Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Geräteermittlung können Sie Ihren Einblick in nicht verwaltete Geräte verbessern, deren Sicherheitsstatus bewerten und geeignete Maßnahmen ergreifen, um sie zu schützen.
In diesem Artikel wird beschrieben, wie Sie Geräte überprüfen und bewerten, die von der Geräteermittlung in Microsoft Defender for Endpoint ermittelt wurden. Außerdem erfahren Sie, wie Sie Daten auf Geräten abrufen, die nicht in Microsoft Defender for Endpoint integriert sind, und wie Sie Daten auf ermittelten Geräten abfragen.
Voraussetzungen
Unterstützte Betriebssysteme
- Windows 10 und höher
- Windows Server 2019 und höher.
Überwachen nicht integrierter Geräte im Gerätebestand
Sie können den Gerätebestand für ermittelte Geräte überprüfen, die nicht in Defender für Endpunkt integriert sind.
Hinweis
Ein nicht integriertes Gerät verbleibt im Defender-Portal (länger als 180 Tage), wenn eine der folgenden Bedingungen erfüllt ist:
- Das Gerät wird von einem integrierten Endpunkt im selben Netzwerk ermittelt.
- Das Gerät wird von einem OT-Sensor erkannt.
Navigieren Sie zum Bewerten dieser Geräte zum Gerätebestand, und verwenden Sie den Filter Onboarding status mit einem der folgenden Werte:
| Wert | Beschreibung |
|---|---|
| Onboarded | Der Endpunkt ist in Defender für Endpunkt integriert. |
| Onboarding möglich | Defender für Endpunkt ermittelt das Gerät im Netzwerk und unterstützt sein Betriebssystem, aber das Gerät ist nicht integriert. Hinweis: – Wir empfehlen Ihnen dringend, solche Geräte zu integrieren. – Möglicherweise stellen Sie Unterschiede zwischen der Anzahl der unter aufgeführten Geräte fest, die in den Gerätebestand integriert werden können, der Empfehlung zum Onboarding in Microsoft Defender for Endpoint Sicherheit und den Geräten, die Dashboard Widget integrieren sollen. Die Sicherheitsempfehlung und das Dashboard Widget gelten für Geräte, die im Netzwerk stabil sind, ausgenommen kurzlebige Geräte, Gastgeräte und andere. Die Idee besteht darin, persistente Geräte zu empfehlen, die sich auch auf die Gesamtsicherheitsbewertung der organization auswirken. |
| Nicht unterstützt | Defender für Endpunkt ermittelt den Endpunkt, unterstützt das Gerät jedoch nicht. |
| Unzureichende Informationen | Das System konnte die Unterstützbarkeit des Geräts nicht ermitteln. Aktivieren Sie die Standardermittlung auf weiteren Geräten im Netzwerk, um die ermittelten Attribute anzureichern. |
Onboarding nicht verwalteter Geräte
Sie können nicht verwaltete Geräte manuell integrieren. Nicht verwaltete Endpunkte in Ihrem Netzwerk führen zu Sicherheitsrisiken und Risiken für Ihr Netzwerk. Das Onboarding in den Dienst kann die Sicherheitstransparenz für sie erhöhen.
Verwenden der erweiterten Bedrohungssuche auf erkannten Geräten
Sie können erweiterte Suchabfragen verwenden, um Sichtbarkeit auf ermittelten Geräten zu erhalten. Details zu ermittelten Geräten finden Sie in der Tabelle DeviceInfo oder netzwerkbezogene Informationen zu diesen Geräten in der Tabelle DeviceNetworkInfo.
Tipp
Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.
Durchsuchen von Geräten im Netzwerk
Sie können die folgende erweiterte Huntingabfrage verwenden, um mehr Kontext zu den einzelnen Netzwerknamen abzurufen, die in der Netzwerkliste beschrieben werden. Die Abfrage listet alle integrierten Geräte auf, die innerhalb der letzten sieben Tage mit einem bestimmten Netzwerk verbunden waren.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Abrufen von Informationen zum Gerät
Sie können die folgende erweiterte Huntingabfrage verwenden, um die neuesten vollständigen Informationen auf einem bestimmten Gerät abzurufen.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Abfragen von Details zu ermittelten Geräten
Führen Sie diese Abfrage für die DeviceInfo-Tabelle aus, um alle ermittelten Geräte zusammen mit den aktuellsten Details für jedes Gerät zurückzugeben:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Durch Aufrufen der SeenBy-Funktion können Sie in Ihrer erweiterten Huntingabfrage Details dazu abrufen, von welchem integrierten Gerät ein ermitteltes Gerät gesehen wurde. Diese Informationen können dabei helfen, den Netzwerkstandort jedes ermittelten Geräts zu bestimmen und es anschließend im Netzwerk zu identifizieren.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Weitere Informationen finden Sie unter der SeenBy() -Funktion.
Abfragen netzwerkbezogener Informationen
Die Geräteermittlung nutzt integrierte Defender für Endpunkt-Geräte als Netzwerkdatenquelle, um Aktivitäten nicht integrierten Geräten zuzuordnen. Der Netzwerksensor auf dem integrierten Defender für Endpunkt-Gerät identifiziert zwei neue Verbindungstypen:
- ConnectionAttempt– Ein Versuch, eine TCP-Verbindung (syn) herzustellen
- ConnectionAcknowledged : Eine Bestätigung, dass eine TCP-Verbindung akzeptiert wurde (syn\ack)
Wenn ein nicht integriertes Gerät versucht, mit einem integrierten Defender für Endpunkt-Gerät zu kommunizieren, generiert der Versuch ein DeviceNetworkEvent, und die nicht integrierten Geräteaktivitäten werden auf dem integrierten Gerät Zeitleiste und über die Tabelle Erweiterte Suche DeviceNetworkEvents angezeigt.
Sie können diese Beispielabfrage ausprobieren:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Bewerten von Sicherheitsrisiken auf ermittelten Geräten
Microsoft Defender Vulnerability Management erkennt Risiken auf Ihren Geräten und anderen ermittelten, nicht verwalteten Geräten im Netzwerk.
Informationen zu relevanten Sicherheitsrisiken finden Sie auf der SeiteEmpfehlungen für die Risikoverwaltung> und auf anderen Entitätsseiten im Defender-Portal.
Suchen Sie beispielsweise in der Liste der Sicherheitsempfehlungen nach SSH , um SSH-Sicherheitsrisiken im Zusammenhang mit nicht verwalteten und verwalteten Geräten zu finden.
Weitere Informationen zu Features zur Verwaltung von Sicherheitsrisiken finden Sie unter Microsoft Defender Vulnerability Management.