Přehled zjišťování zařízení
Platí pro:
Ochrana prostředí vyžaduje inventarizaci zařízení, která jsou ve vaší síti. Mapování zařízení v síti ale může být často nákladné, náročné a časově náročné.
Microsoft Defender for Endpoint poskytuje funkci zjišťování zařízení, která vám pomůže najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Zjišťování zařízení používá onboardované koncové body ve vaší síti ke shromažďování, sondování nebo prohledávání sítě za účelem zjišťování nespravovaných zařízení. Funkce zjišťování zařízení umožňuje zjistit:
- Podnikové koncové body (pracovní stanice, servery a mobilní zařízení), které ještě nejsou onboardované do Defenderu for Endpoint
- Síťová zařízení, jako jsou směrovače a přepínače
- Zařízení IoT, jako jsou tiskárny a kamery
Neznámá a nespravovaná zařízení představují pro vaši síť významná rizika – ať už se jedná o neopravenou tiskárnu, síťová zařízení se slabými konfiguracemi zabezpečení nebo server bez bezpečnostních prvků. Po zjištění zařízení můžete:
- Onboarding nespravovaných koncových bodů do služby, což zvyšuje viditelnost jejich zabezpečení.
- Omezte prostor pro útoky tím, že identifikujete a vyhodnotíte ohrožení zabezpečení a zjistíte nedostatky v konfiguraci.
Podívejte se na toto video, kde najdete rychlý přehled o tom, jak vyhodnotit a nasadit nespravovaná zařízení, která defender for Endpoint zjistil.
S touto funkcí je v rámci stávajícího prostředí správy ohrožení zabezpečení v programu Microsoft Defender for Endpoint k dispozici doporučení k připojení zařízení do programu Defender for Endpoint.
Metody zjišťování
Můžete zvolit režim zjišťování, který budou používat vaše onboardovaná zařízení. Režim řídí úroveň viditelnosti, kterou můžete získat u nespravovaných zařízení ve vaší podnikové síti.
K dispozici jsou dva režimy zjišťování:
Základní zjišťování: V tomto režimu koncové body pasivně shromažďují události ve vaší síti a extrahují z nich informace o zařízeních. Základní zjišťování používá SenseNDR.exe binární soubor pro shromažďování pasivních síťových dat a neiniciuje se žádný síťový provoz. Koncové body extrahují data ze všech síťových přenosů, které vidí onboardované zařízení. Se základním zjišťováním získáte pouze omezenou viditelnost nespravovaných koncových bodů ve vaší síti.
Standardní zjišťování (doporučeno): Tento režim umožňuje koncovým bodům aktivně vyhledávat zařízení ve vaší síti, aby obohatily shromážděná data a zjistily další zařízení a pomohl vám vytvořit spolehlivý a ucelený inventář zařízení. Kromě zařízení, která byla pozorována pomocí pasivní metody, používá standardní režim také běžné protokoly zjišťování, které používají dotazy vícesměrového vysílání v síti k vyhledání ještě více zařízení. Standardní režim využívá inteligentní aktivní sondování ke zjišťování dalších informací o pozorovaných zařízeních, aby se obohatily informace o stávajících zařízeních. Pokud je povolený standardní režim, nástroje pro monitorování sítě ve vaší organizaci můžou sledovat minimální a zanedbatelnou síťovou aktivitu vygenerovanou senzorem zjišťování.
Nastavení zjišťování můžete změnit a přizpůsobit. Další informace najdete v tématu Konfigurace zjišťování zařízení.
Důležité
Standardní zjišťování je výchozím režimem pro všechny zákazníky od 19. července 2021. Tuto konfiguraci můžete změnit na základní na stránce nastavení. Pokud zvolíte základní režim, získáte pouze omezenou viditelnost nespravovaných koncových bodů ve vaší síti.
Modul zjišťování rozlišuje mezi síťovými událostmi přijatými v podnikové síti a mimo podnikovou síť. Zařízení, která nejsou připojená k podnikovým sítím, nebudou zjištěna ani uvedena v inventáři zařízení.
Inventář zařízení
Zařízení, která byla zjištěna, ale nejsou onboardována a zabezpečena defenderem for Endpoint, jsou uvedená v inventáři zařízení.
K posouzení těchto zařízení můžete použít filtr v seznamu inventáře zařízení s názvem Stav onboardingu, který může mít některou z následujících hodnot:
- Onboarded: Koncový bod se onboarduje do Defenderu for Endpoint.
- Dá se onboardovat: Koncový bod se zjistil v síti a operační systém byl identifikován jako ten, který podporuje Defender for Endpoint, ale momentálně není onboardovaný. Důrazně doporučujeme zprovoznění těchto zařízení.
- Nepodporováno: Koncový bod byl zjištěn v síti, ale Defender for Endpoint ho nepodporuje.
- Nedostatečné informace: Systém nemohl určit možnosti podpory zařízení. Povolení standardního zjišťování na více zařízeních v síti může zjištěné atributy obohatit.
Tip
Kdykoli můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.
Další informace najdete v tématu Inventář zařízení.
Zjišťování síťových zařízení
Velký počet nespravovaných síťových zařízení nasazených v organizaci vytváří velkou plochu útoku a představuje významné riziko pro celý podnik. Funkce zjišťování sítě defenderu for Endpoint pomáhají zajistit, aby byla síťová zařízení zjištěna, přesně klasifikovaná a přidána do inventáře prostředků.
Síťová zařízení se nespravují jako standardní koncové body, protože Defender for Endpoint nemá senzor integrovaný do samotných síťových zařízení. Tyto typy zařízení vyžadují přístup bez agentů, kdy vzdálená kontrola získá ze zařízení potřebné informace. K tomu slouží určené zařízení Defender for Endpoint v každém segmentu sítě k provádění pravidelných ověřených kontrol předkonfigurovaných síťových zařízení. Funkce správy ohrožení zabezpečení v Defenderu for Endpoint poskytují integrované pracovní postupy pro zabezpečení zjištěných přepínačů, směrovačů, kontrolerů WLAN, bran firewall a bran VPN.
Další informace najdete v tématu Síťová zařízení.
Integrace zjišťování zařízení
Aby bylo možné vyřešit problém se získáním dostatečné viditelnosti pro vyhledání, identifikaci a zabezpečení kompletního inventáře prostředků OT/IOT, Defender for Endpoint teď podporuje následující integraci:
Microsoft Defender for IoT: Tato integrace kombinuje možnosti zjišťování zařízení Defenderu for Endpoint s Microsoft Defenderem for IoT na portálu Microsoft Defender (Preview) a zajišťuje zabezpečení:
- Zařízení OT, jako jsou servery nebo balicí systémy. Další informace najdete v tématu onboardingu Defenderu for IoT na portálu Defender.
- Podniková zařízení IoT připojená k SÍTI IT (například VoIP (Voice over Internet Protocol), tiskárny a inteligentní televizory). Další informace najdete v tématu Povolení podnikového zabezpečení IoT pomocí Defenderu for Endpoint.
Posouzení ohrožení zabezpečení u zjištěných zařízení
Ohrožení zabezpečení a rizika na vašich zařízeních a také další zjištěná nespravovaná zařízení v síti jsou součástí aktuálních toků správy ohrožení zabezpečení defenderu v části Doporučení zabezpečení a jsou reprezentované na stránkách entit na portálu. Vyhledejte doporučení zabezpečení související s SSH a vyhledejte ohrožení zabezpečení SSH související s nespravovanými a spravovanými zařízeními.
Použití rozšířeného proaktivního vyhledávání na zjištěných zařízeních
Pomocí pokročilých dotazů proaktivního vyhledávání můžete získat přehled o zjištěných zařízeních. Podrobnosti o zjištěných zařízeních najdete v tabulce DeviceInfo nebo informace o těchto zařízeních související se sítí v tabulce DeviceNetworkInfo.
Dotaz na podrobnosti o zjištěných zařízeních
Spuštěním tohoto dotazu v tabulce DeviceInfo vrátíte všechna zjištěná zařízení spolu s nejaktuálnějšími podrobnostmi pro každé zařízení:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Vyvoláním funkce SeenBy můžete v rozšířeném dotazu proaktivního vyhledávání získat podrobnosti o tom, na kterém zařízení bylo zjištěno. Tyto informace vám můžou pomoct určit umístění každého zjištěného zařízení v síti a následně je v síti identifikovat.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Další informace najdete v článku o funkci SeenBy().
Dotazování na informace související se sítí
Zjišťování zařízení využívá zařízení v programu Defender for Endpoint jako zdroj síťových dat k přiřazení aktivit zařízením, která nejsou nasazená. Síťový senzor na zařízení s onboardovaným defenderem for Endpoint identifikuje dva nové typy připojení:
- ConnectionAttempt – pokus o navázání připojení TCP (syn)
- ConnectionAcknowledged – potvrzení, že připojení TCP bylo přijato (syn\ack).
To znamená, že když se zařízení, které není onboardované, pokusí komunikovat s nasazeným zařízením Defender for Endpoint, tento pokus vygeneruje deviceNetworkEvent a aktivity zařízení, které nejsou nasazené, se zobrazí na časové ose onboardovaného zařízení a prostřednictvím tabulky DeviceNetworkEvents pro pokročilé vyhledávání.
Můžete zkusit tento ukázkový dotaz:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Další kroky
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení Microsoftu v naší technické komunitě: Technická komunita Microsoft Defenderu for Endpoint.