注意
漏洞修正代理目前为有限的公共预览版,仅对一组选定客户可用。 如果你有兴趣获取访问权限或想要了解详细信息,请联系销售团队,了解更多详细信息和后续步骤。
Intune中用于Security Copilot的漏洞修正代理使用来自Microsoft Defender 漏洞管理的数据来识别托管设备上) 的常见漏洞和暴露 (CVE。 结果将优先进行修正,并包括分步说明,以指导你使用Intune来修正威胁。 此 Copilot 代理可帮助你减少调查、识别和修正威胁所需的时间,最终改善组织的整体安全状况。
代理运行时,它会分析Microsoft Defender 漏洞管理中的数据,并提供Intune管理中心中显示的优先建议列表。 可以钻取到每个建议,以查看详细信息,包括:
- 关联漏洞 (CES) 计数
- 由 Copilot 协助的汇总影响分析
- 建议操作
- 受影响的系统
- 公开的设备
- 潜在影响
- 使用Intune进行修正的分步指南
修正代理建议后,可以将其标记为已应用,以便代理保留可用于跟踪一段时间内修正作的记录。
由于 CVE 详细信息和建议的修正指南可能会随时间而更改,因此代理的后续运行可能会提供新的详细信息、设备计数和修正步骤。 在管理威胁的后续报告时,以前应用的解决方案的记录可以帮助你根据以前的修正跟踪对特定风险的更改。
提示
可以从代理和终结点安全节点在 Intune 管理中心访问漏洞修正代理。 每个路径都提供对同一代理的访问权限。 在本文档中,对其位置的引用使用 “代理” 节点。
本文:
- 列出使用代理的先决条件
- 说明代理的工作原理
- 演示如何设置代理
- 演示如何续订或删除代理
有关Intune中的其他Security Copilot代理和常见功能的信息,请参阅 Microsoft Intune 中的Security Copilot代理。
先决条件
云要求
代理仅在公有云上受支持。 政府云不支持它。
许可要求
若要在 Microsoft Intune 中使用Security Copilot代理,需要以下许可证:
- Microsoft Intune 计划 1订阅
- 具有足够安全计算单元的智能 Microsoft Security Copilot 副驾驶® (SCU)
- Microsoft Defender 漏洞管理 - 此功能由 Microsoft Defender for Endpoint P2 或 Defender 漏洞管理 独立提供。
插件要求
插件使Security Copilot代理能够与Microsoft服务连接并执行专用作。 此代理需要以下插件:
如果在 Intune 中使用 Copilot,则表示已启用 Intune 插件。 详细了解插件。
设备平台要求
漏洞修正代理支持针对以下平台和应用程序的评估和建议:
- Windows
- Intune中的应用
角色要求
Microsoft Defender角色:
Security Copilot角色:代理的工作原理
漏洞修正代理执行自动评估,以识别托管设备上的漏洞并确定其优先级。 以下是相应的工作方式:
1. 数据收集 - 代理从Microsoft Defender 漏洞管理收集漏洞数据,分析托管设备 (CVE) 的常见漏洞和风险。
2. 分析和优先级 - 代理评估漏洞数据,并根据 CVSS 分数、暴露影响和设备计数等因素确定威胁的优先级,以便首先关注最关键问题。
3. 修正指南 - 对于每个已识别的漏洞,代理提供针对Intune功能定制的分步修正说明,包括策略建议和配置指南。
4. 跟踪和报告 - 代理维护建议的修正记录,并允许你跟踪一段时间内应用的解决方案,帮助衡量安全改进工作。
代理标识
默认情况下,漏洞修正代理在用于设置代理的管理员帐户的标识和权限下运行。 设置后, 可以更改此标识。
更改标识不会影响代理的运行历史记录,该历史记录仍然可用。
代理行为仅限于运行代理的用户标识的权限。
代理在分配为代理标识的Intune管理员帐户的标识和权限中持久运行。
每次运行代理时,代理标识都会刷新,如果代理未连续运行 90 天,则代理标识将过期。 到期日期接近时,每个 Copilot 所有者和 Copilot 参与者在查看代理概述页时都会收到有关代理标识续订的警告横幅。 如果代理身份验证过期,后续代理运行将失败,直到续订身份验证。 有关续订身份验证的详细信息,请参阅 续订代理。
重要
续订代理身份验证后,代理将开始使用单击“续订身份验证”按钮的个人的凭据。
作注意事项
在运行漏洞修正代理之前,请记住以下几点:
- 管理员必须手动启动代理。 代理启动后,没有用于停止或暂停它的选项。
- 仅从 Microsoft Intune 管理中心内启动代理。
- 关联的 CVE 包含具有 Windows 客户端作系统版本的设备上的 CVE 计数,但不包括具有 Windows Server 版本的设备。 根据 CVSS (常见漏洞评分系统) 规模,CVE 分为低、中、高和严重。
- 公开的设备列表仅包括Microsoft Entra中找到的设备,并且不是Windows Server版本的设备。
- 代理不支持公共预览版中的范围标记。
- 只有设置代理的用户才能在智能 Microsoft Security Copilot 副驾驶®门户中查看会话详细信息。
重要
代理报告的数据通过代理建议可见。 此数据可能对有权在Intune管理中心内查看代理的管理员可见,即使这些数据不在分配Intune角色或作用域的管理员之外也是如此。
设置代理
代理在安装期间使用的帐户的标识和权限下运行。 其作仅限于该帐户的权限,并且每次运行时都会刷新标识。
若要设置代理,请执行以下作:
在Microsoft Intune管理中心,转到“代理>漏洞修正代理”。
在 “概述”中,选择“ 设置代理”。 此窗格显示有关代理的详细信息,但不需要任何配置。
查看详细信息以确保满足要求,然后选择“ 启动代理 ”以关闭设置窗格并启动代理的第一次运行。
安装完成后,代理即可使用。 若要详细了解如何使用代理,请参阅 使用漏洞修正代理。
续订代理
如果 90 天内不使用代理,代理授权将过期,代理运行将失败,直到重新进行身份验证。 可以随时续订代理身份验证。
随着过期时间的临近,Intune在代理概述页上显示每个 Copilot 所有者和 Copilot 参与者可以看到的警告。 警告提示续订代理标识。
若要重新授权代理标识,请选择“ 续订身份验证”。 续订代理身份验证时,代理会自动使用登录凭据。 如果不想使用登录凭据,请选择“代理 >设置” 选项卡 >“选择其他标识”。
续订后,警告横幅将消失,并且 Toast 通知会验证续订是否成功。
更改代理标识
默认情况下,代理在租户中设置代理的管理用户的标识下运行。 安装后,当其他用户 续订代理时,代理标识可以更改,并通过编辑代理设置来显式分配新的代理标识。
更改代理标识不会影响代理的运行历史记录。
若要分配新标识,请在Intune管理中心,转到“代理>漏洞修正代理 (预览) ”,然后选择“设置”选项卡。在“标识”下,可以看到运行代理的当前用户帐户。 选择“ 选择其他标识 ”以打开帐户登录提示。 选择新帐户,然后对用作代理标识的新帐户进行身份验证。
重要
代理行为仅限于分配给运行代理的用户标识的权限级别。 当运行代理的标识的用户的权限不足时,代理将无法运行。
删除代理
删除代理时,将删除生成的所有关联数据,包括建议和活动。 以前应用的建议保持不变。
删除代理实例的步骤:
- 在Microsoft Intune管理中心,选择“代理”。
- 选择要删除的代理实例。
- 选择“ 删除代理 ”并确认删除。
删除后:
- 代理窗格将返回到其原始状态。
- 管理员可以稍后通过重复安装过程重新安装代理。
注意
若要删除代理实例,你的帐户必须是Security Copilot所有者。
帮助塑造Intune代理的未来
加入我们Intune代理反馈论坛,分享见解并影响Microsoft Intune即将推出的功能。
注册并了解详细信息: https://aka.ms/IntuneAgentsForum