Defender 漏洞管理持续确定跨设备的漏洞的优先级,并提供安全建议来缓解Microsoft Defender门户中的风险。 Defender 漏洞管理建议使用不同的保留期来确定何时根据事件报告活动停止标记漏洞。
本文介绍了两种常见方案的保留工作原理:非活动设备和卸载的软件。
非活跃设备
在Microsoft Defender门户中,由于以下任一原因,设备可以列为非活动状态:
- 设备至少在七天前停止发送传感器数据
- 至少七天前,设备已从 Defender for Endpoint 卸载
- 设备存在网络连接问题,例如通信受损、URL 受阻或端口受阻,并发送一些 (但并非所有) 事件
如果设备停止向 Defender for Endpoint 报告,Defender 漏洞管理 30 天内将继续显示最新的漏洞快照。 之后,设备标记为非活动状态,其漏洞不再显示在Microsoft Defender门户中。 非活动设备的数据将保留 180 天, (请参阅Microsoft Defender for Endpoint数据存储和隐私) 。
若要防止漏洞数据混淆,可以在设备清单中手动排除设备,如以下屏幕截图所示:
有关详细信息,请参阅 排除设备。
已卸载或非活动软件
设备可以继续报告某些遥测数据,但停止为特定软件发送信号。 如果连续 30 天未收到软件的事件,Defender 漏洞管理假定软件已删除,并自动停止标记其漏洞。
有关详细信息,请参阅 软件清单。