Přehled zjišťování zařízení

  • Článek

Platí pro:

Ochrana prostředí vyžaduje inventarizaci zařízení, která jsou ve vaší síti. Mapování zařízení v síti ale může být často nákladné, náročné a časově náročné.

Microsoft Defender for Endpoint poskytuje funkci zjišťování zařízení, která vám pomůže najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo těžkopádných změn procesů. Zjišťování zařízení používá onboardované koncové body ve vaší síti ke shromažďování, sondování nebo prohledávání sítě za účelem zjišťování nespravovaných zařízení. Funkce zjišťování zařízení umožňuje zjistit:

  • Podnikové koncové body (pracovní stanice, servery a mobilní zařízení), které ještě nejsou nasazené do Microsoft Defender for Endpoint
  • Síťová zařízení, jako jsou směrovače a přepínače
  • Zařízení IoT, jako jsou tiskárny a kamery

Neznámá a nespravovaná zařízení představují pro vaši síť významná rizika – ať už se jedná o neopravenou tiskárnu, síťová zařízení se slabými konfiguracemi zabezpečení nebo server bez bezpečnostních prvků. Po zjištění zařízení můžete:

  • Onboarding nespravovaných koncových bodů do služby, což zvyšuje viditelnost jejich zabezpečení.
  • Omezte prostor pro útoky tím, že identifikujete a vyhodnotíte ohrožení zabezpečení a zjistíte nedostatky v konfiguraci.

Podívejte se na toto video, kde najdete rychlý přehled o tom, jak vyhodnotit a nasadit nespravovaná zařízení, která Microsoft Defender for Endpoint zjištěná.

Společně s touto funkcí je v rámci stávajícího prostředí Microsoft Defender Správa zranitelností k dispozici doporučení zabezpečení pro onboarding zařízení do Microsoft Defender for Endpoint.

Metody zjišťování

Můžete zvolit režim zjišťování, který budou používat vaše onboardovaná zařízení. Režim řídí úroveň viditelnosti, kterou můžete získat u nespravovaných zařízení ve vaší podnikové síti.

K dispozici jsou dva režimy zjišťování:

  • Základní zjišťování: V tomto režimu koncové body pasivně shromažďují události ve vaší síti a extrahují z nich informace o zařízeních. Základní zjišťování používá SenseNDR.exe binární soubor pro shromažďování pasivních síťových dat a neiniciuje se žádný síťový provoz. Koncové body extrahují data ze všech síťových přenosů, které vidí onboardované zařízení. Se základním zjišťováním získáte pouze omezenou viditelnost nespravovaných koncových bodů ve vaší síti.

  • Standardní zjišťování (doporučeno): Tento režim umožňuje koncovým bodům aktivně vyhledávat zařízení ve vaší síti, aby obohatily shromážděná data a zjistily další zařízení a pomohl vám vytvořit spolehlivý a ucelený inventář zařízení. Kromě zařízení, která byla pozorována pomocí pasivní metody, využívá standardní režim také běžné protokoly zjišťování, které používají dotazy vícesměrového vysílání v síti k vyhledání ještě více zařízení. Standardní režim využívá inteligentní aktivní sondování ke zjišťování dalších informací o pozorovaných zařízeních, aby se obohatily informace o stávajících zařízeních. Pokud je povolený standardní režim, nástroje pro monitorování sítě ve vaší organizaci můžou sledovat minimální a zanedbatelnou síťovou aktivitu vygenerovanou senzorem zjišťování.

Nastavení zjišťování můžete změnit a přizpůsobit. Další informace najdete v tématu Konfigurace zjišťování zařízení.

Důležité

Standardní zjišťování je výchozím režimem pro všechny zákazníky od 19. července 2021. Tuto konfiguraci můžete změnit na základní na stránce nastavení. Pokud zvolíte základní režim, získáte pouze omezenou viditelnost nespravovaných koncových bodů ve vaší síti.

Poznámka

Modul zjišťování rozlišuje mezi síťovými událostmi přijatými v podnikové síti a mimo podnikovou síť. Zařízení, která nejsou připojená k podnikovým sítím, nebudou zjištěna ani uvedena v inventáři zařízení.

Inventář zařízení

Zařízení, která byla zjištěna, ale ještě nebyla onboardována a zabezpečena pomocí Microsoft Defender for Endpoint, jsou uvedená v inventáři zařízení na kartě Počítače a mobilní zařízení.

K posouzení těchto zařízení můžete použít filtr v seznamu inventáře zařízení s názvem Stav onboardingu, který může mít některou z následujících hodnot:

  • Onboarded: Koncový bod se onboarduje do Microsoft Defender for Endpoint.
  • Dá se onboardovat: Koncový bod se zjistil v síti a operační systém byl identifikován jako ten, který podporuje Microsoft Defender for Endpoint, ale momentálně není onboardovaný. Důrazně doporučujeme zprovoznění těchto zařízení.
  • Nepodporováno: Koncový bod byl zjištěn v síti, ale Microsoft Defender for Endpoint ho nepodporuje.
  • Nedostatečné informace: Systém nemohl určit možnosti podpory zařízení. Povolení standardního zjišťování na více zařízeních v síti může zjištěné atributy obohatit.

Řídicí panel inventáře zařízení

Tip

Kdykoli můžete použít filtry k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. K odfiltrování nespravovaných zařízení můžete také použít sloupec stavu onboardingu u dotazů rozhraní API.

Další informace najdete v tématu Inventář zařízení.

Zjišťování síťových zařízení

Velký počet nespravovaných síťových zařízení nasazených v organizaci vytváří velkou plochu útoku a představuje významné riziko pro celý podnik. Microsoft Defender for Endpoint funkce zjišťování sítě pomáhají zajistit zjištění, přesné klasifikaci a přidání síťových zařízení do inventáře prostředků.

Síťová zařízení se nespravují jako standardní koncové body, protože Defender for Endpoint nemá senzor integrovaný do samotných síťových zařízení. Tyto typy zařízení vyžadují přístup bez agentů, kdy vzdálená kontrola získá ze zařízení potřebné informace. K tomu slouží určené Microsoft Defender for Endpoint zařízení v každém segmentu sítě k provádění pravidelných ověřených kontrol předkonfigurovaných síťových zařízení. Funkce správy ohrožení zabezpečení v Defenderu for Endpoint poskytují integrované pracovní postupy pro zabezpečení zjištěných přepínačů, směrovačů, kontrolerů WLAN, bran firewall a bran VPN.

Další informace najdete v tématu Síťová zařízení.

Integrace zjišťování zařízení

Aby bylo možné vyřešit problém se získáním dostatečné viditelnosti pro vyhledání, identifikaci a zabezpečení kompletního inventáře prostředků OT/IOT, Microsoft Defender for Endpoint teď podporuje následující integraci:

  • Microsoft Defender pro IoT: Tato integrace kombinuje možnosti zjišťování zařízení Microsoft Defender for Endpoint s možnostmi monitorování bez agentů Microsoft Defender pro IoT k zabezpečení podnikových zařízení IoT připojených k SÍTI IT (například VoIP (Voice over Internet Protocol), tiskáren a inteligentních televizorů). Další informace najdete v tématu Povolení podnikového zabezpečení IoT pomocí Defenderu for Endpoint.

Posouzení ohrožení zabezpečení u zjištěných zařízení

Ohrožení zabezpečení a rizika na vašich zařízeních a také další zjištěná nespravovaná zařízení v síti jsou součástí aktuálních toků správy ohrožení zabezpečení defenderu v části Doporučení zabezpečení a jsou reprezentované na stránkách entit na portálu. Vyhledejte doporučení zabezpečení související s SSH a vyhledejte ohrožení zabezpečení SSH související s nespravovanými a spravovanými zařízeními.

Řídicí panel doporučení zabezpečení

Použití rozšířeného proaktivního vyhledávání na zjištěných zařízeních

Pomocí pokročilých dotazů proaktivního vyhledávání můžete získat přehled o zjištěných zařízeních. Podrobnosti o zjištěných zařízeních najdete v tabulce DeviceInfo nebo informace o těchto zařízeních související se sítí v tabulce DeviceNetworkInfo.

Stránka rozšířeného proaktivního vyhledávání, na které je možné použít dotazy

Dotaz na podrobnosti o zjištěných zařízeních

Spuštěním tohoto dotazu v tabulce DeviceInfo vrátíte všechna zjištěná zařízení spolu s nejaktuálnějšími podrobnostmi pro každé zařízení:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Vyvoláním funkce SeenBy můžete v rozšířeném dotazu proaktivního vyhledávání získat podrobnosti o tom, na kterém zařízení bylo zjištěno. Tyto informace vám můžou pomoct určit umístění každého zjištěného zařízení v síti a následně je v síti identifikovat.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Další informace najdete v článku o funkci SeenBy().

Zjišťování zařízení využívá Microsoft Defender for Endpoint onboardovaných zařízení jako zdroj síťových dat k přiřazení aktivit zařízením, která nejsou nasazená. Síťový senzor na Microsoft Defender for Endpoint onboardovaného zařízení identifikuje dva nové typy připojení:

  • ConnectionAttempt – pokus o navázání připojení TCP (syn)
  • ConnectionAcknowledged – potvrzení, že připojení TCP bylo přijato (syn\ack).

To znamená, že když se zařízení, které není onboardované, pokusí komunikovat s nasazeným Microsoft Defender for Endpoint zařízením, tento pokus vygeneruje DeviceNetworkEvent a aktivity zařízení bez připojení se zobrazí na časové ose onboardovaného zařízení a prostřednictvím tabulky DeviceNetworkEvents pro pokročilé vyhledávání.

Můžete zkusit tento ukázkový dotaz:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Další kroky

Tip

Chcete se dozvědět více? Zapojte se do komunity zabezpečení Microsoftu v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.