Инвентаризация устройств
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Управление уязвимостями в Microsoft Defender
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
В разделе Инвентаризация устройств отображается список устройств в сети, на которых были созданы оповещения. По умолчанию в очереди отображаются устройства, обнаруженные за последние 30 дней. С первого взгляда вы увидите такие сведения, как домен, уровень риска, платформа ОС и другие сведения, чтобы легко идентифицировать устройства, наиболее подверженные риску.
Примечание.
Инвентаризация устройств доступна в службах XDR в Microsoft Defender. Доступные вам сведения могут отличаться в зависимости от вашей лицензии. Чтобы получить максимально полный набор возможностей, используйте Microsoft Defender для конечной точки плана 2.
Уровень риска, который может повлиять на применение условного доступа и других политик безопасности в Microsoft Intune, теперь доступен для устройств Windows.
Существует несколько вариантов настройки представления списка устройств. В верхней области навигации можно:
- Добавление или удаление столбцов
- Экспорт всего списка в формате CSV
- Выбор количества элементов для отображения на странице
- Применение фильтров
В процессе подключения список устройств постепенно заполняется устройствами, которые начинают передавать данные датчиков. Используйте это представление для отслеживания подключенных конечных точек по мере их подключения к сети или скачайте полный список конечных точек в виде CSV-файла для автономного анализа.
Примечание.
Если вы экспортируете список устройств, он содержит все устройства в вашей организации. Скачивание может занять значительное время в зависимости от размера вашей организации. При экспорте списка в формате CSV данные отображаются нефильтрованным образом. CSV-файл содержит все устройства в организации, независимо от фильтрации, примененной в самом представлении.
Кроме того, при экспорте списка устройств состояние антивирусной программы отображается как Not-Supported
. Для состояния антивирусной программы используйте недавно выпущенный отчет о работоспособности антивирусной программы в Microsoft Defender . Этот отчет позволяет экспортировать еще больше сведений.
На следующем рисунке показан список устройств:
Сортировка и фильтрация списка устройств
Вы можете применить следующие фильтры, чтобы ограничить список оповещений и получить более сфокусированное представление.
Имя устройства
В процессе подключения Microsoft Defender для конечной точки устройства, подключенные к Defender для конечной точки, постепенно заполняются инвентаризацией устройств, когда они начинают передавать данные датчика. После этого инвентаризация устройств заполняется устройствами, обнаруженными в вашей сети в процессе обнаружения устройств. Инвентаризация устройств содержит три вкладки, на которые перечислены устройства:
- Компьютеры и мобильные устройства: конечные точки предприятия (рабочие станции, серверы и мобильные устройства)
- Сетевые устройства: такие устройства, как маршрутизаторы и коммутаторы
- Устройства Интернета вещей и OT: устройства OT, такие как серверы или системы упаковки, и корпоративные устройства Интернета вещей, такие как принтеры и камеры
- Некатегоризированные устройства: устройства, которые не удалось правильно классифицировать
Перейдите на страницу инвентаризации устройств
Перейдите на страницу инвентаризации устройств, выбрав Устройства в меню навигации Активы на портале Microsoft Defender.
Обзор инвентаризации устройств
Инвентаризация устройств откроется на вкладке Компьютеры и мобильные устройства . Вы можете быстро просмотреть такие сведения, как имя устройства, домен, уровень риска, уровень подверженности, платформа ОС, уровень важности, состояние подключения, состояние работоспособности датчика, состояние устранения рисков и другие сведения, чтобы легко идентифицировать устройства, наиболее подверженные риску.
Карточка Классификация критически важных ресурсов позволяет определить группы устройств как критически важные для бизнеса. Вы также можете увидеть карточку предупреждения о пути атаки , в которой вы перейдете к путям атаки, чтобы проверить, являются ли какие-либо из ваших ресурсов частью пути атаки. Дополнительные сведения см. в статье Обзор путей атаки.
Примечание.
Классификация критически важных ресурсов и сведений о путях атаки входит в состав службы управления уязвимостью безопасности (Майкрософт), которая в настоящее время находится в общедоступной предварительной версии.
Используйте столбец Состояние подключения для сортировки и фильтрации по обнаруженным устройствам и устройствам, которые уже подключены к Microsoft Defender для конечной точки.
На вкладках Сетевые устройства и устройства Интернета вещей и OT вы также увидите такие сведения, как поставщик, модель и тип устройства:
Примечание.
Интеграция обнаружения устройств с Microsoft Defender для Интернета вещей на портале Defender (предварительная версия) доступна для поиска, идентификации и защиты всех ресурсов OT/IOT. Устройства, обнаруженные с этой интеграцией, отображаются на вкладке Устройства Интернета вещей и OT .
С помощью Defender для Интернета вещей вы также можете просматривать устройства Корпоративного Интернета вещей (например, принтеры, смарт-телевизоры и системы конференц-связи) и управлять ими в рамках мониторинга Корпоративного Интернета вещей. Дополнительные сведения см. в статье Включение безопасности Корпоративного Интернета вещей с помощью Defender для конечной точки.
В верхней части каждой вкладки инвентаризации устройств вы увидите следующее:
- Общее количество устройств.
- Количество устройств, которые определяются как более высокий риск для вашей организации.
- Количество критически важных для бизнеса ресурсов.
- Количество устройств, которые еще не подключены.
- Количество устройств с высокой экспозицией.
- Количество вновь обнаруженных устройств.
Эти сведения можно использовать для определения приоритетов устройств для улучшения состояния безопасности.
На вкладках Число недавно обнаруженных устройств для сетевых устройств и IoT/OT отображается число новых устройств, обнаруженных за последние 7 дней, перечисленных в текущем представлении.
Изучение инвентаризации устройств
Существует несколько вариантов настройки представления инвентаризации устройств. В верхней области навигации для каждой вкладки можно:
- Поиск устройства по имени
- Поиск устройства по последнему используемому IP-адресу или Mac-адресу или префиксу IP-адреса
- Добавление или удаление столбцов
- Экспорт всего списка в формате CSV для автономного анализа
- Выберите диапазон дат для отображения
- Применение фильтров
Примечание.
Если вы экспортируете список устройств, он будет содержать все устройства в вашей организации. Скачивание может занять значительное время в зависимости от размера вашей организации. При экспорте списка в формате CSV данные отображаются нефильтрованным образом. CSV-файл будет включать все устройства в организации, независимо от фильтрации, примененной в самом представлении.
Вы можете использовать функции сортировки и фильтрации, доступные на каждой вкладке инвентаризации устройств, чтобы получить более подробное представление, а также помочь вам оценить устройства в организации и управлять ими.
Счетчики в верхней части каждой вкладки обновляются в зависимости от текущего представления.
Использование фильтров для настройки представлений инвентаризации устройств
Фильтр | Описание |
---|---|
Уровень риска | Уровень риска отражает общую оценку риска устройства на основе сочетания факторов, включая типы и серьезность активных оповещений на устройстве. Разрешение активных оповещений, утверждение действий по исправлению и подавление последующих оповещений может снизить уровень риска. |
Уровень экспозиции | Уровень уязвимости отражает текущее воздействие устройства на основе совокупного влияния его ожидающих рекомендаций по безопасности. Возможные уровни: низкий, средний и высокий. Низкая уязвимость означает, что ваши устройства менее уязвимы от эксплуатации.
Если уровень экспозиции говорит "Данные недоступны", есть несколько причин, по которым: - Устройство прекратило отчеты более чем на 30 дней. В этом случае он считается неактивным, и экспозиция не вычисляется. — ОС устройства не поддерживается. См. минимальные требования к Microsoft Defender для конечной точки. — Устройство с устаревшим агентом (маловероятно). |
Уровень важности | Уровень важности отражает, насколько критически важно устройство для вашей организации. Возможные уровни: низкий, средний, высокий или очень высокий. Очень высокий уровень означает, что устройство считается критически важным ресурсом для бизнеса. Дополнительные сведения см. в статье Общие сведения об управлении критически важными ресурсами. |
Временные устройства | По умолчанию временные устройства отфильтровываются из инвентаризации устройств, чтобы уменьшить шум инвентаризации. При необходимости можно отключить фильтрацию временных устройств. Дополнительные сведения о временной фильтрации устройств. |
Платформа ОС | Фильтрация по платформам ОС, которые вы хотите исследовать (только компьютеры и мобильные устройства и устройства Интернета вещей и OT). |
Версия ОС | Отфильтруйте по версиям ОС, которые вы хотите изучить. Включает версии Windows. На вкладке Компьютеры и мобильные устройства фильтр версий Windows доступен вместо версии ОС.
(Только для всех устройств). |
Версия Windows | Отфильтруйте по версиям Windows, которые вы хотите изучить. Если в поле версия Windows отображается "будущая версия", это может означать: - Это предварительная сборка для будущего выпуска Windows. Сборка не имеет имени версии. Имя версии сборки еще не поддерживается . Во всех этих сценариях, где это возможно, полная версия ОС отображается на странице сведений об устройстве. (Только компьютеры и мобильные устройства). |
Состояние работоспособности датчика | Выполните фильтрацию по следующим состояниям работоспособности датчика для устройств, подключенных к Microsoft Defender для конечной точки: - Active: Устройства, которые активно отправляют данные датчиков в службу. - Неактивно: устройства, которые перестали отправлять сигналы более семи дней. - Неправильно настроено: устройства, которые имеют нарушения связи со службой или не могут отправлять данные датчиков. Неправильно настроенные устройства можно классифицировать следующим образом: - Нет данных датчика . Нарушения связи Дополнительные сведения о том, как устранить проблемы на неправильно настроенных устройствах, см. в статье Устранение неработоспособных датчиков. (Только компьютеры и мобильные устройства). |
Состояние подключения | Состояние подключения указывает, подключено ли устройство к Microsoft Defender для конечной точки или нет. Для отображения этого фильтра необходимо включить обнаружение устройств. Вы можете выполнить фильтрацию по следующим состояниям: - Подключено: конечная точка подключена к Microsoft Defender для конечной точки. - Можно подключить. Конечная точка была обнаружена в сети как поддерживаемое устройство, но в настоящее время не подключена. Корпорация Майкрософт настоятельно рекомендует подключить эти устройства. - Не поддерживается: конечная точка обнаружена в сети, но не поддерживается Microsoft Defender для конечной точки. - Недостаточно сведений. Системе не удалось определить поддержку устройства. (Только компьютеры и мобильные устройства). |
Состояние антивирусной защиты | Отфильтруйте представление в зависимости от того, является ли состояние антивирусной программы отключенным, не обновлено или неизвестно.
(Только компьютеры и мобильные устройства). |
Первый просмотр | Отфильтруйте представление в зависимости от того, когда устройство впервые появилось в сети или когда датчик Microsoft Defender для конечной точки впервые сообщил о нем. (Только компьютеры и мобильные устройства и устройства Интернета вещей и OT). |
Tags | Отфильтруйте список по группировке и добавлению тегов на отдельные устройства. См . статью Создание тегов устройств и управление ими. |
Выход в Интернет | Отфильтруйте список в зависимости от того, подключено ли устройство к Интернету. |
Group | Отфильтруйте список по группе, которую вы хотите исследовать.
(Только компьютеры и мобильные устройства). |
Значение устройства | Отфильтруйте список в зависимости от того, отмечено ли устройство как высокое или низкое значение. |
Состояние исключения | Отфильтруйте список в зависимости от того, исключается ли устройство. Дополнительные сведения см. в разделе Исключение устройств. |
Управляется | Под управлением указывает, как управляется устройством. Вы можете фильтровать по следующим параметрам: Microsoft Defender для конечной точки — Microsoft Intune, в том числе совместное управление с Microsoft Configuration Manager через подключение клиента— Microsoft Configuration Manager (ConfigMgr) — неизвестно. Эта проблема может быть связана с запуском устаревшей версии Windows, управления GPO или другого mdm, отличного от Microsoft MDM. (Только компьютеры и мобильные устройства) |
Тип устройства | Отфильтруйте по типу устройства, который вы хотите исследовать.
(Все устройства и только устройства Интернета вещей и OT) |
Подтип устройства | Отфильтруйте по подтипу устройства, который вы хотите исследовать.
(Все устройства и только устройства Интернета вещей и OT) |
Категория устройств | Отфильтруйте данные по интересующей вас категории устройств.
(Все устройства и только устройства Интернета вещей и OT) |
Поставщик | Фильтрация по поставщику устройства, который вы хотите исследовать.
(Только для всех устройств) |
Model | Фильтрация по модели устройства, которую вы хотите исследовать.
(Только для всех устройств) |
Состояние устранения рисков | Фильтрация по изоляции или состоянию изоляции устройства. |
Site | Фильтрация по имени сайта. Используется для функции безопасности сайта Defender для Интернета вещей.
(Все устройства и только устройства Интернета вещей и OT для клиентов с лицензией Defender для Интернета вещей.) |
Использование столбцов для настройки представлений инвентаризации устройств
Вы можете добавить или удалить столбцы из представления и отсортировать записи, щелкнув доступный заголовок столбца.
На вкладке Все устройства выберите Настроить столбцы , чтобы просмотреть доступные столбцы. Значения по умолчанию проверяются на следующем рисунке:
Сведения о встроенном ПО для устройств OT отображаются в столбцах Версия ОС и Модель .
На вкладке Компьютер и мобильные устройства выберите Настроить столбцы , чтобы просмотреть доступные столбцы. Значения по умолчанию проверяются на следующем рисунке:
На вкладке Сетевые устройства выберите Настроить столбцы , чтобы просмотреть доступные столбцы. Значения по умолчанию проверяются на следующем рисунке:
На вкладке Устройства Интернета вещей и OT выберите Настроить столбцы , чтобы просмотреть доступные столбцы. Значения по умолчанию проверяются на следующем рисунке:
Статьи по теме
Изучите устройства в списке устройств Microsoft Defender для конечных точек.
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.