Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Enheder er grundlaget for dine sikkerhedshandlinger i Microsoft Defender for Endpoint. Det er vigtigt at forstå, hvordan enheder vises i dit miljø, hvordan de administreres effektivt, og hvordan de organiseres i forbindelse med sikkerhedshandlinger, for at beskytte din organisation.
Hvad er enheder i Defender for Endpoint?
Enheder i Microsoft Defender for Endpoint omfatter alle slutpunkter, der rapporterer sikkerhedstelemetri til tjenesten. Dette omfatter:
- Computere og mobilenheder: Arbejdsstationer, servere, bærbare computere og mobilenheder (Windows, macOS, Linux, iOS, Android)
- Netværksenheder: routere, parametre og anden netværksinfrastruktur
- IoT-/OT-enheder: Printere, kameraer, industrielle kontrolsystemer og enheder til driftsteknologi
Enheder vises på dit lager via to primære metoder:
- Onboarding: Enheder, du eksplicit onboarder til Defender for Endpoint, hvor den fulde agent er installeret. Onboardede enheder viser Onboarding-status for Onboarded og har typisk en aktiv sensortilstandstilstand. Da agenten er installeret, kan Defender for Endpoint indsamle detaljerede sikkerhedsdata fra disse enheder, herunder beskeder, sikkerhedsrisici og softwareoversigt. Du kan få flere oplysninger under Onboard enheder til Microsoft Defender for Endpoint.
- Registrering: Enheder, der automatisk registreres på netværket, uden at der er installeret en agent. Registrering sker via onboardede slutpunkter, der overvåger netværkstrafik (grundlæggende registrering) eller aktivt sonderer miljøet (standardregistrering). Registrerede enheder viser onboardingstatussenKan onboardes, Ikke-understøttet eller Utilstrækkelige oplysninger. Du kan finde flere oplysninger under Oversigt over enhedsregistrering.
- IoT- og OT-enheder: IoT- og driftsteknologienheder – f.eks. printere, kameraer og industrielle kontrolsystemer – vises i oversigten, når du aktiverer Microsoft Defender til IoT på Defender-portalen. Disse enheder vises på fanen IoT/OT-enheder og indeholder ekstra felter, f.eks. enhedstype, undertype, leverandør og model.
Kolonnen Registreringskilder i enhedsoversigten fortæller dig, hvordan hver enhed blev fundet: MDE (fundet af Defender for Endpoint-sensoren), Microsoft Defender til IoT (fundet af Defender for IoT) og andre kilder. Brug denne kolonne til at forstå, hvorfor en enhed vises, og om den kræver onboarding.
Enhedens livscyklus og rejse
Administration af enheder i Defender for Endpoint følger en forudsigelig livscyklus. I følgende tabel beskrives de vigtigste faser, opgaver, roller og relateret dokumentation:
| Fase | Opgaver | Roller, der er involveret | Lær mere |
|---|---|---|---|
| Opdag og onboarder enheder | • Find enheder på dit netværk • Onboarde enheder med Defender for Endpoint Agent • Få vist enheder i enhedsoversigten • Vurder risikoniveauer og eksponeringsscores |
Sikkerhedsadministrator It-handlinger |
Udforsk enheder i enhedsoversigten Onboard enheder Konfigurer enhedssøgning |
| Administrer omfang og relevans | • Bortfiltrer midlertidige enheder (automatisk) • Udelad enheder fra administration af sårbarheder (manuel) • Find ud af, hvilke enheder der kræver sikkerheds opmærksomhed |
Sikkerhedsadministrator | Administrer enhedens omfang og relevans |
| Klassificer og organiser med mærker og udeladelser | • Føj manuelle mærker til individuelle enheder • Opret dynamiske koder ved hjælp af regler • Organiser enheder i meningsfulde grupper • Anvend mærker for forretningskontekst |
Sikkerhedsadministrator Sikkerhedsanalytiker |
Opret og administrer enhedsmærker |
| Destinationsenheder til sikkerhedshandlinger | • Brug enhedsgrupper til rollebaseret adgang • Indsaml brugerdefineret telemetri fra enhedsgrupper • Anvend automatiseringsregler på mærkede enheder • Installer sikkerhedspolitikker på enhedsgrupper |
Sikkerhedsadministrator Sikkerhedsanalytiker |
Opret og administrer enhedskoder og destinationsenheder Brugerdefineret dataindsamling |
| Undersøg enheder | • Gennemse enhedens tidslinjer • Undersøg beskeder og hændelser • Identificer enheder på internettet • Jagt efter trusler på tværs af enhedsgrupper • Udfør svarhandlinger |
Sikkerhedsanalytiker Sikkerhedsadministrator |
Undersøg enheder Gennemse enhedens tidslinje Identificer enheder, der vender mod internettet |
| Overvåg og vedligehold | • Overvåg enhedens tilstandsstatus • Ret usunde sensorer • Gennemse tilstandsrapporter for sensorer • Spor onboardingstatus |
It-handlinger Sikkerhedsadministrator |
Løs usunde sensorer Rapporter over enhedens tilstand |
Målretning mod enhed
Målretning af enheder bruger enhedskoder til at identificere, hvilke enheder der skal modtage specifikke sikkerhedshandlinger. I stedet for at administrere enheder individuelt kan du målrette enheder i relevante grupper og anvende konfigurationer, politikker eller regler for dataindsamling i stor skala.
Tags vs. grupper
Enhedskoder er mærkater, du vedhæfter til enheder – enten manuelt eller via dynamiske regler – for at registrere forretningskontekst, f.eks. afdeling, placering eller kritiskhed. Alle brugere kan se mærkede enheder. Mærker alene styrer ikke adgang eller anvender sikkerhedspolitikker. de udgør det organisatoriske grundlag for målretning.
Enhedsgrupper bygger på mærker for at styre, hvilke sikkerhedsteams der kan få adgang til og administrere bestemte enheder. Når du opretter en enhedsgruppe, definerer du matchende regler (ofte baseret på mærker), angiver niveauer for automatisk afhjælpning og tildeler Microsoft Entra brugergrupper. Enhedsgrupper aktiverer rollebaseret adgangskontrol, så et regionalt sikkerhedsteam f.eks. kun ser enheder i deres geografi. Du kan finde detaljerede instruktioner under Opret og administrer enhedsgrupper.
Dynamiske tags i forhold til manuelle mærker
Manuelle mærker er brugerdefinerede mærkater, som du anvender direkte på individuelle enheder via portalen eller API'en. De er hurtige at konfigurere og nyttige til ad hoc-behov, f.eks. mærkning af enheder under en aktiv undersøgelse. De skaleres dog ikke godt og kræver manuelle opdateringer. Manuelle mærker understøttes ikke i forbindelse med brugerdefineret dataindsamling eller nogle automatiseringsscenarier.
Dynamiske koder anvendes automatisk baseret på regler, du definerer i Asset Rule Management. De opdateres, når enhedsegenskaber ændres (ca. hver time), skaleres til tusindvis af enheder og er påkrævet til avancerede funktioner, f.eks. brugerdefineret dataindsamling. Brug dynamiske mærker, når du har brug for, at tags forbliver opdaterede uden manuel indsats.
Vigtigt!
Mange avancerede funktioner i Defender for Endpoint, herunder brugerdefineret dataindsamling, kræver dynamiske koder. Manuelle mærker understøttes ikke i disse scenarier.
Målretningsscenarier
I følgende tabel opsummeres almindelige scenarier, hvor målretning af enheder driver sikkerhedshandlinger.
| Scenarie | Tilgang | Eksempel |
|---|---|---|
| Områdeundersøgelser | Tag enheder efter afdeling eller hændelse, og filtrer derefter beskeder og avancerede jagtforespørgsler efter tag. | Undersøg alle Finance-Department enheder for mistænkelig tværgående bevægelse. |
| Indsaml specialiseret telemetri | Opret dynamiske mærker for destinationsenheder, og opret derefter brugerdefinerede regler for dataindsamling. Kræver dynamiske koder og et Microsoft Sentinel arbejdsområde. | Indsaml hændelser for filadgang fra Database-Servers for at overvåge dataadgang. |
| Automatiser svarhandlinger | Definer automatiserede svar for enhedsgrupper baseret på mærker. | Isoler Public-Kiosk enheder automatisk, når der registreres malware med høj alvorsgrad. |
| Adgang til kontrolanalytiker (RBAC) | Opret enhedsgrupper ud fra mærker, og tildel dem til Microsoft Entra sikkerhedsteams. | Giv økonomisikkerhedsteamet kun adgang til Finance-Department enheder. |
| Installer ASR-regler efter enhedstype | Anvend forskellige politikker til reduktion af angrebsoverfladen på forskellige tagbaserede grupper. | Aggressiv blokering slået til Internet-Facing-Servers; testtilstand slået Development-Machinestil . |
| Gennemtving betinget adgang | Brug enhedsrisikoniveauer og gruppemedlemskab til at informere om adgangsbeslutninger. | Kræv MFA for at få adgang til High-Risk-Devices følsomme programmer. |
| Organiser efter geografi | Tag enheder efter område eller websted for distribuerede sikkerhedshandlinger. | EMEA-sikkerhedsteamet overvåger og reagerer Location-EMEA på enheder. |
| Administrer enhedens livscyklus | Tag enheder efter driftsfase (produktion, midlertidig lagring, nedlukning). | Anvend komplette kontrolelementer på produktion. reduceret overvågning i forbindelse med nedlukning. |
| Piloter nye sikkerhedsfunktioner | Anvend manuelle mærker på en pilotgruppe, udrul funktionen i testtilstand, og udvid derefter. | Tag 20 enheder med ASR-Pilot-2026, test ny regel, afgræns, og udrul derefter bredt. |
Du kan finde en trinvis vejledning i, hvordan du opretter mærker og enhedsgrupper, under Opret og administrer enhedskoder og destinationsenheder.
Sikkerhedshandlinger drevet af målretning
Enhedskoder og -grupper gør det muligt for dig at anvende sikkerhedshandlinger på tværs af flere områder:
| Sikkerhedshandling | Beskrivelse | Scenarier | Lær mere |
|---|---|---|---|
| Undersøgelser og trusselsjagt | Filtrer beskeder og områdeundersøgelser til bestemte enhedsgrupper | • Undersøg alle "Finance-Department"-enheder for mistænkelig aktivitet • Jagt efter trusler på tværs af "Windows-Servere" i et bestemt område • Spore enheder, der er involveret i et kompromis, ved hjælp af hændelseskoder |
Avanceret jagt |
| Brugerdefineret dataindsamling | Indsaml specialiseret telemetri fra enheder med dynamiske tags | • Indsaml filhændelser fra "Database-Servers" • Hent netværksforbindelser fra "Developer-Workstations" • Overvåg udførelse af script på "Administrative-Systems" |
Brugerdefineret dataindsamling Opret brugerdefinerede regler for dataindsamling |
| Automatiseringsregler | Anvend automatiserede svarhandlinger på enhedskategorier | • Isoler "Offentlige kiosk"-enheder automatisk, hvis der registreres malware • Kør kriminaltekniske samlinger på "Kritiske servere" under hændelser • Begræns "BYOD-enheder" fra følsomme ressourcer |
Automatiseret undersøgelse og svar |
| Enhedsgrupper til rollebaseret adgang | Styr, hvilke sikkerhedsanalytikere der kan se og reagere på bestemte enheder | • Økonomisikkerhedsteam administrerer kun "Finance-Department"-enheder • Regionale teams administrerer enheder på deres geografiske placeringer • Underordnede analytikere får kun adgang til "ikke-produktions"-enhedsgrupper |
Opret og administrer enhedsgrupper |
| Regler for reduktion af angrebsoverflade | Udrul forskellige sikkerhedskontrolelementer til forskellige enhedstyper | • Strenge blokeringsregler på "internetbaserede servere" • Testtilstand på "Udviklingsmaskiner" • Standard grundlinje for almindelige brugerarbejdsstationer |
Regler for reduktion af angrebsoverflade |
| Politikker for betinget adgang | Gennemtving adgangskontroller baseret på enhedens sikkerhedsholdning og mærker | • Kræv MFA til "højrisikoenheder" • Bloker "enheder, der ikke overholder angivne standarder" fra virksomhedens ressourcer • Tillad begrænset "Managed-BYOD"-adgang til godkendte tjenester |
Betinget adgang med Intune |