Jaa


Laitteiden etsinnän yleiskatsaus

Koskee seuraavia:

Ympäristön suojaaminen edellyttää verkkosi laitteiden luettelon ottamista. Verkon kartoituslaitteet voivat kuitenkin usein olla kalliita, haastavia ja aikaa vieviä.

Microsoft Defender for Endpoint tarjoaa laitteen etsintäominaisuuden, jonka avulla voit etsiä yritysverkkoosi yhdistettyjä hallitsemattomia laitteita ilman lisälaitteita tai työläitä prosessimuutoksia. Laitteiden etsintä käyttää verkkosi perehdyttyjä päätepisteitä keräämään, tutkimaan tai skannaamaan verkkosi hallitsemattomien laitteiden löytämiseksi. Laitteen etsintäominaisuuden avulla voit löytää seuraavat:

  • Yrityksen päätepisteet (työasemat, palvelimet ja mobiililaitteet), joita ei ole vielä otettu käyttöön Defender for Endpointissa
  • Verkkolaitteet, kuten reitittimet ja kytkimet
  • IoT-laitteet, kuten tulostimet ja kamerat

Tuntemattomat ja hallitsemattomat laitteet aiheuttavat merkittäviä riskejä verkossasi – olipa kyse sitten tallentamattomasta tulostimesta, verkkolaitteista, joilla on heikot suojausmääritykset, tai palvelimesta, jossa ei ole suojaustoimia. Kun laitteet on löydetty, voit tehdä seuraavaa:

  • Palvelun hallitsemattomat päätepisteet käyttöönotossa, mikä lisää niiden suojausnäkyvyyttä.
  • Pienennä hyökkäyspintaa tunnistamalla ja arvioimalla haavoittuvuuksia sekä havaitsemalla määritysaukkoja.

Katso tästä videosta lyhyt yleiskatsaus siitä, miten voit arvioida ja ottaa käyttöön hallitsemattomia laitteita, jotka Defender for Endpoint löysi.

Tämän ominaisuuden ansiosta suojaussuositus laitteiden käyttöönottoon Defender for Endpointille on saatavilla osana nykyistä Microsoft Defenderin haavoittuvuuden hallintakokemusta.

Etsintämenetelmät

Voit valita käyttöön otettujen laitteiden käyttämän etsintätilan. Tila määrittää näkyvyyden tason, jonka voit saada yritysverkkosi hallitsemattomille laitteille.

Käytettävissä on kaksi etsintätapaa:

  • Perusetsintä: Tässä tilassa päätepisteet keräävät passiivisesti verkon tapahtumia ja poimivat niistä laitetietoja. Perusetsintä käyttää passiivisen verkkotietojen keräämisen SenseNDR.exe binaaria, eikä verkkoliikennettä aloiteta. Päätepisteet poimivat tietoja kaikesta perehdytetyssä laitteessa nähdystä verkkoliikenteestä. Perusetsinnän avulla saat vain rajoitetun näkyvyyden verkon hallitsemattomiin päätepisteisiin.

  • Vakioetsintä (suositus): Tämän tilan avulla päätepisteet voivat aktiivisesti etsiä laitteita verkostasi ja rikastaa kerättyjä tietoja ja löytää lisää laitteita – mikä auttaa sinua luomaan luotettavan ja yhtenäisen laitevaraston. Passiivista menetelmää käyttävien laitteiden lisäksi vakiotilassa käytetään myös yleisiä etsintäprotokollia, jotka käyttävät verkon monilähetyskyselyitä laitteiden etsimiseen. Vakiotilassa käytetään älykästä ja aktiivista tutkimista lisätietojen löytämiseksi havaituista laitteista olemassa olevien laitetietojen täydentämiseksi. Kun vakiotila on käytössä, organisaation verkon valvontatyökalut saattavat havaita etsintäanturin luoman vähäisen ja vähäisen verkkotoiminnan.

Voit muuttaa ja mukauttaa etsintäasetuksia. Lisätietoja on kohdassa Laitteiden etsinnän määrittäminen.

Tärkeää

Vakioetsintä on oletustila kaikille asiakkaille 19.7.2021 alkaen. Voit muuttaa tämän määrityksen perusasetuksiksi asetussivulla. Jos valitset perustilan, saat vain rajoitetun näkyvyyden verkon hallitsemattomiin päätepisteisiin.

Etsintämoduuli erottaa yritysverkossa vastaanotetut verkkotapahtumat yritysverkon ulkopuolisiin tapahtumiin verrattuna. Laitteita, joita ei ole yhdistetty yritysverkkoihin, ei löydetä eikä luetellaan laitevarastossa.

Laiteluettelo

Laitteet, jotka löydettiin, mutta joita ei ole otettu käyttöön ja jotka Defender on suojannut päätepisteelle, luetellaan laiteluettelossa.

Näiden laitteiden arvioimiseksi voit käyttää laitteen varastoluettelossa olevaa suodatinta nimeltä Perehdytystila, jolla voi olla jokin seuraavista arvoista:

  • Otettu käyttöön: Päätepiste on otettu käyttöön Defender for Endpointissa.
  • Voidaan upota: Päätepiste löydettiin verkosta ja käyttöjärjestelmä tunnistettiin sellaiseksi, jota Defender for Endpoint tukee, mutta jota ei ole tällä hetkellä otettu käyttöön. Suosittelemme, että otat nämä laitteet käyttöön.
  • Ei tuettu: Päätepiste löytyi verkosta, mutta Defender ei tue sitä päätepisteelle.
  • Riittämättömät tiedot: Järjestelmä ei pystynyt määrittämään laitteen tukea. Vakioetsinnän ottaminen käyttöön useammissa verkon laitteissa voi rikastuttaa löydettyjä määritteitä.

Laitteen varaston koontinäyttö

Vihje

Voit aina käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.

Lisätietoja on kohdassa Laiteluettelo.

Verkkolaitteen etsintä

Organisaatiossa käyttöönotettujen hallitsemattomien verkkolaitteiden suuri määrä aiheuttaa suuren hyökkäysalueen ja muodostaa merkittävän riskin koko yritykselle. Defender for Endpoint -verkon etsintäominaisuuksien avulla voit varmistaa, että verkkolaitteet löydetään, luokitellaan tarkasti ja lisätään resurssivarastoon.

Verkkolaitteita ei hallita tavallisina päätepisteinä, koska Defender for Endpointissa ei ole itse verkkolaitteisiin sisäänrakennettua tunnistinta. Tämäntyyppiset laitteet edellyttävät agenttitonta lähestymistapaa, jossa etätarkistus saa tarvittavat tiedot laitteista. Tätä varten kussakin verkkosegmentissä käytetään määritettyä Defender for Endpoint -laitetta esimääritettyjen verkkolaitteiden säännöllisten todennustarkistusten suorittamiseen. Defender for Endpointin haavoittuvuuden hallintaominaisuudet tarjoavat integroituja työnkulkuja löydettyjen kytkimien, reitittimien, WLAN-ohjainten, palomuurien ja VPN-yhdyskäytävien suojaamiseksi.

Lisätietoja on kohdassa Verkkolaitteet.

Laitteiden etsinnän integrointi

Jos haluat vastata haasteeseen saada tarpeeksi näkyvyyttä, jotta voit paikantaa, tunnistaa ja suojata täydellisen OT/IOT-resurssivaraston Defender for Endpointin, tukee nyt seuraavaa integrointia:

Löydettyjen laitteiden haavoittuvuuden arviointi

Laitteidesi sekä muiden verkossa havaittujen hallitsemattomien laitteiden haavoittuvuudet ja riskit ovat osa suojaussuositusten nykyistä Defenderin haavoittuvuuden hallintatyönkulkua, ja ne esitetään portaalin entiteettisivuilla. Hae SSH-suojaussuosituksia, jotta löydät SSH-haavoittuvuudet, jotka liittyvät hallitsemattomiin ja hallittuihin laitteisiin.

Suojaussuositusten koontinäyttö

Käytä kehittynyttä metsästystä löytynneissä laitteissa

Voit käyttää kehittyneitä metsästyskyselyitä saadaksesi näkyvyyttä löytyneissä laitteissa. DeviceNetworkInfo-taulukosta löydät tietoja löytyneistä laitteista tai kyseisistä laitteista verkkoon liittyvistä tiedoista DeviceNetworkInfo-taulukosta.

Lisämetsästyssivu, jolla kyselyitä voi käyttää

Kysely löydettyjen laitteiden tiedoista

Suorita tämä kysely DeviceInfo-taulukossa palauttaaksesi kaikki löydetyt laitteet sekä kunkin laitteen ajan tasalla olevat tiedot:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Käynnistämällä SeenBy-funktion kehittyneessä metsästyskyselyssä saat lisätietoja siitä, missä laitteessa löydetty laite on nähnyt. Nämä tiedot voivat auttaa määrittämään kunkin löydetyn laitteen verkkosijainnin ja sen jälkeen auttaa tunnistamaan sen verkossa.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Lisätietoja on SeenBy() -funktiossa.

Laitteiden resurssienetsintä hyödyntää Defender for Endpoint onboarded -laitteita verkon tietolähteenä ja määritti toimintoja muille kuin perehdyttäville laitteille. Defender for Endpoint onboarded -laitteen verkkotunnistin tunnistaa kaksi uutta yhteystyyppiä:

  • ConnectionAttempt – Yritys muodostaa TCP-yhteys (syn)
  • ConnectionAcknowledged – Tieto siitä, että TCP-yhteys hyväksyttiin (syn\ack)

Tämä tarkoittaa sitä, että kun ei-perehdyttänyt laite yrittää viestiä perehdytetyssä Endpoint-laitteessa olevan Defenderin kanssa, yritys luo DeviceNetworkEvent-elementin, ja ei-perehdyttämättömät laitteen toiminnot näkyvät laitteen aikajanalla ja Advanced hunting DeviceNetworkEvents -taulukossa.

Voit kokeilla tätä esimerkkikyselyä:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.