomieniu agenta i wygasa, jeśli agent nie jest uruchamiany przez 90 kolejnych dni. Gdy zbliża się data wygaśnięcia, każdy właściciel rozwiązania Copilot i współautor rozwiązania Copilot otrzymują transparent ostrzegawczy dotyczący odnawiania tożsamości agenta podczas wyświetlania strony przeglądu agenta. Jeśli uwierzytelnianie agenta wygaśnie, kolejny agent zakończy się niepowodzeniem do momentu odnowienia uwierzytelniania. Aby uzyskać więcej informacji na temat odnawiania uwierzytelniania, zobacz Odnawianie agenta.
Ważna
Po odnowieniu uwierzytelniania agenta agent rozpoczyna korzystanie z poświadczeń osoby, która kliknie przycisk Odnów uwierzytelnianie.
Zagadnienia operacyjne
Przed uruchomieniem agenta korygowania luk w zabezpieczeniach należy pamiętać o następujących kwestiach:
- Administrator musi ręcznie uruchomić agenta. Po uruchomieniu agenta nie ma opcji, aby go zatrzymać lub wstrzymać.
- Uruchom agenta tylko z poziomu centrum administracyjnego Microsoft Intune.
- Skojarzone cve zawierają liczbę cve na urządzeniach z wersjami systemu operacyjnego klienta systemu Windows, ale wyklucza urządzenia z Windows Server wersje. CvE są klasyfikowane jako niskie, średnie, wysokie i krytyczne zgodnie ze skalą CVSS (Common Vulnerability Scoring System).
- Uwidoczniona lista urządzeń zawiera tylko urządzenia znajdujące się w Microsoft Entra, które nie są Windows Server wersje.
- Agent nie obsługuje tagów zakresu w publicznej wersji zapoznawczej.
- Tylko użytkownik, który konfiguruje agenta, może wyświetlać szczegóły sesji w portalu Microsoft Security Copilot.
Ważna
Dane, które raporty agenta są widoczne za pośrednictwem sugestii agenta. Te dane mogą być widoczne dla administratorów z dostępem do wyświetlania agenta w centrum administracyjnym Intune, nawet jeśli dane te są poza przypisanymi przez administratorów rolami lub zakresem Intune.
Konfigurowanie agenta
Agent jest uruchamiany pod tożsamością i uprawnieniami konta używanego podczas instalacji. Jego akcje są ograniczone do uprawnień tego konta, a tożsamość jest odświeżana przy każdym uruchomieniu.
Aby skonfigurować agenta:
W centrum administracyjnym Microsoft Intune przejdź do pozycjiAgent korygowania luk w zabezpieczeniachagentów>.
W obszarze Przegląd wybierz pozycję Skonfiguruj agenta. W tym okienku są wyświetlane szczegółowe informacje o agencie, ale nie wymagają żadnej konfiguracji.
Przejrzyj szczegóły, aby upewnić się, że wymagania są spełnione, a następnie wybierz pozycję Uruchom agenta , aby zamknąć okienko konfiguracji i uruchomić pierwsze uruchomienie agenta.
Po zakończeniu instalacji agent jest gotowy do użycia. Aby dowiedzieć się więcej na temat korzystania z agenta, zobacz Używanie agenta korygowania luk w zabezpieczeniach.
Odnawianie agenta
Jeśli nie używasz agenta przez 90 dni, autoryzacja agenta wygasa, a uruchamianie agenta kończy się niepowodzeniem do czasu ponownego uwierzytelnienia. Uwierzytelnianie agenta można odnowić w dowolnym momencie.
W miarę zbliżania się wygasania Intune wyświetla ostrzeżenie na stronie przeglądu agenta, które mogą zobaczyć każdy właściciel rozwiązania Copilot i współautor Copilot. Ostrzeżenie monituje o odnowienie tożsamości agenta.
Aby ponownie uwierzytelnić tożsamość agenta, wybierz pozycję Odnów uwierzytelnianie. Po odnowieniu uwierzytelniania agenta agent automatycznie używa poświadczeń logowania. Jeśli nie chcesz używać poświadczeń logowania, wybierz kartę >Ustawienia agenta >Wybierz inną tożsamość.
Po odnowieniu baner ostrzegawczy znika, a wyskakujące powiadomienie sprawdza, czy odnowienie zakończyło się pomyślnie.
Zmienianie tożsamości agenta
Domyślnie agent jest uruchamiany pod tożsamością użytkownika administracyjnego, który skonfigurował agenta w dzierżawie. Po skonfigurowaniu tożsamość agenta może ulec zmianie, gdy inny użytkownik odnowi agenta, i edytując ustawienia agenta, aby jawnie przypisać nową tożsamość agenta.
Zmiana tożsamości agenta nie wpływa na historię uruchamiania agenta.
Aby przypisać nową tożsamość, w centrum administracyjnym Intune przejdź do pozycjiAgent korygowania luk w zabezpieczeniachagenta> (wersja zapoznawcza) i wybierz kartę Ustawienia. W obszarze Tożsamość możesz zobaczyć bieżące konto użytkownika, w ramach których działa agent. Wybierz pozycję Wybierz inną tożsamość , aby otworzyć monit o zalogowanie się do konta. Wybierz, a następnie uwierzytelnij nowe konto do użycia jako tożsamość agentów.
Ważna
Zachowanie agenta jest ograniczone do poziomu uprawnień przypisanych do tożsamości użytkownika, w ramach którego działa agent. Jeśli użytkownik, którego tożsamość jest uruchamiana przez agenta, nie ma wystarczających uprawnień, nie można uruchomić agenta.
Usuwanie agenta
Po usunięciu agenta wszystkie wygenerowane skojarzone dane, w tym sugestie i działania, zostaną usunięte. Wcześniej zastosowane sugestie pozostają niezmienione.
Kroki usuwania wystąpienia agenta:
- W centrum administracyjnym Microsoft Intune wybierz pozycję Agenci.
- Wybierz wystąpienie agenta, które chcesz usunąć.
- Wybierz pozycję Usuń agenta i potwierdź usunięcie.
Po usunięciu:
- Okienko agenta powraca do pierwotnego stanu.
- Administrator może ponownie zainstalować agenta później, powtarzając proces instalacji.
Uwaga
Aby usunąć wystąpienie agenta, twoje konto musi być właścicielem Security Copilot.
Pomoc w kształtowaniu przyszłości agentów Intune
Dołącz do naszego forum opinii agentów Intune, aby udostępniać szczegółowe informacje i wpływać na nadchodzące możliwości w Microsoft Intune.
Zarejestruj się i dowiedz się więcej: https://aka.ms/IntuneAgentsForum