Eszközészlelés áttekintése
Érintett szolgáltatás:
A környezet védelméhez leltárra van szükség a hálózatban lévő eszközökről. A hálózatban lévő eszközök leképezése azonban gyakran költséges, kihívást jelentő és időigényes lehet.
A Végponthoz készült Microsoft Defender olyan eszközfelderítési képességet biztosít, amely további berendezések vagy nehézkes folyamatmódosítások nélkül segít megtalálni a vállalati hálózathoz csatlakoztatott nem felügyelt eszközöket. Az eszközfelderítés előkészített végpontokat használ a hálózatban a nem felügyelt eszközök felderítéséhez, mintavételezéséhez vagy vizsgálatához. Az eszközfelderítési funkcióval a következőket fedezheti fel:
- Vállalati végpontok (munkaállomások, kiszolgálók és mobileszközök), amelyek még nincsenek regisztrálva a Végponthoz készült Defenderben
- Hálózati eszközök, például útválasztók és kapcsolók
- IoT-eszközök, például nyomtatók és kamerák
Az ismeretlen és nem felügyelt eszközök jelentős kockázatokat jelentenek a hálózatra – legyen szó egy nem kicsomagolt nyomtatóról, a gyenge biztonsági konfigurációval rendelkező hálózati eszközökről vagy egy biztonsági vezérlők nélküli kiszolgálóról. Az eszközök felderítése után a következőkre van lehetőség:
- A nem felügyelt végpontok előkészítése a szolgáltatásba, ezáltal növelve azok biztonsági láthatóságát.
- Csökkentse a támadási felületet a biztonsági rések azonosításával és felmérésével, valamint a konfigurációs hiányosságok észlelésével.
Ebből a videóból gyorsan áttekintheti, hogyan mérheti fel és regisztrálhatja a Végponthoz készült Defender által felderített nem felügyelt eszközöket.
Ezzel a képességgel az eszközök a Végponthoz készült Defenderbe való előkészítésére vonatkozó biztonsági javaslat a meglévő Microsoft Defender biztonságirés-kezelési felület részeként érhető el.
Felderítési módszerek
Kiválaszthatja, hogy az előkészített eszközök melyik felderítési módot használják. A mód szabályozza a nem felügyelt eszközök láthatóságának szintjét a vállalati hálózaton.
Kétféle felderítési mód érhető el:
Alapszintű felderítés: Ebben a módban a végpontok passzívan gyűjtik az eseményeket a hálózaton, és eszközadatokat nyernek ki belőlük. Az alapszintű felderítés a SenseNDR.exe bináris fájlt használja a passzív hálózati adatgyűjtéshez, és nem kezdeményez hálózati forgalmat. A végpontok egy előkészített eszköz által látott összes hálózati forgalomból nyernek ki adatokat. Az alapszintű felderítéssel csak korlátozottan lehet áttekinteni a hálózat nem felügyelt végpontjait.
Standard felderítés (ajánlott): Ez a mód lehetővé teszi, hogy a végpontok aktívan megtalálják a hálózatban lévő eszközöket az összegyűjtött adatok gazdagításához és további eszközök felderítéséhez – így megbízható és koherens eszközleltárat hozhatnak létre. A passzív módszerrel megfigyelt eszközök mellett a standard mód olyan gyakori felderítési protokollokat is használ, amelyek csoportos küldésű lekérdezéseket használnak a hálózaton, hogy még több eszközt találjanak. A standard mód intelligens, aktív felderítést használ a megfigyelt eszközökkel kapcsolatos további információk felderítésére a meglévő eszközinformációk bővítéséhez. Ha a Standard mód engedélyezve van, a felderítési érzékelő által generált minimális és elhanyagolható hálózati tevékenységet megfigyelhetik a szervezet hálózatmonitorozási eszközei.
Módosíthatja és testre szabhatja a felderítési beállításokat. További információt az Eszközfelderítés konfigurálása című témakörben talál.
Fontos
2021. július 19-től a standard felderítés az alapértelmezett mód minden ügyfél számára. Ezt a konfigurációt a beállítások oldalán módosíthatja alapszintűre. Ha az alapszintű módot választja, csak korlátozottan láthatja a hálózat nem felügyelt végpontjait.
A felderítési motor különbséget tesz a vállalati hálózaton és a vállalati hálózaton kívül fogadott hálózati események között. A nem vállalati hálózatokhoz csatlakozó eszközök nem lesznek felderítve vagy felsorolva az eszközleltárban.
Eszközkészlet
A felderített, de a Végponthoz készült Defender által nem előkészített és védett eszközök szerepelnek az eszközleltárban.
Ezeknek az eszközöknek az értékeléséhez használhat egy előkészítési állapot nevű szűrőt az eszközleltár listájában, amely az alábbi értékek bármelyikével rendelkezhet:
- Előkészítés: A végpont előkészítése a Végponthoz készült Defenderbe történik.
- Regisztrálható: A végpont felderítve lett a hálózaton, és az operációs rendszer a Végponthoz készült Defender által támogatottként lett azonosítva, de jelenleg nincs előkészítés alatt. Kifejezetten javasoljuk ezeknek az eszközöknek a előkészítését.
- Nem támogatott: A végpont felderítése a hálózaton történt, de a Végponthoz készült Defender nem támogatja.
- Nem megfelelő információ: A rendszer nem tudta meghatározni az eszköz támogatottságát. Ha a hálózaton több eszközön engedélyezi a standard felderítést, az bővítheti a felderített attribútumokat.
Tipp
Mindig alkalmazhat szűrőket, hogy kizárja a nem felügyelt eszközöket az eszközleltár-listából. A nem felügyelt eszközök kiszűréséhez az API-lekérdezések előkészítési állapot oszlopát is használhatja.
További információ: Eszközleltár.
Hálózati eszközök felderítése
A szervezetben üzembe helyezett nagy számú nem felügyelt hálózati eszköz nagy támadási felületet hoz létre, és jelentős kockázatot jelent a teljes vállalat számára. A Végponthoz készült Defender hálózatfelderítési képességeivel gondoskodhat arról, hogy a hálózati eszközök felderítése, pontos besorolása és hozzáadása az eszközleltárhoz történjen.
A hálózati eszközök nem standard végpontokként vannak kezelve, mivel a Végponthoz készült Defender nem rendelkezik beépített érzékelővel a hálózati eszközökbe. Az ilyen típusú eszközök ügynök nélküli megközelítést igényelnek, ahol egy távoli vizsgálat lekérte a szükséges információkat az eszközökről. Ehhez a rendszer minden hálózati szegmensben egy kijelölt Végponthoz készült Defender-eszközt használ az előre konfigurált hálózati eszközök rendszeres hitelesített vizsgálatához. A Végponthoz készült Defender biztonságirés-kezelési képességei integrált munkafolyamatokat biztosítanak a felderített kapcsolók, útválasztók, WLAN-vezérlők, tűzfalak és VPN-átjárók biztonságossá tételéhez.
További információ: Hálózati eszközök.
Eszközfelderítési integráció
A teljes OT/IOT-eszközleltár megkereséséhez, azonosításához és biztonságossá tételéhez szükséges megfelelő láthatóság biztosítása érdekében a Végponthoz készült Defender mostantól a következő integrációt támogatja:
IoT-hez készült Microsoft Defender: Ez az integráció egyesíti a Végponthoz készült Defender eszközfelderítési képességeit a Microsoft Defender for IoT-vel a Microsoft Defender portálon (előzetes verzió) a biztonság érdekében:
- OT-eszközök, például kiszolgálók vagy csomagolási rendszerek. További információ: Az IoT-hez készült Defender előkészítése a Defender portálon.
- Informatikai hálózathoz csatlakoztatott vállalati IoT-eszközök (például Voice over Internet Protocol (VoIP), nyomtatók és intelligens televíziók). További információ: Vállalati IoT-biztonság engedélyezése a Végponthoz készült Defenderrel.
Sebezhetőségi felmérés felderített eszközökön
Az eszközökön, valamint a hálózatban található egyéb felderített nem felügyelt eszközök biztonsági rései és kockázatai a biztonsági javaslatok alatt található, a portál entitásoldalain megjelenő, aktuális Defender biztonságirés-kezelési folyamatok részét képezik. Keressen rá az "SSH"-val kapcsolatos biztonsági javaslatokra a nem felügyelt és felügyelt eszközökhöz kapcsolódó SSH-biztonsági rések megkereséséhez.
Speciális veszélyforrás-keresés használata felderített eszközökön
A felderített eszközökön speciális veszélyforrás-keresési lekérdezéseket használhat. A deviceNetworkInfo táblában megtalálja a felderített eszközök részleteit a DeviceInfo táblában, vagy a hálózattal kapcsolatos információkat az eszközökről.
Felderített eszközök adatainak lekérdezése
Futtassa ezt a lekérdezést a DeviceInfo táblán az összes felderített eszköz és az egyes eszközök legfrissebb adatainak visszaadásához:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
A SeenBy függvény meghívásával a speciális veszélyforrás-keresési lekérdezésben részletesen lekérheti, hogy melyik előkészített eszközről látott egy felderített eszközt. Ezek az információk segíthetnek meghatározni az egyes felderített eszközök hálózati helyét, majd segíthetnek azonosítani azokat a hálózaton.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
További információ: SeenBy() függvény.
Hálózattal kapcsolatos információk lekérdezése
Az eszközfelderítés a Végponthoz készült Defender által előkészített eszközöket használja hálózati adatforrásként a tevékenységek nem előkészített eszközökhöz való attribútumaként. A Végponthoz készült Defender eszköz hálózati érzékelője két új kapcsolattípust azonosít:
- ConnectionAttempt – TCP-kapcsolat (syn) létrehozására tett kísérlet
- ConnectionAcknowledged – A TCP-kapcsolat elfogadásának nyugtázása (syn\ack)
Ez azt jelenti, hogy amikor egy nem előkészített eszköz megpróbál kommunikálni egy előkészített Végponthoz készült Defender-eszközzel, a kísérlet deviceNetworkEvent eseményt hoz létre, és a nem előkészített eszköztevékenységek a előkészített eszköz idővonalán, valamint a Speciális veszélyforrás-keresés DeviceNetworkEvents táblán keresztül láthatók.
Próbálja ki ezt a példa lekérdezést:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Következő lépések
Tipp
Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.