Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Laitteiden etsinnän avulla voit parantaa näkyvyyttä hallitsemattomiin laitteisiin, arvioida niiden suojausasennon ja ryhtyä asianmukaisiin toimiin niiden suojaamiseksi.
Tässä artikkelissa kuvataan, miten voit tarkastella ja arvioida laitteiden etsinnän löytämiä laitteita Microsoft Defender for Endpoint. Opit myös noutamaan tietoja laitteista, joita ei ole otettu käyttöön Microsoft Defender for Endpoint, ja miten voit kysellä tietoja havaituista laitteista.
Ennakkovaatimukset
Tuetut käyttöjärjestelmät
- Windows 10 ja uudemmat
- Windows Server 2019 ja sitä uudemmat versiot.
Valvo laitteiden varastossa laitteita, jotka eivät ole perehdyttäneet
Voit tarkistaa löydettyjen laitteiden luettelon laitteista, joita ei ole otettu Defender for Endpointiin.
Huomautus
Ei-perehdytty laite säilyy Defender-portaalissa (yli 180 päivää), jos jokin näistä ehdoista täyttyy:
- Samassa verkossa oleva perehdytyspäätepiste löytää laitteen
- Ot-tunnistin löytää laitteen
Jos haluat arvioida näitä laitteita, siirry laitteen varastoon ja käytä Perehdyttämisen tilasuodatinta jollakin seuraavista arvoista:
| Arvo | Kuvaus |
|---|---|
| Perehdytys | Päätepiste lisätään Defender for Endpointiin. |
| Voidaan perehdyttää | Defender for Endpoint löytää laitteen verkosta ja tukee sen käyttöjärjestelmää, mutta laitetta ei ole otettu käyttöön. Huomautus: - Suosittelemme, että otat kyseiset laitteet käyttöön. - Saatat huomata eroja alla lueteltujen laitteiden määrän välillä, jotka voidaan ottaa käyttöön laitevarastossa, käyttöönotossa Microsoft Defender for Endpoint suojaussuosituksessa ja laitteissa, jotka ovat koontinäytön pienoissovelluksessa. Suojaussuositus ja koontinäytön pienoissovellus on tarkoitettu laitteille, jotka ovat vakaat verkossa, lukuun ottamatta lyhytaikaisia laitteita, vieraslaitteita ja muita. Ajatuksena on suositella pysyvissä laitteissa, jotka vaikuttavat myös organisaation yleisiin suojauspisteisiin. |
| Jota ei tueta | Defender for Endpoint löytää päätepisteen, mutta ei tue laitetta. |
| Riittämättömät tiedot | Järjestelmä ei pystynyt määrittämään laitteen tukea. Voit rikastaa löydettyjä määritteitä ottamalla käyttöön vakioetsinnän useammissa verkon laitteissa. |
Käyttöönotossa ei-hallitut laitteet
Voit käyttää hallitsemattomia laitteita manuaalisesti. Verkon hallitsemattomat päätepisteet aiheuttavat verkon heikkouksia ja riskejä. Niiden käyttöönotto palveluun voi lisätä niiden suojausnäköä.
Käytä kehittynyttä metsästystä löytynneissä laitteissa
Voit käyttää kehittyneitä metsästyskyselyitä saadaksesi näkyvyyttä löytyneissä laitteissa. DeviceNetworkInfo-taulukosta löydät tietoja löytyneistä laitteista tai kyseisistä laitteista verkkoon liittyvistä tiedoista DeviceNetworkInfo-taulukosta.
Vihje
Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.
Tutustu verkon laitteisiin
Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi lisää kontekstia kustakin verkkonimestä, joka on kuvattu verkkoluettelossa. Kyselyssä luetellaan kaikki käyttöön otetut laitteet, jotka on yhdistetty tiettyyn verkkoon viimeisten seitsemän päivän aikana.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Hae tietoja laitteesta
Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi uusimmat täydelliset tiedot tietystä laitteesta.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Kysely löydettyjen laitteiden tiedoista
Suorita tämä kysely DeviceInfo-taulukossa palauttaaksesi kaikki löydetyt laitteet sekä kunkin laitteen ajan tasalla olevat tiedot:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Käynnistämällä SeenBy-funktion kehittyneessä metsästyskyselyssä saat lisätietoja siitä, missä laitteessa löydetty laite on nähnyt. Nämä tiedot voivat auttaa määrittämään kunkin löydetyn laitteen verkkosijainnin ja sen jälkeen auttaa tunnistamaan sen verkossa.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Lisätietoja on SeenBy() -funktiossa.
Kyselyn tekeminen verkkoon liittyvistä tiedoista
Laitteiden resurssienetsintä hyödyntää Defender for Endpoint onboarded -laitteita verkon tietolähteenä ja määritti toimintoja muille kuin perehdyttäville laitteille. Defender for Endpoint onboarded -laitteen verkkotunnistin tunnistaa kaksi uutta yhteystyyppiä:
- ConnectionAttempt – Yritys muodostaa TCP-yhteys (syn)
- ConnectionAcknowledged – Tieto siitä, että TCP-yhteys hyväksyttiin (syn\ack)
Tämä tarkoittaa sitä, että kun ei-perehdyttänyt laite yrittää viestiä perehdytetyssä Endpoint-laitteessa olevan Defenderin kanssa, yritys luo DeviceNetworkEvent-elementin, ja ei-perehdyttämättömät laitteen toiminnot näkyvät laitteen aikajanalla ja Advanced hunting DeviceNetworkEvents -taulukossa.
Voit kokeilla tätä esimerkkikyselyä:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Havaittujen laitteiden haavoittuvuuksien arviointi
Microsoft Defenderin haavoittuvuuksien hallinta havaitsee riskejä laitteissasi ja muissa verkon havaituissa, hallitsemattomina laitteissa.
Jos haluat tarkastella olennaisia haavoittuvuuksia, katso Altistumisen hallinnan>suositukset -sivu ja muut entiteettisivut Defender-portaalissa.
Voit esimerkiksi hakea suojaussuositusten luettelosta SSH-haavoittuvuuksia , jotka liittyvät hallitsemattomiin ja hallittuihin laitteisiin.
Lisätietoja haavoittuvuuksien hallintaominaisuuksista on kohdassa Microsoft Defenderin haavoittuvuuksien hallinta.