Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Enhedsregistrering giver dig mulighed for at forbedre din synlighed i ikke-administrerede enheder, vurdere deres sikkerhedsholdning og udføre de nødvendige handlinger for at sikre dem.
I denne artikel beskrives det, hvordan du gennemser og vurderer enheder, der registreres ved enhedsregistrering i Microsoft Defender for Endpoint. Du kan også få mere at vide om, hvordan du henter data på enheder, der ikke er onboardet til Microsoft Defender for Endpoint, og hvordan du forespørger om data på registrerede enheder.
Forudsætninger
Understøttede operativsystemer
- Windows 10 og nyere
- Windows Server 2019 og nyere.
Overvåg enheder, der ikke er onboardet, på enhedens lager
Du kan gennemse enhedsoversigten for registrerede enheder, der ikke er onboardet til Defender for Endpoint.
Bemærk!
En enhed, der ikke er onboardet, forbliver på Defender-portalen (i mere end 180 dage), hvis en af disse betingelser er opfyldt:
- Enheden registreres af et onboardet slutpunkt på det samme netværk
- Enheden registreres af en OT-sensor
Hvis du vil vurdere disse enheder, skal du navigere til enhedens lager og bruge Onboarding-statusfilteret med en af følgende værdier:
| Værdi | Beskrivelse |
|---|---|
| Onboardet | Slutpunktet er onboardet til Defender for Endpoint. |
| Kan onboardes | Defender for Endpoint registrerer enheden på netværket og understøtter operativsystemet, men enheden er ikke onboardet. Bemærk! - Vi anbefaler på det kraftigste, at du onboarder sådanne enheder. – Du kan bemærke forskelle mellem antallet af angivne enheder under kan onboardes i enhedslageret, onboard til Microsoft Defender for Endpoint sikkerhedsanbefaling og enhederne til onboarding af dashboardwidget. Sikkerhedsanbefalingerne og dashboardwidgetten er til enheder, der er stabile på netværket, undtagen flygtige enheder, gæsteenheder og andre. Ideen er at anbefale på faste enheder, der også påvirker organisationens overordnede sikkerhedsscore. |
| Unsupported | Defender for Endpoint registrerer slutpunktet, men understøtter ikke enheden. |
| Utilstrækkelige oplysninger | Systemet kunne ikke fastslå, om enheden understøttes. Aktivér standardregistrering på flere enheder i netværket for at forbedre de registrerede attributter. |
Onboarde ikke-administrerede enheder
Du kan onboarde ikke-administrerede enheder manuelt. Ikke-administrerede slutpunkter i dit netværk introducerer sikkerhedsrisici og risici for dit netværk. Onboarding af dem til tjenesten kan øge sikkerheden synlighed på dem.
Brug avanceret jagt på registrerede enheder
Du kan bruge avancerede jagtforespørgsler til at få synlighed på registrerede enheder. Du kan finde oplysninger om registrerede enheder i tabellen DeviceInfo eller netværksrelaterede oplysninger om disse enheder i tabellen DeviceNetworkInfo.
Tip
Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.
Udforsk enheder i netværket
Du kan bruge følgende avancerede jagtforespørgsel til at få mere kontekst om hvert netværksnavn, der er beskrevet på listen over netværk. Forespørgslen viser alle de onboardede enheder, der har været tilsluttet et bestemt netværk inden for de seneste syv dage.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Hent oplysninger på enhed
Du kan bruge følgende avancerede jagtforespørgsel til at få de nyeste komplette oplysninger på en bestemt enhed.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Oplysninger om fundne enheder for forespørgsler
Kør denne forespørgsel i tabellen DeviceInfo for at returnere alle registrerede enheder sammen med de nyeste oplysninger for hver enhed:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Ved at aktivere funktionen SeenBy kan du i din avancerede jagtforespørgsel få detaljer om, hvilken onboardet enhed en registreret enhed blev set af. Disse oplysninger kan hjælpe med at bestemme netværksplaceringen af hver fundet enhed og derefter hjælpe med at identificere den i netværket.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Du kan få flere oplysninger i funktionen SeenBy().
Forespørg om netværksrelaterede oplysninger
Enhedsregistrering bruger Defender for Endpoint-onboardede enheder som en netværksdatakilde til at tildele aktiviteter til ikke-onboardede enheder. Netværkssensoren på den onboardede Defender for Endpoint-enhed identificerer to nye forbindelsestyper:
- ConnectionAttempt – Et forsøg på at oprette en TCP-forbindelse (syn)
- ConnectionAcknowledged – En bekræftelse på, at en TCP-forbindelse blev accepteret (syn\ack)
Det betyder, at når en ikke-onboardet enhed forsøger at kommunikere med en onboardet Defender for Endpoint-enhed, genererer forsøget en DeviceNetworkEvent, og de ikke-onboardede enhedsaktiviteter kan ses på den onboardede enhedstidslinje og via tabellen Advanced hunting DeviceNetworkEvents.
Du kan prøve denne eksempelforespørgsel:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Vurder sikkerhedsrisici på registrerede enheder
Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender registrerer risici på dine enheder og andre registrerede, ikke-administrerede enheder på netværket.
Hvis du vil gennemse relevante sikkerhedsrisici, skal du se sidenAnbefalinger til styring af> eksponering og andre enhedssider på tværs af Defender-portalen.
Søg f.eks. efter SSH på listen over sikkerhedsanbefalinger for at finde SSH-sikkerhedsrisici, der er relateret til ikke-administrerede og administrerede enheder.
Du kan få flere oplysninger om funktioner til administration af sårbarheder under Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender.