Administrer enhetsomfang og relevans med merker og utelatelser

  • Gjelder for: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Ikke alle enheter som er oppdaget i nettverket, krever samme sikkerhetsoppmerksomhet. Noen enheter vises kort på nettverket (gjester, testenheter), mens andre er permanent utenfor omfanget for sårbarhetsbehandling (isolerte laboratorier, utrangerte systemer). Administrasjon av enhetsomfang med midlertidig enhetsmerking og enhetsutelukking holder sikkerhetsteamet fokusert på relevante enheter, sikrer nøyaktig eksponering og sikre poengsummer, og produserer renere rapporter som gjenspeiler ditt sanne produksjonsmiljø.

Bruke merker eller utelatelser

Defender for Endpoint inneholder to komplementære mekanismer for administrasjon av relevans for enheten. Bruk tabellen nedenfor til å finne ut hvilken tilnærming som passer til situasjonen din.

Situasjonen Tilnærming Slik fungerer det Innvirkning
Enheter vises og forsvinner ofte (gjester, test vm-er, kortvarige beholdere) Midlertidig enhetskoding (automatisk) En intern algoritme oppdager uregelmessige nettverksmønstre og merker som samsvarer med enheter. Servere, nettverksenheter, skrivere, industri- og smartanleggenheter merkes aldri som midlertidige. Midlertidige enheter filtreres ut av standard lagervisning, men forblir synlige hvis du endrer filteret. Eksponeringspoengsum, sikker poengsum, sårbarhetsrapporter og avansert jakt inkluderer fortsatt disse enhetene.
Permanent laboratorium eller sandkassemiljø Enhetsutelukkelse (manuell) Du utelater enheter enkeltvis eller samlet med en dokumentert begrunnelse. Ekskluderte enheter vises ikke på sider eller rapporter for sårbarhetsbehandling, og bidrar ikke til eksponering eller sikre resultater. De forblir i enhetsbeholdningen, men er merket som ekskludert.
Enheter som er planlagt for avvikling Enhetsutelukkelse (manuell) Utelat med en begrunnelse og merknad om den planlagte pensjonsdatoen. Samme som ovenfor. Historiske poster forblir i beholdningen.
Duplisere oppføringer etter reimaging Enhetsutelukkelse (manuell) Utelat de foreldede oppføringene med en justering av duplikatenhet. hold den aktive enheten i omfang. Rydder opp i beholdningen og sikrer nøyaktige antall enheter.
Enheter som er frakoblet i lengre perioder Kontroller om den allerede er midlertidig merket. hvis ikke, bør du vurdere utelukkelse Midlertidig merking kan allerede håndtere dette. Utelat manuelt bare hvis enheten ikke kommer tilbake. Avhenger av valgt tilnærming.
Aktive enheter du vil ignorere midlertidig Enhetsfiltre eller egendefinerte koder Bruk lagerfiltre eller enhetskoder til å opprette målrettede visninger. Full synlighet opprettholdes. Utelat aldri aktive enheter – som oppretter blindsoner.
Enheter som administreres av et annet team Enhetsfiltre eller egendefinerte koder Bruk enhetskoder og filtre til omfangsvisninger per team. Full synlighet opprettholdes på tvers av organisasjonen.

Viktig

Se gjennom midlertidig merkede og utelatte enheter regelmessig. Legg alltid til meningsfulle notater når du ekskluderer enheter. Utelat aldri aktive, nettverkstilkoblede enheter – utelukkelse påvirker bare synlighet for sårbarhetsbehandling, ikke faktisk risiko.

Vis og administrer midlertidige enheter

Midlertidig enhetskoding er automatisk og kan ikke deaktiveres. Du kontrollerer synligheten gjennom filtre.

Vis midlertidige enheter i beholdningen

  1. Gå til Aktivaenheter>i Microsoft Defender-portalen.
  2. Velg Filter-ikonet .
  3. Velg Ja i det midlertidige enhetsfilteret for å vise bare midlertidige enheter, eller velg Nei for å utelate dem fra listen.

Du kan også legge til kolonnen Midlertidig enhet i beholdningsvisningen for å se midlertidig status sammen med andre enhetsdetaljer.

Slik fungerer midlertidig merking

  • Automatisk gjenkjenning: En intern algoritme identifiserer midlertidige enheter basert på nettverksutseendemønstre.
  • Utelatte enhetstyper: Servere, nettverksenheter, skrivere, industrielle enheter, overvåkingsutstyr, smarte anleggsenheter og smarte apparater blir aldri merket som forbigående.
  • Standardfiltrering: Midlertidige enheter filtreres ut av enhetsbeholdningen som standard.
  • Ingen manuell overstyring: Du kan ikke merke eller oppheve merkingen av en enhet manuelt som forbigående. Juster filterinnstillingene for å kontrollere synligheten.

Utelat enheter

Med enhetsutelukkelse kan du manuelt fjerne bestemte enheter fra synlighet for sikkerhetsbehandling. Ekskluderte enheter forblir i enhetsbeholdningen (merket som ekskludert), men vises ikke på sider eller rapporter for sårbarhetsbehandling, og bidrar ikke til eksponering eller sikre resultater.

Advarsel

Ekskluderte enheter forblir koblet til nettverket og kan fortsatt utgjøre sikkerhetsrisikoer. Enhetsutelukkelse påvirker bare synligheten for sikkerhetsbehandling – det forhindrer ikke angrep eller reduserer faktisk risiko. Hvis du prøver å utelate en aktiv enhet, viser Defender for Endpoint en advarsel og ber om bekreftelse.

Utelat én enkelt enhet

  1. Gå til Aktivaenheter>i Microsoft Defender-portalen.
  2. Velg enheten du vil utelate.
  3. Velg Utelat i undermenyen for enheten eller på enhetssiden.
  4. Velg en justering:
    • Inaktiv enhet
    • Duplisert enhet
    • Enheten finnes ikke
    • Utenfor omfanget
    • Annet
  5. Skriv inn et notat som forklarer årsaken til utelukkelsen.
  6. Velg Utelat enhet.

Skjermbilde av dialogboksen utelat enhet med alternativer for justering.

Utelat flere enheter

  1. Velg flere enheter ved hjelp av avmerkingsboksene i enhetsbeholdningen.
  2. Velg Utelat fra handlingsfeltet.
  3. Velg en justering, og legg til et notat.
  4. Velg Utelat enheter.

Hvis du velger enheter med blandede utelatelsesstatuser, viser dialogboksen hvor mange som allerede er utelatt. Du kan utelate enheter på nytt, men den nye blokkjusteringen overstyrer tidligere verdier.

Skjermbilde av masseutelukkelse av enheter som viser flere valgte enheter.

Obs!

Det kan ta opptil 10 timer før enheter utelukkes fullstendig fra visninger og data for sårbarhetsbehandling.

Vis og administrer ekskluderte enheter

  1. Velg Filter-ikonet i enhetslageret.
  2. Bruk tilstandsfilteret for utelukkelse til å vise:
    • Ikke utelatt: Vanlige enheter
    • Utelatt: Enheter fjernet fra sikkerhetsbehandling

Du kan også legge til kolonnen for utelukkelsesstatus i beholdningsvisningen.

Slutte å utelate en enhet

Slik gjenoppretter du en enhet til aktiv behandling av sikkerhetsproblemer:

  1. Velg den utelatte enheten i enhetslageret.
  2. Velg Utelatelsesdetaljer i undermenyen for enheten.
  3. Velg Stopp utelatelse.

Skjermbilde som viser utelatelsesdetaljer med alternativ for å stoppe utelukkelse.

Når du stopper utelukkelsen, vises sikkerhetsdata på nytt på sider, rapporter og avansert jakt for sikkerhetsproblemer. Det kan ta opptil åtte timer før endringer trer i kraft.

Neste trinn

  • Last updated on