Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Enhetsoppdagelse lar deg forbedre synligheten til uadministrerte enheter, vurdere deres sikkerhetsstilling og iverksette nødvendige tiltak for å sikre dem.
Denne artikkelen beskriver hvordan du ser gjennom og vurderer enheter som oppdages av enhetsoppdagelse i Microsoft Defender for endepunkt. Du lærer også hvordan du henter data på enheter som ikke er innebygd i Microsoft Defender for endepunkt, og hvordan du spør etter data på oppdagede enheter.
Forutsetninger
Operativsystemer som støttes
- Windows 10 og nyere
- Windows Server 2019 og nyere.
Overvåk enheter som ikke er pålastet, i enhetsbeholdningen
Du kan se gjennom enhetsbeholdningen for oppdagede enheter som ikke er innebygd i Defender for Endpoint.
Obs!
En enhet uten pålasting forblir i Defender-portalen (i mer enn 180 dager), hvis én av disse betingelsene er oppfylt:
- Enheten oppdages av et innebygd endepunkt på samme nettverk
- Enheten oppdages av en OT-sensor
Hvis du vil vurdere disse enhetene, navigerer du til enhetsbeholdningen og bruker statusfilteret for pålasting , med én av følgende verdier:
| Verdi | Beskrivelse |
|---|---|
| Pålastet | Endepunktet er innlastet til Defender for endepunkt. |
| Kan være pålastet | Defender for Endpoint oppdager enheten i nettverket og støtter operativsystemet, men enheten er ikke pålastet. Obs! – Vi anbefaler på det sterkeste at du tar slike enheter om bord. – Du kan legge merke til forskjeller mellom antall oppførte enheter under kan være pålastet i enhetsbeholdningen, ombord for å Microsoft Defender for endepunkt sikkerhetsanbefaling og enhetene til instrumentbordkontrollprogrammet på bord. Sikkerhetsanbefalingen og kontrollprogrammet for instrumentbord er for enheter som er stabile i nettverket, unntatt flyktige enheter, gjesteenheter og andre. Ideen er å anbefale på vedvarende enheter som også påvirker organisasjonens samlede sikkerhetspoengsum. |
| Ustøttet | Defender for Endpoint oppdager endepunktet, men støtter ikke enheten. |
| Utilstrekkelig informasjon | Systemet kunne ikke fastslå støtte for enheten. Aktiver standard søk på flere enheter i nettverket for å berike de oppdagede attributtene. |
Innebygde uadministrerte enheter
Du kan legge inn uadministrerte enheter manuelt. Uadministrerte endepunkter i nettverket introduserer sårbarheter og risikoer for nettverket. Pålasting av dem til tjenesten kan øke sikkerhetssynligheten for dem.
Bruk avansert jakt på oppdagede enheter
Du kan bruke avanserte jaktspørringer for å få innsyn på oppdagede enheter. Finn detaljer om oppdagede enheter i DeviceInfo-tabellen, eller nettverksrelatert informasjon om disse enhetene, i DeviceNetworkInfo-tabellen.
Tips
Du kan også bruke statuskolonnen for pålasting på API-spørringer til å filtrere ut uadministrerte enheter.
Utforsk enheter i nettverket
Du kan bruke følgende avanserte jaktspørring for å få mer kontekst om hvert nettverksnavn som er beskrevet i nettverkslisten. Spørringen viser alle de innebygde enhetene som var koblet til et bestemt nettverk i løpet av de siste sju dagene.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Få informasjon på enheten
Du kan bruke følgende avanserte jaktspørring for å få den nyeste fullstendige informasjonen på en bestemt enhet.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Detaljer for spørringsoppdagede enheter
Kjør denne spørringen på DeviceInfo-tabellen for å returnere alle oppdagede enheter sammen med de mest oppdaterte detaljene for hver enhet:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Ved å aktivere SeenBy-funksjonen , kan du få detaljer om hvilken innebygd enhet en oppdaget enhet ble sett av, i den avanserte jaktspørringen. Denne informasjonen kan hjelpe deg med å bestemme nettverksplasseringen for hver oppdagede enhet, og deretter bidra til å identifisere den i nettverket.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Hvis du vil ha mer informasjon, kan du se SeenBy()- funksjonen.
Informasjon relatert til spørringsnettverk
Enhetsoppdagelse drar nytte av Defender for endepunktinnlastede enheter som en nettverksdatakilde for å tilskrive aktiviteter til enheter som ikke er innebygde. Nettverkssensoren på enheten Defender for Endpoint identifiserer to nye tilkoblingstyper:
- ConnectionAttempt – et forsøk på å opprette en TCP-tilkobling (syn)
- ConnectionAcknowledged – en bekreftelse på at en TCP-tilkobling ble godtatt (syn\ack)
Dette betyr at når en enhet som ikke er pålastet, prøver å kommunisere med en innebygd Defender for Endpoint-enhet, genererer forsøket en DeviceNetworkEvent, og de ikke-innebygde enhetsaktivitetene kan ses på den innebygde enhetens tidslinje, og gjennom tabellen Advanced hunting DeviceNetworkEvents.
Du kan prøve denne eksempelspørringen:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Vurdere sårbarheter på oppdagede enheter
Microsoft Defender Vulnerability Management oppdager risikoer på enhetene dine og andre oppdagede, uadministrerte enheter i nettverket.
Hvis du vil se gjennom relevante sikkerhetsproblemer, kan du sesiden Anbefalinger for eksponeringsbehandling> og andre enhetssider på tvers av Defender-portalen.
Du kan for eksempel søke etter SSH i listen over sikkerhetsanbefalinger for å finne SSH-sårbarheter relatert til uadministrerte og administrerte enheter.
Hvis du vil ha mer informasjon om sikkerhetsbehandlingsfunksjoner, kan du se Microsoft Defender Vulnerability Management.