מבט כולל על גילוי מכשירים

חל על:

• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender XDR

הגנה על הסביבה שלך מחייבת רישום מלאי של המכשירים ברשת שלך. עם זאת, מיפוי מכשירים ברשת עשוי לעתים קרובות להיות יקר, מאתגר ומושך זמן.

Microsoft Defender עבור נקודת קצה מספק יכולת גילוי מכשיר שמסייעת לך למצוא מכשירים לא מנוהלים המחוברים לרשת הארגונית שלך ללא צורך במכשירים נוספים או בשינויי תהליך מסורבלים. גילוי המכשיר משתמש ב נקודות קצה מחוברות, ברשת שלך כדי לאסוף, לבדוק או לסרוק את הרשת שלך כדי לגלות מכשירים לא מנוהלים. יכולת גילוי המכשיר מאפשרת לך לגלות:

• נקודות קצה ארגוניות (תחנות עבודה, שרתים ומכשירים ניידים) שעדיין אינן מחוברות ל- Defender for Endpoint
• התקני רשת כגון נתבים ומתגים
• מכשירי IoT כגון מדפסות ומצלמות

התקנים לא ידועים ולא מנוהלים מציגים סיכונים משמעותיים לרשת - בין אם זו מדפסת לא חוקית, התקני רשת עם תצורות אבטחה חלשות או שרת ללא פקדי אבטחה. לאחר שהמכשירים התגלו, תוכל:

• קלוט נקודות קצה לא מנוהלות לשירות והגדל את ניראות האבטחה שלהן.
• צמצם את משטח התקיפה על-ידי זיהוי והערכת פגיעויות, וזיהוי פערי תצורה.

צפה בסרטון וידאו זה לקבלת סקירה מהירה של האופן שבו ניתן להעריך מכשירים לא מנוהלים ש- Defender for Endpoint גילה וקלוט אותם.

עם יכולת זו, המלצה אבטחה לצירוף מכשירים אל Defender for Endpoint זמינה כחלק מחווית ניהול פגיעויות של Microsoft Defender הקיימת.

שיטות גילוי

באפשרותך לבחור את מצב הגילוי שבו ייעשה שימוש במכשירים הקלוטים שלך. המצב קובע את רמת הניראות שניתן להשיג עבור מכשירים לא מנוהלים ברשת הארגונית שלך.

קיימים שני מצבי גילוי זמינים:

• גילוי בסיסי: במצב זה, נקודות קצה אוספים באופן פאסיבי אירועים ברשת שלך ומחלצת מהם מידע על המכשיר. גילוי בסיסי משתמש SenseNDR.exe בינארי עבור איסוף נתוני רשת פאסיבי ולא מופעלת תעבורת רשת. נקודות קצה מחלץ נתונים מכל תעבורת הרשת שמכשיר רשום ראה. עם גילוי בסיסי, אתה משיג ניראות מוגבלת בלבד של נקודות קצה לא מנוהלות ברשת שלך.

• גילוי רגיל (מומלץ): מצב זה מאפשר ל נקודות קצה למצוא באופן פעיל מכשירים ברשת שלך כדי להעשיר את הנתונים שנאספו ולגלות מכשירים נוספים - כדי לעזור לך לבנות מלאי מכשירים מהימן ו עקבי. בנוסף למכשירים שנצפתו באמצעות השיטה פאסיבית, מצב רגיל משתמש גם בפרוטוקולי גילוי נפוצים המשתמשים בשאילתות שידור לקבוצה ברשת כדי למצוא מכשירים נוספים. מצב רגיל משתמש ב probing חכם ופעיל כדי לגלות מידע נוסף על מכשירים שנצפה כדי להעשיר מידע קיים על המכשיר. כאשר מצב רגיל מופעל, ייתכן שפעילות רשת מינימלית וזנילה שנוצרה על-ידי חיישן הגילוי תתגלה על-ידי כלי ניטור הרשת בארגון שלך.

באפשרותך לשנות ולהתאים אישית את הגדרות הגילוי שלך, לקבלת מידע נוסף, ראה קביעת תצורה של גילוי מכשירים.

חשוב

גילוי רגיל הוא מצב ברירת המחדל עבור כל הלקוחות החל מ- 19 ביולי, 2021. באפשרותך לבחור לשנות תצורה זו ל'בסיסי' דרך דף ההגדרות. אם תבחר במצב בסיסי, תהיה לך רק ניראות מוגבלת של נקודות קצה לא מנוהלות ברשת שלך.

מנגנון הגילוי מבחין בין אירועי רשת שמתקבלים ברשת הארגונית לעומת מחוץ לרשת הארגונית. מכשירים שאינם מחוברים לרשתות ארגוניות לא יתגלה או יופיעו במלאי המכשירים.

מלאי מכשירים

מכשירים שהתגלו, אך אינם מחוברים ל- Defender for Endpoint ומאובטחים, מפורטים במלאי המכשירים.

כדי להעריך מכשירים אלה, באפשרותך להשתמש במסנן ברשימת מלאי המכשירים שנקרא מצב צירוף, שיכול להכיל כל אחד מהערכים הבאים:

• מחובר: נקודת הקצה מחוברת ל- Defender for Endpoint.
• ניתן להקלוט: נקודת הקצה התגלתה ברשת ומערכת ההפעלה זוהתה כמערכת הנתמכת על-ידי Defender for Endpoint, אך היא אינה מחוברת כעת. אנו ממליצים מאוד לקלוט מכשירים אלה.
• לא נתמך: נקודת הקצה התגלתה ברשת אך אינה נתמכת על-ידי Defender for Endpoint.
• מידע לא מספיק: למערכת לא היתה אפשרות לקבוע את יכולת התמיכה של המכשיר. הפיכת גילוי סטנדרטי לניתן במכשירים רבים יותר ברשת יכולה להעשיר את התכונות שהתגלו.

עצה

תמיד תוכל להחיל מסננים כדי לא לכלול מכשירים לא מנוהלים ברשימת המלאי של המכשירים. באפשרותך גם להשתמש בעמודה מצב צירוף בשאילתות API כדי לסנן התקנים לא מנוהלים.

לקבלת מידע נוסף, ראה מלאי מכשירים.

גילוי התקן רשת

מספר גדול של התקני רשת לא מנוהלים הפרוסים בארגון יוצר שטח תקיפה גדול, והוא מהווה סיכון משמעותי לארגון כולו. יכולות הגילוי של רשת Defender for Endpoint עוזרות לך להבטיח שהמכשירים ברשת התגלו, מסווגים במדויק ויתווספו למלאי הנכסים.

התקני רשת אינם מנוהלים כ נקודות קצה רגילות, מפני של- Defender for Endpoint אין חיישן המוכלל במכשירי הרשת עצמם. סוגים אלה של מכשירים דורשים גישה ללא סוכן שבה סריקה מרחוק משיגה את המידע הדרוש מהמכשירים. לשם כך, מכשיר ייעודי של Defender עבור נקודת קצה משמש בכל מקטע רשת כדי לבצע סריקות מאומתות תקופתיות של התקני רשת שתצורתם נקבעה מראש. יכולות ניהול פגיעויות של Defender for Endpoint מספקות זרימות עבודה משולבות לאבטחת מתגים, נתבים, בקרי WLAN, חומות אש ושערי VPN.

לקבלת מידע נוסף, ראה התקני רשת.

שילוב גילוי מכשירים

כדי לטפל באתגר של השגת ניראות מספיקה לאיתור, זיהוי ואבטחת מלאי הנכסים המלא של OT/IOT Defender for Endpoint תומך כעת בשילוב הבא:

• Microsoft Defender עבור IoT: שילוב זה משלב בין יכולות גילוי המכשיר של Defender עבור נקודת קצה, עם יכולות הניטור ללא סוכן של Microsoft Defender עבור IoT, כדי לאבטח התקני IoT ארגוניים המחוברים לרשת IT (לדוגמה, Voice over Internet Protocol (VoIP), מדפסות וטלוויזיות חכמות). לקבלת מידע נוסף, ראה הפיכת אבטחת Enterprise IoT לזמינה באמצעות Defender for Endpoint.

הערכת פגיעות במכשירים שהתגלו

פגיעויות וסיכונים במכשירים שלך וכן במכשירים לא מנוהלים אחרים שהתגלו ברשת הם חלק מזרימות ניהול הפגיעות הנוכחיות של Defender תחת "המלצות אבטחה" ומיוצגות בעמודי ישות ברחבי הפורטל. חיפוש המלצות אבטחה קשורות של "SSH" כדי למצוא פגיעויות SSH הקשורות למכשירים לא מנוהלים ומנוהליים.

שימוש בחיפוש מתקדם במכשירים שהתגלו

באפשרותך להשתמש בשאילתות ציד מתקדמות כדי לקבל ניראות במכשירים שהתגלו. חפש פרטים אודות מכשירים שהתגלו בטבלה DeviceInfo, או מידע הקשור לרשת אודות מכשירים אלה, בטבלה DeviceNetworkInfo.

פרטי מכשירים שהתגלו בשאילתה

הפעל שאילתה זו בטבלה DeviceInfo כדי להחזיר את כל המכשירים שהתגלו יחד עם הפרטים העדכניים ביותר עבור כל מכשיר:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

על-ידי הפעלת הפונקציה SeenBy , בשאילתת הציד המתקדמות שלך, תוכל לקבל פרטים על המכשיר הרשום שתגלה על-ידי מכשיר שנראה על-ידיו. מידע זה יכול לסייע בקביעת מיקום הרשת של כל מכשיר שהתגלה ולאחר מכן, לסייע בזיהוי שלו ברשת.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

לקבלת מידע נוסף, עיין בפונקציה SeenBy( ).

שאילתה על מידע קשור לרשת

גילוי מכשירים ממנף את Defender עבור מכשירים מחוברים של נקודת קצה כמקור נתונים ברשת כדי לתכונות פעילויות למכשירים שאינם מחוברים. חיישן הרשת במכשיר הרשום על-ידי Defender for Endpoint מזהה שני סוגי חיבורים חדשים:

• ConnectionAttempt - ניסיון ליצור חיבור TCP (syn)
• ConnectionAcknowledged - אישור שחיבור TCP התקבל (syn\ack)

משמעות הדבר היא כי כאשר מכשיר שאינו מחובר מנסה לקיים תקשורת עם מכשיר מבוסס-Defender עבור נקודת קצה, הניסיון יוצר DeviceNetworkEvent ואת פעילויות המכשיר שאינן מחוברות ניתן לראות בציר הזמן של המכשיר הצירוף, באמצעות הטבלה Advanced hunting DeviceNetworkEvents.

באפשרותך לנסות שאילתה לדוגמה זו:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

השלבים הבאים

• קבע תצורה של גילוי מכשירים
• שאלות נפוצות בנושא גילוי מכשירים

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.