Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
O Agente de Remediação de Vulnerabilidades está atualmente numa pré-visualização pública limitada e está disponível apenas para um grupo selecionado de clientes. Se estiver interessado em obter acesso ou quiser saber mais, contacte a sua equipa de vendas para obter mais detalhes e os próximos passos.
O Agente de Remediação de Vulnerabilidades para Security Copilot no Intune utiliza dados de Gerenciamento de Vulnerabilidades do Microsoft Defender para identificar Vulnerabilidades e Exposições Comuns (CVEs) nos seus dispositivos geridos. Os resultados são priorizados para remediação e incluem instruções passo a passo para guiá-lo na utilização de Intune para remediar a ameaça. Este Agente Copilot pode ajudá-lo a reduzir o tempo necessário para investigar, identificar e remediar ameaças e, em última análise, melhorar a postura de segurança geral da sua organização.
Quando o agente é executado, analisa dados de Gerenciamento de Vulnerabilidades do Microsoft Defender e fornece uma lista prioritária de sugestões que aparecem no centro de administração do Intune. Pode explorar cada sugestão para ver os detalhes que incluem:
- A contagem de vulnerabilidades associadas (CVEs)
- Uma análise de impacto resumida assistida por Copilot
- Ações sugeridas
- Sistemas afetados
- Dispositivos expostos
- Impacto potencial
- Documentação de orientação passo a passo para utilizar Intune para o remediar
Depois de remediar uma sugestão de agente, pode marcá-la como aplicada para que o agente mantenha um registo que pode utilizar no controlo das ações de remediação ao longo do tempo.
Uma vez que os detalhes do CVE e as orientações de remediação recomendadas podem mudar ao longo do tempo, as execuções subsequentes do agente podem fornecer novos detalhes, contagens de dispositivos e passos de remediação. À medida que gere relatórios subsequentes de ameaças, o registo das soluções anteriormente aplicadas pode ajudá-lo a controlar a alteração a riscos específicos com base nas suas remediações anteriores.
Dica
O Agente de Remediação de Vulnerabilidades está acessível no centro de administração Intune a partir dos nós de segurança Agentes e Ponto Final. Cada caminho fornece acesso ao mesmo agente. Nesta documentação, as referências à respetiva localização utilizam o nó Agentes .
Este artigo:
- Lista os pré-requisitos para utilizar o agente
- Explica como o agente funciona
- Mostra-lhe como configurar o agente
- Mostra-lhe como renovar ou remover o agente
Para obter informações sobre outros Agentes de Security Copilot no Intune e funcionalidades comuns, veja Security Copilot agentes no Microsoft Intune.
Pré-requisitos
Requisitos da cloud
O agente é suportado apenas na cloud pública. Não é suportado em clouds governamentais.
Requisitos de licenciamento
Para utilizar Security Copilot agentes no Microsoft Intune, são necessárias as seguintes licenças:
- Microsoft Intune (plano 1) subscrição
- Microsoft Security Copilot com unidades de computação de segurança (SCUs) suficientes
- Gerenciamento de Vulnerabilidades do Microsoft Defender – esta capacidade é fornecida pelo Microsoft Defender para Ponto de Extremidade P2 ou Gerenciamento de Vulnerabilidades do Defender Autónomo.
Requisitos de plug-ins
Os plug-ins permitem que Security Copilot agentes se liguem aos serviços Microsoft e executem ações especializadas. Este agente necessita dos seguintes plug-ins:
Se utilizar o Copilot no Intune, o plug-in Intune já está ativado. Saiba mais sobre plug-ins.
Requisitos da plataforma de dispositivos
O Agente de Remediação de Vulnerabilidades suporta avaliações e recomendações para as seguintes plataformas e aplicações:
- Windows
- Aplicações no Intune
Requisitos de funções
Para ativar e configurar o agente, utilize uma conta com as seguintes funções:
Intune funções:
- Operador Só de Leitura ou uma Função personalizada com as seguintes permissões:
- Aplicações geridas/leitura
- Aplicações móveis/leitura
- Configurações do dispositivo/leitura
Microsoft Defender funções:
- A conta utilizada pelo agente para a respetiva identidade tem de ter permissões atribuídas que estejam alinhadas com Microsoft Defender XDR configurações RBAC:
- RBAC unificado:funçãoleitor de segurança
- RBAC granular: Função RBAC personalizada com permissões equivalentes à função Leitor de Segurança RBAC Unificada
Security Copilot funções:
Para utilizar o agente e ver os resultados, utilize uma conta com as seguintes funções:
- Operador Só de Leitura ou permissões equivalentes
Como funciona o agente
O Agente de Remediação de Vulnerabilidades efetua avaliações automatizadas para identificar e priorizar vulnerabilidades nos seus dispositivos geridos. Veja como funciona:
1. Recolha de dados – o agente recolhe dados de vulnerabilidade de Gerenciamento de Vulnerabilidades do Microsoft Defender, analisando Vulnerabilidades e Exposições Comuns (CVEs) nos seus dispositivos geridos.
2. Análise e atribuição de prioridades – o agente avalia os dados de vulnerabilidade e atribui prioridades a ameaças com base em fatores como as classificações de CVSS, o impacto da exposição e a contagem de dispositivos para se concentrar primeiro nos problemas mais críticos.
3. Orientações de remediação – para cada vulnerabilidade identificada, o agente fornece instruções de remediação passo a passo adaptadas às capacidades Intune, incluindo recomendações de políticas e orientações de configuração.
4. Controlo e relatórios – o agente mantém registos de remediações sugeridas e permite-lhe controlar as soluções aplicadas ao longo do tempo, ajudando a medir os esforços de melhoria da segurança.
Identidade do agente
Por predefinição, o Agente de Remediação de Vulnerabilidades é executado sob a identidade e as permissões da conta de administrador que é utilizada para configurar o agente. Após a configuração, esta identidade pode ser alterada.
Alterar a identidade não afeta o histórico de execuções do agente, que permanece disponível.
O comportamento do Agente está limitado às permissões da identidade de utilizador em que o agente é executado.
O agente é executado persistentemente na identidade e permissões da conta de administrador Intune atribuída como identidade do agente.
A identidade do agente é atualizada com cada agente executada e expira se o agente não for executado durante 90 dias consecutivos. Quando a data de expiração se aproxima, cada proprietário da Copilot e a Copilot contribuidor recebe uma faixa de aviso sobre a renovação da identidade do agente quando visualizarem a página de descrição geral do agente. Se a autenticação do agente expirar, as execuções subsequentes do agente falham até que a autenticação seja renovada. Para obter mais informações sobre a renovação da autenticação, consulte Renovar o agente.
Importante
Quando a autenticação do agente é renovada, o agente começa a utilizar as credenciais do indivíduo que clica no botão Renovar autenticação.
Considerações operacionais
Antes de executar o Agente de Remediação de Vulnerabilidades, tenha estes pontos em mente:
- Um administrador tem de iniciar manualmente o agente. Quando o agente é iniciado, não existem opções para o parar ou colocar em pausa.
- Inicie apenas o agente a partir do centro de administração do Microsoft Intune.
- Os CVEs associados contêm a contagem de CVEs em dispositivos com edições do sistema operativo cliente Windows, mas excluem dispositivos com edições Windows Server. Os CVEs são classificados como Baixo, Médio, Alto e Crítico de acordo com a escala CVSS (Common Vulnerability Scoring System).
- A lista de dispositivos expostos inclui apenas dispositivos encontrados no Microsoft Entra e que não são edições Windows Server.
- O agente não suporta etiquetas de âmbito na pré-visualização pública.
- Apenas o utilizador que configura o agente pode ver os detalhes da sessão no portal Microsoft Security Copilot.
Importante
Os dados que o agente comunica são visíveis através de sugestões de agente. Estes dados podem estar visíveis para os administradores com acesso para ver o agente no centro de administração do Intune, mesmo quando esses dados estão fora dos administradores atribuídos Intune funções ou âmbito.
Configurar o agente
O agente é executado sob a identidade e as permissões da conta utilizada durante a configuração. As ações estão limitadas às permissões dessa conta e a identidade é atualizada com cada execução.
Para configurar o Agente:
No centro de administração do Microsoft Intune, aceda a Agente> deRemediação de Vulnerabilidades.
Em Descrição Geral, selecione Configurar Agente. Este painel apresenta detalhes sobre o agente, mas não requer qualquer configuração.
Reveja os detalhes para garantir que os requisitos estão implementados e, em seguida, selecione Iniciar agente para fechar o painel de configuração e iniciar a primeira execução do agente.
Quando a configuração estiver concluída, o agente está pronto para ser utilizado. Para saber mais sobre como utilizar o agente, veja Utilizar o Agente de Remediação de Vulnerabilidades.
Renovar o agente
Se não utilizar um agente durante 90 dias, a autorização do agente expira e as execuções do agente falham até à reautenticação. Pode renovar a autenticação do agente em qualquer altura.
À medida que a expiração se aproxima, Intune mostra um aviso na página de descrição geral do agente que cada proprietário copilot e copilot contribuidor podem ver. O aviso pede para renovar a identidade do agente.
Para reautorizar a identidade do agente, selecione Renovar autenticação. Quando renova a autenticação do agente, o agente utiliza automaticamente as credenciais de início de sessão. Se não quiser utilizar as credenciais com sessão iniciada, selecione o separador >Definições do agente >Escolher outra identidade.
Após a renovação, a faixa de aviso desaparece e uma notificação de alerta valida que a renovação foi bem-sucedida.
Alterar a identidade do agente
Por predefinição, o agente é executado sob a identidade do utilizador administrativo que configurou o agente no inquilino. Após a configuração, a identidade do agente pode ser alterada quando um utilizador diferente renova o agente e ao editar as definições do agente para atribuir explicitamente uma nova identidade de agente.
Uma alteração da identidade do agente não afeta o histórico de execuções do agente.
Para atribuir uma nova identidade, no Intune centro de administração, aceda a Agente>de Remediação de Vulnerabilidades (pré-visualização) e selecione o separador Definições. Em Identidade, pode ver a conta de utilizador atual na qual o agente é executado. Selecione Escolher outra identidade para abrir um pedido de início de sessão da conta. Selecione e, em seguida, autentique uma nova conta para utilizar como a identidade dos agentes.
Importante
O comportamento do agente está limitado ao nível de permissões atribuídas à identidade do utilizador em que o agente é executado. Quando o utilizador cuja identidade é executada pelo agente tem permissões insuficientes, o agente não é executado.
Remover o agente
Quando remove um agente, todos os dados associados gerados, incluindo sugestões e atividades, são eliminados. As sugestões aplicadas anteriormente permanecem inalteradas.
Passos para remover uma instância de agente:
- No centro de administração do Microsoft Intune, selecione Agentes.
- Selecione a instância do agente que pretende remover.
- Selecione Remover agente e confirme a remoção.
Após a remoção:
- O painel do agente regressa ao estado original.
- Um administrador pode reinstalar o agente mais tarde ao repetir o processo de configuração.
Observação
Para remover a instância do agente, a sua conta tem de ser Security Copilot Proprietário.
Ajudar a moldar o futuro dos agentes Intune
Junte-se ao nosso Fórum de Comentários dos Agentes Intune para partilhar informações e influenciar as capacidades futuras no Microsoft Intune.
Inscreva-se e saiba mais: https://aka.ms/IntuneAgentsForum