Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os dispositivos são a base das suas operações de segurança no Microsoft Defender para Ponto de Extremidade. Compreender como os dispositivos aparecem no seu ambiente, como geri-los eficazmente e como organizá-los para ações de segurança é essencial para proteger a sua organização.
O que são dispositivos no Defender para Endpoint?
Os dispositivos no Microsoft Defender para Ponto de Extremidade incluem qualquer ponto final que reporte telemetria de segurança ao serviço. Isso inclui:
- Computadores e dispositivos móveis: Estações de trabalho, servidores, portáteis e dispositivos móveis (Windows, macOS, Linux, iOS, Android)
- Dispositivos de rede: Routers, comutadores e outra infraestrutura de rede
- Dispositivos IoT/OT: impressoras, câmaras, sistemas de controlo industrial e dispositivos de tecnologia operacional
Os dispositivos aparecem no inventário através de dois métodos principais:
- Inclusão: dispositivos que integra explicitamente no Defender para Endpoint com o agente completo instalado. Os dispositivos integrados mostram uma status de Inclusão de Integrado e, normalmente, têm um estado de funcionamento do sensor ativo. Uma vez que o agente está instalado, o Defender para Endpoint pode recolher dados de segurança detalhados destes dispositivos, incluindo alertas, vulnerabilidades e inventário de software. Para obter mais informações, veja Integrar dispositivos para Microsoft Defender para Ponto de Extremidade.
- Deteção: dispositivos detetados automaticamente na sua rede sem um agente instalado. A deteção ocorre através de pontos finais integrados que observam o tráfego de rede (deteção básica) ou pesquisam ativamente o ambiente (deteção padrão). Os dispositivos detetados mostram uma status de Inclusão de Pode ser integrado, Não Suportado ou Insuficiente. Para obter mais informações, veja Descrição geral da deteção de dispositivos.
- Dispositivos IoT e OT: os dispositivos IoT e de tecnologia operacional (OT), como impressoras, câmaras e sistemas de controlo industrial, aparecem no inventário quando ativa Microsoft Defender para IoT no portal do Defender. Estes dispositivos são apresentados no separador Dispositivos IoT/OT e incluem campos adicionais, como o tipo de dispositivo, subtipo, fornecedor e modelo.
A coluna Origens de deteção no inventário de dispositivos indica como cada dispositivo foi encontrado: MDPE (encontrado pelo sensor defender para ponto final), Microsoft Defender para IoT (detetado pelo Defender para IoT) e outras origens. Utilize esta coluna para compreender o motivo pelo qual um dispositivo é apresentado e se necessita de integração.
O ciclo de vida e o percurso do dispositivo
A gestão de dispositivos no Defender para Endpoint segue um ciclo de vida previsível. A tabela seguinte descreve as principais fases, tarefas, funções envolvidas e documentação relacionada:
| Estágio | Tarefas | Funções envolvidas | Saiba mais |
|---|---|---|---|
| Detetar e integrar dispositivos | • Detetar dispositivos na sua rede • Integrar dispositivos com o agente do Defender para Endpoint • Ver dispositivos no inventário de dispositivos • Avaliar níveis de risco e pontuações de exposição |
Administrador de Segurança Operações de TI |
Explorar dispositivos no inventário de dispositivos Integrar dispositivos Configurar a descoberta de dispositivo |
| Gerir âmbito e relevância | • Filtrar dispositivos transitórios (automático) • Excluir dispositivos da gestão de vulnerabilidades (manual) • Determinar que dispositivos necessitam de atenção de segurança |
Administrador de Segurança | Gerir o âmbito e a relevância do dispositivo |
| Classificar e organizar com etiquetas e exclusões | • Adicionar etiquetas manuais a dispositivos individuais • Criar etiquetas dinâmicas com regras • Organizar dispositivos em grupos significativos • Aplicar etiquetas para contexto empresarial |
Administrador de Segurança Analista de Segurança |
Criar e gerenciar marcas de dispositivo |
| Dispositivos de destino para ações de segurança | • Utilizar grupos de dispositivos para acesso baseado em funções • Recolher telemetria personalizada de grupos de dispositivos • Aplicar regras de automatização a dispositivos etiquetados • Implementar políticas de segurança em grupos de dispositivos |
Administrador de Segurança Analista de Segurança |
Criar e gerir etiquetas de dispositivos e dispositivos de destino Recolha de dados personalizada |
| Investigar dispositivos | • Rever linhas cronológicas do dispositivo • Investigar alertas e incidentes • Identificar dispositivos com acesso à Internet • Investigar ameaças entre grupos de dispositivos • Tomar medidas de resposta |
Analista de Segurança Administrador de Segurança |
Investigar dispositivos Rever linha do tempo do dispositivo Identificar dispositivos com acesso à Internet |
| Monitorizar e manter | • Monitorizar status de estado de funcionamento do dispositivo • Corrigir sensores em mau estado de funcionamento • Rever relatórios de estado de funcionamento do sensor • Controlar status de integração |
Operações de TI Administrador de Segurança |
Corrigir sensores não íntegros Relatórios de estado de funcionamento do dispositivo |
Filtragem de dispositivos
A filtragem de dispositivos utiliza etiquetas de dispositivos para identificar que dispositivos devem receber ações de segurança específicas. Em vez de gerir dispositivos individualmente, a filtragem permite-lhe organizar os dispositivos em grupos significativos e aplicar configurações, políticas ou regras de recolha de dados em escala.
Etiquetas vs. grupos
As etiquetas de dispositivo são etiquetas que anexa aos dispositivos ( manualmente ou através de regras dinâmicas) para capturar contexto empresarial, como departamento, localização ou criticidade. Todos os utilizadores podem ver dispositivos etiquetados. As etiquetas por si só não controlam o acesso nem aplicam políticas de segurança; fornecem a base organizacional para filtragem.
Os grupos de dispositivos baseiam-se em etiquetas para controlar as equipas de segurança que podem aceder e gerir dispositivos específicos. Quando cria um grupo de dispositivos, define regras correspondentes (muitas vezes com base em etiquetas), define níveis de remediação automatizadas e atribui Microsoft Entra grupos de utilizadores. Os grupos de dispositivos ativam o controlo de acesso baseado em funções (RBAC) para que, por exemplo, uma equipa de segurança regional veja apenas os dispositivos na respetiva geografia. Para obter instruções detalhadas, veja Criar e gerir grupos de dispositivos.
Etiquetas dinâmicas vs. etiquetas manuais
As etiquetas manuais são etiquetas personalizadas que aplica diretamente a dispositivos individuais através do portal ou da API. São rápidas a configurar e são úteis para necessidades ad-hoc, como etiquetar dispositivos durante uma investigação ativa. No entanto, não dimensionam bem e necessitam de atualizações manuais. As etiquetas manuais não são suportadas para recolha de dados personalizados ou alguns cenários de automatização.
As etiquetas dinâmicas são aplicadas automaticamente com base nas regras que define na Gestão de Regras de Recursos. São atualizadas à medida que as propriedades do dispositivo mudam (aproximadamente a cada hora), são dimensionadas para milhares de dispositivos e são necessárias para capacidades avançadas, como a recolha de dados personalizada. Utilize etiquetas dinâmicas sempre que precisar de etiquetas para se manter atualizado sem esforço manual.
Importante
Muitas funcionalidades avançadas do Defender para Endpoint, incluindo a recolha de dados personalizados, requerem etiquetas dinâmicas. As etiquetas manuais não são suportadas para estes cenários.
Cenários de filtragem
A tabela seguinte resume cenários comuns em que a filtragem de dispositivos conduz operações de segurança.
| Cenário | Abordagem | Exemplo |
|---|---|---|
| Analisar investigações | Identifique dispositivos por departamento ou incidente e, em seguida, filtre alertas e consultas de investigação avançadas por etiqueta. | Investigue todos os Finance-Department dispositivos relativamente a movimentos laterais suspeitos. |
| Recolher telemetria especializada | Crie etiquetas dinâmicas para dispositivos de destino e, em seguida, crie regras de recolha de dados personalizadas. Requer etiquetas dinâmicas e uma área de trabalho Microsoft Sentinel. | Recolha eventos de acesso a ficheiros de Database-Servers para monitorizar o acesso aos dados. |
| Automatizar ações de resposta | Definir respostas automatizadas para grupos de dispositivos com base em etiquetas. | Isolar automaticamente dispositivos quando é detetado Public-Kiosk software maligno de alta gravidade. |
| Controlar o acesso dos analistas (RBAC) | Crie grupos de dispositivos a partir de etiquetas e atribua-os a Microsoft Entra equipas de segurança. | Conceder à Equipa de Segurança Financeira acesso apenas a Finance-Department dispositivos. |
| Implementar regras ASR por tipo de dispositivo | Aplique diferentes políticas de redução da superfície de ataque a diferentes grupos baseados em etiquetas. | Bloqueio agressivo em Internet-Facing-Servers; modo de teste em Development-Machines. |
| Impor Acesso Condicional | Utilize os níveis de risco do dispositivo e a associação a grupos para informar as decisões de acesso. | Exigir a MFA para High-Risk-Devices aceder a aplicações confidenciais. |
| Organizar por geografia | Etiquetar dispositivos por região ou site para operações de segurança distribuídas. | A equipa de segurança da EMEA monitoriza e responde aos Location-EMEA dispositivos. |
| Gerir o ciclo de vida do dispositivo | Etiquetar dispositivos por fase operacional (Produção, Teste, Desativação). | Aplicar controlos completos à Produção; monitorização reduzida para Desativação. |
| Testar novas funcionalidades de segurança | Aplique etiquetas manuais a um grupo piloto, implemente a funcionalidade no modo de teste e, em seguida, expanda. | Identifique 20 dispositivos com ASR-Pilot-2026, teste a nova regra, refine e, em seguida, implemente amplamente. |
Para obter instruções passo a passo sobre como criar etiquetas e grupos de dispositivos, consulte Criar e gerir etiquetas de dispositivos e dispositivos de destino.
Ações de segurança com tecnologia de filtragem
As etiquetas e grupos de dispositivos permitem-lhe aplicar operações de segurança em várias áreas:
| Ação de segurança | Descrição | Cenários | Saiba mais |
|---|---|---|---|
| Investigações e investigação de ameaças | Filtrar alertas e analisar investigações para grupos de dispositivos específicos | • Investigar todos os dispositivos "Departamento Financeiro" para atividades suspeitas • Investigar ameaças em "Windows-Servers" numa região específica • Controlar dispositivos envolvidos num comprometimento através de etiquetas de incidente |
Busca avançada |
| Recolha de dados personalizada | Recolher telemetria especializada de dispositivos com etiquetas dinâmicas | • Recolher eventos de ficheiros de "Database-Servers" • Capturar ligações de rede de "Developer-Workstations" • Monitorizar a execução de scripts em "Administrative-Systems" |
Recolha de dados personalizada Criar regras de recolha de dados personalizadas |
| Regras de automatização | Aplicar ações de resposta automatizadas a categorias de dispositivos | • Isolar automaticamente dispositivos "Public-Kiosk" se for detetado software maligno • Executar a recolha forense em "Critical-Servers" durante incidentes • Restringir "BYOD-Devices" de recursos confidenciais |
Resposta e investigação automatizadas |
| Grupos de dispositivos para acesso baseado em funções | Controlar os analistas de segurança que podem ver e agir em dispositivos específicos | • A Equipa de Segurança Financeira gere apenas dispositivos "Departamento Financeiro" • As equipas regionais gerem dispositivos nas respetivas localizações geográficas • Os analistas júnior acedem apenas a grupos de dispositivos "Não Produção" |
Criar e gerenciar grupos de dispositivos |
| Regras da redução da superfície de ataque | Implementar diferentes controlos de segurança em diferentes tipos de dispositivos | • Regras de bloqueio estritas em "Servidores Com Acesso à Internet" • Modo de teste em "Development-Machines" • Standard linha de base para estações de trabalho gerais do utilizador |
Regras da redução da superfície de ataque |
| Políticas de Acesso Condicional | Impor controlos de acesso com base na postura e etiquetas de segurança do dispositivo | • Exigir MFA para "Dispositivos de Alto Risco" • Bloquear "Dispositivos Não Conformes" dos recursos empresariais • Permitir o acesso limitado "Managed-BYOD" aos serviços aprovados |
Acesso Condicional com o Intune |