Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Laitteet ovat Microsoft Defender for Endpoint suojaustoimintojen perusta. On tärkeää ymmärtää, miten laitteet näkyvät ympäristössäsi, miten niitä hallitaan tehokkaasti ja miten ne järjestetään suojaustoimia varten.
Mitä laitteet ovat Defender for Endpointissa?
Microsoft Defender for Endpoint laitteet sisältävät minkä tahansa päätepisteen, joka raportoi tietoturvatelemetriasta palveluun. Tällaisia ovat esimerkiksi:
- Tietokoneet ja mobiililaitteet: Työasemat, palvelimet, kannettavat tietokoneet ja mobiililaitteet (Windows, macOS, Linux, iOS, Android)
- Verkkolaitteet: reitittimet, kytkimet ja muu verkkoinfrastruktuuri
- IoT-/OT-laitteet: Tulostimet, kamerat, teolliset ohjausjärjestelmät ja käyttötekniikkalaitteet
Laitteet näkyvät luettelossasi kahdella ensisijaisella menetelmällä:
- Perehdytys: Laitteet, jotka olet eksplisiittisesti liittänyt Defender for Endpointiin ja joihin on asennettu koko agentti. Perehdytetyissä laitteissa perehdytystila on Perehdytystila , ja niillä on yleensä aktiivinen tunnistimen kuntotila. Koska agentti on asennettu, Defender for Endpoint voi kerätä yksityiskohtaisia suojaustietoja näistä laitteista, mukaan lukien hälytyksiä, haavoittuvuuksia ja ohjelmistovarastoja. Jos haluat lisätietoja, katso Microsoft Defender for Endpoint varten käyttöönotettavat laitteet.
- Resurssienetsintä: Verkostasi automaattisesti löytyneet laitteet, joihin ei ole asennettu agenttia. Etsintä tapahtuu perehdytetyillä päätepisteillä, jotka tarkkailevat verkkoliikennettä (perusetsintä) tai tutkivat ympäristöä aktiivisesti (vakioetsintä). Löydettyjen laitteiden perehdyttämistilanavoi olla perehdytys, tietoja ei tueta tai tiedot eivät riitä. Lisätietoja on kohdassa Laitteiden etsinnän yleiskatsaus.
- IoT- ja OT-laitteet: IoT- ja käyttötekniikan (OT) laitteet, kuten tulostimet, kamerat ja teolliset ohjausjärjestelmät, näkyvät varastossa, kun otat IoT:n Microsoft Defender käyttöön Defender-portaalissa. Nämä laitteet näkyvät IoT/OT-laitteiden välilehdellä, ja ne sisältävät ylimääräisiä kenttiä, kuten laitteen tyypin, alityypin, toimittajan ja mallin.
LaitevarastonDiscovery-lähteet-sarake kertoo, miten kukin laite löydettiin: MDE (Defender for Endpoint -tunnistimen löytämä), Microsoft Defender IoT:lle (Defenderin IoT:lle löytämä) ja muut lähteet. Tämän sarakkeen avulla voit selvittää, miksi laite tulee näkyviin ja edellyttääkö se perehdytystä.
Laitteen elinkaari ja matka
Laitteiden hallinta Defender for Endpointissa noudattaa ennustettavaa elinkaarta. Seuraavassa taulukossa esitellään keskeiset vaiheet, tehtävät, roolit ja niihin liittyvä dokumentaatio:
| Vaiheessa | Tehtävät | Mukana olevat roolit | Lisätietoja |
|---|---|---|---|
| Laitteiden löytäminen ja käyttöönotto | • etsi laitteita verkostasi • Laitteet, joissa on Defender for Endpoint -agentti • Laitteiden luettelon laitteiden tarkasteleminen • arvioida riskitasoja ja altistumispisteitä |
Suojauksen järjestelmänvalvoja IT-toiminnot |
Laitteiden luettelon laitteiden tutkiminen Laitteiden käyttöönotto Määritä laitteiden etsintä |
| Alueen ja asiayhteyden hallinta | • suodattaa pois tilapäiset laitteet (automaattinen) • Jätä laitteita pois haavoittuvuuden hallinnasta (manuaalinen) • Määrittää, mitkä laitteet edellyttävät suojaushuomiota |
Suojauksen järjestelmänvalvoja | Laitteen vaikutusalueen ja asiayhteyden hallinta |
| Luokittele ja järjestä tunnisteiden ja poissulkemisten avulla | • manuaalisten tunnisteiden lisääminen yksittäisiin laitteisiin • luoda dynaamisia tunnisteita sääntöjen avulla • järjestää laitteet mielekkäiksi ryhmiksi • tunnisteiden käyttäminen liiketoimintakontekstissa |
Suojauksen järjestelmänvalvoja Tietoturva-analyytikko |
Laitetunnisteiden luominen ja hallinta |
| Kohdelaitteet suojaustoimia varten | • laiteryhmien käyttäminen roolipohjaiseen käyttöön • kerää mukautettuja telemetriatietoja laiteryhmistä • automaatiosääntöjen käyttäminen merkityissä laitteissa • Ottaa suojauskäytäntöjä käyttöön laiteryhmissä |
Suojauksen järjestelmänvalvoja Tietoturva-analyytikko |
Laitetunnisteiden ja kohdelaitteiden luominen ja hallinta Mukautettu tiedonkeruu |
| Tutki laitteita | • Tarkista laitteen aikajanat • Tutkia hälytyksiä ja tapauksia • Tunnistaa Internetiin suunnanneet laitteet • uhkien etsiminen laiteryhmistä • ryhtyä vastaustoimintoihin |
Tietoturva-analyytikko Suojauksen järjestelmänvalvoja |
Tutki laitteita Tarkista laitteen aikajana Internet-laitteiden tunnistaminen |
| Valvonta ja ylläpito | • Laitteen kuntotilan valvonta • Korjaa epäterveelliset anturit • tarkastella anturin kuntoraportteja • seurata perehdytyksen tilaa |
IT-toiminnot Suojauksen järjestelmänvalvoja |
Korjaa vialliset tunnistimet Laitteen kuntoraportit |
Laitekohdistaminen
Laitekohdistaminen tunnistaa laitetunnisteiden avulla, mitkä laitteet saavat tiettyjä suojaustoimia. Sen sijaan, että hallinnoisit laitteita yksitellen, kohdistamisen avulla voit järjestää laitteet merkityksellisiksi ryhmiksi ja käyttää määrityksiä, käytäntöjä tai tiedonkeruusääntöjä suuressa mittakaavassa.
Tunnisteet vs. ryhmät
Laitetunnisteet ovat selitteitä, jotka liität laitteisiin joko manuaalisesti tai dynaamisten sääntöjen avulla liiketoimintakontekstin, kuten osaston, sijainnin tai kriittisuuden, sieppaamiseksi. Kaikki käyttäjät näkevät merkityt laitteet. Tunnisteet eivät yksinään hallitse käyttöoikeuksia tai ota käyttöön suojauskäytäntöjä. ne tarjoavat organisaation perustan kohdentamiseen.
Laiteryhmät perustuvat tunnisteisiin, joiden avulla hallitaan sitä, mitkä käyttöoikeusryhmät voivat käyttää ja hallita tiettyjä laitteita. Kun luot laiteryhmän, määrität vastaavat säännöt (usein tunnisteiden perusteella), määrität automaattisia korjaustasoja ja määrität Microsoft Entra käyttäjäryhmille. Laiteryhmät mahdollistavat roolipohjaisen käytön hallinnan (RBAC), jotta esimerkiksi alueellinen suojaustiimi näkee vain laitteet maantieteellisellä alueellaan. Katso yksityiskohtaiset ohjeet kohdasta Laiteryhmien luominen ja hallinta.
Dynaamiset tunnisteet vs. manuaaliset tunnisteet
Manuaaliset tunnisteet ovat mukautettuja tunnisteita, joita käytät suoraan yksittäisissä laitteissa portaalin tai ohjelmointirajapinnan kautta. Ne ovat nopeita määritykseen ja hyödyllisiä ad hoc -tarpeisiin, kuten laitteiden merkitsemiseen aktiivisen tutkimuksen aikana. Ne eivät kuitenkaan skaalautu hyvin ja vaativat manuaalisia päivityksiä. Manuaalisia tunnisteita ei tueta mukautetussa tiedonkeruussa tai joissakin automaatioskenaariossa.
Dynaamisia tunnisteita käytetään automaattisesti resurssisääntöjen hallinnassa määritettyjen sääntöjen perusteella. Ne päivittyvät, kun laitteen ominaisuudet muuttuvat (noin tunnin välein), skaalautuvat tuhansiin laitteisiin, ja niitä tarvitaan kehittyneille toiminnoille, kuten mukautetulle tietojen keräämiselle. Käytä dynaamisia tunnisteita aina, kun tarvitset tunnisteita pysyäksesi ajan tasalla ilman manuaalista työtä.
Tärkeää
Monet kehittyneet Defender for Endpoint -ominaisuudet, mukaan lukien mukautettu tietojen kerääminen, edellyttävät dynaamisia tunnisteita. Manuaalisia tunnisteita ei tueta näissä skenaarioissa.
Kohdistaminen skenaarioihin
Seuraavassa taulukossa on yhteenveto yleisistä skenaarioista, joissa laitteen kohdentaminen ohjaa suojaustoimintoja.
| Skenaario | Lähestymistapa | Esimerkki |
|---|---|---|
| Laajuustutkimukset | Merkitse laitteet osaston tai tapahtuman mukaan ja suodata sitten hälytykset ja kehittyneet metsästyskyselyt tunnisteen mukaan. | Tutki kaikki Finance-Department laitteet epäilyttävän sivuliikkeen varalta. |
| Erityisten telemetriatietojen kerääminen | Luo dynaamisia tunnisteita kohdelaitteille ja luo sitten mukautettuja tiedonkeräyssääntöjä. Edellyttää dynaamisia tunnisteita ja Microsoft Sentinel työtilaan. | Kerää tiedostonkäyttötapahtumia kohteesta Database-Servers tietojen käytön valvomiseksi. |
| Automatisoi vastaustoimintoja | Määritä laiteryhmille automaattisia vastauksia tunnisteiden perusteella. | Eristä laitteet automaattisesti Public-Kiosk , kun havaitaan haittaohjelma, joka on erittäin vakava. |
| Analyytikkojen käyttöoikeuksien hallinta (RBAC) | Luo laiteryhmiä tunnisteista ja määritä ne Microsoft Entra käyttöoikeusryhmille. | Anna talous- ja tietoturvaryhmälle käyttöoikeus vain laitteisiin Finance-Department . |
| ASR-sääntöjen käyttöönotto laitetyypin mukaan | Käytä erilaisia hyökkäysalueen vähentämiskäytäntöjä eri tunnistepohjaisiin ryhmiin. | Aggressiivinen esto käytössä Internet-Facing-Servers; testitila päällä Development-Machines. |
| Ehdollisen käyttöoikeuden pakottaminen | Ilmoita käyttöoikeuspäätöksistä laitteen riskitasojen ja ryhmän jäsenyyden avulla. | Edellytä monimenetelmäinen todentaminen luottamuksellisten sovellusten käyttöä varten High-Risk-Devices . |
| Järjestä maantieteellisen sijainnin mukaan | Merkitse laitteet alueittain tai sivustoittain hajautettuja suojaustoimintoja varten. | EMEA-suojaustiimi valvoo laitteita ja vastaa niihin Location-EMEA . |
| Laitteen elinkaaren hallinta | Merkitse laitteet toimintavaiheen mukaan (tuotanto, valmistelu, käytöstäpoisto). | Käytä kaikkia ohjausobjekteja tuotannossa. käytöstä poistamisen seurantaa on vähennetty. |
| Pilottikokeilun uudet suojausominaisuudet | Käytä manuaalisia tunnisteita pilottiryhmässä, ota ominaisuus käyttöön testitilassa ja laajenna. | Merkitse 20 laitetta tunnisteella ASR-Pilot-2026, testaa uutta sääntöä, tarkenna ja julkaise sitten laajasti. |
Vaiheittaiset ohjeet tunnisteiden ja laiteryhmien luomiseen ovat kohdassa Laitetunnisteiden ja kohdelaitteiden luominen ja hallinta.
Kohdistamalla toimivat suojaustoimet
Laitetunnisteiden ja ryhmien avulla voit käyttää suojaustoimintoja useilla alueilla:
| Suojaustoimet | Kuvaus | Skenaarioita | Lisätietoja |
|---|---|---|---|
| Tutkimukset ja uhkien metsästys | Suodata hälytykset ja alueen tutkimukset tiettyihin laiteryhmiin | • Tutkia kaikkia talousosaston laitteita epäilyttävän toiminnan varalta • uhkien etsiminen "Windows-Palvelimista" tietyllä alueella • seurata kompromissiin liittyviä laitteita tapahtumatunnisteiden avulla |
Tarkennettu etsintä |
| Mukautettu tiedonkeruu | Erikoistelemetrian kerääminen laitteista, joissa on dynaamisia tunnisteita | • kerätä tiedostotapahtumia tietokantapalvelimista • tallentaa verkkoyhteydet Developer-Workstations-kohteelta • valvoa komentosarjojen suorittamista "Administrative-Systems" -järjestelmissä |
Mukautettu tiedonkeruu Mukautettujen tiedonkeräyssääntöjen luominen |
| Automaatiosäännöt | Automaattisia vastaustoimintoja käytetään laiteluokkiin | • Eristää Public-Kiosk-laitteet automaattisesti, jos haittaohjelmia havaitaan • suorittaa rikosteknistä kokoelmaa "Critical-Servers" -palvelimessa tapausten aikana • rajoittaa "BYOD-Devices"-toimintoa arkaluonteisista resursseista |
Automatisoitu tutkimus ja reagointi |
| Laiteryhmät roolipohjaista käyttöä varten | Sen hallinta, mitä suojausanalyytikot voivat nähdä ja toimia tietyissä laitteissa | • Talous- ja tietoturvaryhmä hallitsee vain "Talousosasto"-laitteita • Alueelliset tiimit hallitsevat laitteita maantieteellisillä alueillaan • juniorianalyytikot käyttävät vain laiteryhmiä, jotka eivät ole tuotantoympäristöjä |
Laiteryhmien luominen ja hallinta |
| Hyökkäyspinta-alan rajoittamissäännöt | Erilaisten suojausohjausobjektien käyttöönotto eri laitetyypeissä | • "Internet-facing-servers" -palvelinten tiukat estosäännöt • "Kehityskoneiden" testitila • Standard perusaikataulua yleisille käyttäjätyöasemille |
Hyökkäyspinta-alan rajoittamissäännöt |
| Ehdolliset käyttöoikeuskäytännöt | Pakota käyttöoikeuksien hallinta laitteiden suojausasennon ja tunnisteiden perusteella | • Edellytä monimenetelmäistä todentamista suuririskisille laitteille • estää yhteensopimattomien laitteiden käytön yrityksen resursseista • Salli Managed-BYOD -palvelun rajoitettu pääsy hyväksyttyihin palveluihin |
Ehdollinen käyttö ja Intune |