Hallitse laitteen laajuutta ja osuvuutta tunnisteiden ja poissulkemisten avulla

  • Koskee seuraavia:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Kaikki verkostasi löytyneet laitteet eivät edellytä samaa suojaustasoa. Jotkin laitteet näkyvät lyhyesti verkossa (vieraat, testilaitteet), kun taas toiset eivät ole pysyvästi haavoittuvuuden hallinnan (eristetyt testilaboratoriot, käytöstä poistetut järjestelmät) käytettävissä. Laitteen vaikutusalueen hallinta tilapäisillä laitetunnisteilla ja laitteen poissulkemisilla pitää suojaustiimisi keskittyneenä asiaankuuluviin laitteisiin, varmistaa tarkan altistumisen ja suojauspisteet ja tuottaa puhtaampia raportteja, jotka heijastavat todellista tuotantoympäristöäsi.

Tunnisteiden tai poissulkemisten käyttäminen

Defender for Endpoint tarjoaa kaksi komplementtimekanismia laitteen asiayhteyden hallintaan. Seuraavan taulukon avulla voit määrittää, mikä lähestymistapa sopii tilanteeseesi.

Tilanne Lähestymistapa Miten se toimii? Vaikutus
Laitteet näkyvät ja katoavat usein (vieraat, testi-näennäiskoneet, lyhytikäiset säilöt) Tilapäiset laitemerkinnät (automaattinen) Sisäinen algoritmi tunnistaa ajoittaisia verkkomalleja ja merkitsee vastaavat laitteet. Palvelimia, verkkolaitteita, tulostimia, teollisuuslaitteita ja älylaitteiden laitteita ei koskaan merkitä tilapäisiksi. Tilapäiset laitteet suodatetaan pois oletusvarastonäkymästä, mutta ne pysyvät näkyvissä, jos muutat suodatinta. Altistumispisteet, turvalliset pisteet, haavoittuvuusraportit ja kehittynyt metsästys sisältävät edelleen nämä laitteet.
Pysyvä testiympäristö tai eristysympäristö Poissulkeva laite (manuaalinen) Jätät pois laitteet yksitellen tai joukkona ja joilla on dokumentoitu tasaus. Pois jätetyt laitteet eivät näy haavoittuvuuden hallintasivuilla tai raporteissa eivätkä vaikuta altistumiseen tai suojauspisteisiin. Ne pysyvät laitevarastossa, mutta ne on merkitty pois jätetyiksi.
Käytöstä poistettavaksi ajoitetut laitteet Poissulkeva laite (manuaalinen) Jätä pois sekä perustelut ja huomautus suunnitellusta käytöstäpoistopäivästä. Sama kuin yllä. Historiatiedot pysyvät varastossa.
Päällekkäiset merkinnät uudelleentuomisen jälkeen Poissulkeva laite (manuaalinen) Jätä pois vanhentuneet merkinnät, joissa on "Päällekkäinen laite" -tasaus. pidä aktiivinen laite vaikutusalueella. Tyhjentää varaston ja varmistaa tarkan laitemäärien.
Laitteet offline-tilassa pitkiä aikoja Tarkista, onko merkinnät jo tilapäisiä. Jos näin ei ole, harkitse poissulkemista Tilapäinen merkitseminen saattaa jo käsitellä tätä. Jätä pois manuaalisesti vain, jos laite ei palaa. Riippuu valitusta lähestymistavasta.
Aktiiviset laitteet, jotka haluat ohittaa tilapäisesti Laitteen suodattimet tai mukautetut tunnisteet Luo kohdennetut näkymät varastosuodattimien tai laitetunnisteiden avulla. Täysi näkyvyys säilyy. Älä koskaan jätä pois aktiivisia laitteita, jotka luovat näköpisteitä.
Toisen tiimin hallitsemat laitteet Laitteen suodattimet tai mukautetut tunnisteet Käytä laitetunnisteita ja suodattimia käyttöaluenäkymien käyttämiseen tiimiä kohti. Koko organisaation kattava näkyvyys säilyy.

Tärkeää

Tarkista tilapäiset merkityt ja pois jätetyt laitteet säännöllisesti. Lisää aina merkityksellisiä huomautuksia, kun laitteita ei ole. Älä koskaan jätä pois aktiivisia verkkoon yhdistettyjä laitteita – poissulkeminen vaikuttaa vain haavoittuvuuden hallinnan näkyvyyteen, ei todelliseen riskiin.

Tilapäisten laitteiden tarkasteleminen ja hallinta

Tilapäisten laitteiden tunnisteet ovat automaattisia, eikä niitä voi poistaa käytöstä. Voit hallita näkyvyyttä suodattimien avulla.

Tilapäisten laitteiden tarkasteleminen varastossa

  1. Siirry Microsoft Defender-portaalissa kohtaan Resurssit Laitteet>.
  2. Valitse Suodatin-kuvake .
  3. Valitse Tilapäisessä laitesuodattimessaKyllä , jos haluat tarkastella vain tilapäisiä laitteita, tai valitse Ei , jos haluat jättää ne pois luettelosta.

Voit myös lisätä tilapäisen laitesarakkeen varastonäkymään nähdäksesi tilapäisen tilan muiden laitetietojen rinnalla.

Miten tilapäinen merkitseminen toimii

  • Automaattinen tunnistus: Sisäinen algoritmi tunnistaa tilapäiset laitteet verkon ulkoasukuvioiden perusteella.
  • Pois jätetyt laitetyypit: Palvelimia, verkkolaitteita, tulostimia, teollisuuslaitteita, valvontalaitteita, älylaitoslaitteita ja älykkäitä laitteita ei koskaan merkitä tilapäisiksi.
  • Oletussuodatus: Tilapäiset laitteet suodatetaan oletusarvoisesti pois laitevarastosta.
  • Ei manuaalista ohitusta: Et voi manuaalisesti merkitä tai purkaa laitetta tilapäiseksi. Säädä näkyvyyttä säätämällä suodatinasetuksia.

Jätä pois laitteet

Laitteen poissulkemisen avulla voit poistaa manuaalisesti tietyt laitteet haavoittuvuuden hallinnan näkyvyydestä. Pois jätetyt laitteet pysyvät laitevarastossa (merkitty pois jätetyiksi), mutta ne eivät näy haavoittuvuuden hallintasivuilla tai raporteissa eivätkä edistä altistumista tai suojauspisteitä.

Varoitus

Pois jätetyt laitteet pysyvät yhteydessä verkkoon, ja niihin voi silti liittyä suojausriskejä. Laitteen poissulkeminen vaikuttaa vain haavoittuvuuden hallinnan näkyvyyteen – se ei estä hyökkäyksiä tai vähennä todellista riskiä. Jos yrität sulkea pois aktiivisen laitteen, Defender for Endpoint näyttää varoituksen ja pyytää vahvistusta.

Jätä pois yksittäinen laite

  1. Siirry Microsoft Defender-portaalissa kohtaan Resurssit Laitteet>.
  2. Valitse laite, jonka haluat jättää pois.
  3. Valitse laitteen pikaikkunassa tai laitteen sivulla Jätä pois.
  4. Valitse tasaus:
    • Ei käytössä -laite
    • Laitteen kaksoiskappale
    • Laitetta ei ole olemassa
    • Ei kuulu vaikutusalueeseen
    • Muut
  5. Kirjoita huomautus, jossa selitetään poissulkemisen syy.
  6. Valitse Jätä laite pois.

Näyttökuva pois jätettävien laitteiden valintaikkunasta, jossa on tasausasetukset.

Jätä pois useita laitteita

  1. Valitse Laiteluettelosta useita laitteita valintaruutujen avulla.
  2. Valitse toimintoriviltä Jätä pois.
  3. Valitse tasaus ja lisää huomautus.
  4. Valitse Jätä laitteet pois.

Jos valitset laitteet, joissa on yhdistelmäpoikkeustila, valintaikkunassa näkyy, kuinka monta on jo jätetty pois. Voit jättää laitteet uudelleen pois, mutta uusi tasaus ohittaa aiemmat arvot.

Näyttökuva laitteen joukkopoikkeuksesta, joka näyttää useita valittuja laitteita.

Huomautus

Voi kestää jopa 10 tuntia, ennen kuin laitteet jätetään kokonaan haavoittuvuuden hallintanäkymien ja tietojen ulkopuolelle.

Tarkastele ja hallitse pois jätettyjä laitteita

  1. Valitse LaiteluettelostaSuodatin-kuvake .
  2. Näytä Poissulkemisen tila -suodattimen avulla:
    • Ei jätetty pois: Normaalit laitteet
    • Poissuljettu: Haavoittuvuuden hallinnasta poistetut laitteet

Voit myös lisätä Poissulkemisen tila -sarakkeen varastonäkymään.

Lopeta laitteen poissulkeminen

Laitteen palauttaminen aktiiviseen haavoittuvuuden hallintaan:

  1. Valitse Laiteluettelosta pois jätetty laite.
  2. Valitse laitteen pikaikkunassa Poissulkemisen tiedot.
  3. Valitse Lopeta pois jättäminen.

Näyttökuva, joka näyttää poissulkemistiedot ja mahdollisuuden lopettaa poissulkeminen.

Kun lopetat poikkeuksen, haavoittuvuustiedot näytetään uudelleen haavoittuvuuksien hallintasivuilla, raporteissa ja kehittyneessä metsästyksessä. Muutosten voimaantulo voi kestää jopa kahdeksan tuntia.

Seuraavat vaiheet

  • Last updated on