שתף באמצעות

שאלות נפוצות בנושא גילוי מכשירים

  • מאמר

חל על:

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

מצא תשובות לשאלות נפוצות (שאלות נפוצות) אודות גילוי מכשירים.

מהו מצב גילוי בסיסי?

מצב זה מאפשר לכל Microsoft Defender עבור נקודת קצה מחובר לאסוף נתוני רשת ולגלות מכשירים שכנים. נקודות קצה מחוברות אוספים באופן פאסיבי אירועים ברשת ומחלצת מהם מידע אודות ההתקן. לא אותחלה תעבורת רשת. נקודות קצה מחוברות מחלץ נתונים מכל תעבורת רשת שמכשיר רשום יכול לראות. נתונים אלה משמשים ליצירת רשימה של מכשירים לא מנוהלים ברשת שלך.

האם ניתן להפוך את הגילוי הבסיסי ללא זמין?

יש לך אפשרות לכבות את גילוי המכשיר באמצעות הדף 'תכונות מתקדמות '. עם זאת, אתה תאבד את הניראות במכשירים לא מנוהלים ברשת שלך. שים לב, גם אם גילוי SenseNDR.exe, המכשירים עדיין פועלים במכשירים הקלוטים.

מהו מצב גילוי רגיל?

במצב זה, נקודות קצה מחוברות ל- Microsoft Defender עבור נקודת קצה לבחון באופן פעיל התקנים שנצפתו ברשת כדי להעשיר את הנתונים שנאספו (עם כמות זנעת של תעבורת רשת). רק מכשירים שנצפתו על-ידי מצב הגילוי הבסיסי נבחנו באופן פעיל במצב רגיל. מצב זה מומלץ מאוד לבניית מלאי מכשירים מהימן ו עקבי. אם תבחר להפוך מצב זה ללא זמין, ותבחר מצב גילוי בסיסי, ייתכן שתשיג ניראות מוגבלת בלבד של נקודות קצה לא מנוהלות ברשת שלך.

מצב רגיל גם ממנף פרוטוקולי גילוי נפוצים המשתמשים בשאילתות שידור לקבוצה ברשת כדי למצוא מכשירים נוספים, בנוסף לפרוטוקולים שנצפתו באמצעות השיטה הה פאסיבית.

האם ניתן לקבוע אילו מכשירים יבצעו גילוי רגיל?

באפשרותך להתאים אישית את רשימת המכשירים המשמשים לביצוע גילוי רגיל. באפשרותך להפוך גילוי רגיל לזמין בכל המכשירים המחוברים גם התומכים ביכולת זו (נכון לעכשיו Windows 10 ואילך ובמכשירים Windows Server 2019 ואילך בלבד) או לבחור קבוצת משנה או ערכות משנה של המכשירים שלך על-ידי ציון תגי המכשיר שלהם. במקרה זה, כל המכשירים האחרים מוגדרים להפעלת גילוי בסיסי בלבד. התצורה זמינה בדף הגדרות גילוי המכשיר.

האם ניתן לא לכלול מכשירים לא מנוהלים ברשימת מלאי המכשירים?

כן, באפשרותך להחיל מסננים כדי לא לכלול מכשירים לא מנוהלים ברשימת מלאי המכשירים. באפשרותך גם להשתמש בעמודה מצב צירוף בשאילתות API כדי לסנן התקנים לא מנוהלים.

אילו מכשירים מחוברים יכולים לבצע גילוי?

מכשירים מחוברים הפועלים בגירסה 1809 ואילך של Windows 10, ב- Windows 11, ב- Windows Server 2019 או ב- Windows Server 2022 יכולים לבצע גילוי.

מה קורה אם המכשירים המחוברים שלי מחוברים לרשת הביתית שלי, או אל נקודת גישה ציבורית?

מנגנון הגילוי מבחין בין אירועי רשת שמתקבלים ברשת הארגונית לעומת מחוץ לרשת הארגונית. על-ידי תיאום מזהי רשת בכל הלקוחות של הדייר, האירועים מו ההבדלים בין האירועים שהתקבלו מרשתות פרטיות ומרשתות ארגוניות. לדוגמה, אם רוב המכשירים בארגון מדווחים שהם מחוברים לאותו שם רשת, עם אותו שער ברירת מחדל וכתובת שרת DHCP, סביר להניח שרשת זו היא רשת ארגונית. התקני רשת פרטית לא יופיעו במלאי ולא ייחקרו באופן פעיל.

אילו פרוטוקולים אתה לו ללכוד ולנתח?

כברירת מחדל, כל המכשירים המחוברים פועלים בגירסה Windows 10 1809 ואילך, Windows 11, Windows Server 2019 או Windows Server 2022 לו ללכוד ולנתח את הפרוטוקולים הבאים: ARP, CDP, DHCP, DHCPv6, IP (כותרות), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN headers), UDP (כותרות), WSD

באיזו פרוטוקולים אתה משתמש לגילוי פעיל ב'גילוי רגיל'?

כאשר התקן מוגדר להפעלת גילוי רגיל, שירותים חשופים נבדקים באמצעות הפרוטוקולים הבאים: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP,CreonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

בנוסף, גילוי מכשירים עשוי גם לסרוק יציאות נפוצות אחרות כדי לשפר את דיוק הסיווג & כיסוי.

כיצד ניתן לא לכלול יעדים בגישת בדיקה באמצעות גילוי רגיל?

אם ישנם התקנים ברשת שלך, שאין לבדוק אותם באופן פעיל, באפשרותך גם להגדיר רשימה של אי-הכללות כדי למנוע את סריקתם. התצורה זמינה בדף הגדרות גילוי המכשיר.

הערה

ההתקנים עדיין עשויים להשיב לניסיונות גילוי של שידור לקבוצה ברשת. מכשירים אלה יתגלה אך לא ייחקרו באופן פעיל.

האם ניתן לא לכלול מכשירים בגילוי?

ככל שגילוי המכשירים משתמש בשיטות פאסיביות כדי לגלות מכשירים ברשת, ניתן לגלות ולרשום במלאי כל מכשיר המתקשר עם המכשירים המחוברים שלך ברשת הארגונית. באפשרותך לא לכלול מכשירים ב probing פעיל בלבד.

באיזו תדירות נמצאת התדירות של התדירות הפעילה?

מכשירים ייחקרו באופן פעיל כאשר שינויים במאפייני המכשיר נצפים כדי לוודא שהמידע הקיים מעודכן (בדרך כלל, מכשירים שנחקרים לא יותר מפעם אחת במהלך תקופה של שלושה שבועות)

כלי האבטחה שלי העלה התראה ב- UnicastScanner.ps1 / PSScript_{GUID}.ps1 או בפעילות סריקת יציאות שהותחלה על-ידיו, מה עליי לעשות?

קבצי ה- Script הפעילים של חיפוש חתומים על-ידי Microsoft, והנם בטוחים. באפשרותך להוסיף את הנתיב הבא לרשימת אי-ההכללה שלך: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

מהי כמות התעבורה שנוצרת על-ידי הבדיקות הפעילות לגילוי רגיל?

גישוש פעיל יכול ליצור עד 50 קילו-בתים של תעבורה בין המכשיר הרשום למכשיר הגישוש, כל ניסיון גישוש

מדוע קיים אי-התאמה בין מכשירים "עשויים להיות מחוברים" במלאי המכשירים, לבין מספר המכשירים שיש להתווסף לאריח לוח המחוונים?

ייתכן שתבחין בהבדלים בין מספר המכשירים המפורטים תחת "ניתן לצרף" במלאי המכשירים, בהמלצת האבטחה "צירוף ל- Microsoft Defender עבור נקודת קצה" ורכיב גרפי של לוח מחוונים "מכשירים לצירוף".

המלצות האבטחה והרכיב הגרפי של לוח המחוונים מיועדות למכשירים יציבים ברשת; לא כולל מכשירים זמניים, מכשירי אורחים ומכשירים אחרים. הרעיון הוא להמליץ על מכשירים מתמידים שמעטים גם על ניקוד האבטחה הכולל של הארגון.

האם ניתן להוסיף מכשירים לא מנוהלים שנמצאו?

כן. באפשרותך להוסיף מכשירים לא מנוהלים באופן ידני. נקודות קצה לא מנוהלות ברשת שלך כוללות פגיעויות וסיכונים ברשת שלך. קליטתם לשירות יכולה להגביר את ניראות האבטחה שלהם.

שמתי לב ש מצב תקינות מכשיר לא מנוהל הוא תמיד "פעיל", למה זה?

באופן זמני, מצב תקינות מכשיר לא מנוהל הוא "פעיל" במהלך תקופת השמירה הסטנדרטית של מלאי המכשיר, ללא קשר למצבו הממשי.

האם הגילוי הסטנדרטי נראה כמו פעילות של רשת זדונית?

בעת התחשבות בגילוי רגיל, ייתכן שאתה תוהה לגבי ההשלכות של תביעת תדירות, ובפרט אם כלי אבטחה עלולים לחשוד בפעילות כזו זד זדונית. סעיף המשנה הבא מסביר מדוע, כמעט בכל המקרים, לארגונים לא צריכים להיות חששות בנוגע להפעלת גילוי רגיל.

Probing מופץ בכל מכשירי Windows ברשת

בניגוד לפעילות זדונית, אשר סורקת בדרך כלל את הרשת כולה מכמה מכשירים שנחשף לסכנה, תדירות הגילוי הסטנדרטית של Microsoft Defender עבור נקודת קצה מופעלת מכל מכשירי Windows הצירוף ובכך הופכים את הפעילות לבינונית שאינה חריגה. ההטבה מנוהלת באופן מרכזי מהענן כדי לאזן את ניסיון הגלישה בין כל המכשירים המשותפים הנתמכים ברשת.

תעבורה פעילה מייצרת כמות זנ נכנסת של תעבורה נוספת

מכשירים לא מנוהלים בדרך כלל נחקרים לא יותר מפעם אחת בתקופה של שלושה שבועות ומפיקים פחות מ- 50KB של תעבורה. פעילות זדונית כוללת בדרך כלל ניסיונות יחסיים רבים שחוזרים על עצמן, ובבמקרים מסוימים, סינון נתונים אשר יוצר כמות משמעותית של תעבורת רשת שניתן לזהות כאנומליה באמצעות כלי ניטור רשת.

מכשיר Windows שלך כבר מפעיל גילוי פעיל

יכולות גילוי פעילות הוטבעו תמיד במערכת ההפעלה Windows, כדי למצוא מכשירים, נקודות קצה ומדפסות סמוכים, לחוויות "הכנס-הפעל" קלות יותר ושיתוף קבצים בין נקודות קצה ברשת. פונקציונליות דומה מיושמת במכשירים ניידים, ציוד רשת ואפליקציות מלאי רק כדי להוסיף שם לכמה מהם.

גילוי רגיל משתמש באותן שיטות גילוי כדי לזהות מכשירים ולכלול ניראות אחידה עבור כל המכשירים ברשת שלך ב-Microsoft Defender XDR המכשירים. לדוגמה – גילוי רגיל מזהה נקודות קצה קרובות ברשת באותו אופן שבו Windows מפרט את המדפסות הזמינות ברשת.

כלי אבטחת הרשת והניטור שונים מפעילויות אלה שבוצעו על-ידי מכשירים ברשת.

מתבצעת בדיקה של מכשירים לא מנוהלים בלבד

יכולות גילוי המכשיר נבנתו כדי לגלות ולזהות רק מכשירים לא מנוהלים ברשת שלך. משמעות הדבר היא שמכשירים שהתגלו בעבר שכבר Microsoft Defender עבור נקודת קצה עם מכשירים לא ייחקרו.

באפשרותך לא לכלול פיתויי רשת לפתרון בעיות פעילות

גילוי רגיל תומך בהכללה של מכשירים או טווחים (רשתות משנה) מהתכתבות פעילה. אם הרשת שלך פותתה את הרשת במקומה, באפשרותך להשתמש בהגדרות 'גילוי מכשירים' כדי להגדיר אי-הכללות בהתבסס על כתובות IP או רשתות משנה (טווח של כתובות IP). הגדרת פריטים שאינם נכללים אלה מבטיחה שמכשירים אלה לא ייחקרו באופן פעיל ולא יתריעו על כך. מכשירים אלה התגלו בשיטות פאסיביות בלבד (בדומה למצב גילוי בסיסי).

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.