设备清单
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender 漏洞管理
- Microsoft Defender XDR
希望体验 Defender for Endpoint? 注册免费试用版。
设备清单显示网络中生成警报的设备列表。 默认情况下,队列显示过去 30 天内看到的设备。 一目了然地可以看到域、风险级别、OS 平台和其他详细信息等信息,以便轻松识别风险最大的设备。
注意
设备清单在Microsoft Defender XDR服务中可用。 可用信息可能因许可证而异。 若要获取最完整的功能集,请使用计划 2 Microsoft Defender for Endpoint。
风险级别可能会影响Microsoft Intune中条件访问和其他安全策略的强制实施,现在适用于 Windows 设备。
可以选择多个选项来自定义设备列表视图。 在顶部导航上,可以:
- 添加或删除列。
- 以 CSV 格式导出整个列表。
- 选择要每页显示的项数。
- 应用筛选器。
在载入过程中, 设备列表 在设备开始报告传感器数据时会逐渐填充。 使用此视图可以在载入的终结点联机时对其进行跟踪,或者将完整的终结点列表下载为 CSV 文件以供脱机分析。
注意
如果导出设备列表,它将包含组织中的每个设备。 下载可能需要很长时间,具体取决于组织规模。 以 CSV 格式导出列表以未筛选的方式显示数据。 CSV 文件包括组织中的所有设备,而不管视图本身中应用了任何筛选。
此外,导出设备列表时,防病毒状态显示为 Not-Supported
。 对于防病毒状态,请改用最近发布的Microsoft Defender防病毒运行状况报告。 此报表允许导出更多详细信息。
下图描绘了设备列表:
对设备列表进行排序和筛选
可以应用以下筛选器来限制警报列表并获取更集中的视图。
设备名称
在Microsoft Defender for Endpoint载入过程中,载入到 Defender for Endpoint 的设备在开始报告传感器数据时会逐渐填充到设备清单中。 设备清单还会由通过设备发现过程在网络中发现的设备填充。 设备清单具有以下选项卡:
- 所有设备
- 移动 & 计算机: (工作站、服务器和移动设备的企业终结点) 。
- 网络设备:路由器和交换机等设备。
- IoT/OT 设备:企业物联网 (IoT) 打印机和相机等设备,以及 ot) 设备(如服务器或包装系统) (操作技术。
- 未分类的设备:无法正确分类的设备。
导航到“设备清单”页
在 Defender 门户中 https://security.microsoft.com,转到 “资产>设备”。 或者,若要直接转到 “设备清单 ”页,请使用 https://security.microsoft.com/machines。
设备清单概述
设备清单将在“ 所有设备 ”选项卡上打开。可以查看设备名称、域、风险级别、暴露级别、OS 平台、关键性级别、载入状态、传感器运行状况、缓解状态和其他详细信息,以便轻松识别风险最大的设备。
使用分类关键资产卡可将设备组定义为业务关键。 你可能还会看到攻击路径警告卡,这会转到攻击路径,以检查你的任何资产是否是攻击路径的一部分。 有关详细信息,请参阅 攻击路径概述。
注意
对关键资产和攻击路径信息进行分类是Microsoft 安全风险管理的一部分,目前为公共预览版。
使用“载入状态”列可按已发现的设备和已载入Microsoft Defender for Endpoint的设备进行排序和筛选。
在 “网络设备和IoT/OT 设备 ”选项卡中,还可以看到供应商、型号和设备类型等信息:
注意
Defender 门户中的设备发现与 Microsoft Defender for IoT 集成 (预览版) 可帮助查找、识别和保护完整的 OT/IOT 资产清单。 通过此集成发现的设备将显示在 “IoT/OT 设备 ”选项卡上。
借助 Defender for IoT,还可以查看和管理企业 IoT 设备 (,例如打印机、智能电视和会议系统,) 作为企业 IoT 监视的一部分。 有关详细信息,请参阅 使用 Defender for Endpoint 启用企业 IoT 安全性。
在每个设备清单选项卡的顶部,以下设备计数可用:
- 总计:设备总数。
- 关键资产:“ 所有设备 ”选项卡 (业务关键资产的数量仅) 。
- 高风险:被确定为对组织具有较高风险的设备数。
- 高曝光高曝光的设备数。
- 未载入:尚未载入的设备数。 (仅 ) & 移动选项卡的所有设备和计算机。
- 新发现:过去 7 天内新发现的设备数 (除 “计算机 & 移动) ”之外的所有选项卡。
可以使用此信息来帮助确定设备安全状况改进的优先级。
浏览设备清单
有多个选项可用于自定义设备清单视图。 在每个选项卡的顶部导航上,可以:
- 按名称搜索设备。
- 按最近使用的 IP 或 Mac 地址或 IP 地址前缀搜索设备。
- 添加或删除列。
- 以 CSV 格式导出整个列表以供脱机分析。
- 选择要显示的日期范围。
- 应用筛选器。
注意
如果将设备列表导出到 CSV,它将包含组织中的每个设备,因此可能需要很长时间才能下载 CSV 文件。 CSV 文件包含组织中所有设备的未筛选数据,而不考虑任何筛选器。
可以使用每个设备清单选项卡上的排序和筛选功能来获取更集中的视图。 这些控制还有助于评估和管理组织中的设备。
每个选项卡顶部的计数会根据当前视图进行更新。
使用筛选器自定义设备清单视图
用作筛选器的可用设备属性因设备清单选项卡而异,如下表所述:
属性 | 选项卡 | 说明 |
---|---|---|
防病毒状态 |
|
设备的防病毒状态。 可用值有:
|
云平台 |
|
设备所属的云平台。 可用值有:
|
严重性级别 |
|
设备的分配严重性级别 (设备对组织) 的重要性。 可用值有:
有关详细信息,请参阅 关键资产管理概述。 |
设备类别 | 所有设备 | 分配给设备的类别值。 输入一个值或从可用值中进行选择:
|
设备子类型 |
|
分配给设备的子类型值。 输入一个值或选择一个可用值, (例如 视频会议) 。 |
设备类型 |
|
分配给设备的类型值。 输入一个值或选择一个可用值, (例如 音频和视频) 。 |
设备值 | 全部 | 设备的分配值。 可用值为 High 和 Low。 |
发现源 | 全部 | 设备上的源报告。 |
排除状态 | 全部 | 可用值为 “未排除” 和 “已排除”。 有关详细信息,请参阅 排除设备。 |
曝光级别 | 全部 | 基于挂起的安全建议的设备暴露级别。 可用值有:
|
首次看到 | 除网络设备之外的所有选项卡 | 设备首次出现在网络上的时间或Microsoft Defender for Endpoint传感器首次报告的时间。 可用值为 “过去 7 天 ”或 “超过 7 天前”。 |
Group |
|
设备组。 在框中输入值。 |
面向 Internet |
|
设备是否面向 Internet。 可用值为 “是” 和 “否”。 |
托管者 |
|
如何管理设备。 可用值有:
|
缓解状态 |
|
可用值为 Contained 和 Isolated。 |
Model | 所有设备 | 设备型号。 输入一个值或从可用值中进行选择。 |
载入状态 |
|
设备当前是否在 Defender for Endpoint 中载入。 必须启用设备发现才能显示此筛选器。 可用值有:
|
OS 平台 |
|
设备上的操作系统。 可用值有:
|
OS 版本 | 所有设备 | 操作系统的版本,其中包括 Windows 版本。 在 “计算机 & 移动 选项卡上,Windows 版本 筛选器也可用。 |
风险级别 | 全部 | 基于多种因素(包括设备上活动警报的类型和严重性)对设备的总体风险评估。 可用值有:
解决活动警报、批准修正活动以及取消后续警报可以降低风险级别。 |
传感器运行状况 |
|
已载入设备的可用值为:
|
Site |
|
用于 Defender for IoT 站点安全 (需要 defender for IoT 许可证) 。 |
Tags | 全部 | 添加到单个设备的分组和标记。 有关详细信息,请参阅 创建和管理设备标签。 |
暂时性设备 | 全部 | 可用值为 “否 ”和 “是”。 默认情况下,会筛选暂时性设备以减少库存干扰。 有关详细信息,请参阅 标识暂时性设备。 |
供应商 | 所有设备 | 设备的供应商。 输入一个值或从可用值中进行选择。 |
Windows 版本 | 移动设备 & 计算机 | Windows 版本。 OS 版本 筛选器也可用。 此属性的 “未来版本 ”值由以下方案之一引起:
完整的 OS 版本显示在设备详细信息页上。 |
使用列自定义设备清单视图
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
“所有设备”选项卡:
- 名字<支持*
- IP<支持*
- MAC 地址
- 严重性级别<支持*
- 设备类别<支持*
- 设备类型<支持*
- 设备子类型
- 供应商
- Model
- 域<支持*
- 设备 AAD ID<支持*
- 风险级别<支持*
- 曝光级别<支持*
- OS 平台<支持*
- OS 分发
- OS 版本<支持*
- 传感器运行状况状态<支持*
- 载入状态<支持*
- 发现源
- 首次看到
- 上次设备更新<支持*
- 标签<支持*
- 排除状态
- 托管者<支持*
- 按状态<管理支持*
- 缓解状态<支持*
- 云平台<支持*
OT 设备的固件信息显示在 OS 版本 和 型号 列中。
“计算机 & 移动 ”选项卡:
- 名字<支持*
- 域<支持*
- 设备 AAD ID<支持*
- 设备类型
- 设备子类型
- 风险级别<支持*
- 曝光级别<支持*
- OS 平台<支持*
- OS 分发
- Windows 版本<支持*
- MAC 地址
- 严重性级别<支持*
- 传感器运行状况状态<支持*
- 载入状态<支持*
- 发现源
- 上次设备更新<支持*
- 首次看到
- 标签<支持*
- 排除状态
- 托管者<支持*
- 按状态<管理支持*
- 缓解状态<支持*
- 云平台<支持*
“网络设备 ”选项卡
- IP*
- MAC 地址
- 供应商*
- 型*
- 名字*
- 发现源
- 域
- 设备类型
- 设备子类型
- 风险级别*
- 曝光级别*
- OS 分发*
- OS 版本*
- 上次设备更新*
- 首次看到
- 标签*
- 排除状态
“IoT/OT 设备 ”选项卡
- IP*
- MAC地址*
- 名字*
- 设备类型*
- 设备子类型*
- 供应商*
- 型*
- 风险级别*
- 曝光级别*
- 发现源
- OS 分发*
- OS 版本*
- 首次看到
- 上次设备更新*
- 域
- 标签*
- 排除状态
“未分类设备 ”选项卡:
- 名字*
- 供应商*
- IP*
- 发现源
- MAC 地址
- 风险级别
- 曝光级别
- OS 分发*
- OS 版本*
- 上次设备更新*
- 首次看到
- 标签*
- 排除状态
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
相关文章
调查“Microsoft Defender for Endpoint设备”列表中的设备。
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。