注意
Microsoft Defender门户中的“漏洞管理”部分现在位于“公开管理”下。 通过此更改,现在可以在统一的位置使用和管理安全暴露数据和漏洞数据,以增强现有的漏洞管理功能。 了解详细信息。
这些更改与预览版客户 (Microsoft Defender XDR + Microsoft Defender for Identity预览选项) 相关。
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
Microsoft Defender 漏洞管理提供了例外,可帮助你控制与组织相关的数据类型,并有选择地从修正工作中排除特定数据。
异常提供更准确的风险报告和优先级,尤其是在有备用缓解措施、可接受的风险或修正计划时。
本文介绍如何创建、查看和管理Defender 漏洞管理异常。
提示
你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗? 了解如何 注册免费试用版。
异常类型
Microsoft Defender 漏洞管理支持两种类型的异常:
安全建议例外:从环境中的分析中排除特定安全建议。 在安全建议级别创建此异常,该建议适用于与该建议关联的所有基础 CVE。
CVE 异常:从环境中分析) 排除特定常见漏洞和风险 (CVE。 可以从特定 CVE 的 “弱点 ”页创建 CVE 异常。
设备组的异常
可以将异常应用于所有当前设备组或特定设备组。 将来的设备组不包括在例外中。 列表中不会显示已存在异常的设备组。
创建异常后:
- 对于建议异常,如果选择特定设备组,建议状态将从 活动 异常更改为 部分异常。 如果选择所有设备组,状态将更改为 完全异常 。
- 对于 CVE 异常,CVE 不再显示在所选范围的清单列表中。
全局异常
如果具有安全管理员权限或包含异常处理权限的自定义角色,则可以创建和取消全局异常。 此异常会影响组织中 所有 当前和将来的设备组,并且只有具有类似权限的用户才能对其进行更改。
重要
虽然全局管理员权限还允许创建和取消全局异常,但Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
创建异常后:
- 对于建议异常,建议状态从 活动 异常更改为 完全异常。
- 对于 CVE 异常,CVE 不再出现在整个组织的清单列表中。
需要记住的一些事项:
- 如果建议处于全局异常状态,则新创建的设备组例外将暂停,直到全局异常过期或被取消为止。 在此之后,新的设备组异常将生效,直到它们过期。
- 如果建议已针对特定设备组存在异常,并且创建了全局异常,则会暂停设备组异常,直到它过期或全局异常在过期之前取消。
Justification
对于异常,可以使用以下理由:
- 第三方控制:第三方产品或软件已满足此建议。
- 备用缓解措施:内部工具已解决此建议。
- 接受的风险:风险较低,并且/或实施建议过于昂贵。
- 计划的修正 (宽限) :已计划但正在等待执行或授权。
- 没有修补程序的 CVE (CVE 异常仅) :供应商没有可用的修补程序。
- 误报 (CVE 异常仅) :CVE 不适用于你的环境。
异常后公开的设备和影响
异常后 (的影响) 显示应用异常后对暴露分数或安全功能分数的剩余影响。 影响分数的异常理由包括第三方控制和备用缓解措施。 其他理由不会减少设备的曝光率,因此曝光分数和安全功能分数不会更改。
