Create和查看安全建议的异常

适用于：

• Microsoft Defender 漏洞管理
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• 服务器计划 1 & 2 的Microsoft Defender

作为当前建议不相关的修正请求的替代方法，可以为建议创建例外。 如果组织具有设备组，则可以将例外范围限定为特定设备组。 可以为选定的设备组或过去和现在的所有设备组创建例外。

为建议创建异常时，建议在异常持续时间结束之前不会处于活动状态。 建议状态更改为 “完全例外 ”或“ 部分异常 ”，按设备组) (。

提示

你知道可以免费试用Microsoft Defender 漏洞管理中的所有功能吗？ 了解如何 注册免费试用版。

权限

只有具有“异常处理”权限的用户才能管理异常 (包括创建或取消) 。 详细了解 RBAC 角色。

Create异常

选择要为其创建例外的安全建议，然后选择 “例外选项 ”并填写表单。

设备组的异常

将异常应用于所有当前设备组，或选择特定的设备组。 将来的设备组不会包含在异常中。 列表中不会显示已存在异常的设备组。 如果仅选择某些设备组，则建议状态将从“活动”更改为“部分异常”。如果选择所有设备组，状态将更改为“完全异常”。

筛选视图

如果已在任何漏洞管理页上按设备组进行筛选，则只有已筛选的设备组会显示为选项。

这是在任何漏洞管理页上按设备组进行筛选的按钮：

包含已筛选设备组的异常视图：

大量设备组

如果组织具有 20 个以上的设备组，请选择筛选的设备组选项旁边的 “编辑 ”。

此时会显示一个浮出控件，你可以在其中搜索和选择要包含的设备组。 选择搜索下方的检查标记图标以检查/取消选中全部。

全局异常

如果具有全局管理员权限，则可以创建和取消全局异常。 它会影响组织 中的所有 当前和将来的设备组，并且只有具有类似权限的用户才能对其进行更改。 建议状态从“活动”更改为“完全例外”。

需要记住的一些事项：

• 如果建议处于全局异常状态，则新创建的设备组例外将暂停，直到全局异常过期或被取消为止。 在此之后，新的设备组异常将生效，直到它们过期。
• 如果建议已针对特定设备组存在异常，并且创建了全局异常，则会暂停设备组异常，直到它过期或全局异常在过期之前取消。

Justification

选择需要提交异常的理由，而不是修正有关安全建议。 填写理由上下文，然后设置异常持续时间。

以下列表详细说明了异常选项背后的理由：

• 第三方控制 - 第三方产品或软件已满足此建议 - 选择此理由类型可降低曝光分数并提高安全功能分数，因为风险已降低
• 备用缓解措施 - 内部工具已满足此建议 - 选择此理由类型可降低风险分数并提高安全功能分数，因为风险降低
• 接受的风险 - 风险较低，并且/或实施建议过于昂贵
• 计划内修正 (宽限) - 已计划但正在等待执行或授权

查看所有异常

导航到“修正”页中的“异常”选项卡。 可以按理由、类型和状态进行筛选。

选择例外以打开包含更多详细信息的浮出控件。 每个设备组的异常将包含例外涵盖的每个设备组的列表，你可以导出该列表。 还可以查看相关建议或取消异常。

如何取消异常

若要取消异常，请导航到“修正”页中的“异常”选项卡。 选择异常。

若要取消所有设备组或全局异常的异常，请选择“ 取消所有设备组的例外” 按钮。 你只能取消你有权访问的设备组的异常。

取消特定设备组的异常

选择特定设备组以取消其异常。 此时将显示设备组的浮出控件，你可以选择“ 取消异常”。

查看应用异常后的影响

在“安全建议”页中，选择“自定义列”，然后检查“在异常 () 之后公开的设备”和“在异常后的影响 (”框) 。

在“异常) ”列后 (公开的设备显示应用异常后仍暴露在漏洞中的剩余设备。 影响暴露的异常理由包括“第三方控制”和“备用缓解”。 其他理由不会减少设备的暴露，它们仍被视为已公开。

异常后 (的影响) 显示应用异常后对暴露分数或安全功能分数的剩余影响。 影响分数的异常理由包括“第三方控制”和“备用缓解”。 其他理由不会减少设备的曝光率，因此曝光分数和安全功能分数不会更改。

相关主题

• 修正漏洞
• 安全建议
• 风险评分
• 设备的 Microsoft 安全功能分数