注意
漏洞修正代理目前为有限的公共预览版,仅对一组选定客户可用。 如果你有兴趣获取访问权限或想要了解详细信息,请联系销售团队,了解更多详细信息和后续步骤。
在公共预览版中,Intune中用于Security Copilot的漏洞修正代理使用来自Microsoft Defender 漏洞管理的数据来识别托管设备上) 的常见漏洞和暴露 (CVE。 结果将优先进行修正,并包括分步说明,以指导你使用Intune来修正威胁。 此 Copilot 代理可帮助你减少调查、识别和修正威胁所需的时间,最终改善组织的整体安全状况。
代理运行时,它会分析Microsoft Defender 漏洞管理中的数据,并提供Intune管理中心中显示的优先建议列表。 可以钻取到每个建议,以查看详细信息,包括:
- 关联漏洞 (CES) 计数
- 由 Copilot 协助的汇总影响分析
- 建议操作
- 受影响的系统
- 公开的设备
- 潜在影响
- 使用Intune进行修正的分步指南
修正代理建议后,可以将其标记为已应用,以便代理保留可用于跟踪一段时间内修正作的记录。
由于 CVE 详细信息和建议的修正指南可能会随时间而更改,因此代理的后续运行可能会提供新的详细信息、设备计数和修正步骤。 在管理威胁的后续报告时,以前应用的解决方案的记录可以帮助你根据以前的修正跟踪对特定风险的更改。
有关Intune中的其他Security Copilot代理和常见功能的信息,请参阅 Microsoft Intune 中的Security Copilot代理。
先决条件
许可和插件
Microsoft Intune 计划 1订阅 - 此订阅提供核心Intune功能。
智能 Microsoft Security Copilot 副驾驶® - Security Copilot必须与Intune共享租户,并且要设置代理,帐户必须具有工作区的权限才能Security Copilot。 有关详细信息,请参阅智能 Microsoft Security Copilot 副驾驶®入门。
安全计算单元 (SCU) - 必须有足够的 SCU 来为Security Copilot工作负载(包括代理)提供支持。
Microsoft Defender 漏洞管理 - 此功能由 Microsoft Defender for Endpoint P2 或 Defender 漏洞管理 独立提供。
Microsoft Intune Suite - Intune Suite 独立解决方案附加许可证(包括 Intune Endpoint Privilege Management、企业应用程序管理 和 Intune 计划 2)不符合此先决条件。
政府云支持
当前版本的漏洞修正代理在公有云上受支持,但在政府云上不受支持。
支持的应用程序和平台
漏洞修正代理支持针对以下应用程序和平台的评估和建议:
- Windows 10
- Windows 11
- Intune中的应用
基于角色的访问控制
对于Intune管理员 (管理员) 成功管理或使用漏洞修正代理,必须为其分配基于角色的访问控制 (RBAC) ,以便Intune、Microsoft Defender和Security Copilot,如以下部分所述。
向管理员分配 RBAC 角色和权限以管理和使用该代理时,请分配最低特权内置 RBAC 角色或自定义角色,其中包含完成其管理任务所需的最低权限。
| 操作 | Microsoft Intune | Microsoft Defender | Security Copilot |
|---|---|---|---|
| 设置和删除 | 必须为管理员分配Intune许可证。 (内置角色或自定义角色) 的权限必须包括: - 托管应用/读取 - 移动应用/读取 - 设备配置/读取 最低特权Intune内置角色:只读作员。 |
管理员的权限必须等于 Microsoft Entra 安全读取者角色。 | 管理员必须是 Copilot 所有者。 |
| 使用已安装的代理 | 必须为管理员分配Intune许可证。 (内置角色或自定义角色) 的权限必须包括: - 托管应用/读取 - 移动应用/读取 - 设备配置/读取 最低特权Intune内置角色:只读作员。 |
管理员的权限必须等于 Microsoft Entra 安全读取者角色。 | 管理员必须是 Copilot 参与者。 |
重要
漏洞修正代理在设置代理的管理员的标识和权限下运行。 在公共预览版期间,无法编辑标识。 若要更改此标识,必须删除并重新设置代理。
代理报告并通过代理建议可见的数据可能对有权在Intune管理中心内查看代理的管理员可见,即使这些数据不在分配Intune角色或作用域的管理员之外也是如此。
限制
- 管理员必须手动启动代理。 代理启动后,没有用于停止或暂停它的选项。
- 代理在最初设置代理的Intune管理员的标识和权限中永久运行。 每次运行代理时,此标识都会刷新,如果代理连续 90 天未运行,则此标识将过期。 没有有关授权期限结束的通知。 若要重新授权代理,必须 将其删除 ,然后再次 设置 。
- 仅从 Microsoft Intune 管理中心内启动代理。
- 关联的 CVE 包含具有 Windows 10 和 11 个客户端作系统版本的设备上的 CVE 计数,但不包括具有 Windows Server 版本的设备。 根据 CVSS (常见漏洞评分系统) 规模,CVE 按低、中、高和严重进行分类。
- 公开的设备列表仅包括Microsoft Entra中找到的设备,并且不是Windows Server版本的设备。
- 代理不支持公共预览版中的范围标记。
- 只有设置代理的用户才能在智能 Microsoft Security Copilot 副驾驶®门户中查看会话详细信息。
入门
完成安装过程以首次启动漏洞修正代理:
使用具有所需 RBAC 权限的帐户登录到 Microsoft Intune 管理中心,该帐户具有对工作区Security Copilot租户的访问权限。
在管理中心的“主页”屏幕上,找到“Security Copilot入门”横幅,然后选择“漏洞修正代理 (预览版”) 磁贴。 管理中心打开 终结点安全漏洞>修正代理 (预览版) 页:
选择“ 设置代理 ”以打开设置窗格。 此窗格显示有关代理的详细信息,但不需要任何配置。 查看详细信息以确保满足要求,然后选择“ 启动代理 ”以关闭设置窗格并启动代理的首次运行。
代理将一直运行到完成,然后在管理中心的“漏洞修正代理”窗格中显示其结果。
管理漏洞和代理
代理完成初始运行后,管理员可以查看和管理Intune管理中心中的漏洞修正代理建议。 转到 终结点安全漏洞>修正代理 (预览版) 。 默认情况下,代理页打开到“ 概述 ”选项卡。在此选项卡上,管理员可以查看漏洞的优先级列表,深入了解更多详细信息和修正步骤,以及查看代理运行历史记录。
另一个可用选项卡是 “设置 ”选项卡,它提供有关代理配置的有限详细信息。
“概述”选项卡
漏洞修正代理完成运行后,“概述”选项卡将更新,其中包含代理优先列表的顶级漏洞。
此选项卡上提供了以下信息:
- 代理的可用性和运行状态
- 代理建议,它们是漏洞的优先级列表。
- 过去代理活动的列表。
代理建议
代理建议是基于Microsoft Defender 漏洞管理数据确定的主要漏洞的优先级列表。 此信息可能与可以在 Microsoft Defender 控制台中查看的相同信息略有不同。
此列表还显示以下列详细信息:
建议的后续步骤: 每个 建议的下一步 都是一个链接,用于打开 “建议的作 ”窗格。 在“建议的作”窗格中,可以详细了解) Intune托管设备的关联漏洞 (、为修正威胁而采取的建议作,以及将修正标记为“已应用”的选项。
修正指南分为以下类别:
应用 - 为了修正应用,代理可能建议部署更新的应用或Intune配置文件,以帮助管理应用可以执行或用于执行哪些威胁作。
Windows – 若要修正 Windows 漏洞,常见建议包括部署质量更新策略,或使用 Windows 更新通道快速部署质量更新策略来解决威胁。
当建议涉及 Windows 更新时,代理指南包括有关使用 更新通道 的详细信息,以帮助管理更新的更受控的推出。
重要
一些建议的 Windows 更新建议以 “加速”开头。 当 CVE 的常见漏洞评分系统 (CVSS) 分数达到 9.0 或更高风险值时,代理使用此格式。 对于此风险级别,代理建议立即加速设备更新。 为了帮助你部署这些更关键的更新,本指南包括如何使用 质量更新的加速安装来更快地部署建议的更新。
下图是应用漏洞的“ 建议作 ”窗格的示例。 在此示例中,建议将应用更新到较新版本:
查看代理建议并应用建议的修正后,管理员可以通过选择“ 标记为已应用”来自我证明应用这些修正。 此作确认修正步骤已完成。 将建议标记为已应用不会触发代理的任何设备更改,但会添加一个名为 “上次”的时间戳,该时间戳标记为“已应用 ”,用于标识该证明的时间。
后续运行代理时,可能会更新建议。 如果前面的建议标记为已应用,则管理员可以通过选择“ 使更新为已应用”来自我证明是否已应用较新的建议。 此作将 标记为应用时间戳的“上次” 更新到当前时间。
虽然是可选的,但将建议的作标记为“已应用”有助于跟踪何时实施建议的修正。 标记为已应用的建议将保留在代理建议列表中,作为代理未来运行的基线,使你能够比较相同漏洞的新结果和更改。
冲击:此值是Microsoft Defender 漏洞管理标识的暴露分数的潜在影响。
公开的设备: 受影响设备的计数。 代理显示的关联 CVE 数计数仅适用于具有Windows 10和Windows 11客户端作系统版本的设备,不包括服务器版本。 导出到 .csv 中列出的设备会删除Microsoft Entra中找不到的任何设备。
提示
代理在公共预览版期间不支持范围标记。
地位: 默认情况下,报告漏洞的状态设置为 “未应用”。 管理员可以深入了解报告的漏洞,以查看和部署建议的修正,然后选择选项将建议标记为已应用,这将代理建议的状态更改为 “已应用”。 标记为 已应用 确认管理员已证明已完成修正步骤。 代理不会对设备执行任何作。
上次应用: 此值标识管理员选择将修正指南标记为应用的选项的日期和时间。
活动
本部分跟踪代理的当前和过去的运行活动。 当代理仍在主动运行时,“状态”列将显示“正在运行”。 状态列显示过去代理运行的 “完成 ”。
“设置”选项卡
在“漏洞修正代理 设置” 选项卡上,管理员可以查看有关代理当前配置的现有详细信息。 在公共预览版期间,无法进行编辑或更改。
运行代理
若要启动并运行漏洞修正代理,请在Intune管理中心,转到“终结点安全漏洞>修正代理 (预览) 并选择”运行”。 在 设置 代理并完成其第一次运行之前,此选项才可用。
重要
代理在租户中启用该代理的用户的标识和权限下运行。 每次运行代理时,此标识都会刷新,如果代理连续 90 天未运行,则此标识将过期。 没有有关授权期限结束的通知。
漏洞修正代理不支持定期计划,必须手动启动。
启动后,代理将运行,直到完成评估。 无法停止或暂停。
删除代理
若要删除漏洞修正代理,请在 Intune 管理中心 中,转到终结点安全漏洞>修正代理 (预览版) 并选择“删除代理”。 管理员接受提示后,将删除代理,并将代理窗格还原到其原始状态。
注意
若要删除代理实例,管理员帐户必须在 Security Copilot 中具有所有者角色。 具有 “参与者” 角色的帐户可以运行代理并查看结果,但无法管理代理实例。
警告
删除代理后,将删除所有现有代理建议。 这包括有关标记为 “已应用”的建议的详细信息。
稍后,管理员可以运行代理 设置 来重新安装它。
漏洞修正代理日志
在公共预览版期间,代理的可用日志有限。
Security Copilot日志中提供了所有代理管理、创建、删除、运行和任何权限失败。 无法记录发现的漏洞或应用修正时间。 相反,使用选项将修正的漏洞标记为 “已应用”。
常见问题解答 (常见问题解答)
错误:你无权访问此代理 - 许可证
详: 你没有访问此代理所需的许可证。
查看此代理的 许可证和插件 要求的先决条件,并确保租户中提供了许可证分配以及相关的产品许可证和配置。
错误:你无权访问此代理 - 工作区
详: 你不是访问此代理所需的工作区的一部分。
此消息指示帐户无权查看或使用Security Copilot工作区,该工作区是在将Security Copilot添加到租户时配置的。 请联系安装或管理Security Copilot订阅的管理员,获取访问权限方面的帮助,并参阅了解智能 Microsoft Security Copilot 副驾驶®中的身份验证。
错误:你无权访问此代理 - 权限
详: 你没有访问此代理所需的权限。
查看使用此代理所需的 基于角色的访问控制 权限的先决条件。 请与Intune管理员协作,为帐户分配所需的权限。
错误:代理遇到错误,但未完成运行。 再次尝试运行代理。
详: 代理实例无法启动或成功完成其运行。 无法识别失败的详细信息。 尽管无法运行或完成,但管理员可以继续查看和管理过去运行的代理建议。
如果代理继续失败,则可能是它丢失了对其标识帐户的授权,在重新授权之前无法运行。 丢失授权的可能原因包括但不限于:
- 代理的授权期限已达到 90 天。
- 安装代理时使用的用户帐户受需要定期重新身份验证的策略的约束。
- 访问令牌已被撤销。
在公共预览版期间,代理重新授权要求删除代理,然后重新设置。
警告
删除代理后,将删除所有现有代理建议。 这包括有关标记为 “已应用”的建议的详细信息。
相关内容
Microsoft Defender 漏洞管理
Microsoft Intune 中的Security Copilot代理
Microsoft Security Copilot