Apparaatbereik en relevantie beheren met tags en uitsluitingen

  • Van toepassing op: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Niet alle apparaten die in uw netwerk worden gedetecteerd, vereisen hetzelfde beveiligingsniveau. Sommige apparaten worden kort op het netwerk weergegeven (gasten, testapparaten), terwijl andere permanent buiten het bereik van het beheer van beveiligingsproblemen vallen (geïsoleerde labs, buiten gebruik gestelde systemen). Als u het bereik van apparaten beheert met tijdelijke apparaattags en apparaatuitsluitingen, blijft uw beveiligingsteam gefocust op relevante apparaten, zorgt u voor nauwkeurige blootstelling en beveiligingsscores en produceert u schonere rapporten die uw echte productieomgeving weerspiegelen.

Tags of uitsluitingen gebruiken

Defender voor Eindpunt biedt twee aanvullende mechanismen voor het beheren van de relevantie van apparaten. Gebruik de volgende tabel om te bepalen welke aanpak bij uw situatie past.

Situatie Aanpak Hoe het werkt Impact
Apparaten worden regelmatig weergegeven en verdwijnen (gasten, test-VM's, containers met korte levensduur) Tijdelijke apparaattags (automatisch) Een intern algoritme detecteert onregelmatige netwerkpatronen en tags die overeenkomen met apparaten. Servers, netwerkapparaten, printers, industriële en slimme apparaten worden nooit gemarkeerd als tijdelijk. Tijdelijke apparaten worden gefilterd uit de standaardinventarisatieweergave, maar blijven zichtbaar als u het filter wijzigt. Blootstellingsscore, beveiligingsscore, beveiligingsrapporten en geavanceerde opsporing omvatten deze apparaten nog steeds.
Permanente lab- of sandbox-omgeving Apparaatuitsluiting (handmatig) U sluit apparaten afzonderlijk of bulksgewijs uit met een gedocumenteerde reden. Uitgesloten apparaten worden niet weergegeven op pagina's of rapporten voor beveiligingsbeheer en dragen niet bij aan blootstelling of beveiligingsscores. Ze blijven in de apparaatinventaris staan, maar worden gemarkeerd als uitgesloten.
Apparaten die zijn gepland voor buitengebruikstelling Apparaatuitsluiting (handmatig) Uitsluiten met een reden en opmerking over de geplande buitengebruikstellingsdatum. Hetzelfde als hierboven. Historische records blijven in de inventaris.
Dubbele vermeldingen na het opnieuw kopiëren Apparaatuitsluiting (handmatig) Sluit de verouderde vermeldingen uit met een 'Dubbele apparaat'-reden; houd het actieve apparaat binnen het bereik. Schoont de inventaris op en zorgt voor nauwkeurige apparaataantallen.
Apparaten gedurende langere perioden offline Controleer of er al tijdelijke tags zijn; Zo niet, overweeg dan uitsluiting Tijdelijke tags kunnen dit mogelijk al verwerken. Sluit alleen handmatig uit als het apparaat niet terugkeert. Is afhankelijk van de gekozen aanpak.
Actieve apparaten die u tijdelijk wilt negeren Apparaatfilters of aangepaste tags Gebruik voorraadfilters of apparaattags om gerichte weergaven te maken. Volledige zichtbaarheid blijft behouden. Sluit nooit actieve apparaten uit, waardoor blinde vlekken ontstaan.
Apparaten die worden beheerd door een ander team Apparaatfilters of aangepaste tags Gebruik apparaattags en filters om weergaven per team te bepalen. Volledige zichtbaarheid wordt in de hele organisatie behouden.

Belangrijk

Controleer apparaten met tijdelijke tags en uitgesloten apparaten regelmatig. Voeg altijd zinvolle notities toe bij het uitsluiten van apparaten. Sluit nooit actieve, met het netwerk verbonden apparaten uit. Uitsluiting is alleen van invloed op de zichtbaarheid van beveiligingsbeheer, niet op het werkelijke risico.

Tijdelijke apparaten weergeven en beheren

Tijdelijke apparaattags zijn automatisch en kunnen niet worden uitgeschakeld. U bepaalt de zichtbaarheid via filters.

Tijdelijke apparaten in de inventaris weergeven

  1. Ga in de Microsoft Defender-portal naar Assets>Devices.
  2. Selecteer het pictogram Filter .
  3. Selecteer in het filter Tijdelijk apparaatja om alleen tijdelijke apparaten weer te geven of selecteer Nee om ze uit te sluiten van de lijst.

U kunt ook de kolom Tijdelijk apparaat toevoegen aan uw inventarisweergave om de tijdelijke status naast andere apparaatdetails te bekijken.

Hoe tijdelijke taggen werkt

  • Automatische detectie: een intern algoritme identificeert tijdelijke apparaten op basis van netwerkweergavepatronen.
  • Uitgesloten apparaattypen: Servers, netwerkapparaten, printers, industriële apparaten, bewakingsapparatuur, slimme faciliteitsapparaten en slimme apparaten worden nooit gemarkeerd als tijdelijk.
  • Standaardfiltering: Tijdelijke apparaten worden standaard uit de apparaatinventaris gefilterd.
  • Geen handmatige onderdrukking: u kunt een apparaat niet handmatig taggen of de tags ervan opheffen als tijdelijk. Pas de filterinstellingen aan om de zichtbaarheid te beheren.

Apparaten uitsluiten

Met apparaatuitsluiting kunt u specifieke apparaten handmatig verwijderen uit de zichtbaarheid van beveiligingsbeheer. Uitgesloten apparaten blijven in de apparaatinventaris staan (gemarkeerd als uitgesloten), maar worden niet weergegeven op pagina's of rapporten voor beveiligingsbeheer en dragen niet bij aan blootstelling of beveiligingsscores.

Waarschuwing

Uitgesloten apparaten blijven verbonden met het netwerk en kunnen nog steeds beveiligingsrisico's vormen. Uitsluiting van apparaten is alleen van invloed op de zichtbaarheid van beveiligingsbeheer. Het voorkomt geen aanvallen en vermindert het werkelijke risico niet. Als u een actief apparaat probeert uit te sluiten, geeft Defender voor Eindpunt een waarschuwing weer en wordt om bevestiging gevraagd.

Eén apparaat uitsluiten

  1. Ga in de Microsoft Defender-portal naar Assets>Devices.
  2. Selecteer het apparaat dat u wilt uitsluiten.
  3. Selecteer uitsluiten in de flyout van het apparaat of op de apparaatpagina.
  4. Selecteer een reden:
    • Inactief apparaat
    • Apparaat dupliceren
    • Apparaat bestaat niet
    • Buiten bereik
    • Overige
  5. Typ een notitie waarin de reden van de uitsluiting wordt uitgelegd.
  6. Selecteer Apparaat uitsluiten.

Schermopname van het dialoogvenster Apparaat uitsluiten met opties voor reden.

Meerdere apparaten uitsluiten

  1. Selecteer in apparaatinventaris meerdere apparaten met behulp van de selectievakjes.
  2. Selecteer Uitsluiten op de actiebalk.
  3. Kies een reden en voeg een notitie toe.
  4. Selecteer Apparaten uitsluiten.

Als u apparaten met gemengde uitsluitingsstatussen selecteert, wordt in het dialoogvenster weergegeven hoeveel apparaten al zijn uitgesloten. U kunt apparaten opnieuw uitsluiten, maar de nieuwe reden overschrijft eerdere waarden.

Schermopname van het bulksgewijs uitsluiten van apparaten met meerdere geselecteerde apparaten.

Opmerking

Het kan tot 10 uur duren voordat apparaten volledig zijn uitgesloten van weergaven en gegevens voor beveiligingsbeheer.

Uitgesloten apparaten weergeven en beheren

  1. Selecteer in apparaatinventaris het pictogram Filter .
  2. Gebruik het filter Uitsluitingsstatus om het volgende weer te geven:
    • Niet uitgesloten: normale apparaten
    • Uitgesloten: apparaten die zijn verwijderd uit beheer van beveiligingsproblemen

U kunt ook de kolom Uitsluitingsstatus toevoegen aan uw voorraadweergave.

Stoppen met het uitsluiten van een apparaat

Een apparaat herstellen naar actief beheer van beveiligingsproblemen:

  1. Selecteer in apparaatinventaris het uitgesloten apparaat.
  2. Selecteer uitsluitingsdetails in de flyout van het apparaat.
  3. Selecteer Uitsluiting stoppen.

Schermopname met uitsluitingsdetails met de optie om uitsluiting te stoppen.

Zodra u de uitsluiting hebt gestopt, worden beveiligingsgegevens opnieuw weergegeven op pagina's voor beveiligingsbeheer, rapporten en geavanceerde opsporing. Het kan tot 8 uur duren voordat wijzigingen van kracht worden.

Volgende stappen

  • Last updated on