Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'individuazione dei dispositivi consente di migliorare la visibilità sui dispositivi non gestiti, valutarne il comportamento di sicurezza e intraprendere le azioni appropriate per proteggerli.
Questo articolo descrive come esaminare e valutare i dispositivi individuati dall'individuazione dei dispositivi in Microsoft Defender per endpoint. Si apprenderà anche come ottenere dati su dispositivi non caricati in Microsoft Defender per endpoint e come eseguire query sui dati nei dispositivi individuati.
Prerequisiti
Sistemi operativi supportati
- Windows 10 e versioni successive
- Windows Server 2019 e versioni successive.
Monitorare i dispositivi non caricati nell'inventario dei dispositivi
È possibile esaminare l'inventario dei dispositivi individuati che non sono stati caricati in Defender per endpoint.
Nota
Un dispositivo non caricato rimane nel portale di Defender (per più di 180 giorni), se viene soddisfatta una di queste condizioni:
- Il dispositivo viene individuato da un endpoint di cui è stato eseguito l'onboarding nella stessa rete
- Il dispositivo viene individuato da un sensore OT
Per valutare questi dispositivi, passare all'inventario dei dispositivi e usare il filtro stato onboarding , con uno dei valori seguenti:
| Valore | Descrizione |
|---|---|
| Onboarding | Viene eseguito l'onboarding dell'endpoint in Defender per endpoint. |
| È possibile eseguire l'onboarding | Defender per endpoint individua il dispositivo nella rete e supporta il sistema operativo, ma il dispositivo non è stato caricato. Nota: - È consigliabile eseguire l'onboarding di tali dispositivi. - È possibile notare differenze tra il numero di dispositivi elencati in può essere eseguito l'onboarding nell'inventario dei dispositivi, l'onboarding per Microsoft Defender per endpoint consiglio di sicurezza e i dispositivi per l'onboarding del widget del dashboard. Il consiglio di sicurezza e il widget del dashboard sono per i dispositivi stabili nella rete, esclusi i dispositivi temporanei, i dispositivi guest e altri. L'idea è quella di consigliare sui dispositivi persistenti che influiscono anche sul punteggio di sicurezza complessivo dell'organizzazione. |
| Non supportato | Defender per endpoint individua l'endpoint, ma non supporta il dispositivo. |
| Informazioni insufficienti | Il sistema non è riuscito a determinare il supporto del dispositivo. Abilitare l'individuazione standard in più dispositivi della rete per arricchire gli attributi individuati. |
Eseguire l'onboarding di dispositivi non gestiti
È possibile eseguire l'onboarding manuale dei dispositivi non gestiti. Gli endpoint non gestiti nella rete introducono vulnerabilità e rischi per la rete. L'onboarding nel servizio può aumentare la visibilità della sicurezza su di essi.
Usare la ricerca avanzata nei dispositivi individuati
È possibile usare query di ricerca avanzate per ottenere visibilità sui dispositivi individuati. Nella tabella DeviceNetworkInfo sono disponibili informazioni dettagliate sui dispositivi individuati nella tabella DeviceInfo o informazioni correlate alla rete su tali dispositivi.
Consiglio
È anche possibile usare la colonna relativa allo stato di onboarding nelle query API per filtrare i dispositivi non gestiti.
Esplorare i dispositivi nella rete
È possibile usare la query di ricerca avanzata seguente per ottenere più contesto su ogni nome di rete descritto nell'elenco delle reti. La query elenca tutti i dispositivi caricati connessi a una determinata rete negli ultimi sette giorni.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Ottenere informazioni sul dispositivo
È possibile usare la query di ricerca avanzata seguente per ottenere le informazioni complete più recenti su un dispositivo specifico.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Eseguire query sui dettagli dei dispositivi individuati
Eseguire questa query nella tabella DeviceInfo per restituire tutti i dispositivi individuati insieme ai dettagli più aggiornati per ogni dispositivo:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Richiamando la funzione SeenBy , nella query di ricerca avanzata è possibile ottenere informazioni dettagliate sul dispositivo caricato da cui è stato rilevato un dispositivo individuato. Queste informazioni consentono di determinare il percorso di rete di ogni dispositivo individuato e, successivamente, di identificarlo nella rete.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Per altre informazioni, vedere la funzione SeenBy( ).
Eseguire query sulle informazioni correlate alla rete
L'individuazione dei dispositivi sfrutta i dispositivi caricati di Defender per endpoint come origine dati di rete per attribuire le attività ai dispositivi non caricati. Il sensore di rete nel dispositivo di cui è stato eseguito l'onboarding di Defender per endpoint identifica due nuovi tipi di connessione:
- ConnectionAttempt - Tentativo di stabilire una connessione TCP (syn)
- ConnectionAcknowledged - Riconoscimento dell'accettazione di una connessione TCP (syn\ack)
Ciò significa che quando un dispositivo non onboarding tenta di comunicare con un dispositivo Defender per endpoint di cui è stato eseguito l'onboarding, il tentativo genera un DeviceNetworkEvent e le attività del dispositivo non onboarding possono essere visualizzate nella sequenza temporale del dispositivo di onboarding e tramite la tabella DeviceNetworkEvents di ricerca avanzata.
È possibile provare questa query di esempio:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Valutare le vulnerabilità nei dispositivi individuati
Gestione delle vulnerabilità di Microsoft Defender rileva i rischi nei dispositivi e in altri dispositivi non gestiti individuati nella rete.
Per esaminare le vulnerabilità rilevanti, vedere la paginaRaccomandazioni sulla gestione >dell'esposizionee altre pagine delle entità nel portale di Defender.
Ad esempio, cercare SSH nell'elenco delle raccomandazioni sulla sicurezza per individuare le vulnerabilità SSH correlate ai dispositivi non gestiti e gestiti.
Per altre informazioni sulle funzionalità di gestione delle vulnerabilità, vedere Gestione delle vulnerabilità di Microsoft Defender.