Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства являются основой ваших операций безопасности в Microsoft Defender для конечной точки. Понимание того, как устройства отображаются в вашей среде, как эффективно управлять ими и как организовать их для действий по обеспечению безопасности, имеет важное значение для защиты организации.
Что такое устройства в Defender для конечных точек?
К устройствам в Microsoft Defender для конечных точек относятся любые конечные точки, которые передают в службу данные телеметрии безопасности. К ним относятся:
- Компьютеры и мобильные устройства: рабочие станции, серверы, ноутбуки и мобильные устройства (Windows, macOS, Linux, iOS, Android)
- Сетевые устройства: маршрутизаторы, коммутаторы и другая сетевая инфраструктура
- Устройства Интернета вещей и OT: принтеры, камеры, промышленные системы управления и операционные технологические устройства
Устройства отображаются в инвентаризации двумя основными способами:
- Подключение: Устройства, которые вы явным образом подключаете к Defender для конечных точек с установленным полноценным агентом. Подключенные устройства отображают состояние Подключенияподключены и обычно имеют состояние работоспособности активного датчика. Так как агент установлен, Defender для конечной точки может собирать с этих устройств подробные данные о безопасности, включая оповещения, уязвимости и инвентаризацию программного обеспечения. Дополнительные сведения см. в разделе Подключение устройств к Microsoft Defender для конечной точки.
- Обнаружение. Устройства, автоматически обнаруженные в сети без установленного агента. Обнаружение выполняется через подключенные конечные точки, которые отслеживают сетевой трафик (базовое обнаружение) или активно пробуют среду (стандартное обнаружение). Обнаруженные устройства отображают состояние Подключения: Можно подключить,Не поддерживается или Недостаточно сведений. Дополнительные сведения см. в статье Общие сведения об обнаружении устройств.
- Устройства Интернета вещей и OT. Устройства Интернета вещей и операционных технологий (OT), такие как принтеры, камеры и промышленные системы управления, отображаются в списке при включении Microsoft Defender для Интернета вещей на портале Defender. Эти устройства отображаются на вкладке Устройства Интернета вещей и OT и включают дополнительные поля, такие как тип устройства, подтип, поставщик и модель.
Столбец Источники обнаружения в инвентаризации устройств показывает, как было найдено каждое устройство: MDE (найдено датчиком Defender для конечной точки), Microsoft Defender для Интернета вещей (обнаружено Defender для Интернета вещей) и другие источники. Используйте этот столбец, чтобы понять, почему появляется устройство и требуется ли его подключение.
Жизненный цикл и путь устройства
Управление устройствами в Defender for Endpoint проходит по предсказуемому жизненному циклу. В следующей таблице описаны ключевые этапы, задачи, задействованные роли и соответствующая документация.
| Этап | Задачи | Задействованные роли | Дополнительные сведения |
|---|---|---|---|
| Обнаружение и подключение устройств | • Обнаружение устройств в сети • Подключение устройств с помощью агента Defender для конечной точки • Просмотр устройств в инвентаризации устройств • Оценка уровней риска и оценки воздействия |
Администратор безопасности ИТ-операции |
Просмотр устройств в реестре устройств Подключаемые устройства Настройка обнаружения устройств |
| Управляйте охватом и релевантностью | • Отфильтровать временные устройства (автоматически) • Исключить устройства из управления уязвимостями (вручную) • Определите, какие устройства требуют внимания к безопасности; |
Администратор безопасности | Управление областью применения и релевантностью устройства |
| Классификация и упорядочение с помощью тегов и исключений | • Добавление тегов вручную на отдельные устройства • Создание динамических тегов с помощью правил • Упорядочивание устройств в значимые группы • Применение тегов для бизнес-контекста |
Администратор безопасности Аналитик по безопасности |
Создание тегов устройств и управление ими |
| Целевые устройства для действий по обеспечению безопасности | • Использование групп устройств для доступа на основе ролей • Собирать настраиваемые данные телеметрии из групп устройств • Применение правил автоматизации к устройствам с тегами • Развертывание политик безопасности в группах устройств |
Администратор безопасности Аналитик по безопасности |
Создание тегов устройств и целевых устройств и управление ими Сбор пользовательских данных |
| Исследование устройств | • Просмотреть хронологию устройств • Анализ оповещений и инцидентов • Определение устройств с выходом в Интернет • Поиск угроз в разных группах устройств • Выполнение действий по реагированию |
Аналитик по безопасности Администратор безопасности |
Исследование устройств Просмотреть временную шкалу устройства Определение устройств с выходом в Интернет |
| Мониторинг и обслуживание | • Мониторинг состояния работоспособности устройства • Исправление неработоспособных датчиков • Просмотр отчетов о работоспособности датчика • Отслеживание состояния подключения |
ИТ-операции Администратор безопасности |
Исправление неисправных датчиков Отчеты о работоспособности устройств |
Нацеливание на устройства
Для нацеливания на устройства используются теги устройств, чтобы определить, какие устройства должны получать определенные действия по обеспечению безопасности. Вместо того чтобы управлять устройствами по отдельности, нацеливание позволяет упорядочивать устройства в значимые группы и применять конфигурации, политики или правила сбора данных в большом масштабе.
Теги и группы
Теги устройств — это метки, которые вы подключаете к устройствам (вручную или с помощью динамических правил) для отслеживания бизнес-контекста, например отдела, расположения или важности. Все пользователи могут видеть устройства с тегами. Теги сами по себе не управляют доступом и не применяют политики безопасности; они обеспечивают организационную основу для нацеливания.
Группы устройств создаются на основе тегов, чтобы контролировать, какие команды безопасности могут получать доступ к определенным устройствам и управлять ими. При создании группы устройств вы определяете соответствующие правила (часто на основе тегов), задаете уровни автоматического исправления и назначаете Microsoft Entra группам пользователей. Группы устройств обеспечивают управление доступом на основе ролей (RBAC), чтобы, например, региональная команда безопасности видела только устройства в их географическом регионе. Подробные инструкции см. в статье Создание групп устройств и управление ими.
Динамические теги и теги, заданные вручную
Теги вручную — это пользовательские метки, которые вы применяете непосредственно к отдельным устройствам через портал или API. Их можно быстро настроить, и они удобны для разовых задач, например назначения тегов устройствам во время активного расследования. Однако они не очень масштабируются и требуют обновления вручную. Теги вручную не поддерживаются для пользовательского сбора данных или некоторых сценариев автоматизации.
Динамические теги применяются автоматически на основе правил, определяемого в разделе Управление правилами активов. Они обновляются по мере изменения свойств устройства (примерно каждый час), масштабируются до тысяч устройств и требуются для дополнительных возможностей, таких как пользовательский сбор данных. Используйте динамические теги всякий раз, когда вам нужно, чтобы теги оставались актуальными без усилий вручную.
Важно!
Многие расширенные возможности Defender for Endpoint, включая пользовательский сбор данных, требуют динамических тегов. Теги вручную не поддерживаются в этих сценариях.
Целевые сценарии
В следующей таблице приведены распространённые сценарии, в которых нацеливание на устройства определяет операции по обеспечению безопасности.
| Сценарий | Способ | Пример |
|---|---|---|
| Исследование области действия | Помечайте устройства по отделу или инциденту, а затем фильтруйте оповещения и запросы расширенного поиска угроз по тегу. | Исследуйте все Finance-Department устройства на предмет подозрительного бокового смещения. |
| Сбор специализированных данных телеметрии | Создание динамических тегов для целевых устройств, а затем создание пользовательских правил сбора данных. Требуются динамические теги и рабочая область Microsoft Sentinel. | Сбор событий доступа к файлам из Database-Servers для мониторинга доступа к данным. |
| Автоматизация действий реагирования | Определение автоматических ответов для групп устройств на основе тегов. | Автоматическая изоляция Public-Kiosk устройств при обнаружении вредоносных программ с высоким уровнем серьезности. |
| Управление доступом аналитика (RBAC) | Создайте группы устройств на основе тегов и назначьте их Microsoft Entra командам безопасности. | Предоставьте группе финансовой безопасности доступ только к устройствам Finance-Department . |
| Развертывание правил ASR по типу устройства | Применяйте различные политики сокращения направлений атак к разным группам на основе тегов. | Агрессивная блокировка в Internet-Facing-Servers; тестовый режим в Development-Machines. |
| Принудительное применение условного доступа | Используйте уровни риска устройств и членство в группах для принятия решений о доступе. | Требовать MFA при High-Risk-Devices доступе к критически важным приложениям. |
| Упорядочение по географическим регионам | Помечайте устройства по регионам или площадкам для распределённого управления безопасностью. | Команда по безопасности региона EMEA отслеживает устройства Location-EMEA и реагирует на связанные с ними инциденты. |
| Управление жизненным циклом устройства | Пометка устройств по операционным этапам (производство, промежуточное хранение, вывод из эксплуатации). | Применение полных элементов управления к рабочей среде; сокращенный мониторинг вывода из эксплуатации. |
| Тестируйте новые функции безопасности | Вручную примените теги к пилотной группе, разверните функцию в тестовом режиме, затем расширьте охват. | Пометьте тегом ASR-Pilot-2026 20 устройств, протестируйте новое правило, доработайте его, а затем разверните более широко. |
Пошаговые инструкции по созданию тегов и групп устройств см. в статье Создание тегов устройств и целевых устройств и управление ими.
Действия по обеспечению безопасности на основе таргетинга
Теги и группы устройств позволяют применять операции безопасности в нескольких областях:
| Действия по обеспечению безопасности | Описание | Сценарии | Дополнительные сведения |
|---|---|---|---|
| Расследования и поиск угроз | Фильтруйте оповещения и ограничивайте расследования определенными группами устройств | • Исследовать все устройства "Finance-Department" на предмет подозрительной активности • Поиск угроз на серверах Windows в определенном регионе • Отслеживание устройств, участвующих в компрометации, с помощью тегов инцидентов |
Расширенная охота |
| Сбор пользовательских данных | Сбор специализированных данных телеметрии с устройств с динамическими тегами | • Сбор событий файлов из "Database-Servers" • Запись сетевых подключений с "Рабочих станций разработчиков" • Мониторинг выполнения скрипта в "Административных системах" |
Сбор пользовательских данных Создание пользовательских правил сбора данных |
| Правила автоматизации | Применение действий автоматического реагирования к категориям устройств | • Автоматическая изоляция устройств "Public-Kiosk" при обнаружении вредоносных программ • Выполнение сбора данных судебной экспертизы на критически важных серверах во время инцидентов • Ограничить BYOD-устройства в доступе к конфиденциальным ресурсам |
Автоматизированный анализ угроз и реагирование на них |
| Группы устройств для доступа на основе ролей | Определите, какие аналитики безопасности могут видеть определённые устройства и выполнять с ними действия | • Группа финансовой безопасности управляет только устройствами Finance-Department • Региональные команды управляют устройствами в своих географических расположениях • Младшие аналитики получают доступ только к непроизводственной группе устройств |
Создание групп устройств и управление ими |
| Правила сокращения направлений атак | Развертывание различных элементов управления безопасностью на разных типах устройств | • Строгие правила блокировки на "интернет-доступных серверах" • Тестовый режим на "Development-Machines" • Базовый стандарт для рабочих станций общего назначения |
Правила сокращения направлений атак |
| Политики условного доступа | Применять политики доступа на основе состояния безопасности устройства и тегов | • Требовать многофакторную проверку подлинности для устройств с высоким риском • Блокировка "устройств, не соответствующих требованиям" из корпоративных ресурсов • Предоставление ограниченного доступа к утвержденным службам с помощью Managed-BYOD |
Условный доступ с помощью Intune |