الأسئلة المتداولة حول اكتشاف الجهاز
ينطبق على:
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
ابحث عن إجابات للأسئلة المتداولة (FAQs) حول اكتشاف الجهاز.
ما هو وضع الاكتشاف الأساسي؟
يسمح هذا الوضع لكل جهاز تم إلحاقه Microsoft Defender لنقطة النهاية بجمع بيانات الشبكة واكتشاف الأجهزة المجاورة. تجمع نقاط النهاية المإلحاقة الأحداث في الشبكة بشكل سلبي وتستخرج معلومات الجهاز منها. لم يتم بدء حركة مرور الشبكة. تستخرج نقاط النهاية المإلحاقة البيانات من كل نسبة استخدام الشبكة التي يراها جهاز تم إلحاقه. تستخدم هذه البيانات لسرد الأجهزة غير المدارة في شبكتك.
هل يمكنني تعطيل الاكتشاف الأساسي؟
لديك خيار إيقاف تشغيل اكتشاف الجهاز من خلال صفحة الميزات المتقدمة . ومع ذلك، ستفقد الرؤية على الأجهزة غير المدارة في شبكتك. لاحظ أنه حتى إذا تم إيقاف تشغيل اكتشاف الجهاز، فسيظل SenseNDR.exe قيد التشغيل على الأجهزة المإلحاقة.
ما هو وضع الاكتشاف القياسي؟
في هذا الوضع، يمكن لنقاط النهاية المإلحاقة Microsoft Defender لنقطة النهاية فحص الأجهزة التي تمت ملاحظتها بنشاط في الشبكة لإثراء البيانات المجمعة (مع كمية ضئيلة من نسبة استخدام الشبكة). يتم فحص الأجهزة التي تمت ملاحظتها بواسطة وضع الاكتشاف الأساسي فقط بنشاط في الوضع القياسي. يوصى بهذا الوضع بشدة لإنشاء مخزون أجهزة موثوق به ومتماسك. إذا اخترت تعطيل هذا الوضع، وحددت وضع الاكتشاف الأساسي، فستحصل على رؤية محدودة فقط لنقاط النهاية غير المدارة في شبكتك.
يستفيد الوضع القياسي أيضا من بروتوكولات الاكتشاف الشائعة التي تستخدم استعلامات الإرسال المتعدد في الشبكة للعثور على المزيد من الأجهزة، بالإضافة إلى تلك التي تمت ملاحظتها باستخدام الأسلوب السلبي.
هل يمكنني التحكم في الأجهزة التي تقوم بالاكتشاف القياسي؟
يمكنك تخصيص قائمة الأجهزة المستخدمة لإجراء الاكتشاف القياسي. يمكنك إما تمكين الاكتشاف القياسي على جميع الأجهزة المإلحاقة التي تدعم أيضا هذه الإمكانية (حاليا Windows 10 أو أحدث وWindows Server 2019 أو الأجهزة الأحدث فقط) أو تحديد مجموعة فرعية أو مجموعات فرعية من أجهزتك عن طريق تحديد علامات أجهزتها. في هذه الحالة، يتم تكوين جميع الأجهزة الأخرى لتشغيل الاكتشاف الأساسي فقط. يتوفر التكوين في صفحة إعدادات اكتشاف الجهاز.
هل يمكنني استبعاد الأجهزة غير المدارة من قائمة مخزون الأجهزة؟
نعم، يمكنك تطبيق عوامل التصفية لاستبعاد الأجهزة غير المدارة من قائمة مخزون الجهاز. يمكنك أيضا استخدام عمود حالة الإلحاق في استعلامات واجهة برمجة التطبيقات لتصفية الأجهزة غير المدارة.
ما هي الأجهزة المإلحاقة التي يمكنها إجراء الاكتشاف؟
يمكن للأجهزة المإلحاقة التي تعمل على الإصدار 1809 Windows 10 أو أحدث أو Windows 11 أو Windows Server 2019 أو Windows Server 2022 إجراء الاكتشاف.
ماذا يحدث إذا كانت أجهزتي المإلحاقة متصلة بشبكتي المنزلية، أو بنقطة وصول عامة؟
يميز محرك الاكتشاف بين أحداث الشبكة التي يتم تلقيها في شبكة الشركة مقابل خارج شبكة الشركة. من خلال ربط معرفات الشبكة عبر جميع عملاء المستأجر، يتم تمييز الأحداث بين تلك التي تم تلقيها من الشبكات الخاصة وشبكات الشركات. على سبيل المثال، إذا أبلغت معظم الأجهزة في المؤسسة أنها متصلة بنفس اسم الشبكة، بنفس البوابة الافتراضية وعنوان خادم DHCP، يمكن افتراض أن هذه الشبكة من المحتمل أن تكون شبكة شركة. لن يتم إدراج أجهزة الشبكة الخاصة في المخزون ولن يتم فحصها بنشاط.
ما البروتوكولات التي تلتقطها وتحللها؟
بشكل افتراضي، جميع الأجهزة المإلحاقة التي تعمل على الإصدار Windows 10 1809 أو أحدث، يقوم Windows 11 أو Windows Server 2019 أو Windows Server 2022 بالتقاط وتحليل البروتوكولات التالية: ARP أو CDP أو DHCP أو DHCPv6 أو IP (الرؤوس) و LLDP و LLMNR و mDNS و MNDP و MSSQL و NBNS و SSDP و TCP (رؤوس SYN) و UDP (الرؤوس) و WSD
ما البروتوكولات التي تستخدمها للكشف النشط في الاكتشاف القياسي؟
عند تكوين جهاز لتشغيل الاكتشاف القياسي، يتم فحص الخدمات المكشوفة باستخدام البروتوكولات التالية: ARP، FTP، HTTP، HTTPS، ICMP، LLMNR، NBNS، RDP، SIP، SMTP، SNMP، SSH، Telnet، UPNP، WSD، SMB، NBSS، IPP، PJL، RPC، mDNS، DHCP، AFP، CrestonCIP، IphoneSync، WinRM، VNC، SLP، LDAP
بالإضافة إلى ذلك، قد يقوم اكتشاف الجهاز أيضا بفحص المنافذ الأخرى شائعة الاستخدام لتحسين دقة التصنيف & التغطية.
كيف يمكنني استبعاد الأهداف من التحقيق في الاكتشاف القياسي؟
إذا كانت هناك أجهزة على شبكتك، والتي لا ينبغي فحصها بنشاط، يمكنك أيضا تحديد قائمة بالاستثناءات لمنع فحصها. يتوفر التكوين في صفحة إعدادات اكتشاف الجهاز.
ملاحظة
قد لا تزال الأجهزة ترد على محاولات اكتشاف الإرسال المتعدد في الشبكة. سيتم اكتشاف هذه الأجهزة ولكن لن يتم فحصها بنشاط.
هل يمكنني استبعاد اكتشاف الأجهزة؟
نظرا لأن اكتشاف الجهاز يستخدم أساليب سلبية لاكتشاف الأجهزة في الشبكة، يمكن اكتشاف أي جهاز يتصل بأجهزتك المإلحاقة في شبكة الشركة وإدراجه في المخزون. يمكنك استبعاد الأجهزة من التحقق النشط فقط.
ما مدى تكرار التحقق النشط؟
سيتم فحص الأجهزة بنشاط عند ملاحظة التغييرات في خصائص الجهاز للتأكد من تحديث المعلومات الموجودة (عادة، لا يتم فحص الأجهزة أكثر من مرة واحدة في فترة ثلاثة أسابيع)
رفعت أداة الأمان الخاصة بي تنبيها على UnicastScanner.ps1 / PSScript_{GUID}.ps1 أو نشاط فحص المنفذ الذي بدأه، ماذا يجب أن أفعل؟
يتم توقيع برامج التحقق النصية النشطة من قبل Microsoft وهي آمنة. يمكنك إضافة المسار التالي إلى قائمة الاستبعاد الخاصة بك: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
ما مقدار نسبة استخدام الشبكة التي يتم إنشاؤها بواسطة الفحص النشط للاكتشاف القياسي؟
يمكن أن يؤدي الفحص النشط إلى إنشاء ما يصل إلى 50 كيلوبايت من نسبة استخدام الشبكة بين الجهاز المإلحاق والجهاز الذي تم فحصه، كل محاولة فحص
لماذا يوجد تعارض بين الأجهزة "يمكن إلحاقها" في مخزون الجهاز، وعدد "الأجهزة المراد إلحاقها" في لوحة المعلومات؟
قد تلاحظ اختلافات بين عدد الأجهزة المدرجة ضمن "يمكن إلحاقها" في مخزون الجهاز، والتوصية الأمنية "إلحاق Microsoft Defender لنقطة النهاية"، وأداة لوحة معلومات "الأجهزة للإلحاق".
توصية الأمان وأداة لوحة المعلومات مخصصة للأجهزة المستقرة في الشبكة؛ باستثناء الأجهزة سريعة الزوال وأجهزة الضيوف وغيرها. الفكرة هي التوصية على الأجهزة الثابتة التي تشير أيضا إلى درجة الأمان الإجمالية للمؤسسة.
هل يمكنني إلحاق الأجهزة غير المدارة التي تم العثور عليها؟
نعم. يمكنك إلحاق الأجهزة غير المدارة يدويا. تقدم نقاط النهاية غير المدارة في شبكتك ثغرات أمنية ومخاطر على شبكتك. يمكن أن يؤدي إلحاقها بالخدمة إلى زيادة رؤية الأمان عليها.
لقد لاحظت أن حالة صحة الجهاز غير المدارة هي دائما "نشطة"، لماذا هذا هو؟
بشكل مؤقت، تكون حالة سلامة الجهاز غير المدارة "نشطة" خلال فترة الاستبقاء القياسية لمخزون الجهاز، بغض النظر عن حالتها الفعلية.
هل يبدو الاكتشاف القياسي مثل نشاط الشبكة الضار؟
عند النظر في الاكتشاف القياسي، قد تتساءل عن الآثار المترتبة على الفحص، وتحديدا ما إذا كانت أدوات الأمان قد تشك في مثل هذا النشاط على أنه ضار. يشرح القسم الفرعي التالي لماذا، في جميع الحالات تقريبا، يجب ألا يكون لدى المؤسسات أي مخاوف بشأن تمكين الاكتشاف القياسي.
يتم توزيع التحقق عبر جميع أجهزة Windows على الشبكة
بدلا من النشاط الضار، الذي من شأنه عادة مسح الشبكة بأكملها من عدد قليل من الأجهزة المخترقة، يتم بدء فحص الاكتشاف القياسي Microsoft Defender لنقطة النهاية من جميع أجهزة Windows المإلحاقة مما يجعل النشاط حميدا وغير شاذ. تتم إدارة التحقق مركزيا من السحابة لموازنة محاولة التحقق بين جميع الأجهزة المإلحاقة المدعومة في الشبكة.
يؤدي التحقق النشط إلى كمية ضئيلة من نسبة استخدام الشبكة الإضافية
عادة ما لا يتم فحص الأجهزة غير المدارة أكثر من مرة واحدة في فترة ثلاثة أسابيع وتولد أقل من 50 كيلوبايت من نسبة استخدام الشبكة. يتضمن النشاط الضار عادة محاولات فحص متكررة للغاية وفي بعض الحالات تسرب البيانات الذي يولد قدرا كبيرا من حركة مرور الشبكة التي يمكن تحديدها على أنها حالة شاذة بواسطة أدوات مراقبة الشبكة.
يعمل جهاز Windows الخاص بك بالفعل على تشغيل الاكتشاف النشط
تم دائما تضمين قدرات الاكتشاف النشطة في نظام التشغيل Windows، للعثور على الأجهزة القريبة ونقاط النهاية والطابعات، لتسهيل تجارب "التوصيل والتشغيل" ومشاركة الملفات بين نقاط النهاية في الشبكة. يتم تنفيذ وظائف مماثلة في الأجهزة المحمولة ومعدات الشبكة وتطبيقات المخزون على سبيل المثال لا الحصر.
يستخدم الاكتشاف القياسي نفس أساليب الاكتشاف لتحديد الأجهزة والحصول على رؤية موحدة لجميع الأجهزة الموجودة في شبكتك في Microsoft Defender XDR Device Inventory. على سبيل المثال - يحدد الاكتشاف القياسي نقاط النهاية القريبة في الشبكة بنفس الطريقة التي يسرد بها Windows الطابعات المتوفرة في الشبكة.
أدوات أمان الشبكة ومراقبتها غير مبالة بمثل هذه الأنشطة التي تقوم بها الأجهزة الموجودة على الشبكة.
يتم فحص الأجهزة غير المدارة فقط
تم إنشاء قدرات اكتشاف الجهاز لاكتشاف الأجهزة غير المدارة وتحديدها فقط على شبكتك. وهذا يعني أنه لن يتم فحص الأجهزة التي تم اكتشافها مسبقا والتي تم إلحاقها بالفعل Microsoft Defender لنقطة النهاية.
يمكنك استبعاد استدراج الشبكة من التحقق النشط
يدعم الاكتشاف القياسي استبعاد الأجهزة أو النطاقات (الشبكات الفرعية) من التحقق النشط. إذا كان لديك استدراج للشبكة تم نشره في مكانه، يمكنك استخدام إعدادات اكتشاف الجهاز لتحديد الاستثناءات استنادا إلى عناوين IP أو الشبكات الفرعية (نطاق من عناوين IP). يضمن تحديد هذه الاستثناءات عدم فحص هذه الأجهزة بشكل نشط ولن يتم تنبيهها. يتم اكتشاف هذه الأجهزة باستخدام أساليب سلبية فقط (على غرار وضع الاكتشاف الأساسي).
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ