创建和查看安全建议的异常
适用于:
- Microsoft Defender 漏洞管理
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender for Servers 计划 1 & 2
作为当前建议不相关的修正请求的替代方法,可以为建议创建例外。 如果组织具有设备组,则可以将例外范围限定为特定设备组。 可以为选定的设备组或过去和现在的所有设备组创建例外。
为建议创建异常时,建议在异常持续时间结束之前不会处于活动状态。 建议状态更改为 “完全例外 ”或“ 部分异常 ”,按设备组) (。
提示
你知道可以免费试用 Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
权限
只有具有“异常处理”权限的用户才能管理异常 (包括创建或取消) 。 详细了解 RBAC 角色。
创建异常
选择要为其创建例外的安全建议,然后选择 “例外选项 ”并填写表单。
设备组的异常
将异常应用于所有当前设备组,或选择特定的设备组。 将来的设备组不会包含在异常中。 列表中不会显示已存在异常的设备组。 如果仅选择某些设备组,则建议状态将从“活动”更改为“部分异常”。如果选择所有设备组,状态将更改为“完全异常”。
筛选视图
如果已在任何漏洞管理页上按设备组进行筛选,则只有已筛选的设备组会显示为选项。
这是在任何漏洞管理页上按设备组进行筛选的按钮:
包含已筛选设备组的异常视图:
大量设备组
如果组织具有 20 个以上的设备组,请选择筛选的设备组选项旁边的 “编辑 ”。
此时会显示一个浮出控件,你可以在其中搜索和选择要包含的设备组。 选择“搜索”下面的复选标记图标以选中/取消选中所有内容。
全局异常
如果具有全局管理员权限,则可以创建和取消全局异常。 它会影响组织 中的所有 当前和将来的设备组,并且只有具有类似权限的用户才能对其进行更改。 建议状态从“活动”更改为“完全例外”。
需要记住的一些事项:
- 如果建议处于全局异常状态,则新创建的设备组例外将暂停,直到全局异常过期或被取消为止。 在此之后,新的设备组异常将生效,直到它们过期。
- 如果建议已针对特定设备组存在异常,并且创建了全局异常,则会暂停设备组异常,直到它过期或全局异常在过期之前取消。
重要
Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一种高特权角色,在无法使用现有角色时,应仅限于紧急情况。
Justification
选择需要提交异常的理由,而不是修正有关安全建议。 填写理由上下文,然后设置异常持续时间。
以下列表详细说明了异常选项背后的理由:
- 第三方控制 - 第三方产品或软件已满足此建议 - 选择此理由类型可降低曝光分数并提高安全功能分数,因为风险已降低
- 备用缓解措施 - 内部工具已满足此建议 - 选择此理由类型可降低风险分数并提高安全功能分数,因为风险降低
- 接受的风险 - 风险较低,并且/或实施建议过于昂贵
- 计划内修正 (宽限) - 已计划但正在等待执行或授权
查看所有异常
导航到“修正”页中的“异常”选项卡。 可以按理由、类型和状态进行筛选。
选择例外以打开包含更多详细信息的浮出控件。 每个设备组的异常将包含例外涵盖的每个设备组的列表,你可以导出该列表。 还可以查看相关建议或取消异常。
如何取消异常
若要取消异常,请导航到“修正”页中的“异常”选项卡。 选择异常。
若要取消所有设备组或全局异常的异常,请选择“ 取消所有设备组的例外” 按钮。 你只能取消你有权访问的设备组的异常。
取消特定设备组的异常
选择特定设备组以取消其异常。 此时将显示设备组的浮出控件,你可以选择“ 取消异常”。
查看应用异常后的影响
在“安全建议”页中,选择“ 自定义列 ”,并选中“ 在异常) 后 (公开的设备 ”和“) 异常后的影响 (” 框。
在“异常) ”列后 (公开的设备显示应用异常后仍暴露在漏洞中的剩余设备。 影响暴露的异常理由包括“第三方控制”和“备用缓解”。 其他理由不会减少设备的暴露,它们仍被视为已公开。
异常后 (的影响) 显示应用异常后对暴露分数或安全功能分数的剩余影响。 影响分数的异常理由包括“第三方控制”和“备用缓解”。 其他理由不会减少设备的曝光率,因此曝光分数和安全功能分数不会更改。
