Domande frequenti relative all'individuazione dei dispositivi
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Trovare le risposte alle domande frequenti sull'individuazione dei dispositivi.
Che cos'è la modalità di individuazione di base?
Questa modalità consente a ogni Microsoft Defender per endpoint dispositivo di cui è stato eseguito l'onboarding di raccogliere dati di rete e individuare i dispositivi adiacenti. Gli endpoint caricati raccolgono passivamente gli eventi nella rete ed estraggono le informazioni sul dispositivo da essi. Non viene avviato alcun traffico di rete. Gli endpoint di onboarding estraggono dati da ogni traffico di rete visualizzato da un dispositivo di onboarding. Questi dati usati per elencare i dispositivi non gestiti nella rete.
È possibile disabilitare l'individuazione di base?
È possibile disattivare l'individuazione dei dispositivi tramite la pagina Funzionalità avanzate . Tuttavia, si perderà la visibilità sui dispositivi non gestiti nella rete. Si noti che anche se l'individuazione del dispositivo è disattivata, SenseNDR.exe sarà ancora in esecuzione nei dispositivi di cui è stato eseguito l'onboarding.
Che cos'è la modalità di individuazione Standard?
In questa modalità, gli endpoint caricati in Microsoft Defender per endpoint possono eseguire attivamente il probe dei dispositivi osservati nella rete per arricchire i dati raccolti (con una quantità trascurabile di traffico di rete). Solo i dispositivi osservati dalla modalità di individuazione di base vengono attivamente sottoposti a probe in modalità standard. Questa modalità è altamente consigliata per la creazione di un inventario dei dispositivi affidabile e coerente. Se si sceglie di disabilitare questa modalità e si seleziona Modalità di individuazione di base, è probabile che si ottenga solo una visibilità limitata degli endpoint non gestiti nella rete.
La modalità Standard sfrutta anche protocolli di individuazione comuni che usano query multicast nella rete per trovare un numero ancora maggiore di dispositivi, oltre a quelli osservati usando il metodo passivo.
È possibile controllare quali dispositivi eseguono l'individuazione Standard?
È possibile personalizzare l'elenco dei dispositivi usati per eseguire l'individuazione Standard. È possibile abilitare l'individuazione Standard in tutti i dispositivi di cui è stato eseguito l'onboarding che supportano anche questa funzionalità (attualmente Windows 10 o versioni successive e solo i dispositivi Windows Server 2019 o versioni successive) oppure selezionare un subset o subset dei dispositivi specificando i tag del dispositivo. In questo caso, tutti gli altri dispositivi sono configurati per eseguire solo l'individuazione Basic. La configurazione è disponibile nella pagina delle impostazioni di individuazione del dispositivo.
È possibile escludere i dispositivi non gestiti dall'elenco di inventario dei dispositivi?
Sì, è possibile applicare filtri per escludere i dispositivi non gestiti dall'elenco di inventario dei dispositivi. È anche possibile usare la colonna relativa allo stato di onboarding nelle query API per filtrare i dispositivi non gestiti.
Quali dispositivi caricati possono eseguire l'individuazione?
I dispositivi caricati in esecuzione in Windows 10 versione 1809 o successiva, Windows 11, Windows Server 2019 o Windows Server 2022 possono eseguire l'individuazione.
Cosa accade se i dispositivi di cui è stato eseguito l'onboarding sono connessi alla rete domestica o al punto di accesso pubblico?
Il motore di individuazione distingue tra gli eventi di rete ricevuti nella rete aziendale rispetto all'esterno della rete aziendale. Correlando gli identificatori di rete tra tutti i client del tenant, gli eventi si differenziano tra quelli ricevuti da reti private e reti aziendali. Ad esempio, se la maggior parte dei dispositivi dell'organizzazione segnala di essere connessi allo stesso nome di rete, con lo stesso gateway predefinito e lo stesso indirizzo del server DHCP, si può presumere che questa rete sia probabilmente una rete aziendale. I dispositivi di rete privati non verranno elencati nell'inventario e non verranno attivamente sottoposti a probe.
Quali protocolli si stanno acquisendo e analizzando?
Per impostazione predefinita, tutti i dispositivi di cui è stato eseguito l'onboarding in esecuzione in Windows 10 versione 1809 o successiva, Windows 11, Windows Server 2019 o Windows Server 2022 stanno acquisendo e analizzando i protocolli seguenti: ARP, CDP, DHCP, DHCPv6, IP (intestazioni), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (intestazioni SYN), UDP (intestazioni), WSD
Quali protocolli si usano per il probe attivo nell'individuazione standard?
Quando un dispositivo è configurato per eseguire l'individuazione Standard, i servizi esposti vengono sottoposti a probe usando i protocolli seguenti: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Inoltre, l'individuazione dei dispositivi potrebbe anche analizzare altre porte di uso comune per migliorare l'accuratezza della classificazione & la copertura.
Come è possibile escludere le destinazioni dal probe con l'individuazione Standard?
Se nella rete sono presenti dispositivi che non devono essere sottoposti a probe attivo, è anche possibile definire un elenco di esclusioni per impedirne l'analisi. La configurazione è disponibile nella pagina delle impostazioni di individuazione del dispositivo.
Nota
I dispositivi potrebbero comunque rispondere ai tentativi di individuazione multicast nella rete. Questi dispositivi verranno individuati, ma non verranno attivamente sottoposti a probe.
È possibile escludere i dispositivi dall'essere individuati?
Poiché l'individuazione dei dispositivi usa metodi passivi per individuare i dispositivi nella rete, qualsiasi dispositivo che comunica con i dispositivi caricati nella rete aziendale può essere individuato ed elencato nell'inventario. È possibile escludere solo i dispositivi dal probe attivo.
Quanto è frequente il sondaggio attivo?
I dispositivi verranno attivamente sottoposti a probe quando vengono osservate modifiche nelle caratteristiche del dispositivo per assicurarsi che le informazioni esistenti siano aggiornate (in genere, i dispositivi sottoposti a probe non più di una volta in un periodo di tre settimane)
Lo strumento di sicurezza ha generato un avviso per UnicastScanner.ps1/PSScript_{GUID}.ps1 o l'attività di analisi delle porte avviata da esso, cosa devo fare?
Gli script di sondaggio attivi sono firmati da Microsoft e sono sicuri. È possibile aggiungere il percorso seguente all'elenco di esclusione: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Qual è la quantità di traffico generato dal probe attivo di individuazione standard?
Il probe attivo può generare fino a 50 KB di traffico tra il dispositivo sottoposto a onboarding e il dispositivo sottoposto a probe, ogni tentativo di sondaggio
Perché esiste una discrepanza tra i dispositivi "possono essere caricati" nell'inventario dei dispositivi e il numero di "dispositivi da caricare" nel riquadro del dashboard?
È possibile notare differenze tra il numero di dispositivi elencati in "può essere eseguito l'onboarding" nell'inventario dei dispositivi, il consiglio di sicurezza "onboard to Microsoft Defender per endpoint" e il widget del dashboard "dispositivi per l'onboarding".
La raccomandazione di sicurezza e il widget del dashboard sono per i dispositivi stabili nella rete; esclusi i dispositivi temporanei, i dispositivi guest e altri. L'idea è quella di consigliare nei dispositivi persistenti che implicano anche il punteggio di sicurezza complessivo dell'organizzazione.
È possibile eseguire l'onboarding di dispositivi non gestiti trovati?
Sì. È possibile eseguire l'onboarding manuale dei dispositivi non gestiti. Gli endpoint non gestiti nella rete introducono vulnerabilità e rischi per la rete. L'onboarding nel servizio può aumentare la visibilità della sicurezza su di essi.
Ho notato che lo stato di integrità del dispositivo non gestito è sempre "Attivo", perché?
Temporaneamente, lo stato di integrità del dispositivo non gestito è "Attivo" durante il periodo di conservazione standard dell'inventario del dispositivo, indipendentemente dallo stato effettivo.
L'individuazione standard sembra un'attività di rete dannosa?
Quando si considera l'individuazione Standard, ci si potrebbe chiedere quali sono le implicazioni del probe e, in particolare, se gli strumenti di sicurezza potrebbero sospettare attività come dannose. La sottosezione seguente spiega perché, in quasi tutti i casi, le organizzazioni non dovrebbero avere preoccupazioni sull'abilitazione dell'individuazione standard.
Il probe viene distribuito in tutti i dispositivi Windows in rete
A differenza delle attività dannose, che in genere analizzano l'intera rete da alcuni dispositivi compromessi, il probe di individuazione Standard di Microsoft Defender per endpoint viene avviato da tutti i dispositivi Windows caricati che rendono l'attività benigna e non anomala. Il probe viene gestito centralmente dal cloud per bilanciare il tentativo di sondaggio tra tutti i dispositivi di onboarding supportati nella rete.
Il probe attivo genera una quantità trascurabile di traffico aggiuntivo
I dispositivi non gestiti vengono in genere sottoposti a probe non più di una volta in un periodo di tre settimane e generano meno di 50 KB di traffico. L'attività dannosa include in genere tentativi di probe ripetitivi elevati e in alcuni casi l'esfiltrazione dei dati che genera una quantità significativa di traffico di rete che può essere identificata come anomalia dagli strumenti di monitoraggio di rete.
Il dispositivo Windows esegue già l'individuazione attiva
Le funzionalità di individuazione attiva sono sempre state incorporate nel sistema operativo Windows per trovare dispositivi, endpoint e stampanti nelle vicinanze, per un'esperienza "plug and play" più semplice e la condivisione di file tra endpoint nella rete. Funzionalità simili vengono implementate in dispositivi mobili, apparecchiature di rete e applicazioni di inventario solo per citarne alcuni.
L'individuazione standard usa gli stessi metodi di individuazione per identificare i dispositivi e avere una visibilità unificata per tutti i dispositivi nella rete nell'inventario dei dispositivi Microsoft Defender XDR. Ad esempio: l'individuazione standard identifica gli endpoint vicini nella rete nello stesso modo in cui Windows elenca le stampanti disponibili nella rete.
Gli strumenti di sicurezza e monitoraggio della rete sono indifferenti a tali attività eseguite dai dispositivi in rete.
Vengono sottoposti a probe solo i dispositivi non gestiti
Le funzionalità di individuazione dei dispositivi sono state create per individuare e identificare solo i dispositivi non gestiti nella rete. Ciò significa che i dispositivi individuati in precedenza già caricati con Microsoft Defender per endpoint non verranno sottoposti a probe.
È possibile escludere le esche di rete dal probe attivo
L'individuazione standard supporta l'esclusione di dispositivi o intervalli (subnet) dal probe attivo. Se sono state distribuite esche di rete, è possibile usare le impostazioni di Individuazione dispositivi per definire esclusioni in base a indirizzi IP o subnet (un intervallo di indirizzi IP). La definizione di tali esclusioni garantisce che tali dispositivi non vengano sottoposti attivamente a probe e non vengano avvisati. Questi dispositivi vengono individuati solo usando metodi passivi (in modo simile alla modalità di individuazione di base).
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.