Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Geräte sind die Grundlage Ihrer Sicherheitsvorgänge in Microsoft Defender for Endpoint. Es ist wichtig zu verstehen, wie Geräte in Ihrer Umgebung angezeigt werden, wie sie effektiv verwaltet werden und wie sie für Sicherheitsaktionen organisiert werden können, um Ihre organization zu schützen.
Was sind Geräte in Defender für Endpunkt?
Geräte in Microsoft Defender for Endpoint jeden Endpunkt enthalten, der Sicherheitstelemetriedaten an den Dienst meldet. Dies umfasst Folgendes:
- Computer und mobile Geräte: Arbeitsstationen, Server, Laptops und mobile Geräte (Windows, macOS, Linux, iOS, Android)
- Netzwerkgeräte: Router, Switches und andere Netzwerkinfrastrukturen
- IoT/OT-Geräte: Drucker, Kameras, industrielle Steuerungssysteme und Betriebstechnologiegeräte
Geräte werden in Ihrem Bestand mit zwei primären Methoden angezeigt:
- Onboarding: Geräte, die Sie explizit in Defender für Endpunkt integrieren, wobei der vollständige Agent installiert ist. Integrierte Geräte zeigen eine Onboarding-statusonboarded an und weisen in der Regel den Integritätsstatus Aktiver Sensor auf. Da der Agent installiert ist, kann Defender für Endpunkt detaillierte Sicherheitsdaten von diesen Geräten sammeln, einschließlich Warnungen, Sicherheitsrisiken und Softwareinventur. Weitere Informationen finden Sie unter Onboarding von Geräten in Microsoft Defender for Endpoint.
- Ermittlung: Geräte, die automatisch in Ihrem Netzwerk ermittelt werden, ohne dass ein Agent installiert ist. Die Ermittlung erfolgt über integrierte Endpunkte, die netzwerkdatenverkehr beobachten (grundlegende Ermittlung) oder die Umgebung aktiv testen (Standardermittlung). Ermittelte Geräte zeigen eine Onboarding-status kann integriert werden, nicht unterstützt oder Unzureichende Informationen. Weitere Informationen finden Sie unter Übersicht über die Geräteermittlung.
- IoT- und OT-Geräte: IoT- und OT-Geräte (Operational Technology) wie Drucker, Kameras und industrielle Steuerungssysteme werden im Bestand angezeigt, wenn Sie Microsoft Defender für IoT im Defender-Portal aktivieren. Diese Geräte werden auf der Registerkarte IoT/OT-Geräte angezeigt und enthalten zusätzliche Felder wie Gerätetyp, Untertyp, Anbieter und Modell.
In der Spalte Ermittlungsquellen im Gerätebestand wird angegeben, wie die einzelnen Geräte gefunden wurden: MDE (vom Defender für Endpunkt-Sensor gefunden), Microsoft Defender für IoT (von Defender für IoT ermittelt) und andere Quellen. Verwenden Sie diese Spalte, um zu verstehen, warum ein Gerät angezeigt wird und ob ein Onboarding erforderlich ist.
Lebenszyklus und Journey des Geräts
Die Verwaltung von Geräten in Defender für Endpunkt folgt einem vorhersagbaren Lebenszyklus. In der folgenden Tabelle werden die wichtigsten Phasen, Aufgaben, beteiligten Rollen und die zugehörige Dokumentation beschrieben:
| Phase | Aufgaben | Beteiligte Rollen | Weitere Informationen |
|---|---|---|---|
| Ermitteln und Integrieren von Geräten | • Ermitteln von Geräten in Ihrem Netzwerk • Integrieren von Geräten mit dem Defender für Endpunkt-Agent • Anzeigen von Geräten im Gerätebestand • Bewerten von Risikostufen und Expositionsbewertungen |
Sicherheitsadministrator IT-Betrieb |
Erkunden von Geräten im Gerätebestand Integrieren von Geräten Konfigurieren der Geräteermittlung |
| Verwalten von Bereich und Relevanz | • Herausfiltern vorübergehender Geräte (automatisch) • Ausschließen von Geräten aus der Verwaltung von Sicherheitsrisiken (manuell) • Bestimmen, welche Geräte sicherheitsrelevante Aufmerksamkeit erfordern |
Sicherheitsadministrator | Verwalten von Geräteumfang und -relevanz |
| Klassifizieren und Organisieren mit Tags und Ausschlüssen | • Hinzufügen manueller Tags zu einzelnen Geräten • Erstellen dynamischer Tags mithilfe von Regeln • Organisieren von Geräten in sinnvollen Gruppen • Anwenden von Tags für den Geschäftskontext |
Sicherheitsadministrator Sicherheitsanalyst |
Erstellen und Verwalten von Gerätekategorien |
| Zielgeräte für Sicherheitsaktionen | • Verwenden von Gerätegruppen für den rollenbasierten Zugriff • Sammeln von benutzerdefinierten Telemetriedaten aus Gerätegruppen • Anwenden von Automatisierungsregeln auf markierte Geräte • Bereitstellen von Sicherheitsrichtlinien für Gerätegruppen |
Sicherheitsadministrator Sicherheitsanalyst |
Erstellen und Verwalten von Gerätetags und Zielgeräten Benutzerdefinierte Datensammlung |
| Untersuchen von Geräten | • Überprüfen der Gerätezeitachsen • Untersuchen von Warnungen und Vorfällen • Identifizieren von Geräten mit Internetzugriff • Suchen nach Bedrohungen über Gerätegruppen hinweg • Ergreifen von Reaktionsaktionen |
Sicherheitsanalyst Sicherheitsadministrator |
Untersuchen von Geräten Überprüfen der geräte Zeitleiste Identifizieren von Geräten mit Internetzugriff |
| Überwachen und Verwalten | • Überwachen der Geräteintegrität status • Beheben von fehlerhaften Sensoren • Überprüfen von Sensorintegritätsberichten • Nachverfolgen von Onboarding-status |
IT-Betrieb Sicherheitsadministrator |
Korrigieren von fehlerhaften Sensoren Geräteintegritätsberichte |
Geräteadressierung
Die Geräteadressierung verwendet Gerätetags, um zu identifizieren, welche Geräte bestimmte Sicherheitsaktionen erhalten sollen. Anstatt Geräte einzeln zu verwalten, können Sie Geräte in aussagekräftigen Gruppen organisieren und Konfigurationen, Richtlinien oder Datensammlungsregeln im großen Stil anwenden.
Tags im Vergleich zu Gruppen
Gerätetags sind Bezeichnungen , die Sie entweder manuell oder über dynamische Regeln an Geräte anfügen, um geschäftsbezogene Kontexte wie Abteilung, Standort oder Wichtigkeit zu erfassen. Alle Benutzer können markierte Geräte sehen. Tags allein steuern nicht den Zugriff oder wenden Sicherheitsrichtlinien an. sie bieten die organisatorische Grundlage für die Zielgruppenadressierung.
Gerätegruppen bauen auf Tags auf, um zu steuern, welche Sicherheitsteams auf bestimmte Geräte zugreifen und diese verwalten können. Wenn Sie eine Gerätegruppe erstellen, definieren Sie Abgleichsregeln (häufig basierend auf Tags), legen automatisierte Korrekturstufen fest und weisen Microsoft Entra Benutzergruppen zu. Gerätegruppen ermöglichen die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), sodass beispielsweise ein regionales Sicherheitsteam nur Geräte in seiner geografischen Region sieht. Ausführliche Anweisungen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
Dynamische Tags im Vergleich zu manuellen Tags
Manuelle Tags sind benutzerdefinierte Bezeichnungen, die Sie über das Portal oder die API direkt auf einzelne Geräte anwenden. Sie sind schnell einzurichten und nützlich für Ad-hoc-Anforderungen wie das Taggen von Geräten während einer aktiven Untersuchung. Sie lassen sich jedoch nicht gut skalieren und erfordern manuelle Updates. Manuelle Tags werden für benutzerdefinierte Datensammlungen oder einige Automatisierungsszenarien nicht unterstützt.
Dynamische Tags werden automatisch basierend auf Regeln angewendet, die Sie in der Ressourcenregelverwaltung definieren. Sie werden aktualisiert, wenn sich Die Geräteeigenschaften ändern (ungefähr jede Stunde), auf Tausende von Geräten skaliert werden und für erweiterte Funktionen wie die benutzerdefinierte Datensammlung erforderlich sind. Verwenden Sie dynamische Tags, wenn Sie Tags benötigen, um ohne manuellen Aufwand auf dem neuesten Stand zu bleiben.
Wichtig
Viele erweiterte Funktionen von Defender für Endpunkt, einschließlich der benutzerdefinierten Datensammlung, erfordern dynamische Tags. Manuelle Tags werden für diese Szenarien nicht unterstützt.
Zielgruppenadressierungsszenarien
In der folgenden Tabelle sind häufige Szenarien zusammengefasst, in denen die Geräteadressierung Sicherheitsvorgänge steuert.
| Szenario | Ansatz | Beispiel |
|---|---|---|
| Bereichsuntersuchungen | Markieren Sie Geräte nach Abteilung oder Incident, und filtern Sie warnungen und erweiterte Huntingabfragen nach Tag. | Untersuchen Sie alle Finance-Department Geräte auf verdächtige Seitwärtsbewegungen. |
| Sammeln spezialisierter Telemetriedaten | Erstellen Sie dynamische Tags für Zielgeräte, und erstellen Sie dann benutzerdefinierte Datensammlungsregeln. Erfordert dynamische Tags und einen Microsoft Sentinel Arbeitsbereich. | Sammeln Von Dateizugriffsereignissen aus Database-Servers , um den Datenzugriff zu überwachen. |
| Automatisieren von Antwortaktionen | Definieren Sie automatisierte Antworten für Gerätegruppen basierend auf Tags. | Geräte automatisch isolieren Public-Kiosk , wenn Schadsoftware mit hohem Schweregrad erkannt wird. |
| Steuern des Analystenzugriffs (Control Analyst Access, RBAC) | Erstellen Sie Gerätegruppen aus Tags, und weisen Sie sie Microsoft Entra Sicherheitsteams zu. | Gewähren Sie dem Finanzsicherheitsteam nur Zugriff auf Finance-Department Geräte. |
| Bereitstellen von ASR-Regeln nach Gerätetyp | Wenden Sie verschiedene Richtlinien zur Verringerung der Angriffsfläche auf verschiedene Tag-basierte Gruppen an. | Aggressive Blockierung für Internet-Facing-Servers; Testmodus auf Development-Machines. |
| Erzwingen des bedingten Zugriffs | Verwenden Sie Geräterisikostufen und Gruppenmitgliedschaften, um Zugriffsentscheidungen zu treffen. | Erfordere MFA für High-Risk-Devices den Zugriff auf vertrauliche Anwendungen. |
| Nach Geografie organisieren | Markieren Sie Geräte nach Region oder Standort für verteilte Sicherheitsvorgänge. | Das EMEA-Sicherheitsteam überwacht Geräte und reagiert darauf Location-EMEA . |
| Verwalten des Gerätelebenszyklus | Markieren Sie Geräte nach Betriebsstufe (Produktion, Staging, Außerbetriebnahme). | Wenden Sie vollständige Kontrollen auf die Produktion an; reduzierte Überwachung für Außerbetriebnahme. |
| Pilotneue Sicherheitsfeatures | Wenden Sie manuelle Tags auf eine Pilotgruppe an, stellen Sie das Feature im Testmodus bereit, und erweitern Sie dann. | Markieren Sie 20 Geräte mit ASR-Pilot-2026, testen Sie die neue Regel, verfeinern Sie, und führen Sie dann einen breiten Rollout durch. |
Schritt-für-Schritt-Anweisungen zum Erstellen von Tags und Gerätegruppen finden Sie unter Erstellen und Verwalten von Gerätetags und Zielgeräten.
Sicherheitsaktionen, die durch Zielgruppenadressierung unterstützt werden
Gerätetags und -gruppen ermöglichen es Ihnen, Sicherheitsvorgänge auf mehrere Bereiche anzuwenden:
| Sicherheitsaktion | Beschreibung | Szenarien | Weitere Informationen |
|---|---|---|---|
| Untersuchungen und Bedrohungssuche | Filtern von Warnungen und Bereichsuntersuchungen auf bestimmte Gerätegruppen | • Untersuchen aller "Finance-Department"-Geräte auf verdächtige Aktivitäten • Suchen nach Bedrohungen auf "Windows-Servern" in einer bestimmten Region • Nachverfolgen von Geräten, die an einer Kompromittierung beteiligt sind, mithilfe von Incidenttags |
Erweiterte Suche |
| Benutzerdefinierte Datensammlung | Sammeln spezialisierter Telemetriedaten von Geräten mit dynamischen Tags | • Sammeln von Dateiereignissen von "Datenbankservern" • Erfassen von Netzwerkverbindungen von "Developer-Workstations" • Überwachen der Skriptausführung auf "Administrative-Systems" |
Benutzerdefinierte Datensammlung Erstellen benutzerdefinierter Datensammlungsregeln |
| Automatisierungsregeln | Anwenden automatisierter Reaktionsaktionen auf Gerätekategorien | • Automatische Isolierung von "Public-Kiosk"-Geräten, wenn Schadsoftware erkannt wird • Ausführen der forensischen Sammlung auf "Critical-Servers" während Incidents • Einschränken von "BYOD-Devices" von sensiblen Ressourcen |
Automatische Untersuchung und Reaktion |
| Gerätegruppen für den rollenbasierten Zugriff | Steuern, welche Sicherheitsanalysten bestimmte Geräte sehen und darauf reagieren können | • Finanzsicherheitsteam verwaltet nur "Finance-Department"-Geräte • Regionale Teams verwalten Geräte an ihren geografischen Standorten • Junior Analysts greifen nur auf Gerätegruppen außerhalb der Produktion zu |
Erstellen und Verwalten von Gerätegruppen |
| Regeln zur Verringerung der Angriffsfläche | Bereitstellen verschiedener Sicherheitskontrollen für verschiedene Gerätetypen | • Strenge Blockierungsregeln für "Server mit Internetzugriff" • Testmodus auf "Development-Machines" • Standard Baseline für allgemeine Benutzerarbeitsstationen |
Regeln zur Verringerung der Angriffsfläche |
| Richtlinien für bedingten Zugriff | Erzwingen von Zugriffssteuerungen basierend auf Gerätesicherheitsstatus und -tags | • MFA für Geräte mit hohem Risiko anfordern • Blockieren von "Nicht konformen Geräten" für Unternehmensressourcen • "Managed-BYOD" eingeschränkten Zugriff auf genehmigte Dienste zulassen |
Bedingter Zugriff mit Intune |