Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Не всем устройствам, обнаруженным в вашей сети, требуется одинаковый уровень внимания к безопасности. Некоторые устройства кратко отображаются в сети (гости, тестовые устройства), а другие постоянно находятся вне область для управления уязвимостями (изолированные лаборатории, списанные системы). Управление область устройств с временными тегами устройств и исключениями устройств позволяет команде безопасности сосредоточиться на соответствующих устройствах, обеспечить точную экспозицию и оценку безопасности, а также создавать более чистые отчеты, отражающие реальную рабочую среду.
Использование тегов или исключений
Defender для конечной точки предоставляет два взаимодополняющих механизма для управления релевантностью устройств. Используйте следующую таблицу, чтобы определить, какой подход подходит для вашей ситуации.
| Ситуация | Способ | Принципы действия | Влияние |
|---|---|---|---|
| Устройства появляются и исчезают часто (гости, тестовые виртуальные машины, краткосрочные контейнеры) | Временные теги устройств (автоматически) | Внутренний алгоритм обнаруживает периодические сетевые шаблоны и теги, соответствующие устройствам. Серверы, сетевые устройства, принтеры, промышленные и интеллектуальные устройства никогда не помечаются как временные. | Временные устройства отфильтровываются из представления инвентаризации по умолчанию, но остаются видимыми при изменении фильтра. Оценка экспозиции, оценка безопасности, отчеты об уязвимостях и расширенная охота по-прежнему включают эти устройства. |
| Постоянная среда лаборатории или песочницы | Исключение устройства (вручную) | Вы исключаете устройства по отдельности или в массовом порядке с задокументированным обоснованием. | Исключенные устройства не отображаются на страницах управления уязвимостями или в отчетах и не влияют на уровень уязвимости или оценки безопасности. Они остаются в инвентаризации устройств, но помечаются как исключенные. |
| Устройства, запланированные для вывода из эксплуатации | Исключение устройства (вручную) | Исключите с обоснованием и примечанием о запланированной дате прекращения использования. | То же самое, что и выше. Исторические записи остаются в инвентаризации. |
| Повторяющиеся записи после повторного воспроизведения образа | Исключение устройства (вручную) | Исключите устаревшие записи с обоснованием "Повторяющееся устройство"; оставить активное устройство в область. | Очищает запасы и обеспечивает точное количество устройств. |
| Устройства в автономном режиме в течение длительных периодов времени | Проверьте, есть ли временные теги; Если нет, рассмотрите возможность исключения | Это может уже обрабатываться временными тегами. Исключите вручную, только если устройство не возвращается. | Зависит от выбранного подхода. |
| Активные устройства, которые вы хотите временно игнорировать | Фильтры устройств или настраиваемые теги | Используйте фильтры инвентаризации или теги устройств для создания целевых представлений. | Сохраняется полная видимость. Никогда не исключайте активные устройства, что создает слепые пятна. |
| Устройства, управляемые другой командой | Фильтры устройств или настраиваемые теги | Используйте теги и фильтры устройств для область представлений для каждой команды. | Полная видимость поддерживается во всей организации. |
Важно!
Регулярно проверяйте временные и исключенные устройства. Всегда добавляйте осмысленные заметки при исключении устройств. Никогда не исключайте активные устройства, подключенные к сети. Исключение влияет только на видимость управления уязвимостями, а не на фактический риск.
Просмотр временных устройств и управление ими
Временные метки устройств являются автоматическими и не могут быть отключены. Вы управляете видимостью с помощью фильтров.
Просмотр временных устройств в инвентаризации
- На портале Microsoft Defender перейдите в раздел Активы>устройства.
- Выберите значок Фильтр.
- В фильтре временных устройств выберите Да , чтобы просмотреть только временные устройства, или нет , чтобы исключить их из списка.
Вы также можете добавить столбец "Временное устройство " в представление инвентаризации, чтобы просмотреть временное состояние вместе с другими сведениями об устройстве.
Как работает временная маркировка
- Автоматическое обнаружение. Внутренний алгоритм определяет временные устройства на основе шаблонов внешнего вида сети.
- Исключенные типы устройств: серверы, сетевые устройства, принтеры, промышленные устройства, оборудование для наблюдения, интеллектуальные устройства и интеллектуальные устройства никогда не помечаются как временные.
- Фильтрация по умолчанию. Временные устройства по умолчанию отфильтровываются из инвентаризации устройств.
- Нет переопределения вручную. Вы не можете вручную пометить или снять метку устройства как временное. Настройте параметры фильтра для управления видимостью.
Исключение устройств
Исключение устройств позволяет вручную удалить определенные устройства из видимости управления уязвимостями. Исключенные устройства остаются в инвентаризации устройств (помечены как исключенные), но не отображаются на страницах управления уязвимостями или в отчетах и не влияют на уровень уязвимости или оценки безопасности.
Предупреждение
Исключенные устройства остаются подключенными к сети и по-прежнему могут представлять угрозу безопасности. Исключение устройства влияет только на видимость управления уязвимостями— оно не предотвращает атаки или не снижает фактический риск. При попытке исключить активное устройство Defender для конечной точки отобразит предупреждение и запросит подтверждение.
Исключение одного устройства
- На портале Microsoft Defender перейдите в раздел Активы>устройства.
- Выберите устройство, которое нужно исключить.
- Во всплывающем окне устройства или на странице устройства выберите Исключить.
- Выберите обоснование:
- Неактивное устройство
- Повторяющееся устройство
- Устройство не существует
- Вне области поддержки
- Прочее
- Введите примечание, объясняющее причину исключения.
- Выберите Исключить устройство.
Исключить несколько устройств
- В разделе Инвентаризация устройств выберите несколько устройств с помощью флажков.
- На панели действий выберите Исключить.
- Выберите обоснование и добавьте заметку.
- Выберите Исключить устройства.
При выборе устройств со смешанными состояниями исключения в диалоговом окне показано, сколько уже исключено. Устройства можно исключить повторно, но новое обоснование переопределяет предыдущие значения.
Примечание.
Для полного исключения устройств из представлений и данных управления уязвимостями может потребоваться до 10 часов.
Просмотр исключенных устройств и управление ими
- В разделе Инвентаризация устройств щелкните значок Фильтр .
- Используйте фильтр состояния исключения для просмотра:
- Не исключены: обычные устройства
- Исключено: устройства, удаленные из управления уязвимостями
Можно также добавить столбец Состояние исключения в представление инвентаризации.
Остановить исключение устройства
Чтобы восстановить устройство до активного управления уязвимостями, выполните приведенные далее действия.
- В разделе Инвентаризация устройств выберите исключенное устройство.
- Во всплывающем меню устройства выберите Сведения об исключении.
- Выберите Остановить исключение.
После остановки исключения данные об уязвимостях снова появляются на страницах управления уязвимостями, отчетах и расширенной охоте. Внесение изменений в силу может занять до 8 часов.
Дальнейшие действия
- Создание тегов устройств и управление ими для организации устройств в значимые группы
- Просмотр инвентаризации устройств с применением соответствующих фильтров
- Целевые устройства для действий безопасности с помощью тегов и групп устройств