Vue d’ensemble de la découverte d’appareils

S’applique à :

La protection de votre environnement nécessite de faire l’inventaire des appareils de votre réseau. Toutefois, le mappage des appareils d’un réseau peut souvent être coûteux, difficile et fastidieux.

Microsoft Defender pour point de terminaison fournit une fonctionnalité de découverte d’appareils qui vous permet de trouver des appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appliances supplémentaires ou de modifications de processus fastidieuses. La découverte d’appareils utilise des points de terminaison intégrés, dans votre réseau, pour collecter, sonder ou analyser votre réseau afin de découvrir des appareils non gérés. La fonctionnalité de découverte d’appareil vous permet de découvrir :

  • Points de terminaison d’entreprise (stations de travail, serveurs et appareils mobiles) qui ne sont pas encore intégrés à Microsoft Defender pour point de terminaison
  • Périphériques réseau tels que les routeurs et les commutateurs
  • Appareils IoT tels que les imprimantes et les caméras

Les appareils inconnus et non gérés présentent des risques importants pour votre réseau, qu’il s’agisse d’une imprimante non corrigée, de périphériques réseau avec des configurations de sécurité faibles ou d’un serveur sans contrôle de sécurité. Une fois les appareils découverts, vous pouvez :

  • Intégrer des points de terminaison non gérés au service, ce qui augmente la visibilité de la sécurité sur ces derniers.
  • Réduire la surface d’attaque en identifiant et en évaluant les vulnérabilités, et en détectant les lacunes de configuration.

Regardez cette vidéo pour obtenir une vue d’ensemble rapide de l’évaluation et de l’intégration d’appareils non gérés qui Microsoft Defender pour point de terminaison découverts.

Parallèlement à cette fonctionnalité, une recommandation de sécurité pour intégrer des appareils à Microsoft Defender pour point de terminaison est disponible dans le cadre de l’expérience de Gestion des vulnérabilités Microsoft Defender existante.

Méthodes de détection

Vous pouvez choisir le mode de découverte à utiliser par vos appareils intégrés. Le mode contrôle le degré de visibilité que vous pouvez avoir pour les appareils non gérés dans votre réseau d’entreprise.

Deux modes de détection sont disponibles :

  • Découverte de base : dans ce mode, les points de terminaison collectent passivement les événements dans votre réseau et en extraient les informations sur les appareils. La découverte de base utilise le binaire SenseNDR.exe pour la collecte de données réseau passive et aucun trafic réseau n’est initié. Les points de terminaison extraient des données de chaque trafic réseau vu par un appareil intégré. Avec la détection de base, vous bénéficiez uniquement d’une visibilité limitée des points de terminaison non gérés dans votre réseau.

  • Découverte standard (recommandée) : ce mode permet aux points de terminaison de rechercher activement des appareils dans votre réseau pour enrichir les données collectées et découvrir d’autres appareils, ce qui vous aide à créer un inventaire des appareils fiable et cohérent. En plus des appareils qui ont été observés à l’aide de la méthode passive, le mode standard tire également parti des protocoles de découverte courants qui utilisent des requêtes de multidiffusion dans le réseau pour trouver encore plus d’appareils. Le mode Standard utilise une détection active intelligente pour découvrir des informations supplémentaires sur les appareils observés afin d’enrichir les informations existantes sur les appareils. Lorsque le mode Standard est activé, l’activité réseau minimale et négligeable générée par le capteur de découverte peut être observée par les outils de surveillance réseau de votre organization.

Vous pouvez modifier et personnaliser vos paramètres de découverte. Pour plus d’informations, consultez Configurer la découverte d’appareils.

Importante

La découverte standard est le mode par défaut pour tous les clients à partir du 19 juillet 2021. Vous pouvez choisir de modifier cette configuration en basic via la page des paramètres. Si vous sélectionnez le mode de base, vous n’avez qu’une visibilité limitée des points de terminaison non gérés dans votre réseau.

Remarque

Le moteur de détection fait la distinction entre les événements réseau reçus dans le réseau d’entreprise et en dehors du réseau d’entreprise. Les appareils qui ne sont pas connectés aux réseaux d’entreprise ne seront pas découverts ou répertoriés dans l’inventaire des appareils.

Inventaire des appareils

Les appareils qui ont été découverts mais qui n’ont pas encore été intégrés et sécurisés par Microsoft Defender pour point de terminaison sont répertoriés dans l’inventaire des appareils sous l’onglet Ordinateurs et mobiles.

Pour évaluer ces appareils, vous pouvez utiliser un filtre dans la liste d’inventaire des appareils appelé Status d’intégration, qui peut avoir l’une des valeurs suivantes :

  • Intégré : le point de terminaison est intégré à Microsoft Defender pour point de terminaison.
  • Peut être intégré : le point de terminaison a été découvert dans le réseau et le système d’exploitation a été identifié comme étant pris en charge par Microsoft Defender pour point de terminaison, mais il n’est pas actuellement intégré. Nous vous recommandons vivement d’intégrer ces appareils.
  • Non pris en charge : le point de terminaison a été découvert dans le réseau, mais n’est pas pris en charge par Microsoft Defender pour point de terminaison.
  • Informations insuffisantes : le système n’a pas pu déterminer la prise en charge de l’appareil. L’activation du mode de détection standard sur davantage d’appareils du réseau peut enrichir les attributs détectés.

Tableau de bord de l’inventaire des appareils

Conseil

Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.

Pour plus d’informations, consultez Inventaire des appareils.

Détection de périphériques réseau

Le grand nombre d’appareils réseau non gérés déployés dans un organization crée une grande surface d’attaque et représente un risque important pour l’ensemble de l’entreprise. Microsoft Defender pour point de terminaison fonctionnalités de découverte de réseau vous permettent de vous assurer que les appareils réseau sont découverts, classés avec précision et ajoutés à l’inventaire des ressources.

Les appareils réseau ne sont pas gérés en tant que points de terminaison standard, car Defender pour point de terminaison n’a pas de capteur intégré aux appareils réseau eux-mêmes. Ces types d’appareils nécessitent une approche sans agent où une analyse à distance obtient les informations nécessaires auprès des appareils. Pour ce faire, un appareil Microsoft Defender pour point de terminaison désigné est utilisé sur chaque segment réseau pour effectuer des analyses authentifiées périodiques d’appareils réseau préconfigurés. Les fonctionnalités de gestion des vulnérabilités de Defender pour point de terminaison fournissent des workflows intégrés pour sécuriser les commutateurs découverts, les routeurs, les contrôleurs WLAN, les pare-feu et les passerelles VPN.

Pour plus d’informations, consultez Périphériques réseau.

Intégration de la découverte d’appareils

Pour relever le défi d’obtenir une visibilité suffisante pour localiser, identifier et sécuriser votre inventaire complet des ressources OT/IOT Microsoft Defender pour point de terminaison prend désormais en charge l’intégration suivante :

  • Microsoft Defender pour IoT : cette intégration combine les fonctionnalités de découverte d’appareils de Microsoft Defender pour point de terminaison et les fonctionnalités de surveillance sans agent de Microsoft Defender pour IoT, afin de sécuriser les appareils IoT d’entreprise connectés à un réseau informatique (par exemple, VoIP (Voice over Internet Protocol), les imprimantes et les téléviseurs intelligents). Pour plus d’informations, consultez Activer la sécurité IoT d’entreprise avec Defender pour point de terminaison.

Évaluation des vulnérabilités sur les appareils détectés

Les vulnérabilités et les risques sur vos appareils, ainsi que sur d’autres appareils non gérés découverts dans le réseau, font partie des flux actuels de gestion des vulnérabilités Defender sous « Recommandations de sécurité » et sont représentés dans les pages d’entité sur le portail. Recherchez les recommandations de sécurité liées à « SSH » pour rechercher les vulnérabilités SSH liées aux appareils non managés et gérés.

Tableau de bord des recommandations de sécurité

Utiliser le repérage avancé sur les appareils détectés

Vous pouvez utiliser des requêtes de repérage avancées pour gagner en visibilité sur les appareils découverts. Recherchez des détails sur les appareils découverts dans la table DeviceInfo, ou des informations relatives au réseau sur ces appareils, dans la table DeviceNetworkInfo.

Page Repérage avancé sur laquelle les requêtes peuvent être utilisées

Interroger les détails des appareils découverts

Exécutez cette requête sur la table DeviceInfo pour retourner tous les appareils découverts, ainsi que les détails les plus récents pour chaque appareil :

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

En appelant la fonction SeenBy , dans votre requête de repérage avancée, vous pouvez obtenir des détails sur l’appareil intégré par lequel un appareil découvert a été vu. Ces informations peuvent aider à déterminer l’emplacement réseau de chaque appareil découvert et, par la suite, à l’identifier dans le réseau.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Pour plus d’informations, consultez la fonction SeenBy().

La découverte d’appareils tire parti Microsoft Defender pour point de terminaison appareils intégrés en tant que source de données réseau pour attribuer des activités à des appareils non intégrés. Le capteur réseau sur l’appareil intégré à Microsoft Defender pour point de terminaison identifie deux nouveaux types de connexion :

  • ConnectionAttempt : tentative d’établissement d’une connexion TCP (syn)
  • ConnectionAcknowledged : accusé de réception qu’une connexion TCP a été acceptée (syn\ack)

Cela signifie que lorsqu’un appareil non intégré tente de communiquer avec un appareil Microsoft Defender pour point de terminaison intégré, la tentative génère un DeviceNetworkEvent et les activités de l’appareil non intégré peuvent être affichées sur l’appareil intégré chronologie et via la table DeviceNetworkEvents de repérage avancé.

Vous pouvez essayer cet exemple de requête :

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Prochaines étapes

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.