Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Nie wszystkie urządzenia odnalezione w sieci wymagają tego samego poziomu uwagi dotyczącej zabezpieczeń. Niektóre urządzenia pojawiają się krótko w sieci (goście, urządzenia testowe), podczas gdy inne są trwale poza zakresem zarządzania lukami w zabezpieczeniach (laboratoria izolowane, zlikwidowane systemy). Zarządzanie zakresem urządzeń za pomocą przejściowego tagowania urządzeń i wykluczeń urządzeń sprawia, że zespół ds. zabezpieczeń koncentruje się na odpowiednich urządzeniach, zapewnia dokładną ekspozycję i bezpieczne wyniki oraz tworzy czystsze raporty odzwierciedlające prawdziwe środowisko produkcyjne.
Używanie tagów lub wykluczeń
Usługa Defender for Endpoint udostępnia dwa uzupełniające się mechanizmy zarządzania istotnością urządzenia. Użyj poniższej tabeli, aby określić, które podejście pasuje do Twojej sytuacji.
| Sytuacji | Podejście | Jak to działa | Wpływ |
|---|---|---|---|
| Urządzenia pojawiają się i często znikają (goście, testowe maszyny wirtualne, krótkotrwałe kontenery) | Tagowanie przejściowe urządzeń (automatyczne) | Wewnętrzny algorytm wykrywa sporadyczne wzorce sieci i tagi pasujące do urządzeń. Serwery, urządzenia sieciowe, drukarki, urządzenia przemysłowe i inteligentne nigdy nie są oznaczane jako przejściowe. | Urządzenia przejściowe są filtrowane z domyślnego widoku spisu, ale pozostają widoczne w przypadku zmiany filtru. Ocena ekspozycji, wskaźnik bezpieczeństwa, raporty o lukach w zabezpieczeniach i zaawansowane wyszukiwanie zagrożeń nadal obejmują te urządzenia. |
| Stałe środowisko laboratoryjne lub piaskownicy | Wykluczenie urządzenia (ręczne) | Urządzenia można wykluczać pojedynczo lub zbiorczo z udokumentowanym uzasadnieniem. | Wykluczone urządzenia nie są wyświetlane na stronach lub w raportach zarządzania lukami w zabezpieczeniach i nie przyczyniają się do ekspozycji ani bezpieczeństwa wyników. Pozostają one w spisie urządzeń, ale są oznaczone jako wykluczone. |
| Urządzenia zaplanowane do likwidacji | Wykluczenie urządzenia (ręczne) | Wyklucz z uzasadnieniem i uwagą dotyczącą planowanej daty wycofania. | Tak samo jak powyżej. Rekordy historyczne pozostają w spisie. |
| Zduplikowane wpisy po ponownym obrazowaniu | Wykluczenie urządzenia (ręczne) | Wyklucz przestarzałe wpisy z uzasadnieniem "Zduplikowane urządzenie"; pozostaw aktywne urządzenie w zakresie. | Czyści spis i zapewnia dokładną liczbę urządzeń. |
| Urządzenia w trybie offline przez dłuższy czas | Sprawdź, czy znakowanie przejściowe zostało już oznaczone; jeśli nie, rozważ wykluczenie | Przejściowe tagowanie może już obsłużyć tę kwestię. Wyklucz ręcznie tylko wtedy, gdy urządzenie nie zwróci. | Zależy od wybranego podejścia. |
| Aktywne urządzenia, które chcesz tymczasowo zignorować | Filtry urządzeń lub tagi niestandardowe | Użyj filtrów spisu lub tagów urządzeń , aby utworzyć widoki docelowe. | Zachowano pełną widoczność. Nigdy nie wykluczaj aktywnych urządzeń , które tworzą martwe punkty. |
| Urządzenia zarządzane przez inny zespół | Filtry urządzeń lub tagi niestandardowe | Użyj tagów i filtrów urządzeń do określania zakresu widoków dla każdego zespołu. | Pełna widoczność jest utrzymywana w całej organizacji. |
Ważna
Regularnie przeglądaj urządzenia oznaczone przejściowo i wykluczone. Zawsze dodaj istotne notatki podczas wykluczania urządzeń. Nigdy nie wykluczaj aktywnych urządzeń połączonych z siecią — wykluczenie ma wpływ tylko na widoczność zarządzania lukami w zabezpieczeniach, a nie na rzeczywiste ryzyko.
Wyświetlanie urządzeń przejściowych i zarządzanie nimi
Znakowanie przejściowe urządzenia jest automatyczne i nie można go wyłączyć. Widoczność można kontrolować za pomocą filtrów.
Wyświetlanie przejściowych urządzeń w spisie
- W portalu Microsoft Defender przejdź do pozycji Urządzenia zasobów>.
- Wybierz ikonę Filtr .
- W filtrze Urządzenia przejściowe wybierz pozycję Tak , aby wyświetlić tylko urządzenia przejściowe, lub wybierz pozycję Nie , aby wykluczyć je z listy.
Możesz również dodać kolumnę Urządzenie przejściowe do widoku spisu, aby wyświetlić stan przejściowy wraz ze szczegółami innych urządzeń.
Jak działa tagowanie przejściowe
- Automatyczne wykrywanie: wewnętrzny algorytm identyfikuje przejściowe urządzenia na podstawie wzorców wyglądu sieci.
- Wykluczone typy urządzeń: Serwery, urządzenia sieciowe, drukarki, urządzenia przemysłowe, urządzenia nadzorujące, urządzenia inteligentnego obiektu i urządzenia inteligentne nigdy nie są oznaczane jako przejściowe.
- Filtrowanie domyślne: urządzenia przejściowe są domyślnie odfiltrowywane ze spisu urządzeń.
- Nie można ręcznie zastąpić: nie można ręcznie oznaczać ani anulować tagowania urządzenia jako przejściowego. Dostosuj ustawienia filtru, aby kontrolować widoczność.
Wyklucz urządzenia
Wykluczenie urządzenia umożliwia ręczne usunięcie określonych urządzeń z widoczności zarządzania lukami w zabezpieczeniach. Wykluczone urządzenia pozostają w spisie urządzeń (oznaczone jako wykluczone), ale nie są wyświetlane na stronach lub raportach zarządzania lukami w zabezpieczeniach i nie przyczyniają się do ekspozycji ani bezpieczeństwa wyników.
Ostrzeżenie
Wykluczone urządzenia pozostają połączone z siecią i nadal mogą stanowić zagrożenie dla bezpieczeństwa. Wykluczenie urządzenia ma wpływ tylko na widoczność zarządzania lukami w zabezpieczeniach — nie zapobiega atakom ani nie zmniejsza rzeczywistego ryzyka. Jeśli spróbujesz wykluczyć aktywne urządzenie, usługa Defender dla punktu końcowego wyświetli ostrzeżenie i poprosi o potwierdzenie.
Wykluczanie pojedynczego urządzenia
- W portalu Microsoft Defender przejdź do pozycji Urządzenia zasobów>.
- Wybierz urządzenie, które chcesz wykluczyć.
- W wysuwanym urządzeniu lub na stronie urządzenia wybierz pozycję Wyklucz.
- Wybierz uzasadnienie:
- Nieaktywne urządzenie
- Zduplikowane urządzenie
- Urządzenie nie istnieje
- Poza zakresem
- Inne
- Wpisz notatkę wyjaśniającą przyczynę wykluczenia.
- Wybierz pozycję Wyklucz urządzenie.
Wykluczanie wielu urządzeń
- W obszarze Spis urządzeń zaznacz wiele urządzeń przy użyciu pól wyboru.
- Na pasku akcji wybierz pozycję Wyklucz.
- Wybierz uzasadnienie i dodaj notatkę.
- Wybierz pozycję Wyklucz urządzenia.
Jeśli wybierzesz urządzenia ze stanem wykluczenia mieszanego, w oknie dialogowym zostanie wyświetlona liczba urządzeń, które zostały już wykluczone. Można ponownie wykluczyć urządzenia, ale nowe uzasadnienie zastępuje poprzednie wartości.
Uwaga
Całkowite wykluczenie urządzeń z widoków i danych zarządzania lukami w zabezpieczeniach może potrwać do 10 godzin.
Wyświetlanie wykluczonych urządzeń i zarządzanie nimi
- W obszarze Spis urządzeń wybierz ikonę Filtr .
- Użyj filtru Stanu wykluczenia , aby wyświetlić:
- Nie wykluczone: Zwykłe urządzenia
- Wykluczone: urządzenia usunięte z zarządzania lukami w zabezpieczeniach
Możesz również dodać kolumnę Stan wykluczenia do widoku spisu.
Zatrzymywanie wykluczania urządzenia
Aby przywrócić urządzenie do aktywnego zarządzania lukami w zabezpieczeniach:
- W obszarze Spis urządzeń wybierz wykluczone urządzenie.
- W wysuwanym urządzeniu wybierz pozycję Szczegóły wykluczenia.
- Wybierz pozycję Zatrzymaj wykluczanie.
Po zatrzymaniu wykluczania dane luk w zabezpieczeniach pojawiają się ponownie na stronach zarządzania lukami w zabezpieczeniach, raportach i zaawansowanym polowaniu. Wprowadzenie zmian może potrwać do 8 godzin.
Następne kroki
- Tworzenie tagów urządzeń i zarządzanie nimi w celu organizowania urządzeń w znaczące grupy
- Wyświetlanie spisu urządzeń z zastosowaniem odpowiednich filtrów
- Urządzenia docelowe dla akcji zabezpieczeń przy użyciu tagów i grup urządzeń