Nejčastější dotazy ke zjišťování zařízení

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Tady najdete odpovědi na nejčastější dotazy týkající se zjišťování zařízení.

Co je základní režim zjišťování?

Tento režim umožňuje každému Microsoft Defender for Endpoint onboardovaným zařízením shromažďovat síťová data a zjišťovat sousední zařízení. Onboardované koncové body pasivně shromažďují události v síti a extrahují z nich informace o zařízení. Neiniciuje se žádný síťový provoz. Onboardované koncové body extrahují data ze všech síťových přenosů, které vidí onboardované zařízení. Tato data se používala k výpisu nespravovaných zařízení ve vaší síti.

Můžu zakázat základní zjišťování?

Zjišťování zařízení můžete vypnout na stránce Rozšířené funkce . Ztratíte ale přehled o nespravovaných zařízeních ve vaší síti. Mějte na paměti, že i když je zjišťování zařízení vypnuté, SenseNDR.exe budou na nasazených zařízeních pořád spuštěné.

Co je standardní režim zjišťování?

V tomto režimu můžou koncové body nasazené do Microsoft Defender for Endpoint aktivně testovat pozorovaná zařízení v síti, aby obohatily shromážděná data (se zanedbatelným objemem síťového provozu). Ve standardním režimu se aktivně probírá pouze zařízení, která byla pozorována v režimu základního zjišťování. Tento režim se důrazně doporučuje pro vytváření spolehlivého a konzistentního inventáře zařízení. Pokud se rozhodnete tento režim zakázat a vyberete základní režim zjišťování, pravděpodobně získáte pouze omezenou viditelnost nespravovaných koncových bodů ve vaší síti.

Standardní režim také využívá běžné protokoly zjišťování, které používají dotazy vícesměrového vysílání v síti k vyhledání ještě více zařízení kromě těch, která byla pozorována pomocí pasivní metody.

Můžu určit, která zařízení provádějí standardní zjišťování?

Seznam zařízení, která se používají k provádění standardního zjišťování, můžete přizpůsobit. Můžete buď povolit standardní zjišťování na všech nasazených zařízeních, která tuto funkci podporují (aktuálně Windows 10 nebo novější a jenom zařízení s Windows Serverem 2019 nebo novějším), nebo můžete vybrat podmnožinu nebo podmnožinu zařízení zadáním značek zařízení. V tomto případě jsou všechna ostatní zařízení nakonfigurovaná tak, aby spouštěla pouze základní zjišťování. Konfigurace je k dispozici na stránce nastavení zjišťování zařízení.

Můžu ze seznamu inventáře zařízení vyloučit nespravovaná zařízení?

Ano, můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.

Která onboardovaná zařízení můžou zjišťování provádět?

Zjišťování můžou provádět nasazená zařízení se systémem Windows 10 verze 1809 nebo novější, Windows 11, Windows Server 2019 nebo Windows Server 2022.

Co se stane, když jsou moje nasazená zařízení připojená k domácí síti nebo k veřejnému přístupovému bodu?

Modul zjišťování rozlišuje mezi síťovými událostmi přijatými v podnikové síti a mimo podnikovou síť. Korelací identifikátorů sítě napříč všemi klienty tenanta se události rozlišují mezi událostmi přijatými z privátních a podnikových sítí. Pokud například většina zařízení v organizaci hlásí, že jsou připojená ke stejnému názvu sítě se stejnou výchozí bránou a adresou serveru DHCP, dá se předpokládat, že tato síť je pravděpodobně podnikovou sítí. Zařízení privátní sítě nebudou v inventáři uvedená a nebudou se aktivně zkoumat.

Jaké protokoly zachytáváte a analyzujete?

Ve výchozím nastavení: Všechna nasazená zařízení se systémem Windows 10 verze 1809 nebo novější, Windows 11, Windows Server 2019 nebo Windows Server 2022 zachytávají a analyzují následující protokoly: ARP, CDP, DHCP, DHCPv6, IP (hlavičky), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (hlavičky SYN), UDP (hlavičky), WSD

Které protokoly používáte k aktivnímu zjišťování ve standardním zjišťování?

Pokud je zařízení nakonfigurované pro spouštění standardního zjišťování, prověřují se vystavené služby pomocí následujících protokolů: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

Kromě toho může zjišťování zařízení také prohledávat další běžně používané porty, aby se zlepšila přesnost klasifikace & pokrytí.

Jak můžu vyloučit cíle z prohledat pomocí zjišťování úrovně Standard?

Pokud ve vaší síti existují zařízení, která by se neměla aktivně zkoumat, můžete také definovat seznam vyloučení, abyste zabránili jejich kontrole. Konfigurace je k dispozici na stránce nastavení zjišťování zařízení.

Poznámka

Zařízení stále můžou odpovídat na pokusy o zjišťování vícesměrového vysílání v síti. Tato zařízení budou zjištěna, ale nebudou se aktivně zkoumat.

Můžu vyloučit zařízení ze zjištění?

Protože zjišťování zařízení používá ke zjišťování zařízení v síti pasivní metody, všechna zařízení, která komunikují s vašimi nasazenými zařízeními v podnikové síti, je možné zjistit a uvést v inventáři. Zařízení můžete vyloučit jenom z aktivního sondování.

Jak často probíhá aktivní sondování?

Když se zjistí změny vlastností zařízení, aby se zajistilo, že jsou stávající informace aktuální (obvykle se zařízení neprohlásá více než jednou za tři týdny)

Co mám dělat, když nástroj pro zabezpečení vyvolal upozornění na UnicastScanner.ps1 / PSScript_{GUID}.ps1 nebo aktivitu prohledávání portů?

Aktivní zkušební skripty jsou podepsány Microsoftem a jsou bezpečné. Do seznamu vyloučení můžete přidat následující cestu: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Jaký je objem provozu, který generuje aktivní sonda zjišťování Standard?

Aktivní sondování může generovat až 50 kB provozu mezi onboardovaným zařízením a probádovaným zařízením, a to při každém pokusu o sondování.

Proč dochází k nesrovnalostem mezi "dají se připojit" zařízení v inventáři zařízení a počtem zařízení k onboardingu na dlaždici řídicího panelu?

Můžete si všimnout rozdílů mezi počtem zařízení uvedených v části "je možné připojit" v inventáři zařízení, "onboardovat k Microsoft Defender for Endpoint" a "zařízení k onboardingu" widget řídicího panelu.

Doporučení k zabezpečení a widget řídicího panelu jsou určené pro zařízení, která jsou v síti stabilní. s výjimkou dočasných zařízení, zařízení hostů a dalších. Cílem je doporučit trvalá zařízení, která také znamenají celkové skóre zabezpečení organizace.

Můžu připojit nalezená nespravovaná zařízení?

Ano. Nespravovaná zařízení můžete připojit ručně. Nespravované koncové body ve vaší síti představují ohrožení zabezpečení a rizika pro vaši síť. Jejich onboarding do služby může zvýšit viditelnost zabezpečení.

Všiml(a) jsem si, že stav nespravovaného zařízení je vždy Aktivní, proč?

Během standardní doby uchovávání inventáře zařízení je stav nespravovaného zařízení dočasně "Aktivní", a to bez ohledu na jejich skutečný stav.

Vypadá standardní zjišťování jako škodlivá síťová aktivita?

Když uvažujete o standardním zjišťování, možná vás zajímá, jaké důsledky má testování, a konkrétně to, jestli by nástroje zabezpečení mohly mít podezření na takovou aktivitu jako škodlivou. Následující pododdíl vysvětluje, proč by se organizace téměř ve všech případech neměly zabývat povolením standardního zjišťování.

Sondování se distribuuje mezi všechna zařízení s Windows v síti.

Na rozdíl od škodlivých aktivit, které obvykle prohledávají celou síť z několika ohrožených zařízení, je sondování standardního zjišťování Microsoft Defender for Endpoint zahájeno ze všech onboardovaných zařízení s Windows, takže aktivita je neškodná a neobvyklá. Sondování se centrálně spravuje z cloudu, aby se vyrovnal pokus o testování mezi všemi podporovanými nasazenými zařízeními v síti.

Aktivní sondování generuje zanedbatelné množství nadbytečného provozu.

Nespravovaná zařízení se obvykle nespravují více než jednou za tři týdny a generují provoz méně než 50 kB. Mezi škodlivé aktivity obvykle patří opakované pokusy o sondování a v některých případech exfiltrace dat, která generuje značné množství síťového provozu, který lze pomocí nástrojů pro monitorování sítě identifikovat jako anomálii.

Na vašem zařízení s Windows už běží aktivní zjišťování

V operačním systému Windows byly vždy vloženy funkce aktivního zjišťování, které umožňují vyhledat zařízení, koncové body a tiskárny v okolí, aby bylo snazší prostředí "plug and play" a sdílení souborů mezi koncovými body v síti. Podobné funkce jsou implementované v mobilních zařízeních, síťových zařízeních a aplikacích inventáře.

Standardní zjišťování používá stejné metody zjišťování k identifikaci zařízení a k jednotné viditelnosti všech zařízení ve vaší síti v inventáři zařízení Microsoft Defender XDR. Například standardní zjišťování identifikuje blízké koncové body v síti stejným způsobem jako seznam dostupných tiskáren v síti ve Windows.

Nástroje pro zabezpečení a monitorování sítě jsou k takovým činnostem prováděným zařízeními v síti lhostejné.

Probírá se jenom nespravovaná zařízení.

Funkce zjišťování zařízení jsou vytvořené tak, aby zjišťovaly a identifikovaly pouze nespravovaná zařízení ve vaší síti. To znamená, že dříve zjištěná zařízení, která jsou už nasazená pomocí Microsoft Defender for Endpoint, nebudou prohledována.

Z aktivního sondování můžete vyloučit síťové návnady.

Standardní zjišťování podporuje vyloučení zařízení nebo rozsahů (podsítí) z aktivního sondování. Pokud máte nasazené síťové návnady, můžete pomocí nastavení Device Discovery definovat vyloučení na základě IP adres nebo podsítí (rozsah IP adres). Definováním těchto vyloučení zajistíte, že se tato zařízení nebudou aktivně zkoumat a nebudou upozorňovat. Tato zařízení se zjišťují pouze pomocí pasivních metod (podobně jako základní režim zjišťování).

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.