Gestire l'ambito e la rilevanza del dispositivo con tag ed esclusioni

  • Si applica a: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Non tutti i dispositivi individuati nella rete richiedono lo stesso livello di attenzione alla sicurezza. Alcuni dispositivi vengono visualizzati brevemente in rete (guest, dispositivi di test), mentre altri sono definitivamente fuori ambito per la gestione delle vulnerabilità (lab isolati, sistemi rimossi). La gestione dell'ambito del dispositivo con tag temporanei e esclusioni dei dispositivi consente al team di sicurezza di concentrarsi sui dispositivi pertinenti, garantisce un'esposizione accurata e punteggi sicuri e produce report più puliti che riflettono il vero ambiente di produzione.

Usare tag o esclusioni

Defender per endpoint offre due meccanismi complementari per la gestione della rilevanza del dispositivo. Usare la tabella seguente per determinare quale approccio si adatta alla propria situazione.

Situazione Approccio Come funziona Impatto
I dispositivi vengono visualizzati e scompaiono frequentemente (guest, macchine virtuali di test, contenitori di breve durata) Assegnazione temporanea di tag ai dispositivi (automatica) Un algoritmo interno rileva modelli di rete intermittenti e tag corrispondenti ai dispositivi. Server, dispositivi di rete, stampanti, dispositivi industriali e smart-facility non vengono mai contrassegnati come temporanei. I dispositivi temporanei vengono filtrati fuori dalla visualizzazione inventario predefinita, ma rimangono visibili se si modifica il filtro. Il punteggio di esposizione, il punteggio di sicurezza, i report sulla vulnerabilità e la ricerca avanzata includono ancora questi dispositivi.
Ambiente lab permanente o sandbox Esclusione del dispositivo (manuale) I dispositivi vengono esclusi singolarmente o in blocco con una giustificazione documentata. I dispositivi esclusi non vengono visualizzati nelle pagine o nei report di gestione delle vulnerabilità e non contribuiscono all'esposizione o ai punteggi sicuri. Rimangono nell'inventario dei dispositivi, ma sono contrassegnati come esclusi.
Dispositivi pianificati per la rimozione Esclusione del dispositivo (manuale) Escludere con una giustificazione e prendere nota della data di ritiro pianificata. Come sopra. I record cronologici rimangono nell'inventario.
Voci duplicate dopo la reimaging Esclusione del dispositivo (manuale) Escludere le voci obsolete con una giustificazione "Dispositivo duplicato"; mantenere il dispositivo attivo nell'ambito. Pulisce l'inventario e garantisce conteggi accurati dei dispositivi.
Dispositivi offline per periodi prolungati Verificare se il tag è già temporaneo; in caso contrario, prendere in considerazione l'esclusione L'assegnazione di tag temporanei potrebbe già gestire questo problema. Escludere manualmente solo se il dispositivo non verrà restituito. Dipende dall'approccio scelto.
Dispositivi attivi da ignorare temporaneamente Filtri di dispositivo o tag personalizzati Usare i filtri di inventario o i tag del dispositivo per creare visualizzazioni di destinazione. Viene mantenuta la visibilità completa. Non escludere mai i dispositivi attivi, che creano punti ciechi.
Dispositivi gestiti da un team diverso Filtri di dispositivo o tag personalizzati Usare i tag e i filtri del dispositivo per definire l'ambito delle visualizzazioni per team. La visibilità completa viene mantenuta in tutta l'organizzazione.

Importante

Esaminare regolarmente i dispositivi temporanei con tag ed esclusi. Aggiungere sempre note significative quando si escludono i dispositivi. Non escludere mai i dispositivi attivi connessi alla rete: l'esclusione influisce solo sulla visibilità della gestione delle vulnerabilità, non sul rischio effettivo.

Visualizzare e gestire i dispositivi temporanei

L'assegnazione di tag temporanei ai dispositivi è automatica e non può essere disabilitata. È possibile controllare la visibilità tramite filtri.

Visualizzare i dispositivi temporanei nell'inventario

  1. Nel portale di Microsoft Defender passare a Dispositivi asset>.
  2. Selezionare l’icona Filtro.
  3. Nel filtro dispositivo temporaneo selezionare per visualizzare solo i dispositivi temporanei oppure selezionare No per escluderli dall'elenco.

È anche possibile aggiungere la colonna Dispositivo temporaneo alla visualizzazione inventario per visualizzare lo stato temporaneo insieme ad altri dettagli del dispositivo.

Funzionamento dell'assegnazione di tag temporanei

  • Rilevamento automatico: un algoritmo interno identifica i dispositivi temporanei in base ai modelli di aspetto della rete.
  • Tipi di dispositivo esclusi: server, dispositivi di rete, stampanti, dispositivi industriali, apparecchiature di sorveglianza, dispositivi intelligenti e dispositivi intelligenti non vengono mai contrassegnati come temporanei.
  • Filtro predefinito: i dispositivi temporanei vengono filtrati dall'inventario dei dispositivi per impostazione predefinita.
  • Nessuna sostituzione manuale: non è possibile contrassegnarlo o annullare manualmente il tag di un dispositivo come temporaneo. Modificare le impostazioni del filtro per controllare la visibilità.

Escludi dispositivi

L'esclusione dei dispositivi consente di rimuovere manualmente dispositivi specifici dalla visibilità della gestione delle vulnerabilità. I dispositivi esclusi rimangono nell'inventario dei dispositivi (contrassegnati come esclusi), ma non vengono visualizzati nelle pagine o nei report di gestione delle vulnerabilità e non contribuiscono all'esposizione o ai punteggi sicuri.

Avviso

I dispositivi esclusi rimangono connessi alla rete e possono comunque presentare rischi per la sicurezza. L'esclusione dei dispositivi influisce solo sulla visibilità della gestione delle vulnerabilità, non impedisce gli attacchi o riduce il rischio effettivo. Se si tenta di escludere un dispositivo attivo, Defender per endpoint visualizza un avviso e chiede conferma.

Escludere un singolo dispositivo

  1. Nel portale di Microsoft Defender passare a Dispositivi asset>.
  2. Selezionare il dispositivo da escludere.
  3. Nel riquadro a comparsa del dispositivo o nella pagina del dispositivo selezionare Escludi.
  4. Selezionare una giustificazione:
    • Dispositivo inattivo
    • Dispositivo duplicato
    • Il dispositivo non esiste
    • Esclusioni
    • Altro
  5. Digitare una nota che spiega il motivo dell'esclusione.
  6. Selezionare Escludi dispositivo.

Screenshot della finestra di dialogo escludi dispositivo con le opzioni di giustificazione.

Escludere più dispositivi

  1. Nell'inventario dei dispositivi selezionare più dispositivi usando le caselle di controllo.
  2. Nella barra delle azioni selezionare Escludi.
  3. Scegliere una giustificazione e aggiungere una nota.
  4. Selezionare Escludi dispositivi.

Se si selezionano i dispositivi con stato di esclusione mista, la finestra di dialogo mostra quanti sono già esclusi. È possibile escludere nuovamente i dispositivi, ma la nuova giustificazione sostituisce i valori precedenti.

Screenshot dell'esclusione di dispositivi in blocco che mostra più dispositivi selezionati.

Nota

L'esclusione completa dei dispositivi dalle viste e dai dati di gestione delle vulnerabilità può richiedere fino a 10 ore.

Visualizzare e gestire i dispositivi esclusi

  1. Nell'inventario dei dispositivi selezionare l'icona Filtro.
  2. Usare il filtro dello stato di esclusione per visualizzare:
    • Non escluso: dispositivi normali
    • Escluso: dispositivi rimossi dalla gestione delle vulnerabilità

È anche possibile aggiungere la colonna Stato di esclusione alla visualizzazione inventario.

Interrompere l'esclusione di un dispositivo

Per ripristinare una gestione attiva delle vulnerabilità di un dispositivo:

  1. Nell'inventario del dispositivo selezionare il dispositivo escluso.
  2. Nel riquadro a comparsa del dispositivo selezionare Dettagli esclusione.
  3. Selezionare Interrompi esclusione.

Screenshot che mostra i dettagli di esclusione con l'opzione per arrestare l'esclusione.

Dopo aver interrotto l'esclusione, i dati sulla vulnerabilità vengono nuovamente visualizzati nelle pagine di gestione delle vulnerabilità, nei report e nella ricerca avanzata. L'applicazione delle modifiche può richiedere fino a 8 ore.

Passaggi successivi

  • Last updated on