Управление охватом устройств и релевантностью с помощью тегов и исключений

Не всем устройствам, обнаруженным в вашей сети, требуется одинаковый уровень внимания к безопасности. Некоторые устройства лишь ненадолго появляются в сети (гостевые, тестовые устройства), тогда как другие постоянно находятся вне сферы управления уязвимостями (изолированные лаборатории, выведенные из эксплуатации системы). В этой статье объясняется, как использовать временные теги устройств и исключения устройств для управления устройствами, которые находятся в области управления уязвимостями. Управление областью устройства с помощью этих средств позволяет вашей группе безопасности сосредоточиться на соответствующих устройствах, обеспечить точные оценки воздействия и защиты и создавать более чистые отчеты, которые отражают вашу истинную рабочую среду.

Использование тегов или исключений

Defender для конечной точки предоставляет два взаимодополняющих механизма для управления релевантностью устройств. Используйте следующую таблицу, чтобы определить, какой подход подходит для вашей ситуации.

Ситуация Способ Принципы действия Влияние
Устройства появляются и исчезают часто (гости, тестовые виртуальные машины, краткосрочные контейнеры) Временная маркировка устройств (автоматическая) Внутренний алгоритм обнаруживает периодические сетевые шаблоны и теги, соответствующие устройствам. Серверы, сетевые устройства, принтеры, промышленные и интеллектуальные устройства никогда не помечаются как временные. Временные устройства отфильтровываются из представления инвентаризации по умолчанию, но остаются видимыми при изменении фильтра. Оценка экспозиции, оценка безопасности, отчеты об уязвимостях и расширенная охота по-прежнему включают эти устройства.
Постоянная лабораторная среда или песочница Исключение устройства (вручную) Вы исключаете устройства по отдельности или в массовом порядке с задокументированным обоснованием. Исключенные устройства не отображаются на страницах управления уязвимостями или в отчетах и не влияют на уровень уязвимости или оценки безопасности. Они остаются в инвентаризации устройств, но помечаются как исключенные.
Устройства, запланированные для вывода из эксплуатации Исключение устройства (вручную) Исключите с обоснованием и примечанием о запланированной дате прекращения использования. Исключенные устройства не отображаются на страницах управления уязвимостями или в отчетах и не влияют на уровень уязвимости или оценки безопасности. Архивные записи сохраняются в инвентаре.
Повторяющиеся записи после повторного воспроизведения образа Исключение устройства (вручную) Исключите устаревшие записи с обоснованием «Дублирующееся устройство»; оставьте активное устройство в области охвата. Очищает инвентаризационные данные и обеспечивает точный подсчёт устройств.
Устройства не в сети в течение длительного времени Проверьте, есть ли временные теги; Если нет, рассмотрите возможность исключения Временные теги могут уже обрабатывать этот сценарий. Исключайте вручную только в том случае, если устройство не вернётся. Зависит от выбранного подхода.
Активные устройства, которые вы хотите временно игнорировать Фильтры устройств или настраиваемые теги Используйте фильтры инвентаризации или создайте теги устройств и управляйте ими для создания целевых представлений. Сохраняется полная видимость. Никогда не исключайте активные устройства, что создает слепые пятна.
Устройства, управляемые другой командой Фильтры устройств или настраиваемые теги Используйте теги устройств и фильтры, чтобы разграничить представления по командам. Полная видимость поддерживается во всей организации.

Важно!

Регулярно проверяйте устройства, помеченные как временные, и исключенные устройства. Всегда добавляйте осмысленные заметки при исключении устройств. Никогда не исключайте активные устройства, подключенные к сети. Исключение влияет только на видимость управления уязвимостями, а не на фактический риск.

Просмотр временных устройств и управление ими

Временные метки устройств являются автоматическими и не могут быть отключены. Вы управляете видимостью с помощью фильтров.

Просмотр временных устройств в инвентаризации

Чтобы просмотреть временные устройства в инвентаризации устройств, выполните следующие действия.

  1. На портале Microsoft Defender перейдите в раздел Активы>Устройства.
  2. Выберите значок Фильтр.
  3. В фильтре временных устройств выберите Да , чтобы просмотреть только временные устройства, или нет , чтобы исключить их из списка.

Вы также можете добавить столбец "Временное устройство " в представление инвентаризации, чтобы просмотреть временное состояние вместе с другими сведениями об устройстве.

Как работает временная маркировка

Следующие пункты объясняют, как работают временные теги в Defender for Endpoint:

  • Автоматическое обнаружение. Внутренний алгоритм определяет временные устройства на основе шаблонов внешнего вида сети.
  • Исключённые типы устройств: серверы, сетевые устройства, принтеры, промышленные устройства, оборудование видеонаблюдения, интеллектуальные устройства зданий и умная бытовая техника никогда не помечаются как временные.
  • Фильтрация по умолчанию. Временные устройства по умолчанию отфильтровываются из инвентаризации устройств.
  • Переопределение вручную недоступно: Вы не можете вручную пометить устройство как временное или снять с него такую пометку. Настройте параметры фильтра для управления видимостью.

Исключить устройства

Исключение устройств позволяет вручную удалить определенные устройства из видимости управления уязвимостями. Исключенные устройства остаются в инвентаризации устройств (помечены как исключенные), но не отображаются на страницах управления уязвимостями или в отчетах и не влияют на уровень уязвимости или оценки безопасности.

Предупреждение

Исключенные устройства остаются подключенными к сети и по-прежнему могут представлять угрозу безопасности. Исключение устройства влияет только на видимость управления уязвимостями— оно не предотвращает атаки или не снижает фактический риск. При попытке исключить активное устройство Defender для конечных точек отобразит предупреждение и запросит подтверждение.

Исключить одно устройство

Чтобы исключить одно устройство из видимости управления уязвимостями, выполните следующие действия.

  1. В портале Microsoft Defender перейдите в раздел Активы>Устройства.
  2. Выберите устройство, которое нужно исключить.
  3. Во всплывающем окне устройства или на странице устройства выберите Исключить.
  4. Выберите обоснование:
    • Неактивное устройство
    • Дубликат устройства
    • Устройство не существует
    • Вне области применения
    • Прочее
  5. Введите примечание, объясняющее причину исключения.
  6. Выберите Исключить устройство.

Снимок экрана: диалоговое окно исключения устройства с параметрами обоснования.

Исключить несколько устройств

Чтобы исключить несколько устройств одновременно, выполните следующие действия.

  1. В разделе Инвентаризация устройств выберите несколько устройств с помощью флажков.
  2. На панели действий выберите Исключить.
  3. Выберите обоснование и добавьте заметку.
  4. Выберите Исключить устройства.

При выборе устройств со смешанными состояниями исключения в диалоговом окне показано, сколько уже исключено. Устройства можно исключить повторно, но новое обоснование переопределяет предыдущие значения.

Снимок экрана, на котором показано массовое исключение устройств, где выбрано несколько устройств.

Примечание.

Для полного исключения устройств из представлений и данных управления уязвимостями может потребоваться до 10 часов.

Просмотр исключенных устройств и управление ими

Чтобы просмотреть исключенные устройства в инвентаризации, выполните следующие действия.

  1. В разделе Инвентаризация устройств щелкните значок Фильтр .
  2. Используйте фильтр состояния исключения для просмотра:
    • Не исключены: обычные устройства
    • Исключено: устройства, удаленные из управления уязвимостями

Можно также добавить столбец Состояние исключения в представление инвентаризации.

Остановить исключение устройства

Чтобы восстановить устройство до активного управления уязвимостями, выполните приведенные далее действия.

  1. В разделе Инвентаризация устройств выберите исключенное устройство.
  2. Во всплывающем меню устройства выберите Сведения об исключении.
  3. Выберите Остановить исключение.

Снимок экрана: сведения об исключении с параметром для остановки исключения.

После отмены исключения данные об уязвимостях снова появляются на страницах управления уязвимостями, в отчётах и в возможностях расширенного поиска. Внесение изменений в силу может занять до 8 часов.

Дальнейшие действия