透過標籤與排除項目管理裝置範圍與相關性

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

並非所有在網路中發現的裝置都需要同等程度的安全防護。 有些裝置會短暫出現在網路 (訪客、測試設備) ,而其他設備則永久無法 (隔離實驗室、退役系統) 漏洞管理範圍。 透過暫態裝置標籤與裝置排除來管理裝置範圍,讓您的資安團隊專注於相關裝置,確保準確的暴露與安全分數,並產生更乾淨反映真實生產環境的報告。

使用標籤或排除項目

Defender for Endpoint 提供兩種互補機制來管理裝置相關性。 請參考下表,判斷哪種方法最適合你的情況。

情況 方法 運作方式 影響
裝置經常出現又消失 (訪客、測試虛擬機、短命容器) 暫態裝置標籤 (自動) 內部演算法偵測間歇性網路模式並標記匹配裝置。 伺服器、網路設備、印表機、工業及智慧設施設備絕不會被標記為暫時性。 暫時裝置會被過濾掉預設的庫存檢視,但如果你更改篩選條件,仍然可見。 暴露分數、安全分數、漏洞報告和進階狩獵仍包含這些裝置。
永久實驗室或沙盒環境 裝置排除 (手動) 你要單獨或批量排除裝置,並有書面理由。 被排除的裝置不會出現在漏洞管理頁面或報告中,也不會貢獻於暴露或安全分數。 它們仍留在裝置庫存中,但會被標記為排除。
預定除役的裝置 裝置排除 (手動) 排除時,請說明理由並註明預定的退休日期。 同上一樣。 歷史紀錄仍保存在庫存中。
重鏡後重複條目 裝置排除 (手動) 排除帶有「重複裝置」理由的過時條目;保持主動裝置在作用範圍內。 清理庫存並確保設備數量準確。
裝置長時間離線 檢查是否已經被暫時標記;如果沒有,請考慮排除 暫時標記可能已經能處理這個問題。 只有當裝置無法返回時,才手動排除。 這取決於你選擇的做法。
你想暫時忽略的活躍裝置 裝置過濾器或自訂標籤 使用庫存過濾器或 裝置標籤 來建立目標檢視。 能見度保持完整。 絕不要排除主動裝置——那會造成盲點。
由不同團隊管理的裝置 裝置過濾器或自訂標籤 使用裝置標籤和篩選器來為每個團隊進行檢視範圍。 整個組織都維持完整的能見度。

重要事項

定期檢視帶有瞬態標籤及排除裝置的裝置。 排除裝置時,務必加入有意義的說明。 切勿排除活躍且連網的裝置——排除只影響漏洞管理的可見性,而非實際風險。

檢視並管理暫態裝置

暫態裝置標籤是自動的,無法停用。 你透過過濾器來控制可見性。

檢視庫存中的暫態裝置

  1. Microsoft Defender 入口網站,請前往資產>裝置
  2. 選取 [篩選] 圖示。
  3. 暫態裝置 篩選器中,選擇 「是 」以僅查看暫態裝置,或選擇 「否 」以排除它們。

你也可以將 瞬態裝置 欄位加入你的庫存檢視,以查看瞬態狀態及其他裝置細節。

瞬態標記的運作原理

  • 自動偵測:內部演算法根據網路出現模式識別瞬態裝置。
  • 排除的裝置類型:伺服器、網路設備、印表機、工業設備、監控設備、智慧設施設備及智慧家電絕不會被標記為暫時性。
  • 預設過濾:暫態裝置預設會被過濾出裝置清單。
  • 無法手動覆寫:你無法手動標記或取消標籤裝置為暫時性裝置。 調整濾鏡設定以控制能見度。

排除裝置

裝置排除功能允許你手動將特定裝置從漏洞管理中移除。 被排除的裝置仍會留在裝置庫存中 (標示為排除) 但不會出現在漏洞管理頁面或報告中,且不會貢獻於暴露或安全分數。

警告

被排除的裝置仍連接網路,仍可能帶來安全風險。 裝置排除僅影響漏洞管理的可見性,無法防止攻擊或降低實際風險。 如果你嘗試排除一個活躍的裝置,Defender for Endpoint 會顯示警告並要求確認。

排除單一裝置

  1. Microsoft Defender 入口網站,請前往資產>裝置
  2. 選擇你想排除的裝置。
  3. 在裝置跳出視窗或裝置頁面中,選擇 排除
  4. 請選擇理由:
    • 非活躍裝置
    • 複製裝置
    • 裝置不存在
    • 超出範圍
    • 其他
  5. 打字說明排除原因。
  6. 選擇 排除裝置

排除裝置對話框的截圖,附有對齊選項。

排除多個裝置

  1. 裝置清單中,透過勾選方塊選擇多個裝置。
  2. 從動作列中選擇 「排除」。
  3. 選擇一個理由並加上註解。
  4. 選擇 排除裝置

如果你選擇有混合排除狀態的裝置,對話框會顯示已經排除的數量。 你可以重新排除裝置,但新的理由會覆蓋先前的數值。

大量裝置排除的截圖顯示多個被選取的裝置。

注意事項

裝置完全排除在漏洞管理檢視和資料之外,可能需要長達 10 小時。

檢視並管理被排除的裝置

  1. 裝置清單中,選擇 篩選 圖示。
  2. 使用 排除狀態 過濾器查看:
    • 不排除:正常裝置
    • 排除:已移除漏洞管理的裝置

你也可以把 排除狀態 欄位加入你的庫存檢視。

別再排除某個裝置了

要將裝置恢復為主動的漏洞管理:

  1. 裝置清單中,選擇排除的裝置。
  2. 在裝置飛出視窗中,選擇 排除詳情
  3. 選擇 停止排除

截圖顯示排除細節,並有停止排除選項。

一旦停止排除,漏洞資料會重新出現在漏洞管理頁面、報告及進階搜尋中。 變更可能需要長達8小時才會生效。

後續步驟

  • Last updated on