إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
في بيئات تكنولوجيا المعلومات الديناميكية اليوم، تكافح العديد من المؤسسات للحصول على رؤية كاملة لجميع أجهزتها وأصولها. يؤدي تنوع الأجهزة، و Shadow IT، والعمل عن بعد، والتغيير السريع إلى خلق فجوات تعرض المؤسسات لمخاطر أمنية.
يمنحك اكتشاف الجهاز Microsoft Defender لنقطة النهاية نظرة مباشرة على الأجهزة غير المدارة على شبكتك. يمكنك تحديد المخاطر والتصرف بسرعة، دون أجهزة إضافية أو إعداد معقد.
تم تصميم اكتشاف الجهاز لتقليل البقع العمياء في بيئتك، مما يسهل تحديد الأجهزة التي يمكن أن تؤدي إلى مخاطر وتقييمها وتأمينها. تعمل الميزة بمثابة إمكانية Defender لنقطة النهاية الجاهزة، مع تكوين متقدم متاح للحصول على رؤى أعمق وسيناريوهات مخصصة.
تشرح هذه المقالة كيفية عمل اكتشاف الجهاز، وتصف الإمكانات المدعومة، وتوفر معلومات حول المسح الضوئي والأصول المكتشفة.
كيفية عمل اكتشاف الجهاز
يستخدم Defender لنقطة النهاية نقاط النهاية المإلحاقة لمراقبة نسبة استخدام الشبكة بشكل سلبي والتحقيق بنشاط في البيئة لتحديد نقاط النهاية وأجهزة الشبكة وأصول IoT التي قد لا تتم إدارتها أو حمايتها.
فيما يلي تدفق عالي المستوى يصف كيفية عمل اكتشاف الجهاز:
- يقوم Defender for Endpoint بفحص بيئتك وتحديد الأجهزة غير المدارة عن طريق تحليل نسبة استخدام الشبكة واستخدام تقنيات الفحص النشطة.
- يصنف Defender لنقطة النهاية الأجهزة المكتشفة ويضيفها إلى مخزون الجهاز، والذي يوفر رؤية للأجهزة غير المإلحاقة.
- يمكنك عرض الأجهزة غير المإلحاقة في مخزون الجهاز، وإلحاق هذه الأجهزة لزيادة وضع الأمان وتقليل المخاطر.
- يمكنك أيضا تكوين إمكانية اكتشاف الجهاز: تغيير وضع الفحص وإضافة استثناءات وشبكات موثوق بها وتمكين عمليات فحص الشبكة والمزيد. لمزيد من المعلومات، راجع تكوين اكتشاف الجهاز.
شاهد هذا الفيديو للحصول على نظرة عامة سريعة حول كيفية تقييم الأجهزة غير المدارة التي اكتشفها Defender لنقطة النهاية وإلحاقها.
الأصول المكتشفة
توفر الأجهزة غير المعروفة وغير المدارة مخاطر كبيرة على شبكتك - سواء كانت طابعة غير معطلة أو أجهزة شبكة ذات تكوينات أمان ضعيفة أو خادم بدون عناصر تحكم في الأمان.
يكتشف Defender لنقطة النهاية:
- نقاط نهاية المؤسسة (محطات العمل والخوادم والأجهزة المحمولة) التي لم يتم إلحاقها بعد ب Defender لنقطة النهاية
- أجهزة الشبكة مثل أجهزة التوجيه ومفاتيح التبديل
- أجهزة إنترنت الأشياء مثل الطابعات والكاميرات
أجهزة IoT وOT المكتشفة
يمكن ل Defender for Endpoint اكتشاف مجموعة واسعة من أجهزة إنترنت الأشياء (IoT) والتكنولوجيا التشغيلية (OT) في شبكتك، بما في ذلك الطابعات والكاميرات والأجهزة الطبية وأنظمة التحكم الصناعي (ICS) والمزيد. غالبا ما يكون لهذه الأجهزة خصائص فريدة وقد لا تدعم وكلاء الأمان التقليديين، ما يجعلها صعبة المراقبة والحماية. للكشف عن هذه الأجهزة، تحتاج إلى إلحاق Defender for IoT في مدخل Defender.
أوضاع الاكتشاف والمسح الضوئي
يستخدم اكتشاف الجهاز وضعين رئيسيين للاكتشاف. يتحكم الوضع في مستوى الرؤية الذي يمكنك الحصول عليه للأجهزة غير المدارة في شبكة شركتك.
يمكنك تحديد وضع اكتشاف الجهاز في> قسم SystemSettings>Device discovery>mode. لمزيد من المعلومات، راجع إعداد اكتشاف الجهاز.
| الوضع | الوصف | كيفية عملها | الاعتبارات والإجراءات | حالات الاستخدام والتوصيات |
|---|---|---|---|---|
| فحص Standard (افتراضي) | الفحص النشط الذي يثري بيانات الجهاز ويكتشف المزيد من الأجهزة باستخدام بروتوكولات الشبكة والمسح النشط. | - يستخدم بروتوكولات الاكتشاف الشائعة والاستعلامات متعددة الإرسال للعثور على الأجهزة. - يفحص الأجهزة التي تمت ملاحظتها بنشاط للحصول على مزيد من المعلومات. - يفحص الأجهزة عندما تتغير الخصائص، عادة ما لا يزيد عن مرة واحدة كل ثلاثة أسابيع. |
- يمكن أن يؤدي الفحص النشط إلى إنشاء ما يصل إلى 50 كيلوبايت من نسبة استخدام الشبكة بين الجهاز المإلحاق والجهاز الممسوح ضوئيا لكل محاولة. - يستخدم Standard الاكتشاف برامج PowerShell النصية المختلفة لفحص الأجهزة بنشاط في الشبكة. يتم توقيع برامج PowerShell النصية هذه بواسطة Microsoft، ويتم تنفيذها من الموقع التالي: C:\ProgramData\Microsoft\Windows Defender حماية من المخاطر المتقدمة\Downloads\*.ps. على سبيل المثال، C:\ProgramData\Microsoft\Windows Defender حماية من المخاطر المتقدمة\Downloads\UnicastScannerV1.1.0.ps1.- لتخصيص الأجهزة التي تقوم باكتشاف قياسي، راجع التحكم في الأجهزة التي تقوم باكتشاف قياسي. - لاستبعاد الأهداف من الاكتشاف القياسي، راجع استبعاد الأجهزة. |
- يوصى بشدة ببناء مخزون أجهزة موثوق ومتماسك. - في جميع الحالات تقريبا، يجب ألا يكون لدى المؤسسات أي مخاوف أمنية حول تمكين الاكتشاف القياسي. لمزيد من المعلومات، راجع اعتبارات الأمان للاكتشاف القياسي. |
| الفحص الأساسي | الفحص السلبي الذي يجمع أحداث الشبكة ومعلومات الجهاز دون إرسال تحقيقات. | - يجمع الأحداث بشكل سلبي ويستخرج معلومات الجهاز من جميع نسبة استخدام الشبكة التي تراها الأجهزة المإلحاقة. - يستخدم ثنائيSenseNDR.exe لجمع بيانات الشبكة السلبية. - لا يتم بدء حركة مرور الشبكة بواسطة الفحص. |
نظرا لأن اكتشاف الجهاز يستخدم أساليب سلبية لاكتشاف الأجهزة في الشبكة، يمكن اكتشاف أي جهاز يتصل بأجهزتك المإلحاقة في شبكة الشركة وإدراجه في المخزون. يمكنك استبعاد الأجهزة من عمليات الفحص القياسية (النشطة) فقط. | - يوصى به للشبكات الحساسة/القديمة. - يوفر رؤية محدودة لنقاط النهاية غير المدارة. |
اعتبارات الأمان للاكتشاف القياسي
عند النظر في الاكتشاف القياسي، قد تتساءل عن الآثار المترتبة على الفحص، وتحديدا ما إذا كانت أدوات الأمان قد تشك في مثل هذا النشاط على أنه ضار. في جميع الحالات تقريبا، يجب ألا يكون لدى المؤسسات أي مخاوف بشأن تمكين الاكتشاف القياسي.
فحص الأجهزة غير المدارة غير متكرر وخفيف الوزن: عادة ما يتم مسح كل جهاز غير مدار ضوئيا لا أكثر من مرة واحدة كل ثلاثة أسابيع، ما يؤدي إلى أقل من 50 كيلوبايت من نسبة استخدام الشبكة لكل محاولة. في المقابل، ينتج عن النشاط الضار حركة مرور شبكة أكثر تكرارا وكثرة، والتي يتم اكتشافها بسهولة بواسطة أدوات المراقبة.
الاكتشاف النشط هو ميزة Windows قياسية: تضمن Windows والعديد من الأنظمة الأساسية الأخرى منذ فترة طويلة اكتشافا نشطا للعثور على الأجهزة القريبة لوظائف مثل مشاركة الملفات واكتشاف الطابعة. يستفيد Defender لنقطة النهاية من هذه الأساليب نفسها، لذلك تتعامل أدوات مراقبة الشبكة مع هذا النشاط على أنه عادي.
يتم استهداف الأجهزة غير المدارة فقط: يتجنب اكتشاف الجهاز عن قصد فحص الأجهزة التي تم إلحاقها بالفعل ب Defender لنقطة النهاية. تخضع الأجهزة غير المدارة أو غير المعروفة فقط للمسح الضوئي النشط.
يمكنك استبعاد أجهزة أو شبكات فرعية معينة: إذا كان لديك استدراج الشبكة أو الأجهزة الحساسة، يمكنك تكوين الاستثناءات في إعدادات اكتشاف الجهاز. لا يتم مسح الأجهزة المستبعدة ضوئيا بنشاط ويتم اكتشافها فقط بشكل سلبي، على غرار وضع الاكتشاف الأساسي.
عمليات فحص الشبكة المصادق عليها
توفر عمليات فحص الشبكة المصادق عليها طريقة بدون عامل لاكتشاف وتقييم أجهزة البنية الأساسية للشبكة، مثل المحولات وأجهزة التوجيه ووحدات تحكم WLAN وجدران الحماية وبوابات VPN. تقوم الأجهزة المعينة في بيئتك بفحص أجهزة الشبكة المكونة مسبقا بشكل دوري باستخدام البروتوكولات المدعومة، ما يوفر رؤية أعمق لشبكتك بما يتجاوز ما يمكن أن توفره أجهزة استشعار نقطة النهاية القياسية.
نظرا لأن أجهزة الشبكة لا تدعم عادة أجهزة الاستشعار المإلحاقة، يعتمد Defender لنقطة النهاية على عمليات الفحص عن بعد والمصادق عليها لجمع المعلومات. في كل مقطع شبكة، يعمل جهاز واحد أو أكثر من أجهزة Windows المإلحاقة كأجهزة مسح ضوئي، ويقوم بإجراء عمليات الفحص هذه على فترات منتظمة. بمجرد اكتشافها وتصنيفها، يتم دمج أجهزة الشبكة في مهام سير عمل إدارة الثغرات الأمنية ل Defender لنقطة النهاية، ما يمكن مسؤولي الأمان من تلقي التوصيات ومراجعة الثغرات الأمنية.
تستخدم عمليات الفحص المصادق عليها SNMP (للقراءة فقط) وتدعم كل من SNMPv2 وSNMPv3. تتطلب منك العملية تعيين الأجهزة المإلحاقة التي ستعمل كماسحات ضوئية وتحديد أجهزة الشبكة التي تريد مسحها ضوئيا. يضمن هذا النهج تضمين البنية الأساسية بدون عامل في استراتيجية إدارة الأمان والثغرات الأمنية.
بمجرد اكتشاف أجهزة الشبكة وتصنيفها، يمكن لمسؤولي الأمان تلقي أحدث توصيات الأمان ومراجعة الثغرات الأمنية المكتشفة مؤخرا على أجهزة الشبكة المنشورة عبر مؤسساتهم.
ملاحظة
تم إهمال الفحص المصادق عليه من Windows من 18 ديسمبر 2025. لمزيد من المعلومات، راجع الأسئلة المتداولة حول إهمال الفحص المصادق عليه في Windows.
للحصول على معلومات حول كيفية بدء عمليات فحص الشبكة، راجع إعداد عمليات فحص الشبكة المصادق عليها.
الشبكات المراقبة
يقوم Microsoft Defender لنقطة النهاية بتحليل الشبكة وتحديد ما إذا كانت شبكة شركة تحتاج إلى المراقبة أو شبكة غير مؤسسية يمكن تجاهلها. لا يتم اكتشاف الأجهزة غير المتصلة بشبكات الشركة أو إدراجها في مخزون الجهاز.
لتحديد شبكة ك شركة، يربط Defender for Endpoint معرفات الشبكة عبر جميع عملاء المستأجر. إذا أبلغت معظم الأجهزة في المؤسسة أنها متصلة بنفس اسم الشبكة، بنفس البوابة الافتراضية وعنوان خادم DHCP، فإن Defender لنقطة النهاية يفترض أن الشبكة هي شبكة شركة.
لا يتم سرد أجهزة الشبكة الخاصة في المخزون ولا يتم مسحها ضوئيا بنشاط.
لتجاوز هذا الإعداد، يمكنك إضافة شبكات إلى القائمة المراقبة. لمزيد من المعلومات، راجع تحديد الشبكات المراد مراقبتها.
أنظمة التشغيل والبروتوكولات المدعومة
لمواجهة التحدي المتمثل في الحصول على رؤية كافية لتحديد موقع مخزون أصول OT/IOT الكامل وتحديده وتأمينه، يدعم Defender لنقطة النهاية التكامل التالي:
أنظمة التشغيل المدعومة
- Windows 10 الإصدار 1809 أو أحدث
- Windows 11
- Windows Server 2019 والإصدارات الأحدث
- Azure Stack HCI OS، الإصدار 23H2 والإصدارات الأحدث
البروتوكولات المدعومة
يوضح الجدول التالي البروتوكولات التي يدعمها كل وضع اكتشاف:
| البروتوكول | الاكتشاف الأساسي | اكتشاف Standard |
|---|---|---|
| برس | لا | نعم |
| Arp | نعم | نعم |
| Cdp | نعم | لا |
| Dhcp | نعم | نعم |
| DHCPv6 | نعم | لا |
| Ftp | لا | نعم |
| HTTP | لا | نعم |
| HTTPS | لا | نعم |
| Icmp | لا | نعم |
| IP (العناوين) | نعم | لا |
| IphoneSync | لا | نعم |
| Ipp | لا | نعم |
| Ldap | لا | نعم |
| LLDP | نعم | لا |
| LLMNR | نعم | نعم |
| mDNS | نعم | نعم |
| MNDP | نعم | لا |
| Mssql | نعم | لا |
| NBNS | نعم | نعم |
| NBSS | لا | نعم |
| Pjl | لا | نعم |
| Rdp | لا | نعم |
| Rpc | لا | نعم |
| المسبار | لا | نعم |
| Slp | لا | نعم |
| Smb | لا | نعم |
| Smtp | لا | نعم |
| Snmp | لا | نعم |
| Ssdp | نعم | لا |
| سه | لا | نعم |
| TCP (رؤوس SYN) | نعم | لا |
| Telnet | لا | نعم |
| UDP (العناوين) | نعم | لا |
| Upnp | لا | نعم |
| فنك | لا | نعم |
| Winrm | لا | نعم |
| Wsd | نعم | نعم |
قد يفحص اكتشاف الجهاز أيضا المنافذ الأخرى شائعة الاستخدام لتحسين دقة التصنيف والتغطية.
القدرات وخيارات التكوين
تستفيد معظم المؤسسات من الاكتشاف النشط الجاهز وتكامل مخزون الجهاز ومعالجة الشبكة التلقائية. يمكنك استخدام خيارات تكوين إضافية لمزيد من التحكم الدقيق والاستهداف والاستثناءات حسب الحاجة لبيئتك.
يلخص هذا الجدول الإمكانات التي يوفرها اكتشاف الجهاز الجاهز، وما يتيحه كل خيار تكوين إضافي، وأين يمكنك تغيير الخيارات القابلة للتكوين في مدخل Defender.
لإدارة خيارات اكتشاف الجهاز، راجع إدارة اكتشاف الجهاز. للتحليل المتقدم وتقييم الثغرات الأمنية واستعلامات التتبع، راجع مراجعة الأجهزة وتقييمها.
| الميزة/الخيار | افتراضي | ما يتضمنه أو يمكنه | مكان التكوين في مدخل Defender | معلومات إضافية |
|---|---|---|---|---|
| الاكتشاف الأساسي | لا | يكتشف نقاط النهاية غير المدارة وأجهزة الشبكة وأصول IoT عبر نسبة استخدام الشبكة. يمكن استخدامه للشبكات الحساسة/القديمة. | نظام>اعدادات>اكتشاف> الجهازوضع> الاكتشافالاساسيه | أوضاع الاكتشاف والمسح الضوئي |
| اكتشاف Standard | نعم | يضيف عمليات فحص مستندة إلى البروتوكول للحصول على تعريف أعمق للجهاز ومخزون أكثر ثراء. يمكن تعطيله (التبديل إلى الوضع الأساسي ). | نظام>اعدادات>اكتشاف> الجهازوضع> الاكتشافاكتشاف Standard (مستحسن) | أوضاع الاكتشاف والمسح الضوئي |
| تكامل مخزون الجهاز | نعم | عرض موحد للأجهزة المكتشفة والمجهزة. تصفية المخزون وتقييمه واتخاذ إجراء بشأنه. | الاصول>الاجهزه | مراجعة الأجهزة غير المإلحاقة |
| إدارة قائمة الشبكة | نعم | يراقب شبكات الشركات، ويتجاهل غير الشركات بشكل افتراضي. يمكن مراقبة/تجاهل شبكات معينة. | نظام>اعدادات>اكتشاف> الجهازالشبكات المراقبة | إدارة قائمة الشبكة |
| الاستثناءات | لا | استبعاد عناوين IP أو مجموعات الأجهزة من عمليات الفحص. | نظام>اعدادات>اكتشاف> الجهازالاستبعادات | استبعاد الأجهزة |
| عمليات فحص الشبكة المصادق عليها | لا | - اكتشاف وتصنيف أجهزة البنية الأساسية للشبكة التي لا يمكن إلحاقها. - جدولة عمليات الفحص وتحديد أهداف الفحص خارج الشبكة الفرعية الافتراضية. |
نظام>اعدادات>اكتشاف> الجهازاكتشاف> الجهازعمليات الفحص المصادق عليها | إعداد عمليات فحص الشبكة المصادق عليها |
| اكتشاف جهاز OT/IoT | لا | التكامل مع Defender for IoT لاكتشاف أجهزة OT وEnterprise IoT. | نظام>اعدادات>اكتشاف> الجهازEnterprise IoT | إلحاق Defender ل IoT في مدخل Defender |
| تقييم الثغرات الأمنية | نعم | تقييم الثغرات الأمنية على الأجهزة المكتشفة والحصول على إرشادات المعالجة. على سبيل المثال، ابحث عن SSH للعثور على توصيات حول ثغرات SSH المتعلقة بالأجهزة غير المدارة. | توصيات إدارة > التعرض | نظرة عامة على إدارة الثغرات الأمنية |
| التتبع المتقدم على الأجهزة المكتشفة | نعم | استخدم استعلامات التتبع المتقدمة للتحقيق في الأجهزة المكتشفة وأنشطتها والتهديدات ذات الصلة. | الصيد المتقدم | استخدام التتبع المتقدم على الأجهزة المكتشفة |
قدرات اكتشاف الجهاز وتوافره
يمكن اكتشاف الجهاز المؤسسات من تحديد الأجهزة المدارة وغير المدارة عبر شبكتها، بما في ذلك نقاط النهاية وأجهزة الشبكة وأجهزة IoT/OT. تظهر جميع الأجهزة المكتشفة في مخزون الجهاز، بغض النظر عن نوع الجهاز.
تجربة الاكتشاف الأساسية، بما في ذلك رؤية الجهاز والمسح الضوئي المصادق عليه للشبكة، متسقة عبر بيئات Defender لنقطة النهاية المدعومة. يتم توفير تقييم الثغرات الأمنية وتوصيات الأمان لأجهزة نقطة النهاية كجزء من قدرات تقييم الثغرات الأمنية للمدافع.
عند تمكين ترخيص Enterprise IoT Security (إما من خلال Microsoft 365 E5 أو عبر ترخيص Enterprise IoT مستقل)، يتوفر تقييم الثغرات الأمنية لأجهزة IoT المكتشفة، ما يوفر رؤية أعمق للمخاطر تتجاوز المخزون الأساسي.
للحصول على معلومات حول توفر الميزات والترخيص، راجع وصف الخدمة Microsoft Defender.