Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Enheter er grunnlaget for sikkerhetsoperasjonene dine i Microsoft Defender for endepunkt. Det å forstå hvordan enheter vises i miljøet ditt, hvordan du administrerer dem effektivt og hvordan du organiserer dem for sikkerhetshandlinger, er avgjørende for å beskytte organisasjonen.
Hva er enheter i Defender for Endpoint?
Enheter i Microsoft Defender for endepunkt inkludere alle endepunkter som rapporterer sikkerhetstelemetri til tjenesten. Dette inkluderer:
- Datamaskiner og mobile enheter: Arbeidsstasjoner, servere, bærbare datamaskiner og mobile enheter (Windows, macOS, Linux, iOS, Android)
- Nettverksenheter: Rutere, svitsj og annen nettverksinfrastruktur
- IoT/OT-enheter: Skrivere, kameraer, industrielle kontrollsystemer og driftsteknologienheter
Enheter vises i beholdningen gjennom to primære metoder:
- Pålasting: Enheter du eksplisitt tar med i Defender for Endpoint med den fullstendige agenten installert. Innebygde enheter viser pålastingsstatusenOnboarded og har vanligvis en aktiv sensortilstand. Fordi agenten er installert, kan Defender for Endpoint samle inn detaljerte sikkerhetsdata fra disse enhetene, inkludert varsler, sårbarheter og programvarebeholdning. Hvis du vil ha mer informasjon, kan du se Innebygde enheter for å Microsoft Defender for endepunkt.
- Oppdagelse: Enheter oppdages automatisk på nettverket uten at en agent er installert. Oppdagelse skjer gjennom innebygde endepunkter som observerer nettverkstrafikk (grunnleggende oppdagelse) eller aktivt undersøker miljøet (standard oppdagelse). Oppdagede enheter viser en pålastingsstatus for Kan være pålastet, Støttes ikke eller Utilstrekkelig informasjon. Hvis du vil ha mer informasjon, kan du se Oversikt over enhetsoppdagelse.
- IoT- og OT-enheter: IoT- og driftsteknologienheter ( for eksempel skrivere, kameraer og industrielle kontrollsystemer - vises på lageret når du aktiverer Microsoft Defender for IoT i Defender-portalen. Disse enhetene vises på IoT/OT-enheter-fanen og inkluderer ekstra felt som enhetstype, undertype, leverandør og modell.
Kolonnen Discovery-kilder i enhetsbeholdningen forteller deg hvordan hver enhet ble funnet: MDE (funnet av Defender for Endpoint-sensoren), Microsoft Defender for IoT (oppdaget av Defender for IoT) og andre kilder. Bruk denne kolonnen til å forstå hvorfor en enhet vises, og om den krever pålasting.
Enhetens livssyklus og reise
Administrasjon av enheter i Defender for Endpoint følger en forutsigbar livssyklus. Tabellen nedenfor beskriver nøkkelfasene, oppgavene, rollene og den relaterte dokumentasjonen:
| Scenen | Oppgaver | Roller involvert | Mer informasjon |
|---|---|---|---|
| Oppdag og legg inn enheter | • Oppdag enheter på nettverket • Innebygde enheter med Defender for Endpoint-agenten • Vis enheter i enhetsbeholdningen • Vurdere risikonivåer og eksponeringsresultater |
Sikkerhetsadministrator IT-operasjoner |
Utforsk enheter i enhetsbeholdningen Innebygde enheter Konfigurer enhetsoppdagelse |
| Administrer omfang og relevans | • Filtrere ut midlertidige enheter (automatisk) • Utelat enheter fra sårbarhetsbehandling (manuell) • Fastslå hvilke enheter som krever sikkerhetshensyn |
Sikkerhetsadministrator | Administrer enhetsomfang og relevans |
| Klassifiser og organiser med merker og utelatelser | • Legge til manuelle koder på individuelle enheter • Opprette dynamiske koder ved hjelp av regler • Organisere enheter i meningsfulle grupper • Bruke koder for forretningskontekst |
Sikkerhetsadministrator Sikkerhetsanalytiker |
Opprett og administrer enhetskoder |
| Målenheter for sikkerhetshandlinger | • Bruke enhetsgrupper for rollebasert tilgang • Samle inn egendefinert telemetri fra enhetsgrupper • Bruke automatiseringsregler på kodede enheter • Distribuere sikkerhetspolicyer til enhetsgrupper |
Sikkerhetsadministrator Sikkerhetsanalytiker |
Opprett og administrer enhetskoder og målenheter Egendefinert datainnsamling |
| Undersøke enheter | • Se gjennom tidslinjer for enheten • Undersøke varsler og hendelser • Identifisere Internett-vendte enheter • Jakten på trusler på tvers av enhetsgrupper • Utføre svarhandlinger |
Sikkerhetsanalytiker Sikkerhetsadministrator |
Undersøke enheter Se gjennom enhetens tidslinje Identifisere Internett-vendte enheter |
| Overvåk og vedlikehold | • Overvåk tilstandsstatusen for enheten • Løse usunne sensorer • Se gjennom sensortilstandsrapporter • Spor pålastingsstatus |
IT-operasjoner Sikkerhetsadministrator |
Løs usunne sensorer Enhetstilstandsrapporter |
Enhetsmålretting
Enhetsmålretting bruker enhetskoder til å identifisere hvilke enheter som skal motta bestemte sikkerhetshandlinger. I stedet for å administrere enheter enkeltvis, kan du organisere enheter i meningsfulle grupper og bruke konfigurasjoner, policyer eller datainnsamlingsregler i stor skala.
Merker kontra grupper
Enhetskoder er etiketter du kobler til enheter – enten manuelt eller via dynamiske regler – for å fange opp forretningskontekst, for eksempel avdeling, plassering eller kritiskhet. Alle brukere kan se kodede enheter. Merker alene kontrollerer ikke tilgang eller bruker sikkerhetspolicyer. de gir organisasjonsgrunnlaget for målretting.
Enhetsgrupper bygger på koder for å kontrollere hvilke sikkerhetsteam som kan få tilgang til og administrere bestemte enheter. Når du oppretter en enhetsgruppe, definerer du samsvarende regler (ofte basert på koder), angir automatiserte utbedringsnivåer og tilordner Microsoft Entra brukergrupper. Enhetsgrupper aktiverer rollebasert tilgangskontroll (RBAC), slik at for eksempel et regionalt sikkerhetsteam bare ser enheter i geografien. Hvis du vil ha detaljerte instruksjoner, kan du se Opprette og administrere enhetsgrupper.
Dynamiske koder kontra manuelle koder
Manuelle koder er egendefinerte etiketter du bruker direkte på individuelle enheter gjennom portalen eller API-en. De er raske til å konfigurere og nyttige for ad hoc-behov som merking av enheter under en aktiv undersøkelse. De skalerer imidlertid ikke godt og krever manuelle oppdateringer. Manuelle koder støttes ikke for egendefinert datainnsamling eller enkelte automatiseringsscenarioer.
Dynamiske koder brukes automatisk basert på regler du definerer i Asset Rule Management. De oppdateres etter hvert som enhetsegenskapene endres (omtrent hver time), skaleres til tusenvis av enheter og kreves for avanserte funksjoner som egendefinert datainnsamling. Bruk dynamiske koder når du trenger koder for å holde deg oppdatert uten manuell innsats.
Viktig
Mange avanserte Funksjoner for Defender for endepunkt, inkludert egendefinert datainnsamling, krever dynamiske koder. Manuelle koder støttes ikke for disse scenariene.
Målrettingsscenarioer
Tabellen nedenfor oppsummerer vanlige scenarioer der enhetsanretting driver sikkerhetsoperasjoner.
| Scenario | Tilnærming | Eksempel |
|---|---|---|
| Omfangsundersøkelser | Merk enheter etter avdeling eller hendelse, og filtrer varsler og avanserte jaktspørringer etter merke. | Undersøk alle Finance-Department enheter for mistenkelig sidebevegelse. |
| Samle spesialisert telemetri | Opprett dynamiske koder for målenheter, og opprett deretter egendefinerte regler for datainnsamling. Krever dynamiske koder og et Microsoft Sentinel arbeidsområde. | Samle inn filtilgangshendelser fra Database-Servers for å overvåke datatilgang. |
| Automatiser svarhandlinger | Definer automatiserte svar for enhetsgrupper basert på koder. | Isolere enheter automatisk Public-Kiosk når skadelig programvare med høy alvorlighetsgrad oppdages. |
| Kontrollanalytikertilgang (RBAC) | Opprett enhetsgrupper fra merker, og tilordne dem til Microsoft Entra sikkerhetsteam. | Gi økonomisikkerhetsteamet tilgang bare til Finance-Department enheter. |
| Distribuer ASR-regler etter enhetstype | Bruk ulike policyer for reduksjon av angrepsoverflaten på ulike kodebaserte grupper. | Aggressiv blokkering på Internet-Facing-Servers; testmodus på Development-Machines. |
| Fremtving betinget tilgang | Bruk enhetsrisikonivåer og gruppemedlemskap til å informere om tilgangsbeslutninger. | Krev MFA for High-Risk-Devices tilgang til sensitive programmer. |
| Organiser etter geografi | Merk enheter etter område eller område for distribuerte sikkerhetsoperasjoner. | EMEA-sikkerhetsteamet overvåker og reagerer Location-EMEA på enheter. |
| Administrer enhetens livssyklus | Merk enheter etter driftstrinn (produksjon, oppsamling, avvikling). | Bruk fullstendige kontroller på produksjon. redusert overvåking for avvikling. |
| Pilot for nye sikkerhetsfunksjoner | Bruk manuelle koder på en pilotgruppe, distribuer funksjonen i testmodus, og utvid deretter. | Merk 20 enheter med ASR-Pilot-2026, test ny regel, finjuster, og rull deretter ut bredt. |
Hvis du vil ha trinnvise instruksjoner om hvordan du oppretter merker og enhetsgrupper, kan du se Opprette og administrere enhetskoder og målenheter.
Sikkerhetshandlinger drevet av målretting
Med enhetskoder og grupper kan du bruke sikkerhetsoperasjoner på tvers av flere områder:
| Sikkerhetshandling | Beskrivelse | Scenarier | Mer informasjon |
|---|---|---|---|
| Undersøkelser og trusseljakt | Filtrer varsler og omfangsundersøkelser til bestemte enhetsgrupper | • Undersøk alle «Finance-Department»-enheter for mistenkelig aktivitet • Jakten på trusler på tvers av Windows-servere i et bestemt område • Spore enheter som er involvert i et kompromiss ved hjelp av hendelseskoder |
Avansert jakt |
| Egendefinert datainnsamling | Samle spesialisert telemetri fra enheter med dynamiske koder | • Samle inn filhendelser fra Databaseservere • Registrere nettverkstilkoblinger fra Developer-Workstations • Overvåke kjøring av skript på Administrative systemer |
Egendefinert datainnsamling Opprett egendefinerte regler for datainnsamling |
| Automatiseringsregler | Bruke automatiserte svarhandlinger på enhetskategorier | • Autoisolere "Public-Kiosk"-enheter hvis skadelig programvare oppdages • Kjør rettsmedisinsk samling på «Kritiske servere» under hendelser • Begrense BYOD-enheter fra sensitive ressurser |
Automatisert undersøkelse og svar |
| Enhetsgrupper for rollebasert tilgang | Kontrollere hvilke sikkerhetsanalytikere som kan se og handle på bestemte enheter | • Finance Security Team administrerer bare «Finance-Department»-enheter • Regionale team administrerer enheter på sine geografiske plasseringer • Junioranalytikere får bare tilgang til enhetsgrupper som ikke er i produksjon |
Opprett og administrer enhetsgrupper |
| Regler for reduksjon av angrepsoverflaten | Distribuer ulike sikkerhetskontroller til ulike enhetstyper | • Strenge blokkeringsregler på "Internett-vendte servere" • Testmodus på "Development-Machines" • Standard opprinnelig plan for generelle arbeidsstasjoner for brukere |
Regler for reduksjon av angrepsoverflaten |
| Policyer for Betinget tilgang | Fremtving tilgangskontroller basert på enhetens sikkerhetsstilling og koder | • Krev MFA for «enheter med høy risiko» • Blokkere «Ikke-kompatible enheter» fra bedriftens ressurser • Tillat "Managed-BYOD" begrenset tilgang til godkjente tjenester |
Betinget tilgang med Intune |