设备清单
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender XDR
希望体验 Defender for Endpoint? 注册免费试用版。
设备清单显示网络中生成警报的设备列表。 默认情况下,队列显示过去 30 天内看到的设备。 一目了然地可以看到域、风险级别、OS 平台和其他详细信息等信息,以便轻松识别风险最大的设备。
注意
设备清单在不同的Microsoft Defender XDR服务中可用。 可用信息可能因许可证而异。 若要获取最完整的功能集,请使用计划 2 Microsoft Defender for Endpoint。
风险级别可能会影响Microsoft Intune中条件访问和其他安全策略的强制实施,现在适用于 Windows 设备。
可以选择多个选项来自定义设备列表视图。 在顶部导航上,可以:
- 添加或删除列
- 以 CSV 格式导出整个列表
- 选择要显示每页的项目数
- 应用筛选器
在载入过程中, 设备列表 在设备开始报告传感器数据时会逐渐填充。 使用此视图可以在载入的终结点联机时对其进行跟踪,或者将完整的终结点列表下载为 CSV 文件以供脱机分析。
注意
如果导出设备列表,它将包含组织中的每个设备。 下载可能需要很长时间,具体取决于组织规模。 以 CSV 格式导出列表以未筛选的方式显示数据。 CSV 文件包括组织中的所有设备,而不管视图本身中应用了任何筛选。
此外,导出设备列表时,防病毒状态显示为 Not-Supported
。 对于防病毒状态,请改用最近发布的Microsoft Defender防病毒运行状况报告。 此报表允许导出更多详细信息。
下图描绘了设备列表:
对设备列表进行排序和筛选
可以应用以下筛选器来限制警报列表并获取更集中的视图。
设备名称
在Microsoft Defender for Endpoint载入过程中,载入到 Defender for Endpoint 的设备在开始报告传感器数据时会逐渐填充到设备清单中。 在此之后,设备清单由通过设备发现过程在网络中发现的设备填充。 设备清单有三个选项卡,按以下方式列出设备:
- 计算机和移动: (工作站、服务器和移动设备的企业终结点)
- 网络设备:路由器和交换机等设备
- IoT 设备:打印机和相机等设备
- 未分类的设备:无法正确分类的设备
导航到“设备清单”页
通过从Microsoft Defender门户的“资产”导航菜单中选择“设备”来访问设备清单页。
设备清单概述
设备清单将在“ 计算机和移动 ”选项卡上打开。你可以一目了然地查看设备名称、域、风险级别、暴露级别、OS 平台、关键性级别、载入状态、传感器运行状况、缓解状态和其他详细信息,以便轻松识别风险最大的设备。
使用分类关键资产卡可将设备组定义为业务关键。 你可能还会看到攻击路径警告卡,这会转到攻击路径,以检查你的任何资产是否是攻击路径的一部分。 有关详细信息,请参阅 攻击路径概述。
注意
对关键资产和攻击路径信息进行分类是 Microsoft 安全暴露管理的一部分,该管理目前以公共预览版提供。
使用“载入状态”列可按已发现的设备和已载入Microsoft Defender for Endpoint的设备进行排序和筛选。
在“ 网络设备和IoT 设备 ”选项卡中,还将看到供应商、型号和设备类型等信息:
注意
设备发现与 Microsoft Defender for IoT 集成可帮助查找、识别和保护完整的 OT/IOT 资产清单。 通过此集成发现的设备将显示在 “IoT 设备 ”选项卡上。有关详细信息,请参阅 设备发现集成。
配置 Defender for IoT 后,还可以查看其中的设备。 请参阅 使用组织的设备清单管理 IoT 设备。
在每个设备清单选项卡的顶部,可以看到:
- 设备总数。
- 被标识为对组织具有较高风险的设备数。
- 业务关键资产的数量。
- 尚未载入的设备数。
- 高曝光的设备数。
- 新发现的设备数。
可以使用此信息来帮助确定设备安全状况改进的优先级。
“网络设备和 IoT 设备 的新发现 设备计数”选项卡显示当前视图中列出的过去 7 天内发现的新设备数。
浏览设备清单
可以选择多个选项来自定义设备清单视图。 在每个选项卡的顶部导航上,可以:
- 按名称对设备的搜索
- 按最近使用的 IP 地址或 IP 地址前缀为设备搜索
- 添加或删除列
- 以 CSV 格式导出整个列表以供脱机分析
- 选择要显示的日期范围
- 应用筛选器
注意
如果导出设备列表,它将包含组织中的每个设备。 下载可能需要很长时间,具体取决于组织规模。 以 CSV 格式导出列表以未筛选的方式显示数据。 CSV 文件将包括组织中的所有设备,而不管视图本身中应用了任何筛选。
可以使用每个设备清单选项卡上提供的排序和筛选功能获取更集中的视图,并帮助你评估和管理组织中的设备。
每个选项卡顶部的计数会根据当前视图进行更新。
使用筛选器自定义设备清单视图
筛选器 | 说明 |
---|---|
风险级别 | 风险级别反映了基于多种因素(包括设备上活动警报的类型和严重性)对设备的总体风险评估。 解决活动警报、批准修正活动以及取消后续警报可以降低风险级别。 |
曝光级别 | 暴露级别根据设备挂起的安全建议的累积影响来反映设备的当前暴露。 可能的级别为低、中和高。 低曝光意味着你的设备不太容易受到攻击。 如果暴露级别显示“没有可用数据”,原因如下:- 设备停止报告超过 30 天。 在这种情况下,它被视为非活动状态,并且不会计算暴露。- 不支持设备 OS - 请参阅Microsoft Defender for Endpoint的最低要求。- 具有过时代理 (不太可能) 的设备。 |
严重性级别 | 严重性级别反映了设备对组织的关键程度。 可能的级别为低、中、高或非常高。 非常高意味着设备被视为业务关键资产。 有关详细信息,请参阅 关键资产管理概述。 |
暂时性设备 | 默认情况下,暂时性设备会从设备清单中筛选出来,以减少库存干扰。 可以根据需要关闭暂时性设备筛选。 详细了解 暂时性设备筛选。 |
OS 平台 | 按你感兴趣的 操作系统平台进行筛选, (计算机和移动和 IoT 设备仅) 。 |
Windows 版本 | 按你感兴趣的 Windows 版本进行筛选。 如果 Windows 版本字段中显示“未来版本”,则可能意味着: - 这是未来 Windows 版本的 预发行版本 - 内部版本没有版本名称 - 内部版本名称尚不受支持 在所有这些方案中,如果可用,可在设备详细信息页中看到完整的 OS 版本。仅 (计算机和移动设备) 。 |
传感器运行状况 | 根据加入到 Microsoft Defender for Endpoint: - Active 的设备筛选以下传感器运行状况状态:主动向服务报告传感器数据的设备。 - 非活动:停止发送信号超过 7 天的设备。 - 配置错误:与服务通信受损或无法发送传感器数据的设备。 可以进一步将配置错误的设备分类为: - 无传感器数据 - 通信 受损 有关如何解决错误配置设备上的问题的详细信息,请参阅 修复不正常的传感器。仅 (计算机和移动设备) 。 |
载入状态 | 载入状态指示设备当前是否已载入Microsoft Defender for Endpoint。 必须启用设备发现才能显示此筛选器。 可以按以下状态进行筛选: - 已载入:终结点已载入到Microsoft Defender for Endpoint。 - 可以载入:终结点已作为受支持的设备在网络中发现,但当前未载入。 Microsoft 强烈建议载入这些设备。 - 不支持:终结点已在网络中发现,但不受Microsoft Defender for Endpoint支持。 - 信息不足:系统无法确定设备的可支持性。仅 (计算机和移动设备) 。 |
防病毒状态 | 根据防病毒状态是禁用、未更新还是未知来筛选视图。仅 (计算机和移动设备) 。 |
首次看到 | 根据设备首次出现在网络中或Microsoft Defender for Endpoint传感器首次报告设备的时间筛选视图。 (计算机、移动设备和 IoT 设备仅) 。 |
Tags | 根据已添加到单个设备的分组和标记筛选列表。 请参阅Create和管理设备标记。 |
面向 Internet | 根据设备是否面向 Internet 筛选列表。 |
Group | 根据要调查的组筛选列表。仅 (计算机和移动设备) 。 |
设备值 | 根据设备被标记为高值还是低值来筛选列表。 |
排除状态 | 根据是否排除设备来筛选列表。 有关详细信息,请参阅 排除设备。 |
托管者 | 托管者指示如何管理设备。 可以按以下条件进行筛选: - Microsoft Defender for Endpoint - Microsoft Intune,包括通过租户附加与Microsoft Configuration Manager共同管理 - Microsoft Configuration Manager (ConfigMgr) - 未知:此问题可能是由于运行过时的 Windows 版本、GPO 管理或其他非 Microsoft MDM。仅 (计算机和移动设备) |
设备类型 | 按要调查的设备类型进行筛选。仅) (IoT 设备 |
缓解状态 | 按设备的隔离或包含状态进行筛选。 |
使用列自定义设备清单视图
可以在视图中添加或删除列,并通过单击可用的列标题对条目进行排序。
在“ 计算机和移动 ”选项卡上,选择“ 自定义列 ”以查看可用的列。 下图中检查了默认值:
在“ 网络设备 ”选项卡上,选择“ 自定义列 ”以查看可用的列。 下图中检查了默认值:
在“ IoT 设备 ”选项卡上,选择“ 自定义列 ”以查看可用的列。 下图中检查了默认值:
相关文章
调查“Microsoft Defender for Endpoint设备”列表中的设备。
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈