Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Enheter utgör grunden för dina säkerhetsåtgärder i Microsoft Defender för Endpoint. Att förstå hur enheter visas i din miljö, hur du hanterar dem effektivt och hur du organiserar dem för säkerhetsåtgärder är viktigt för att skydda din organisation.
Vad är enheter i Defender för Endpoint?
Enheter i Microsoft Defender för Endpoint inkludera alla slutpunkter som rapporterar säkerhetstelemetri till tjänsten. Detta omfattar följande:
- Datorer och mobila enheter: Arbetsstationer, servrar, bärbara datorer och mobila enheter (Windows, macOS, Linux, iOS, Android)
- Nätverksenheter: Routrar, växlar och annan nätverksinfrastruktur
- IoT/OT-enheter: Skrivare, kameror, industriella kontrollsystem och driftteknikenheter
Enheter visas i inventeringen via två primära metoder:
- Registrering: Enheter som du uttryckligen registrerar i Defender för Endpoint med den fullständiga agenten installerad. Registrerade enheter visar registreringsstatusenOnboarded och har vanligtvis statusen Aktiv sensorhälsa. Eftersom agenten är installerad kan Defender för Endpoint samla in detaljerade säkerhetsdata från dessa enheter, inklusive aviseringar, säkerhetsrisker och programvaruinventering. Mer information finns i Publicera enheter till Microsoft Defender för Endpoint.
- Identifiering: Enheter som identifieras automatiskt i nätverket utan att en agent har installerats. Identifiering sker via registrerade slutpunkter som observerar nätverkstrafik (grundläggande identifiering) eller aktivt avsöker miljön (standardidentifiering). Identifierade enheter visar registreringsstatusenKan registreras, stöds inte eller Otillräcklig information. Mer information finns i Översikt över enhetsidentifiering.
- IoT- och OT-enheter: Enheter med IoT- och driftteknik (OT), till exempel skrivare, kameror och industriella kontrollsystem, visas i inventeringen när du aktiverar Microsoft Defender för IoT i Defender-portalen. Dessa enheter visas på fliken IoT/OT-enheter och innehåller extra fält som enhetstyp, undertyp, leverantör och modell.
Kolumnen Identifieringskällor i enhetsinventeringen visar hur varje enhet hittades: MDE (hittades av Defender för Endpoint-sensorn), Microsoft Defender för IoT (identifieras av Defender för IoT) och andra källor. Använd den här kolumnen för att förstå varför en enhet visas och om den kräver registrering.
Enhetens livscykel och resa
Hanteringen av enheter i Defender för Endpoint följer en förutsägbar livscykel. I följande tabell beskrivs viktiga steg, uppgifter, roller och relaterad dokumentation:
| Fas | Uppgifter | Roller som ingår | Mer information |
|---|---|---|---|
| Identifiera och registrera enheter | • Identifiera enheter i nätverket • Registrera enheter med Defender för Endpoint-agenten • Visa enheter i enhetsinventeringen • Utvärdera risknivåer och exponeringspoäng |
Säkerhetsadministratör IT-åtgärder |
Utforska enheter i enhetsinventeringen Registrera enheter Konfigurera enhetsidentifiering |
| Hantera omfattning och relevans | • Filtrera bort tillfälliga enheter (automatiskt) • Undanta enheter från sårbarhetshantering (manuell) • Fastställa vilka enheter som kräver säkerhetsåtgärd |
Säkerhetsadministratör | Hantera enhetens omfång och relevans |
| Klassificera och organisera med taggar och undantag | • Lägga till manuella taggar till enskilda enheter • Skapa dynamiska taggar med hjälp av regler • Organisera enheter i meningsfulla grupper • Använda taggar för affärskontext |
Säkerhetsadministratör Säkerhetsanalytiker |
Skapa och hantera enhetstaggar |
| Målenheter för säkerhetsåtgärder | • Använda enhetsgrupper för rollbaserad åtkomst • Samla in anpassad telemetri från enhetsgrupper • Tillämpa automatiseringsregler på taggade enheter • Distribuera säkerhetsprinciper till enhetsgrupper |
Säkerhetsadministratör Säkerhetsanalytiker |
Skapa och hantera enhetstaggar och målenheter Anpassad datainsamling |
| Undersöka enheter | • Granska enhetens tidslinjer • Undersöka aviseringar och incidenter • Identifiera internetuppkopplade enheter • Jaga hot mellan enhetsgrupper • Vidta svarsåtgärder |
Säkerhetsanalytiker Säkerhetsadministratör |
Undersöka enheter Granska enhetens tidslinje Identifiera internetuppkopplade enheter |
| Övervaka och underhålla | • Övervaka enhetens hälsostatus • Åtgärda sensorer med feltillstånd • Granska sensorhälsorapporter • Spåra registreringsstatus |
IT-åtgärder Säkerhetsadministratör |
Åtgärda icke hälsosamma sensorer Hälsorapporter för enheter |
Mål för enhet
Enhetsinriktning använder enhetstaggar för att identifiera vilka enheter som ska ta emot specifika säkerhetsåtgärder. I stället för att hantera enheter individuellt kan du ordna enheter i meningsfulla grupper och tillämpa konfigurationer, principer eller datainsamlingsregler i stor skala.
Taggar jämfört med grupper
Enhetstaggar är etiketter som du ansluter till enheter – antingen manuellt eller via dynamiska regler – för att samla in affärskontexter som avdelning, plats eller allvarlighetsgrad. Alla användare kan se taggade enheter. Enbart taggar styr inte åtkomsten eller tillämpar säkerhetsprinciper. de utgör organisationens grund för inriktning.
Enhetsgrupper bygger på taggar för att styra vilka säkerhetsteam som kan komma åt och hantera specifika enheter. När du skapar en enhetsgrupp definierar du matchande regler (ofta baserat på taggar), anger automatiska reparationsnivåer och tilldelar Microsoft Entra användargrupper. Enhetsgrupper aktiverar rollbaserad åtkomstkontroll (RBAC) så att till exempel ett regionalt säkerhetsteam bara ser enheter i sitt geografiska område. Detaljerade anvisningar finns i Skapa och hantera enhetsgrupper.
Dynamiska taggar jämfört med manuella taggar
Manuella taggar är anpassade etiketter som du tillämpar direkt på enskilda enheter via portalen eller API:et. De är snabba att konfigurera och användbara för ad hoc-behov som att tagga enheter under en aktiv undersökning. Men de skalas inte bra och kräver manuella uppdateringar. Manuella taggar stöds inte för anpassad datainsamling eller vissa automatiseringsscenarier.
Dynamiska taggar tillämpas automatiskt baserat på regler som du definierar i Tillgångsregelhantering. De uppdateras när enhetsegenskaperna ändras (ungefär varje timme), skalas till tusentals enheter och krävs för avancerade funktioner som anpassad datainsamling. Använd dynamiska taggar när du behöver taggar för att hålla dig uppdaterad utan manuella ansträngningar.
Viktigt
Många avancerade Defender för Endpoint-funktioner, inklusive anpassad datainsamling, kräver dynamiska taggar. Manuella taggar stöds inte för dessa scenarier.
Målscenarier
I följande tabell sammanfattas vanliga scenarier där enhetsinriktning driver säkerhetsåtgärder.
| Scenario | Strategi | Exempel |
|---|---|---|
| Omfångsundersökningar | Tagga enheter efter avdelning eller incident och filtrera sedan aviseringar och avancerade jaktfrågor efter tagg. | Undersök alla Finance-Department enheter för misstänkt lateral förflyttning. |
| Samla in specialiserad telemetri | Skapa dynamiska taggar för målenheter och skapa sedan anpassade datainsamlingsregler. Kräver dynamiska taggar och en Microsoft Sentinel arbetsyta. | Samla in filåtkomsthändelser från Database-Servers för att övervaka dataåtkomst. |
| Automatisera svarsåtgärder | Definiera automatiserade svar för enhetsgrupper baserat på taggar. |
Public-Kiosk Isolera enheter automatiskt när skadlig kod med hög allvarlighetsgrad identifieras. |
| Kontrollera analytikeråtkomst (RBAC) | Skapa enhetsgrupper från taggar och tilldela dem till Microsoft Entra säkerhetsteam. | Ge ekonomisäkerhetsteamet åtkomst endast till Finance-Department enheter. |
| Distribuera ASR-regler efter enhetstyp | Tillämpa olika principer för minskning av attackytan för olika taggbaserade grupper. | Aggressiv blockering på Internet-Facing-Servers; testläge på Development-Machines. |
| Framtvinga villkorlig åtkomst | Använd risknivåer för enheter och gruppmedlemskap för att informera åtkomstbeslut. | Kräv MFA för High-Risk-Devices åtkomst till känsliga program. |
| Ordna efter geografi | Tagga enheter efter region eller plats för distribuerade säkerhetsåtgärder. | EMEA:s säkerhetsteam övervakar och svarar på Location-EMEA enheter. |
| Hantera enhetens livscykel | Tagga enheter efter driftssteg (produktion, mellanlagring, avställning). | Tillämpa fullständiga kontroller på Produktion; övervakning för avställning. |
| Testa nya säkerhetsfunktioner | Tillämpa manuella taggar på en pilotgrupp, distribuera funktionen i testläge och expandera sedan. | Tagga 20 enheter med ASR-Pilot-2026, testa ny regel, förfina och distribuera sedan brett. |
Stegvisa instruktioner för hur du skapar taggar och enhetsgrupper finns i Skapa och hantera enhetstaggar och målenheter.
Säkerhetsåtgärder som drivs av mål
Med enhetstaggar och grupper kan du tillämpa säkerhetsåtgärder inom flera områden:
| Säkerhetsåtgärd | Beskrivning | Scenarier | Mer information |
|---|---|---|---|
| Undersökningar och hotjakt | Filtrera aviseringar och omfångsundersökningar för specifika enhetsgrupper | • Undersök alla enheter för ekonomiavdelningen efter misstänkt aktivitet • Jaga hot över "Windows-servrar" i en viss region • Spåra enheter som är inblandade i en kompromiss med hjälp av incidenttaggar |
Avancerad jakt |
| Anpassad datainsamling | Samla in specialiserad telemetri från enheter med dynamiska taggar | • Samla in filhändelser från "Database-Servers" • Samla in nätverksanslutningar från "Developer-Workstations" • Övervaka skriptkörning på "Administrationssystem" |
Anpassad datainsamling Skapa anpassade regler för datainsamling |
| Automatiseringsregler | Tillämpa automatiska svarsåtgärder på enhetskategorier | • Isolera "offentliga kioskenheter" automatiskt om skadlig kod identifieras • Kör kriminalteknisk insamling på "Kritiska servrar" under incidenter • Begränsa "BYOD-enheter" från känsliga resurser |
Automatiska undersökningar och svar |
| Enhetsgrupper för rollbaserad åtkomst | Kontrollera vilka säkerhetsanalytiker som kan se och agera på specifika enheter | • Ekonomisäkerhetsteamet hanterar endast enheter för ekonomiavdelningen • Regionala team hanterar enheter på sina geografiska platser • Junioranalytiker får endast åtkomst till enhetsgrupper som inte är produktionsbaserade |
Skapa och hantera enhetsgrupper |
| Regler för minskning av attackytan | Distribuera olika säkerhetskontroller till olika enhetstyper | • Strikta blockeringsregler på "Internetuppkopplade servrar" • Testläge på "Development-Machines" • Standardbaslinje för allmänna användararbetsstationer |
Regler för minskning av attackytan |
| Principer för villkorsstyrd åtkomst | Framtvinga åtkomstkontroller baserat på enhetens säkerhetsstatus och taggar | • Kräv MFA för "högriskenheter" • Blockera "icke-kompatibla enheter" från företagsresurser • Tillåt "Hanterad BYOD" begränsad åtkomst till godkända tjänster |
Villkorlig åtkomst med Intune |