Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Apparaten vormen de basis van uw beveiligingsbewerkingen in Microsoft Defender voor Eindpunt. Voor de bescherming van uw organisatie is het essentieel om te begrijpen hoe apparaten in uw omgeving worden weergegeven, hoe u ze effectief kunt beheren en hoe u ze kunt organiseren voor beveiligingsacties.
Wat zijn apparaten in Defender voor Eindpunt?
Apparaten in Microsoft Defender voor Eindpunt elk eindpunt dat beveiligingstelemetrie aan de service rapporteert. Dit zijn:
- Computers en mobiele apparaten: werkstations, servers, laptops en mobiele apparaten (Windows, macOS, Linux, iOS, Android)
- Netwerkapparaten: routers, switches en andere netwerkinfrastructuur
- IoT/OT-apparaten: printers, camera's, industriële controlesystemen en apparaten met operationele technologie
Apparaten worden op twee primaire manieren in uw inventaris weergegeven:
- Onboarding: apparaten die u expliciet onboardt naar Defender for Endpoint met de volledige agent geïnstalleerd. Onboarding-apparaten hebben de onboardingstatusOnboarded en hebben doorgaans de status Actief van de sensor. Omdat de agent is geïnstalleerd, kan Defender voor Eindpunt gedetailleerde beveiligingsgegevens van deze apparaten verzamelen, waaronder waarschuwingen, beveiligingsproblemen en software-inventarisatie. Zie Apparaten onboarden voor Microsoft Defender voor Eindpunt voor meer informatie.
- Detectie: apparaten die automatisch in uw netwerk worden gedetecteerd zonder dat er een agent is geïnstalleerd. Detectie vindt plaats via onboarded eindpunten die het netwerkverkeer observeren (basisdetectie) of die de omgeving actief testen (standaarddetectie). Gedetecteerde apparaten hebben de onboardingstatusKan worden onboarded, Niet-ondersteund of Onvoldoende informatie. Zie Overzicht van apparaatdetectie voor meer informatie.
- IoT- en OT-apparaten: IoT- en OT-apparaten (operationele technologie), zoals printers, camera's en industriële controlesystemen, worden weergegeven in de inventaris wanneer u Microsoft Defender inschakelt voor IoT in de Defender-portal. Deze apparaten worden weergegeven op het tabblad IoT/OT-apparaten en bevatten extra velden, zoals apparaattype, subtype, leverancier en model.
In de kolom Detectiebronnen in de apparaatinventaris ziet u hoe elk apparaat is gevonden: MDE (gevonden door de Defender voor Eindpunt-sensor), Microsoft Defender voor IoT (gedetecteerd door Defender for IoT) en andere bronnen. Gebruik deze kolom om te begrijpen waarom een apparaat wordt weergegeven en of onboarding vereist is.
De levenscyclus en het traject van het apparaat
Het beheren van apparaten in Defender for Endpoint volgt een voorspelbare levenscyclus. In de volgende tabel vindt u een overzicht van de belangrijkste fasen, taken, betrokken rollen en gerelateerde documentatie:
| Fase | Taken | Betrokken rollen | Meer informatie |
|---|---|---|---|
| Apparaten detecteren en onboarden | • Apparaten in uw netwerk detecteren • Apparaten onboarden met de Defender for Endpoint-agent • Apparaten in de apparaatinventaris weergeven • Risiconiveaus en blootstellingsscores beoordelen |
Beveiligingsbeheerder IT-bewerkingen |
Apparaten in de apparaatinventaris verkennen Apparaten onboarden Apparaatdetectie configureren |
| Bereik en relevantie beheren | • Tijdelijke apparaten filteren (automatisch) • Apparaten uitsluiten van beheer van beveiligingsproblemen (handmatig) • Bepaal welke apparaten beveiligings aandacht vereisen |
Beveiligingsbeheerder | Apparaatbereik en relevantie beheren |
| Classificeren en organiseren met tags en uitsluitingen | • Handmatige tags toevoegen aan afzonderlijke apparaten • Dynamische tags maken met behulp van regels • Apparaten indelen in zinvolle groepen • Tags toepassen voor bedrijfscontext |
Beveiligingsbeheerder Beveiligingsanalist |
Apparaattags maken en beheren |
| Doelapparaten voor beveiligingsacties | • Apparaatgroepen gebruiken voor op rollen gebaseerde toegang • Aangepaste telemetrie van apparaatgroepen verzamelen • Automatiseringsregels toepassen op gelabelde apparaten • Beveiligingsbeleid implementeren in apparaatgroepen |
Beveiligingsbeheerder Beveiligingsanalist |
Apparaattags en doelapparaten maken en beheren Aangepaste gegevensverzameling |
| Apparaten onderzoeken | • Tijdlijnen van apparaten controleren • Waarschuwingen en incidenten onderzoeken • Internetgerichte apparaten identificeren • Bedreigingen opsporen in verschillende apparaatgroepen • Actie ondernemen |
Beveiligingsanalist Beveiligingsbeheerder |
Apparaten onderzoeken Tijdlijn van apparaat controleren Internetgerichte apparaten identificeren |
| Bewaken en onderhouden | • Status van apparaat bewaken • Beschadigde sensoren herstellen • Sensorstatusrapporten controleren • Onboardingstatus bijhouden |
IT-bewerkingen Beveiligingsbeheerder |
Problemen onjuiste sensoren oplossen Apparaatstatusrapporten |
Apparaattargeting
Apparaattargeting maakt gebruik van apparaattags om te bepalen welke apparaten specifieke beveiligingsacties moeten ontvangen. In plaats van apparaten afzonderlijk te beheren, kunt u apparaten indelen in zinvolle groepen en configuraties, beleidsregels of regels voor gegevensverzameling op schaal toepassen.
Tags versus groepen
Apparaattags zijn labels die u handmatig of via dynamische regels aan apparaten koppelt om zakelijke context vast te leggen, zoals afdeling, locatie of kritiek. Alle gebruikers kunnen gelabelde apparaten zien. Tags alleen beheren de toegang niet en passen geen beveiligingsbeleid toe; ze bieden de organisatiebasis voor targeting.
Apparaatgroepen bouwen voort op tags om te bepalen welke beveiligingsteams toegang hebben tot specifieke apparaten en deze kunnen beheren. Wanneer u een apparaatgroep maakt, definieert u overeenkomende regels (vaak op basis van tags), stelt u geautomatiseerde herstelniveaus in en wijst u Microsoft Entra gebruikersgroepen toe. Apparaatgroepen maken op rollen gebaseerd toegangsbeheer (RBAC) mogelijk, zodat bijvoorbeeld een regionaal beveiligingsteam alleen apparaten in hun geografie ziet. Zie Apparaatgroepen maken en beheren voor gedetailleerde instructies.
Dynamische tags versus handmatige tags
Handmatige tags zijn aangepaste labels die u rechtstreeks via de portal of API op afzonderlijke apparaten toepast. Ze zijn snel in te stellen en nuttig voor ad-hocbehoeften, zoals het taggen van apparaten tijdens een actief onderzoek. Ze worden echter niet goed geschaald en vereisen handmatige updates. Handmatige tags worden niet ondersteund voor aangepaste gegevensverzameling of sommige automatiseringsscenario's.
Dynamische tags worden automatisch toegepast op basis van regels die u definieert in Asset Rule Management. Ze worden bijgewerkt als de eigenschappen van het apparaat (ongeveer elk uur) worden gewijzigd, worden geschaald naar duizenden apparaten en zijn vereist voor geavanceerde mogelijkheden, zoals aangepaste gegevensverzameling. Gebruik dynamische tags wanneer u tags nodig hebt om actueel te blijven zonder handmatige inspanning.
Belangrijk
Voor veel geavanceerde mogelijkheden van Defender voor Eindpunt, waaronder aangepaste gegevensverzameling, zijn dynamische tags vereist. Handmatige tags worden niet ondersteund voor deze scenario's.
Doelscenario's
De volgende tabel bevat een overzicht van veelvoorkomende scenario's waarbij apparaattargeting beveiligingsbewerkingen aanstuurt.
| Scenario | Aanpak | Voorbeeld |
|---|---|---|
| Bereikonderzoeken | Tag apparaten per afdeling of incident en filter vervolgens waarschuwingen en geavanceerde opsporingsquery's op tag. | Onderzoek alle Finance-Department apparaten op verdachte zijdelingse bewegingen. |
| Gespecialiseerde telemetrie verzamelen | Maak dynamische tags voor doelapparaten en maak vervolgens aangepaste regels voor gegevensverzameling. Vereist dynamische tags en een Microsoft Sentinel werkruimte. | Verzamel bestandstoegangsevenementen van Database-Servers om de toegang tot gegevens te bewaken. |
| Reactieacties automatiseren | Definieer geautomatiseerde antwoorden voor apparaatgroepen op basis van tags. | Apparaten automatisch isoleren Public-Kiosk wanneer malware met hoge ernst wordt gedetecteerd. |
| Toegang tot RBAC (RBAC) voor controleanalisten | Maak apparaatgroepen van tags en wijs deze toe aan Microsoft Entra beveiligingsteams. | Geef het Finance Security Team alleen toegang tot Finance-Department apparaten. |
| ASR-regels implementeren op apparaattype | Verschillende beleidsregels voor het verminderen van kwetsbaarheid voor aanvallen toepassen op verschillende groepen op basis van tags. | Agressieve blokkering op Internet-Facing-Servers; testmodus op Development-Machines. |
| Voorwaardelijke toegang afdwingen | Gebruik risiconiveaus voor apparaten en groepslidmaatschap om beslissingen over toegang te nemen. | MFA vereisen voor High-Risk-Devices toegang tot gevoelige toepassingen. |
| Organiseren op geografie | Apparaten taggen per regio of site voor gedistribueerde beveiligingsbewerkingen. | Het EMEA-beveiligingsteam bewaakt en reageert op Location-EMEA apparaten. |
| Levenscyclus van apparaten beheren | Apparaten taggen per operationele fase (productie, fasering, buiten gebruik stellen). | Volledige besturingselementen toepassen op productie; verminderde bewaking voor uit bedrijf nemen. |
| Test nieuwe beveiligingsfuncties | Pas handmatige tags toe op een testgroep, implementeer de functie in de testmodus en vouw vervolgens uit. | Tag 20 apparaten met ASR-Pilot-2026, test nieuwe regel, verfijn en implementeer vervolgens breed. |
Zie Apparaattags en doelapparaten maken en beheren voor stapsgewijze instructies voor het maken van tags en apparaatgroepen.
Beveiligingsacties mogelijk gemaakt door targeting
Met apparaattags en -groepen kunt u beveiligingsbewerkingen toepassen op meerdere gebieden:
| Beveiligingsactie | Beschrijving | Scenario's | Meer informatie |
|---|---|---|---|
| Onderzoek en opsporing van bedreigingen | Waarschuwingen en bereikonderzoeken filteren op specifieke apparaatgroepen | • Onderzoek alle "Finance-Department" apparaten op verdachte activiteiten • Zoeken naar bedreigingen op "Windows-Servers" in een specifieke regio • Apparaten bijhouden die betrokken zijn bij een inbreuk met behulp van incidenttags |
Geavanceerd opsporen |
| Aangepaste gegevensverzameling | Gespecialiseerde telemetrie van apparaten met dynamische tags verzamelen | • Verzamel bestandsgebeurtenissen van "Database-Servers" • Leg netwerkverbindingen vast van "Developer-Workstations" • De uitvoering van scripts controleren op "Beheersystemen" |
Aangepaste gegevensverzameling Aangepaste regels voor gegevensverzameling maken |
| Automatiseringsregels | Automatische reactieacties toepassen op apparaatcategorieën | • Auto-isoleer 'Public-Kiosk'-apparaten als malware wordt gedetecteerd • Forensische verzameling uitvoeren op "Critical-Servers" tijdens incidenten • Byod-apparaten van gevoelige resources beperken |
Geautomatiseerd onderzoek en reactie |
| Apparaatgroepen voor op rollen gebaseerde toegang | Bepalen welke beveiligingsanalisten specifieke apparaten kunnen zien en erop kunnen reageren | • Finance Security Team beheert alleen 'Finance-Department'-apparaten • Regionale teams beheren apparaten op hun geografische locaties • Junior analisten hebben alleen toegang tot 'Niet-productie'-apparaatgroepen |
Apparaatgroepen maken en beheren |
| Regels voor het verminderen van kwetsbaarheid voor aanvallen | Verschillende beveiligingsbesturingselementen implementeren op verschillende apparaattypen | • Strikte blokkeringsregels voor "Internet-Facing-Servers" • Testmodus op "Development-Machines" • Standaardbasislijn voor algemene gebruikerswerkstations |
Regels voor het verminderen van kwetsbaarheid voor aanvallen |
| Beleidsregels voor voorwaardelijke toegang | Toegangsbeheer afdwingen op basis van apparaatbeveiligingspostuur en tags | • MFA vereisen voor "apparaten met een hoog risico" • Niet-compatibele apparaten blokkeren vanuit bedrijfsresources • Beperkte toegang tot goedgekeurde services toestaan voor managed-BYOD |
Voorwaardelijke toegang met Intune |