Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Agent korygowania luk w zabezpieczeniach używa analizy opartej na sztucznej inteligencji do identyfikowania i określania priorytetów luk w zabezpieczeniach na zarządzanych urządzeniach, zapewniając szczegółowe wskazówki dotyczące korygowania za pośrednictwem centrum administracyjnego Intune.
Po skonfigurowaniu agenta można uruchamiać oceny luk w zabezpieczeniach, przeglądać sugestie z priorytetami i śledzić postęp korygowania w czasie.
Porada
Agent korygowania luk w zabezpieczeniach jest dostępny w centrum administracyjnym Intune zarówno z węzłów zabezpieczeń agentów, jak i punktów końcowych. Każda ścieżka zapewnia dostęp do tego samego agenta. W tej dokumentacji odwołania do jego lokalizacji korzystają z węzła Agenci .
W tym artykule pokazano, jak używać agenta korygowania luk w zabezpieczeniach, w tym:
- Uruchamianie ocen luk w zabezpieczeniach
- Przeglądanie sugestii i zarządzanie nimi
- Omówienie wskazówek dotyczących korygowania
- Śledzenie zastosowanych korygowania
Aby dowiedzieć się więcej na temat agenta i sposobu jego konfigurowania, zobacz Agent korygowania luk w zabezpieczeniach w Microsoft Intune.
Wymagania wstępne
Przed rozpoczęciem zapoznaj się z wymaganiami w artykule Agent korygowania luk w zabezpieczeniach .
Eksplorowanie agenta korygowania luk w zabezpieczeniach
Po skonfigurowaniu zarządzaj agentem w okienku Agent korygowania luk w zabezpieczeniach.
W centrum administracyjnym Microsoft Intune wybierz pozycjęAgent korygowania luk w zabezpieczeniach agentów> (wersja zapoznawcza). Wybierz następujące karty, aby dowiedzieć się więcej:
- Omówienie — wyświetl bieżący stan agenta, najważniejsze luki w zabezpieczeniach, które zidentyfikowano przez agenta, oraz rekordy ostatnich działań agenta.
- Sugestie — tutaj znajdziesz pełną listę luk w zabezpieczeniach zidentyfikowanych przez agenta.
- Ustawienia — na tej karcie są wyświetlane szczegóły konfiguracji agenta.
Karta Przegląd obejmuje:
- Stan agenta — różne kafelki wprowadzają agenta i szczegółowo określają, czy agent jest dostępny i czy jest on bieżący.
- Sugestie dotyczące agentów — jest to krótka lista najważniejszych luk w zabezpieczeniach, które należy rozwiązać.
- Działanie — ten obszar śledzi bieżące i wcześniejsze działanie uruchamiania agenta. Gdy agent jest nadal aktywnie uruchomiony, w kolumnie Stan jest wyświetlana wartość Uruchom w toku. W kolumnie stanu jest wyświetlana wartość Ukończono dla poprzednich przebiegów agenta.
Po zakończeniu działania agenta na karcie Przegląd zostaną zaktualizowane najważniejsze luki w zabezpieczeniach, które należy przejrzeć i rozwiązać. Na tej karcie przedstawiono tylko kilka sugestii jednocześnie; pełna lista jest dostępna na karcie Sugestie. Użyj karty , aby przejść do szczegółów i przejrzeć zalecenia lub zarządzać nimi.
Uruchamianie agenta korygowania luk w zabezpieczeniach
Uruchom agenta, aby ocenić nowe dane z usługi Defender i odświeżyć sugestie agenta dotyczące wykrytych luk w zabezpieczeniach. Agent jest uruchamiany do momentu ukończenia oceny; Nie można go zatrzymać ani wstrzymać.
Agent używa tożsamości i uprawnień przypisanego konta administratora Intune. Jej operacje są ograniczone do uprawnień tego konta. Jeśli agent nie zostanie uruchomiony przez 90 kolejnych dni, jego uwierzytelnianie wygaśnie, a kolejne przebiegi nie powiodą się do momentu odnowienia tożsamości.
Agent nie obsługuje zaplanowanych przebiegów i musi być uruchamiany ręcznie za każdym razem, gdy chcesz zaktualizować jego wyniki.
Aby ręcznie uruchomić agenta korygowania luk w zabezpieczeniach:
W centrum administracyjnym Microsoft Intune przejdź do pozycjiAgent korygowania luk w zabezpieczeniach agentów> (wersja zapoznawcza).
Na karcie Przegląd wybierz pozycję Uruchom agenta. Ta opcja jest dostępna dopiero po skonfigurowaniu agenta i zakończeniu pierwszego uruchomienia.
Zarządzanie sugestiami agenta
Użyj węzła Agent korygowania luk w zabezpieczeniach, aby przejrzeć sugestie dotyczące luk w zabezpieczeniach i zarządzać nimi w centrum administracyjnym Intune. Sugestie agentów to priorytetowa lista najważniejszych luk w zabezpieczeniach zidentyfikowanych na podstawie danych z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Możesz wybrać opcję Sugestie agenta zarówno na karcie Przegląd , jak i Sugestie .
Omówienie sugestii agenta
Sugestie agenta zawierają następujące informacje:
Sugerowane następne kroki: Każdy sugerowany następny krok to link, który otwiera okienko sugerowanej akcji ze szczegółowymi wskazówkami dotyczącymi korygowania.
Wpływ: Potencjalny wpływ na podstawie wskaźnika ekspozycji określonego przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender.
Uwidocznione urządzenia: Liczba urządzeń, których dotyczy problem. Liczniki CVE wyświetlane przez agenta są tylko dla urządzeń z wersjami systemu operacyjnego klienta systemu Windows i nie obejmują wersji serwera.
Stan: Domyślnie zgłoszona luka w zabezpieczeniach ma stan Nie zastosowane. Sugestie można oznaczyć jako zastosowane po zaimplementowaniu korygowania.
Ostatnie zastosowanie: Data i godzina oznaczenia wskazówek dotyczących korygowania jako zastosowanych.
Praca z sugerowanymi akcjami
Po wybraniu sugerowanego następnego kroku okienko Sugerowana akcja zawiera szczegółowe informacje, w tym:
- Szczegóły dotyczące skojarzonych luk w zabezpieczeniach (dla urządzeń zarządzanych Intune)
- Sugerowane działania do podjęcia w celu skorygowania zagrożenia
- Sekcja Konfiguracje z dostępnymi ustawieniami z wykazu ustawień Intune
- Opcja oznaczania korygowania jako Zastosowana
Kategorie wskazówek dotyczących korygowania
Wskazówki dotyczące korygowania należy do następujących kategorii:
Aplikacje: aby skorygować luki w zabezpieczeniach aplikacji, agent może zalecić:
- Wdrażanie zaktualizowanej wersji aplikacji
- Wdrażanie profilu Intune w celu zarządzania zachowaniem aplikacji i zmniejszania zagrożeń bezpieczeństwa
System operacyjny: Aby skorygować luki w zabezpieczeniach systemu operacyjnego, takie jak w systemie Windows, typowe zalecenia obejmują:
- Wdrażanie zasad aktualizacji jakości
- Przyspieszone wdrażanie aktualizacji jakości przy użyciu pierścieni aktualizacji systemu Windows
Jeśli zalecenie obejmuje aktualizację systemu Windows, wskazówki dotyczące agenta zawierają szczegółowe informacje dotyczące używania pierścieni aktualizacji w celu ułatwienia zarządzania kontrolowanym wdrożeniem aktualizacji.
Ważna
Niektóre sugerowane zalecenia dotyczące aktualizacji systemu Windows zaczynają się od expedite. Agent używa tego formatu, gdy wynik CVE Common Vulnerability Scoring System (CVSS) osiągnie wartość ryzyka 9,0 lub większą. W przypadku tego poziomu ryzyka agent zaleca natychmiastowe przyspieszenie aktualizacji urządzeń. Wskazówki obejmują sposób użycia przyspieszonej instalacji aktualizacji jakości , aby szybciej wdrożyć zalecaną aktualizację.
Zalecenia dotyczące konfiguracji
Uwaga
Występuje aktywny, ale tymczasowy problem wpływający na agenta korygowania luk w zabezpieczeniach. Dopóki nie zostanie rozwiązany, agent nie może podać zalecanych konfiguracji ustawień do użycia dla tego zagrożenia. Agent nadal identyfikuje zagrożenia, wyjaśnia ich tło i oferuje akcje krok po kroku.
Zalecenia dotyczące konfiguracji zostaną wznowione automatycznie po rozwiązaniu problemu.
W sekcji Konfiguracje agent zawiera szczegółowe informacje dotyczące tworzenia zasad konfiguracji urządzenia przy użyciu dostępnych ustawień z katalogu ustawień. Te wskazówki ułatwiają ograniczenie obszaru ataków na luki w zabezpieczeniach i obejmują:
- Lista odpowiednich ustawień, które można skonfigurować za pomocą zasad wykazu ustawień Intune
- Każde ustawienie jest prezentowane z zalecaną konfiguracją
- Wybranie ikony cytatu obok ustawienia powoduje wyświetlenie opisu tego ustawienia i może zawierać linki do podstawowej dokumentacji dostawcy usług konfiguracji (CSP)
Jeśli nie ma zalecanych ustawień konfiguracji urządzenia do wdrożenia, sekcja Konfiguracje wskazuje, że nie są dostępne żadne zalecane konfiguracje zasad wykazu.
Śledzenie zastosowanych korygowania
Po przejrzeniu sugestii agenta i zastosowaniu zalecanych korygowania możesz samodzielnie potwierdzić zastosowanie tych korygowania, wybierając pozycję Oznacz jako zastosowane. Ta akcja:
- Potwierdza ukończenie kroków korygowania
- Nie wyzwala żadnych zmian urządzenia przez agenta
- Dodaje znacznik czasu o nazwie Ostatnio oznaczony jako zastosowany do śledzenia, kiedy zaimplementowano korygowanie
W przypadku kolejnych uruchomień agenta sugestie mogą zostać zaktualizowane. Jeśli poprzednia sugestia została oznaczona jako zastosowana, możesz samodzielnie potwierdzić zastosowanie nowszych sugestii, wybierając pozycję Oznacz aktualizację jako zastosowaną. Spowoduje to zaktualizowanie znacznika czasu Ostatnio oznaczonego jako zastosowany do bieżącej godziny.
Opcjonalne oznaczenie sugerowanej akcji jako zastosowanej pomaga śledzić, kiedy sugerowane korygowania zostały zaimplementowane. Zalecenia oznaczone jako zastosowane utrzymują się na liście sugestii agenta, służąc jako punkt odniesienia dla przyszłych przebiegów i umożliwiając porównanie nowych wyników i zmian dla tej samej luki w zabezpieczeniach w czasie.
Wyświetlanie działania agenta
Sekcja Działanie śledzi bieżące i wcześniejsze działanie uruchamiania agenta:
- Gdy agent jest aktywnie uruchomiony, w kolumnie Stan jest wyświetlany komunikat Uruchom w toku
- W kolumnie stanu jest wyświetlana wartość Ukończono dla poprzednich przebiegów agenta
Ta sekcja zapewnia wgląd w następujące elementy:
- Po ostatnim uruchomieniu agenta
- Jak długo trwało wykonanie każdego przebiegu
- Stan powodzenia lub niepowodzenia każdego przebiegu
Dzienniki agentów
Wszystkie akcje zarządzania agentami (tworzenie, usuwanie, uruchamianie) i wszelkie błędy uprawnień są dostępne w dziennikach Security Copilot. Rejestrowanie wykrytych luk w zabezpieczeniach lub gdy zastosowano korygowanie, nie jest dostępne. Zamiast tego użyj opcji, aby oznaczyć skorygowane luki w zabezpieczeniach jako Zastosowane.
Typowe błędy
Uruchomienie agenta może zakończyć się niepowodzeniem z powodu niewystarczającej liczby jednostek SCU, ale mogą wystąpić inne możliwe błędy. W tej sekcji wymieniono niektóre typowe komunikaty o błędach, które mogą wystąpić podczas korzystania z agenta, wraz z wyjaśnieniami i sugerowanymi akcjami.
Agent nie udostępnia dokładnych sugestii
W takim przypadku agent może nie mieć wystarczającej ilości danych do wygenerowania dokładnych sugestii lub jego ustawienia mogą nie być w pełni zgodne ze środowiskiem organizacji.
Aby ulepszyć przyszłe sugestie, użyj przycisków 
like/nie lubię dostępnych w każdej sugestii, aby udostępnić swoją opinię.
Nie masz dostępu do tego agenta — licencje
Szczegóły: Nie masz licencji wymaganych do uzyskania dostępu do tego agenta.
Sprawdź wymagania dotyczące licencjonowania i wtyczek dla tego agenta i upewnij się, że wymagane licencje i konfiguracje są przypisane do dzierżawy.
Nie masz dostępu do tego agenta — obszar roboczy
Szczegóły: Nie jesteś częścią obszaru roboczego potrzebnego do uzyskania dostępu do tego agenta.
Ten komunikat wskazuje, że twoje konto nie ma uprawnień do wyświetlania lub używania Security Copilot obszaru roboczego, który jest skonfigurowany w momencie, gdy Security Copilot jest dodawany do dzierżawy. Skontaktuj się z administratorem, który zainstalował subskrypcję Security Copilot lub zarządza nią, aby uzyskać pomoc w uzyskaniu dostępu, a następnie zobacz Omówienie uwierzytelniania w Microsoft Security Copilot.
Nie masz dostępu do tego agenta — uprawnienia
Szczegóły: Nie masz uprawnień wymaganych do uzyskania dostępu do tego agenta.
Przejrzyj wymagania dotyczące ról, aby użyć agenta. Skontaktuj się z administratorem Intune, aby przypisać konto wymagane uprawnienia.
Agent napotkał błąd i nie zakończył przebiegu. Spróbuj ponownie uruchomić agenta.
Szczegóły: Nie można uruchomić lub pomyślnie zakończyć działania wystąpienia agenta. Nie można zidentyfikować szczegółów błędu. Mimo że nie można uruchomić lub ukończyć, administratorzy mogą nadal wyświetlać sugestie agenta z poprzednich przebiegów i zarządzać nimi.
Jeśli agent nadal kończy się niepowodzeniem, może utracić autoryzację dla swojego konta tożsamości i nie może zostać uruchomiony, dopóki nie zostanie ponownie uwierzytelniony. Możliwe przyczyny utraty autoryzacji obejmują między innymi:
- Osiągnięto okres autoryzacji agenta wynoszący 90 dni.
- Konto użytkownika, z którym zainstalowano agenta, podlega zasadom, które wymagają okresowego ponownego uwierzytelniania.
- Token dostępu został odwołany.
Ponowna autoryzacja agenta wymaga usunięcia agenta, a następnie ponownego skonfigurowania.
Ostrzeżenie
Po usunięciu agenta wszystkie istniejące sugestie agenta zostaną usunięte. Obejmuje to szczegółowe informacje o sugestiach, które zostały oznaczone jako Zastosowane.