设备是Microsoft Defender for Endpoint中安全操作的基础。 了解设备在环境中的显示方式、如何有效地管理设备以及如何组织设备以执行安全操作,对于保护组织至关重要。
Defender for Endpoint 中的设备是什么?
Microsoft Defender for Endpoint中的设备包括向服务报告安全遥测数据的任何终结点。 这包括:
- 计算机和移动设备:工作站、服务器、笔记本电脑和移动设备 (Windows、macOS、Linux、iOS、Android)
- 网络设备:路由器、交换机和其他网络基础结构
- IoT/OT 设备:打印机、相机、工业控制系统和操作技术设备
设备通过两种主要方法显示在清单中:
- 载入:在安装完整代理的情况下显式加入到 Defender for Endpoint 的设备。 载入的设备显示 “载入”状态 为“ 已载入 ”,并且通常具有 “活动 ”传感器运行状况状态。 由于已安装代理,因此 Defender for Endpoint 可以从这些设备收集详细的安全数据,包括警报、漏洞和软件清单。 有关详细信息,请参阅将设备载入到Microsoft Defender for Endpoint。
- 发现:在未安装代理的情况下自动在网络上发现的设备。 发现通过载入终结点进行,这些终结点观察网络流量 (基本发现) 或主动探测环境 (标准发现) 。 发现的设备会显示“可载入”、“不支持”或“信息不足”的载入状态。 有关详细信息,请参阅 设备发现概述。
- IoT 和 OT 设备:在 Defender 门户中为 IoT 启用 Microsoft Defender时,IoT 和操作技术 (OT) 设备(例如打印机、相机和工业控制系统)将显示在清单中。 这些设备显示在 “IoT/OT 设备 ”选项卡上,并包含设备类型、子类型、供应商和型号等额外字段。
设备清单中的“发现源”列将告知每个设备的发现方式:Defender for Endpoint 传感器) 找到MDE (、Defender for IoT) 发现的 IoT (Microsoft Defender以及其他源。 使用此列可了解设备出现的原因以及是否需要载入。
设备生命周期和旅程
在 Defender for Endpoint 中管理设备遵循可预测的生命周期。 下表概述了关键阶段、任务、所涉及的角色和相关文档:
| 阶段 | 任务 | 涉及的角色 | 了解详细信息 |
|---|---|---|---|
| 发现和载入设备 | • 发现网络上的设备 • 使用 Defender for Endpoint 代理载入设备 • 查看设备清单中的设备 • 评估风险级别和风险评分 |
安全管理员 IT 运营 |
浏览设备清单中的设备 载入设备 配置设备发现 |
| 管理范围和相关性 | • (自动) 筛选出暂时性设备 • (手动) 从漏洞管理中排除设备 • 确定哪些设备需要安全注意 |
安全管理员 | 管理设备范围和相关性 |
| 使用标记和排除项进行分类和组织 | • 将手动标记添加到单个设备 • 使用规则创建动态标记 • 将设备组织到有意义的组中 • 为业务上下文应用标记 |
安全管理员 安全分析师 |
创建和管理设备标签 |
| 安全操作的目标设备 | • 使用设备组进行基于角色的访问 • 从设备组收集自定义遥测数据 • 将自动化规则应用于已标记的设备 • 将安全策略部署到设备组 |
安全管理员 安全分析师 |
创建和管理设备标记和目标设备 自定义数据收集 |
| 调查设备 | • 查看设备时间线 • 调查警报和事件 • 识别面向 Internet 的设备 • 跨设备组搜寻威胁 • 执行响应操作 |
安全分析师 安全管理员 |
调查设备 查看设备时间线 识别面向 Internet 的设备 |
| 监视和维护 | • 监视设备运行状况 • 修复不正常的传感器 • 查看传感器运行状况报告 • 跟踪载入状态 |
IT 运营 安全管理员 |
修复有问题传感器 设备运行状况报告 |
设备目标
设备目标使用设备标记来标识哪些设备应接收特定安全操作。 通过目标,可以将设备组织到有意义的组中,并大规模应用配置、策略或数据收集规则,而不是单独管理设备。
标记与组
设备标记 是附加到设备的标签(手动或通过动态规则)来捕获部门、位置或关键性等业务上下文。 所有用户都可以看到已标记的设备。 标记本身无法控制访问或应用安全策略;它们为目标提供组织基础。
设备组 基于标记构建,以控制哪些安全团队可以访问和管理特定设备。 创建设备组时,通常基于) 标记 (定义匹配规则,设置自动修正级别,并分配Microsoft Entra用户组。 设备组 (RBAC) 启用基于角色的访问控制,以便区域安全团队在其地理位置中仅看到设备。 有关详细说明,请参阅 创建和管理设备组。
动态标记与手动标记
手动标记 是通过门户或 API 直接应用于单个设备的自定义标签。 它们可快速设置,并可用于临时需求,例如在主动调查期间标记设备。 但是,它们无法很好地缩放,需要手动更新。 自定义数据收集或某些自动化方案不支持手动标记。
动态标记 根据 你在资产规则管理中定义的规则自动应用。 它们会随着设备属性 (大约每小时) 更改一次,扩展到数千台设备,并且是 自定义数据收集等高级功能所必需的。 每当需要标记以保持最新状态时,都使用动态标记,而无需手动操作。
重要
许多高级 Defender for Endpoint 功能(包括自定义数据收集)都需要动态标记。 这些方案不支持手动标记。
目标方案
下表总结了设备目标驱动安全操作的常见方案。
| 应用场景 | 方法 | 示例 |
|---|---|---|
| 范围调查 | 按部门或事件标记设备,然后按标记筛选警报和高级搜寻查询。 | 调查所有 Finance-Department 设备是否有可疑横向移动。 |
| 收集专用遥测 | 为目标设备创建动态标记,然后创建自定义数据收集规则。 需要动态标记和Microsoft Sentinel工作区。 | 从 Database-Servers 中收集文件访问事件以监视数据访问。 |
| 自动执行响应操作 | 根据标记为设备组定义自动响应。 | 检测到高严重性恶意软件时自动隔离 Public-Kiosk 设备。 |
| (RBAC) 控制分析师访问权限 | 根据标记创建设备组,并将其分配给Microsoft Entra安全团队。 | 仅向财务安全团队授予对 Finance-Department 设备的访问权限。 |
| 按设备类型部署 ASR 规则 | 将不同的攻击面减少策略应用于不同的基于标记的组。 | 主动阻止 ; Internet-Facing-Servers上的 Development-Machines测试模式。 |
| 强制实施条件访问 | 使用设备风险级别和组成员身份来通知访问决策。 | 需要 MFA 以 High-Risk-Devices 访问敏感应用程序。 |
| 按地理位置组织 | 按区域或站点标记设备以执行分布式安全操作。 | EMEA 安全团队监视和响应 Location-EMEA 设备。 |
| 管理设备生命周期 | 按操作阶段 (生产、过渡、停用) 标记设备。 | 将完全控制应用于生产;减少了对停用的监视。 |
| 试点新的安全功能 | 将手动标记应用于试点组,在测试模式下部署该功能,然后展开。 | 使用 ASR-Pilot-2026标记 20 台设备,测试新规则,优化,然后广泛推出。 |
有关创建标记和设备组的分步说明,请参阅 创建和管理设备标记和目标设备。
由目标提供支持的安全操作
设备标记和组使你能够跨多个区域应用安全操作:
| 安全操作 | 说明 | 应用场景 | 了解详细信息 |
|---|---|---|---|
| 调查和威胁搜寻 | 筛选警报并将调查范围限定为特定设备组 | • 调查所有“财务部门”设备是否有可疑活动 • 在特定区域中跨“Windows-Server”搜寻威胁 • 使用事件标记跟踪参与入侵的设备 |
高级搜寻 |
| 自定义数据收集 | 从具有动态标记的设备收集专用遥测数据 | • 从“数据库服务器”收集文件事件 • 从“开发人员工作站”捕获网络连接 • 监视“Administrative-Systems”上的脚本执行 |
自定义数据收集 创建自定义数据收集规则 |
| 自动化规则 | 将自动响应操作应用于设备类别 | • 如果检测到恶意软件,则自动隔离“公共展台”设备 • 在事件期间在“关键服务器”上运行取证收集 • 限制敏感资源的“BYOD-Devices” |
自动调查和响应 |
| 用于基于角色的访问的设备组 | 控制哪些安全分析师可以查看特定设备并对其执行操作 | • 财务安全团队仅管理“财务部门”设备 • 区域团队在其地理位置管理设备 • 初级分析师仅访问“非生产”设备组 |
创建和管理设备组 |
| 攻击面减少规则 | 将不同的安全控件部署到不同的设备类型 | • 针对“面向 Internet 的服务器”的严格阻止规则 • “开发计算机”上的测试模式 • 常规用户工作站的Standard基线 |
攻击面减少规则 |
| 条件访问策略 | 根据设备安全状况和标记强制实施访问控制 | • 要求对“高风险设备”进行 MFA • 阻止公司资源的“不符合设备” • 允许“Managed-BYOD”有限访问已批准的服务 |
使用 Intune 进行条件访问 |