使用标记和排除项管理设备范围和相关性

  • 适用于: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

并非在网络中发现的所有设备都需要相同级别的安全注意。 一些设备 (来宾、测试设备) 在网络上短暂出现,而另一些设备则永久脱离漏洞管理范围, (隔离的实验室、停用的系统) 。 使用暂时性设备标记和设备排除管理设备范围可使安全团队专注于相关设备,确保准确的暴露和安全评分,并生成反映真实生产环境的更简洁的报告。

使用标记或排除项

Defender for Endpoint 提供了两种互补机制来管理设备相关性。 使用下表确定哪种方法适合你的情况。

情况 方法 运作方式 影响
设备经常出现在来宾 (、测试 VM、短期容器) 暂时性设备标记 (自动) 内部算法检测间歇性网络模式和标记匹配设备。 服务器、网络设备、打印机、工业和智能设施设备永远不会标记为暂时性。 暂时性设备将从默认清单视图中筛选出来,但如果更改筛选器,则保持可见状态。 暴露分数、安全功能分数、漏洞报告和高级搜寻仍包括这些设备。
永久实验室或沙盒环境 设备排除 (手动) 使用记录的理由单独或批量排除设备。 排除的设备不会显示在漏洞管理页或报告中,也不会影响暴露或安全功能分数。 它们保留在设备清单中,但标记为已排除。
计划停用的设备 设备排除 (手动) 排除并说明计划停用日期的理由和说明。 与上述相同。 历史记录保留在清单中。
重置映像后重复条目 设备排除 (手动) 排除具有“重复设备”理由的过时条目;将活动设备保留在范围内。 清理库存并确保准确的设备计数。
设备长时间脱机 检查是否已暂时性标记;如果不是,请考虑排除 暂时性标记可能已处理此问题。 仅当设备不返回时,手动排除。 取决于所选的方法。
要暂时忽略的活动设备 设备筛选器或自定义标记 使用清单筛选器或 设备标记 创建目标视图。 保持完全可见性。 切勿排除造成盲点的活动设备。
由其他团队管理的设备 设备筛选器或自定义标记 使用设备标记和筛选器来限定每个团队的视图范围。 在整个组织中保持完全可见性。

重要

定期查看暂时性标记和排除的设备。 排除设备时,始终添加有意义的备注。 切勿排除处于活动状态的联网设备 - 排除只会影响漏洞管理可见性,而不会影响实际风险。

查看和管理暂时性设备

暂时性设备标记是自动的,无法禁用。 通过筛选器控制可见性。

查看清单中的暂时性设备

  1. Microsoft Defender门户中,转到“资产>设备”。
  2. 选择“筛选器”图标。
  3. “暂时性设备 筛选器”中,选择“ ”仅查看暂时性设备,或选择“ ”将其从列表中排除。

还可以将 “暂时性设备 ”列添加到清单视图,以查看暂时性状态以及其他设备详细信息。

暂时性标记的工作原理

  • 自动检测:内部算法根据网络外观模式识别暂时性设备。
  • 排除的设备类型:服务器、网络设备、打印机、工业设备、监视设备、智能设施设备和智能设备永远不会标记为暂时性。
  • 默认筛选:默认情况下,暂时性设备从设备清单中筛选出来。
  • 无手动替代:无法将设备手动标记或取消标记为暂时性。 调整筛选器设置以控制可见性。

排除设备

设备排除允许从漏洞管理可见性中手动删除特定设备。 排除的设备保留在设备清单中, (标记为已排除) 但不会显示在漏洞管理页或报告中,并且不会影响暴露或安全功能分数。

警告

排除的设备仍会连接到网络,并且仍可能面临安全风险。 设备排除仅影响漏洞管理可见性,它不会阻止攻击或降低实际风险。 如果尝试排除活动设备,Defender for Endpoint 会显示一条警告并要求确认。

排除单个设备

  1. Microsoft Defender门户中,转到“资产>设备”。
  2. 选择要排除的设备。
  3. 在设备浮出控件或设备页上,选择“ 排除”。
  4. 选择理由:
    • 非活动设备
    • 重复设备
    • 设备不存在
    • 超出范围
    • 其他
  5. 键入说明排除原因的注释。
  6. 选择“ 排除设备”。

包含对齐选项的“排除设备”对话框的屏幕截图。

排除多个设备

  1. “设备清单”中,使用复选框选择多个设备。
  2. 在操作栏中,选择“ 排除”。
  3. 选择理由并添加备注。
  4. 选择“ 排除设备”。

如果选择具有混合排除状态的设备,对话框会显示已排除的设备数。 可以重新排除设备,但新理由将替代以前的值。

批量设备排除的屏幕截图,其中显示了多个所选设备。

注意

设备可能需要长达 10 小时才能完全排除在漏洞管理视图和数据之外。

查看和管理排除的设备

  1. “设备清单”中,选择“ 筛选器” 图标。
  2. 使用 排除状态 筛选器可查看:
    • 未排除:普通设备
    • 排除:从漏洞管理中删除的设备

还可以将 “排除状态 ”列添加到清单视图。

停止排除设备

若要将设备还原到活动漏洞管理,请执行以下操作:

  1. “设备清单”中,选择排除的设备。
  2. 在设备浮出控件中,选择 “排除详细信息”。
  3. 选择“ 停止排除”。

显示排除详细信息的屏幕截图,其中包含“停止排除”选项。

停止排除后,漏洞数据将重新出现在漏洞管理页、报表和高级搜寻中。 更改最长可能需要 8 小时才能生效。

后续步骤

  • Last updated on