注意
Microsoft Defender门户中的“漏洞管理”部分现在位于“公开管理”下。 通过此更改,现在可以在统一的位置使用和管理安全暴露数据和漏洞数据,以增强现有的漏洞管理功能。 了解详细信息。
这些更改与预览版客户 (Microsoft Defender XDR + Microsoft Defender for Identity预览选项) 相关。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
Microsoft Defender 漏洞管理提供了例外,可帮助你控制与组织相关的数据类型,并选择性地从修正工作中排除某些数据。
本文介绍如何创建、查看和管理异常。
若要了解有关异常的详细信息,请参阅 Microsoft Defender 漏洞管理 中的异常。
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
异常类型
Microsoft Defender 漏洞管理支持两种类型的异常。 安全建议异常排除整个建议,而常见漏洞和披露 (CVE) 异常排除特定 CVE。
有关详细信息,请参阅 异常的类型。
提示
本文提供了与这两种类型的异常相关的说明。 每个部分指定 CVE 异常和安全建议异常(如果适用)之间的差异。
先决条件
检查是否具有异常处理权限。 详细了解 RBAC 角色。
异常仅在指定的持续时间和范围内有效。 确保记录理由并监视环境中的任何更改。
注意
异常目前仅在Microsoft Defender门户中受支持,而不支持通过公共 API。
创建异常
选择要排除的建议或 CVE
在Microsoft Defender门户中,执行以下作之一:
- 如果你是Microsoft Defender XDR + Microsoft Defender for Identity预览版客户,请选择“曝光管理>建议”,然后选择左侧的“漏洞”。
- 如果你是现有客户,请选择 “终结点>漏洞管理>建议”。
默认情况下,页面显示已筛选到所有设备组的所有建议。 若要查看针对特定设备组的建议,请执行以下作:
如果你是Microsoft Defender XDR + Microsoft Defender for Identity预览版客户,请选择右上角的“范围筛选器”,然后从“设备组”部分选择要查看的设备组。
如果你是现有客户,请选择右上角的“ 按设备组筛选 ”,然后选择要查看的设备组。
选择要为其创建异常的安全建议。 在“建议详细信息”页的右下角,选择“ 异常选项”。
填写异常详细信息,并应用异常 (建议和 CVE 异常)
填写 异常理由 和异常持续时间。
选择“ 确认并应用”。 显示一条确认消息。
更改可能需要长达一小时才能对公开的资产计数和组织的风险评分生效。 在此期间,在完全处理更新之前,建议或 CVE 仍可能显示在报表和仪表板中。
当异常生效时:
- 对于 CVE 异常,CVE 不再显示在所选范围的清单列表中。 对于建议异常,建议直到异常持续时间结束才处于活动状态。 建议状态更改为 “完全例外 ”或“ 部分异常 ”,按设备组) (。
- 与排除的建议或 CVE 相关的威胁分析和警报将被禁止。
- 建议详细信息或 CVE 详细信息页指示建议或 CVE 存在异常。
- 组织的暴露分数和安全功能分数可能会更新,以反映异常情况。 有关详细信息,请参阅 查看应用异常后的影响 和 公开的设备以及异常后的影响。
注意
无法延长异常持续时间。 如果需要异常在过期后继续,请创建一个具有所需持续时间和范围的新异常。
取消异常后,可以立即创建具有相同范围或不同设置的新异常。
查看所有异常 (建议和 CVE 异常)
导航到“修正”页中的“异常”选项卡。 可以按理由、类型和状态进行筛选。
选择例外以打开包含更多详细信息的浮出控件。 每个设备组的异常将包含例外涵盖的每个设备组的列表,你可以导出该列表。 还可以查看相关建议或取消异常。
取消异常 (建议和 CVE 异常)
若要取消异常,请执行以下作:
导航到“修正”页中的“异常”选项卡,然后执行下列作之一。
若要取消单个异常,请在异常详细信息页的异常名称下,选择“ 取消异常”。
若要取消所有设备组或全局异常的异常,请选择“ 取消所有设备组的例外”。 只能取消你有权访问的设备组的异常。
若要取消特定设备组的异常,请选择设备组,然后在设备组页中选择 “取消例外”。
仅) (建议异常应用后查看影响
在 “建议 ”页中,选择“ 自定义列 ”,然后选择“ 例外 () 后公开的设备” 和“) 异常后的影响 (”。
在“异常) ”列后 (公开的设备显示应用异常后仍暴露在漏洞中的剩余设备。
有关详细信息,请参阅 异常后公开的设备和影响。