Microsoft Defender for Endpoint中的设备目标分为两个阶段:首先创建标记以标记具有业务上下文的设备,然后基于这些标记形成设备组,以大规模定位安全操作,例如基于角色的访问、自定义数据收集、自动化规则和攻击面减少策略。
先决条件
在创建标记和目标设备之前,请查看以下要求。
权限
- 动态标记:需要在 资产规则管理中具有适当的权限。
- 手动标记:需要 Defender 门户中的设备级权限。
- 自动化规则:需要规则创建权限。
- 设备组:需要安全管理员角色才能创建和管理组。
支持的操作系统
支持设备标记:
- Windows 11、Windows 10 (版本 1709 或更高版本) 、Windows 8.1、Windows 7 SP1
- Windows Server (版本 1803 或更高版本) 、Windows Server 2016、Windows Server 2012 R2 Windows Server 2008 R2 SP1
- macOS、Linux、iOS、Android
性能说明
- 每个设备可以有多个标记。
- 动态标记大约每小时更新一次。
- 将标记添加到设备的时间与其在设备列表和设备页中的可用性之间可能存在一些延迟。
- 大量标记不会显著影响性能。
- 自定义数据收集规则可以面向多个标记组合。
有关标记与组、动态标记与手动标记以及目标方案的背景信息,请参阅 设备目标。
创建标记
可以使用以下方法将标记添加到设备。 每个方法都适合不同的方案和设备平台。
| 方法 | 平台 | 步骤 |
|---|---|---|
| 门户 | 所有受支持的平台 | 手动将标记添加到单个设备或小型组。 请参阅 使用门户添加设备标记。 |
| 动态规则 | 所有受支持的平台 | 在 Defender 门户中创建基于设备属性自动分配和删除标记的规则。 请参阅 资产规则管理 - 设备的动态规则。 |
| 注册表项 | Windows | 使用包含标记名称的REG_SZ值Group设置注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection\DeviceTagging\ () 最多 200 个字符。 标记每天同步一次;重启设备以立即同步。若要删除标记,请清除值数据,而不是删除 Group 键。 |
| 安全设置管理 | macOS、Linux | 创建终结点检测和响应安全策略。 请参阅在载入MDE的设备上管理终结点安全策略和在 Defender for Endpoint 中管理终结点安全策略。 |
| 配置文件 | macOS、Linux |
macOS:创建 .plist 配置文件并手动或通过管理工具进行部署。 请参阅在 macOS 上设置MDE首选项和 Intune 中 macOS 的自定义设置。
Linux:创建.json配置文件。 请参阅在Linux上设置MDE首选项。 |
| 自定义Intune配置文件 | Windows 10 或更高版本 | 在 Intune 中使用自定义设置创建设备配置文件。 使用数据类型为 String 的 OMA-URI./Device/Vendor/MSFT/WindowsAdvancedThreatProtection/DeviceTagging/Group。 请参阅在 Intune 中使用自定义设置创建配置文件。 |
| Intune 中的应用配置策略 | iOS, Android | 在 Intune 中创建应用配置文件,以定义和应用移动设备的标记。 对于 iOS,请参阅在 iOS 功能上配置Microsoft Defender for Endpoint。 对于 Android,请参阅 在 Android 上配置 Defender for Endpoint 功能。 有关详细信息,请参阅使用Microsoft Defender for Endpoint标记移动设备。 |
注意
Defender for Endpoint 计划 1 和计划 2 支持创建设备组。
若要使用 API 添加设备标记,请参阅 添加或删除设备标记 API。
使用门户添加设备标记
选择要用于管理标签的设备。 可以从以下任一视图选择或搜索设备:
警报队列 - 从警报队列中选择设备图标旁边的设备名称。
设备清单 - 从设备列表中选择设备名称。
搜索框 - 从下拉菜单中选择设备,然后输入设备名称。
还可通过文件和 IP 视图访问警报页面。
从“响应操作”行中选择“ 管理标记 ”。
键入以查找或创建标签。
标记将添加到设备视图,并且也会反映在 “设备清单 ”视图中。 然后,可以使用 “标记” 筛选器查看设备的相关列表。
注意
筛选可能不适用于包含括号或逗号的标记名称。
创建新标记时,会显示现有标记的列表。 该列表仅显示通过门户创建的标记。 不会显示从客户端设备创建的现有标记。
还可以从此视图中删除标记。
创建设备组
标记设备后,使用设备组控制哪些安全团队可以访问和管理特定的设备集。 设备组使用匹配规则(通常基于标记)来确定成员身份,并启用基于角色的访问控制、自动修正级别和作用域内安全策略。
有关创建、排名和管理设备组的分步说明,请参阅 创建和管理设备组。
应用安全操作
使用标记和组组织设备后,可以大规模定位安全操作。 设备组和标记电源功能,包括调查和威胁搜寻、自定义数据收集、自动化规则、基于角色的访问、攻击面减少规则和条件访问策略。
有关可针对设备组(包括方案和链接)的安全操作的完整列表,请参阅 由目标提供支持的安全操作。