הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מכשירים הם הבסיס של פעולות האבטחה שלך ב- Microsoft Defender עבור נקודת קצה. הבנת האופן שבו מכשירים מופיעים בסביבה שלך, כיצד לנהל אותם ביעילות וכיצד לארגן אותם לפעולות אבטחה חיונית להגנה על הארגון שלך.
מהם מכשירים ב- Defender for Endpoint?
מכשירים Microsoft Defender עבור נקודת קצה כוללים נקודות קצה שמדוחות על מדידת שימוש של אבטחה לשירות. אלה כוללים:
- מחשבים ומכשירים ניידים: תחנות עבודה, שרתים, מחשבים נישאים ומכשירים ניידים (Windows, macOS, Linux, iOS, Android)
- התקני רשת: נתבים, מתגים ותשתית רשת אחרת
- מכשירי IoT/OT: מדפסות, מצלמות, מערכות בקרה תעשייתיות והתקני טכנולוגיה תפעולית
מכשירים מופיעים במלאי שלך באמצעות שתי שיטות עיקריות:
- צירוף: מכשירים שאתה מתקין במפורש ב- Defender for Endpoint כאשר הסוכן המלא מותקן בהם. מכשירים מחוברים מציגים מצב צירוף של צירוף ובדרך כלל כוללים מצב תקינות חיישן פעיל. מאחר שהסוכן מותקן, Defender for Endpoint יכול לאסוף נתוני אבטחה מפורטים ממכשירים אלה, כולל התראות, פגיעויות ומלאי תוכנה. לקבלת מידע נוסף, ראה צירוף מכשירים Microsoft Defender עבור נקודת קצה.
- גילוי: מכשירים שהתגלו באופן אוטומטי ברשת שלך ללא התקנה של סוכן. גילוי מתרחש באמצעות נקודות קצה מחוברות שמצפית בת תעבורת רשת (גילוי בסיסי) או חוקרות באופן פעיל את הסביבה (גילוי רגיל). מכשירים שהתגלו מציגים מצב צירוף של 'ניתן לצירוף', 'לא נתמך' או 'אין די מידע'. לקבלת מידע נוסף, ראה מבט כולל על גילוי מכשירים.
- מכשירי IoT ו- OT: מכשירי IoT וטכנולוגיה תפעולית (OT), כגון מדפסות, מצלמות ומערכות בקרה תעשייתיות, מופיעים במלאי כאשר אתה מאפשר Microsoft Defender עבור IoT בפורטל Defender. מכשירים אלה מופיעים בכרטיסיה מכשירי IoT/OT וכוללים שדות נוספים כגון סוג מכשיר, סוג משנה, ספק ומודל.
העמודה מקורות גילוי במלאי המכשיר מציינת כיצד כל מכשיר נמצא: MDE (נמצא על-ידי חיישן נקודת הקצה של Defender), Microsoft Defender עבור IoT (התגלה על-ידי Defender for IoT) ומקורות אחרים. השתמש בעמודה זו כדי להבין מדוע מכשיר מופיע ואם הוא דורש צירוף.
מחזור החיים של המכשיר ומסע
ניהול מכשירים ב- Defender for Endpoint עוקב אחר מחזור חיים צפוי. הטבלה הבאה מתארת את שלבי המפתח, המשימות, התפקידים המעורבים ותיעוד קשור:
| הבמה | מטלות | תפקידים מעורבים | מידע נוסף |
|---|---|---|---|
| גלה מכשירים וקלוט אותם | • גלה מכשירים ברשת שלך • מכשירים מחוברים עם סוכן נקודות הקצה של Defender for • הצג מכשירים במלאי המכשירים • הערכת רמות הסיכון ותוצאות החשיפה |
מנהל אבטחה פעולות IT |
גלה מכשירים במלאי המכשירים מכשירים מצורפים קבע תצורה של גילוי מכשירים |
| ניהול טווח ור רלוונטיות | • סינון התקנים ארעיים (אוטומטי) • אל תכלול מכשירים בניהול פגיעויות (ידני) • לקבוע אילו מכשירים דורשים תשומת לב אבטחה |
מנהל אבטחה | ניהול טווח ור רלוונטיות של מכשירים |
| סיווג וארגון באמצעות תגיות ופריטים שאינם נכללים | • הוספת תגיות ידניות למכשירים בודדים • יצירת תגיות דינאמיות באמצעות כללים • ארגון מכשירים בקבוצות בעלות משמעות • החלת תגיות עבור הקשר עסקי |
מנהל אבטחה אנליסט אבטחה |
יצירה וניהול של תגיות מכשירים |
| מכשירי יעד עבור פעולות אבטחה | • השתמש בקבוצות מכשירים לגישה מבוססת תפקידים • אסוף מדידת שימוש מותאמת אישית מקבוצות מכשירים • החל כללי אוטומציה על מכשירים מתויגים • פריסת מדיניות אבטחה בקבוצות מכשירים |
מנהל אבטחה אנליסט אבטחה |
יצירה וניהול של תגיות מכשיר והתקני יעד איסוף נתונים מותאם אישית |
| חקירת מכשירים | • סקור את צירי הזמן של המכשיר • לחקור התראות ותקריות • זיהוי מכשירים הפונים לאינטרנט • לחפש איומים בקבוצות מכשירים שונות • בצע פעולות תגובה |
אנליסט אבטחה מנהל אבטחה |
חקירת מכשירים סקור את ציר הזמן של המכשיר זיהוי מכשירים הפונים לאינטרנט |
| ניטור ותחזוקה | • ניטור מצב תקינות המכשיר • תיקון חיישנים לא בריאים • סקירת דוחות תקינות חיישן • מעקב אחר מצב הצירוף |
פעולות IT מנהל אבטחה |
תקן חיישנים לא תקינים דוחות תקינות מכשיר |
פילוח מכשיר
פילוח מכשיר משתמש בתגיות מכשיר כדי לזהות אילו מכשירים אמורים לקבל פעולות אבטחה ספציפיות. במקום לנהל מכשירים בנפרד, פילוח מאפשר לך לארגן מכשירים בקבוצות בעלות משמעות ולהחיל תצורות, פריטי מדיניות או כללי איסוף נתונים בקנה מידה גדול.
תגיות לעומת קבוצות
תגיות מכשיר הן תוויות שאתה מצרף למכשירים - באופן ידני או באמצעות כללים דינאמיים - כדי ללכוד הקשר עסקי כגון מחלקה, מיקום או קריטיות. כל המשתמשים יכולים לראות מכשירים מתויגים. תגיות בלבד אינן שולטות בגישה או מחילות מדיניות אבטחה; הם מספקים את היסודות הארגוניים למיקוד.
קבוצות מכשירים נבנות על תגיות כדי לקבוע אילו צוותי אבטחה יכולים לגשת למכשירים ספציפיים ולנהל אותם. בעת יצירת קבוצת מכשירים, אתה מגדיר כללים תואמים (לעתים קרובות בהתבסס על תגיות), מגדיר רמות תיקון אוטומטיות ומקצה Microsoft Entra משתמש. קבוצות מכשירים מאפשרות בקרת גישה מבוססת תפקיד (RBAC) כך ש, לדוגמה, צוות אבטחה אזורי רואה רק מכשירים בגיאוגרפיה שלהם. לקבלת הוראות מפורטות, ראה יצירה וניהול של קבוצות מכשירים.
תגיות דינאמיות לעומת תגיות ידניות
תגיות ידניות הן תוויות מותאמות אישית שאתה מחיל ישירות על מכשירים בודדים באמצעות הפורטל או ה- API. הם מהירים להגדרה ושימושית עבור צרכי אד-הוק, כגון תיוג מכשירים במהלך חקירה פעילה. עם זאת, הם לא מקנה מידה טוב ודורשים עדכונים ידניים. תגיות ידניות אינן נתמכות עבור איסוף נתונים מותאם אישית או עבור תרחישי אוטומציה מסוימים.
תגיות דינאמיות מוחלות באופן אוטומטי בהתבסס על כללים שאתה מגדיר בניהול כללי נכסים. הם מתעדכנים כאשר מאפייני המכשיר משתנים (מדי שעה בערך), מדרגיים לאלפי מכשירים, והם נדרשים עבור יכולות מתקדמות כגון איסוף נתונים מותאם אישית. השתמש בתגיות דינאמיות בכל פעם שאתה זקוק לתגיות כדי להישאר מעודכן ללא מאמץ ידני.
חשוב
יכולות מתקדמות רבות של Defender for Endpoint, כולל איסוף נתונים מותאם אישית, דורשות תגיות דינאמיות. תגיות ידניות אינן נתמכות עבור תרחישים אלה.
תרחישי פילוח
הטבלה הבאה מסכמת תרחישים נפוצים שבהם פילוח מכשיר מניע פעולות אבטחה.
| תרחיש | גישה | דוגמה |
|---|---|---|
| חקירות טווחים | תייג מכשירים לפי מחלקה או אירוע ולאחר מכן סנן התראות ושאילתות ציד מתקדמות לפי תגית. | חקור את Finance-Department כל המכשירים לתנועה צדדית חשודה. |
| איסוף מדידת שימוש מיוחדת | צור תגיות דינאמיות עבור התקני יעד ולאחר מכן צור כללי איסוף נתונים מותאמים אישית. דורש תגיות דינאמיות וסביבת Microsoft Sentinel עבודה. | אסוף אירועי גישה לנתונים מ- Database-Servers כדי לנטר גישה לנתונים. |
| הפיכת פעולות תגובה לאוטומטיות | הגדר תגובות אוטומטיות עבור קבוצות מכשירים בהתבסס על תגיות. | לבודד באופן אוטומטי Public-Kiosk מכשירים כאשר זוהתה תוכנה זדונית ברמת חומרה גבוהה. |
| שליטה בגישה לאנליסטים (RBAC) | צור קבוצות מכשירים מתוך תגיות והקצה אותן לצוותי Microsoft Entra אבטחה. | תן לצוות האבטחה של הכספים גישה למכשירים Finance-Department בלבד. |
| פריסת כללי ASR לפי סוג מכשיר | החל פריטי מדיניות שונים של צמצום פני השטח של ההתקפה על קבוצות שונות המבוססות על תגים. | חסימה אגרסיבית Internet-Facing-Serversב- ; מצב בדיקה בתאריך Development-Machines. |
| אכוף גישה מותנית | השתמש ברמות סיכון במכשיר ובקבוצה כדי לקבל החלטות גישה. | דרוש MFA לגישה High-Risk-Devices ליישומים רגישים. |
| סדר לפי גיאוגרפיה | תייג מכשירים לפי אזור או אתר לפעולות אבטחה מבוזרות. | צוות האבטחה של EMEA מנטר ומגיב למכשירים Location-EMEA . |
| נהל את מחזור החיים של המכשיר | תייג מכשירים לפי שלב תפעולי (ייצור, אחסון זמני, הוצא משירות). | החל פקדים מלאים על ייצור; ניטור מופחת ל-הוצא משירות. |
| תכונות אבטחה חדשות בפריסת ניסיון | החל תגיות ידניות על קבוצת ניסיון, פרוס את התכונה במצב בדיקה ולאחר מכן הרחב. | תייג 20 מכשירים ASR-Pilot-2026עם , בדוק כלל חדש, מקד ולאחר מכן לפרוס באופן נרחב. |
לקבלת הוראות מפורטות ליצירת תגיות וקבוצות מכשירים, ראה יצירה וניהול של תגיות מכשירים והתקני יעד.
פעולות אבטחה מופעלות על-ידי פילוח
תגיות וקבוצות של מכשירים מאפשרות לך להחיל פעולות אבטחה באזורים מרובים:
| פעולת אבטחה | תיאור | תרחישים | מידע נוסף |
|---|---|---|---|
| ציד חקירות ואיומים | סינון התראות וחקירות טווחים לקבוצות מכשירים ספציפיות | • לחקור את כל מכשירי "מחלקת הכספים" לפעילות חשודה • לחפש איומים ב"Windows-Servers" באזור מסוים • לעקוב אחר מכשירים המעורבים בסכנה באמצעות תגיות מקרה |
ציד מתקדם |
| איסוף נתונים מותאם אישית | אסוף מדידת שימוש מיוחדת ממכשירים עם תגיות דינאמיות | • אסוף אירועי קובץ מתוך "Database-Servers" • לכידת חיבורי רשת מ-"Developer-Workstations" • ניטור ביצוע קבצי Script ב"מערכות מנהליות" |
איסוף נתונים מותאם אישית יצירת כללי איסוף נתונים מותאמים אישית |
| כללי אוטומציה | החל פעולות תגובה אוטומטיות על קטגוריות מכשירים | • בידוד אוטומטי של מכשירי "Public-Kiosk" אם זוהתה תוכנה זדונית • הפעל איסוף מז"פ ב"קריטי-שרתים" במהלך אירועים • הגבלת "BYOD-Devices" למשאבים רגישים |
חקירה ותגובה אוטומטיים |
| קבוצות מכשירים לגישה מבוססת תפקידים | קבע אילו אנליסטי אבטחה יכולים לראות מכשירים ספציפיים ופעל בהם | • צוות אבטחת הכספים מנהל רק את מכשירי "מחלקת הכספים" • צוותים אזוריים מנהלים מכשירים במיקומים הגיאוגרפיים שלהם • אנליסטים זוטרים ניגשים רק לקבוצות מכשירים "לא לייצור" |
יצירה וניהול של קבוצות מכשירים |
| כללים לצמצום שטח תקיפה | פריסת פקדי אבטחה שונים בסוגי מכשירים שונים | • כללי חסימה מחמירים ב"שרתים הפונים לאינטרנט" • מצב בדיקה ב"פיתוח-מכונות" • Standard בסיסית עבור תחנות עבודה כלליות של משתמשים |
כללים לצמצום שטח תקיפה |
| פריטי מדיניות גישה מותנית | אכיפת פקדי גישה בהתבסס על הצבה ותגיות של אבטחת מכשירים | • לדרוש MFA עבור "מכשירים בעלי סיכון גבוה" • חסימת "מכשירים שאינם תואמים" ממשאבי חברה • אפשר גישה מוגבלת "Managed-BYOD" לשירותים מאושרים |
גישה מותנית עם Intune |