Gerir o âmbito e a relevância do dispositivo com etiquetas e exclusões

  • Aplica-se a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Nem todos os dispositivos detetados na sua rede necessitam do mesmo nível de atenção de segurança. Alguns dispositivos aparecem brevemente na rede (convidados, dispositivos de teste), enquanto outros estão permanentemente fora do âmbito da gestão de vulnerabilidades (laboratórios isolados, sistemas desativados). Gerir o âmbito do dispositivo com a identificação transitória de dispositivos e exclusões de dispositivos mantém a sua equipa de segurança focada em dispositivos relevantes, garante uma exposição precisa e classificações seguras e produz relatórios mais limpos que refletem o seu verdadeiro ambiente de produção.

Utilizar etiquetas ou exclusões

O Defender para Endpoint fornece dois mecanismos complementares para gerir a relevância do dispositivo. Utilize a tabela seguinte para determinar que abordagem se adequa à sua situação.

Situação Abordagem Como funciona Impacto
Os dispositivos aparecem e desaparecem frequentemente (convidados, VMs de teste, contentores de curta duração) Etiquetagem transitória de dispositivos (automática) Um algoritmo interno deteta padrões de rede intermitentes e etiquetas correspondentes a dispositivos. Os servidores, dispositivos de rede, impressoras, dispositivos industriais e de instalação inteligente nunca são identificados como transitórios. Os dispositivos transitórios são filtrados fora da vista de inventário predefinida, mas permanecem visíveis se alterar o filtro. A pontuação de exposição, a classificação de segurança, os relatórios de vulnerabilidades e a investigação avançada ainda incluem estes dispositivos.
Ambiente de laboratório ou sandbox permanente Exclusão de dispositivos (manual) Exclui os dispositivos individualmente ou em massa com uma justificação documentada. Os dispositivos excluídos não aparecem em páginas ou relatórios de gestão de vulnerabilidades e não contribuem para a exposição ou classificações seguras. Permanecem no inventário de dispositivos, mas estão marcados como excluídos.
Dispositivos agendados para desativação Exclusão de dispositivos (manual) Exclua com uma justificação e tenha em atenção a data de descontinuação planeada. O mesmo que acima. Os registos históricos permanecem no inventário.
Entradas duplicadas após a recriação Exclusão de dispositivos (manual) Exclua as entradas obsoletas com uma justificação "Duplicar dispositivo"; mantenha o dispositivo ativo no âmbito. Limpa o inventário e garante contagens precisas de dispositivos.
Dispositivos offline por longos períodos Verifique se já está etiquetado de forma transitória; caso contrário, considere a exclusão As etiquetas transitórias podem já processar este problema. Excluir manualmente apenas se o dispositivo não devolver. Depende da abordagem escolhida.
Dispositivos ativos que pretende ignorar temporariamente Filtros de dispositivos ou etiquetas personalizadas Utilize filtros de inventário ou etiquetas de dispositivo para criar vistas direcionadas. A visibilidade total é mantida. Nunca exclua dispositivos ativos, o que cria pontos cegos.
Dispositivos geridos por uma equipa diferente Filtros de dispositivos ou etiquetas personalizadas Utilize etiquetas e filtros de dispositivos para definir o âmbito de vistas por equipa. A visibilidade total é mantida em toda a organização.

Importante

Reveja os dispositivos com etiquetas transitórias e excluídos regularmente. Adicione sempre notas relevantes ao excluir dispositivos. Nunca exclua dispositivos ativos ligados à rede — a exclusão afeta apenas a visibilidade da gestão de vulnerabilidades e não o risco real.

Ver e gerir dispositivos transitórios

A identificação transitória de dispositivos é automática e não pode ser desativada. Controla a visibilidade através de filtros.

Ver dispositivos transitórios no inventário

  1. No portal Microsoft Defender, aceda a Dispositivos> deRecursos.
  2. Selecione o ícone Filtro.
  3. No filtro Dispositivo transitório , selecione Sim para ver apenas dispositivos transitórios ou selecione Não para os excluir da lista.

Também pode adicionar a coluna Dispositivo transitório à vista de inventário para ver as status transitórias juntamente com outros detalhes do dispositivo.

Como funciona a identificação transitória

  • Deteção automática: um algoritmo interno identifica dispositivos transitórios com base em padrões de aspeto de rede.
  • Tipos de dispositivo excluídos: os servidores, dispositivos de rede, impressoras, dispositivos industriais, equipamentos de vigilância, dispositivos de instalação inteligente e aplicações inteligentes nunca são identificados como transitórios.
  • Filtragem predefinida: os dispositivos transitórios são filtrados do inventário de dispositivos por predefinição.
  • Nenhuma substituição manual: não pode etiquetar ou desmarcar manualmente um dispositivo como transitório. Ajuste as definições de filtro para controlar a visibilidade.

Excluir dispositivos

A exclusão de dispositivos permite-lhe remover manualmente dispositivos específicos da visibilidade da gestão de vulnerabilidades. Os dispositivos excluídos permanecem no inventário de dispositivos (marcados como excluídos), mas não aparecem em páginas ou relatórios de gestão de vulnerabilidades e não contribuem para a exposição ou classificações seguras.

Aviso

Os dispositivos excluídos permanecem ligados à rede e ainda podem apresentar riscos de segurança. A exclusão de dispositivos afeta apenas a visibilidade da gestão de vulnerabilidades— não impede ataques nem reduz riscos reais. Se tentar excluir um dispositivo ativo, o Defender para Ponto Final apresenta um aviso e pede confirmação.

Excluir um único dispositivo

  1. No portal Microsoft Defender, aceda a Dispositivos> deRecursos.
  2. Selecione o dispositivo que pretende excluir.
  3. Na lista de opções do dispositivo ou na página do dispositivo, selecione Excluir.
  4. Selecione uma justificação:
    • Dispositivo inativo
    • Duplicar dispositivo
    • O dispositivo não existe
    • Fora do escopo
    • Outros
  5. Escreva uma nota a explicar o motivo da exclusão.
  6. Selecione Excluir dispositivo.

Captura de ecrã a mostrar a caixa de diálogo excluir dispositivo com opções de justificação.

Excluir vários dispositivos

  1. No Inventário de dispositivos, selecione vários dispositivos com as caixas de verificação.
  2. Na barra de ação, selecione Excluir.
  3. Escolha uma justificação e adicione uma nota.
  4. Selecione Excluir dispositivos.

Se selecionar dispositivos com estados de exclusão mistos, a caixa de diálogo mostra quantos já estão excluídos. Pode excluir novamente os dispositivos, mas a nova justificação substitui os valores anteriores.

Captura de ecrã da exclusão de dispositivos em massa a mostrar vários dispositivos selecionados.

Observação

Os dispositivos podem demorar até 10 horas a serem totalmente excluídos das vistas e dos dados de gestão de vulnerabilidades.

Ver e gerir dispositivos excluídos

  1. No Inventário de dispositivos, selecione o ícone Filtro .
  2. Utilize o filtro Estado de exclusão para ver:
    • Não excluído: dispositivos normais
    • Excluídos: dispositivos removidos da gestão de vulnerabilidades

Também pode adicionar a coluna Estado de exclusão à vista de inventário.

Parar de excluir um dispositivo

Para restaurar um dispositivo para a gestão de vulnerabilidades ativa:

  1. No Inventário de dispositivos, selecione o dispositivo excluído.
  2. Na lista de opções do dispositivo, selecione Detalhes de exclusão.
  3. Selecione Parar exclusão.

Captura de ecrã a mostrar os detalhes de exclusão com a opção para parar a exclusão.

Depois de parar a exclusão, os dados de vulnerabilidades reaparecem em páginas de gestão de vulnerabilidades, relatórios e investigação avançada. As alterações podem demorar até 8 horas a entrar em vigor.

Próximas etapas

  • Last updated on