Del via

Oversikt over enhetsoppdagelse

  • Artikkel

Gjelder for:

Beskyttelse av miljøet krever at du tar oversikt over enhetene som er i nettverket. Tilordning av enheter i et nettverk kan imidlertid ofte være dyrt, utfordrende og tidkrevende.

Microsoft Defender for endepunkt gir deg en funksjon for enhetsoppdagelse som hjelper deg med å finne uadministrerte enheter som er koblet til bedriftsnettverket, uten behov for ekstra apparater eller tungvinte prosessendringer. Enhetsoppdagelse bruker innebygde endepunkter i nettverket til å samle inn, undersøke eller skanne nettverket for å oppdage uadministrerte enheter. Med funksjonen for enhetsoppdagelse kan du oppdage:

  • Enterprise-endepunkter (arbeidsstasjoner, servere og mobile enheter) som ennå ikke er koblet til Defender for Endpoint
  • Nettverksenheter som rutere og brytere
  • IoT-enheter som skrivere og kameraer

Ukjente og uadministrerte enheter medfører betydelig risiko for nettverket – enten det er en ikke-oppdatert skriver, nettverksenheter med svake sikkerhetskonfigurasjoner eller en server uten sikkerhetskontroller. Når enheter er oppdaget, kan du:

  • Tavle uadministrerte endepunkter til tjenesten, noe som øker sikkerhetssynligheten for dem.
  • Reduser angrepsoverflaten ved å identifisere og vurdere sårbarheter og oppdage konfigurasjonshull.

Se denne videoen for en rask oversikt over hvordan du vurderer og om bord på uadministrerte enheter som Defender for Endpoint oppdaget.

Med denne funksjonen er en sikkerhetsanbefaling til innebygde enheter til Defender for Endpoint tilgjengelig som en del av den eksisterende Microsoft Defender Vulnerability Management opplevelsen.

Søkemetoder

Du kan velge søkemodus som skal brukes av de innebygde enhetene. Modusen styrer synlighetsnivået du kan få for uadministrerte enheter i firmanettverket.

Det finnes to oppdagelsesmoduser:

  • Grunnleggende oppdagelse: I denne modusen samler endepunkter passivt inn hendelser i nettverket og trekker ut enhetsinformasjon fra dem. Grunnleggende oppdagelse bruker den SenseNDR.exe binærfilen for passiv nettverksdatainnsamling, og ingen nettverkstrafikk startes. Endepunkter trekker ut data fra all nettverkstrafikk sett av en innebygd enhet. Med grunnleggende oppdagelse får du bare begrenset synlighet av uadministrerte endepunkter i nettverket.

  • Standard oppdagelse (anbefales): Denne modusen gjør det mulig for endepunkter å aktivt finne enheter i nettverket for å berike innsamlede data og oppdage flere enheter – noe som hjelper deg med å bygge en pålitelig og sammenhengende enhetsbeholdning. I tillegg til enheter som ble observert ved hjelp av passiv metode, bruker standardmodus også vanlige oppdagelsesprotokoller som bruker multikastingsspørringer i nettverket for å finne enda flere enheter. Standardmodus bruker smart, aktiv undersøkelse for å oppdage tilleggsinformasjon om observerte enheter for å berike eksisterende enhetsinformasjon. Når standardmodus er aktivert, kan minimal og ubetydelig nettverksaktivitet som genereres av oppdagelsessensoren, observeres av nettverksovervåkingsverktøy i organisasjonen.

Du kan endre og tilpasse søkeinnstillingene, hvis du vil ha mer informasjon, kan du se Konfigurere enhetsoppdagelse.

Viktig

Standardoppdagelse er standardmodus for alle kunder som starter 19. juli 2021. Du kan velge å endre denne konfigurasjonen til grunnleggende gjennom innstillinger-siden. Hvis du velger grunnleggende modus, får du bare begrenset synlighet av uadministrerte endepunkter i nettverket.

Oppdagelsesmotoren skiller mellom nettverkshendelser som mottas i bedriftsnettverket kontra utenfor bedriftsnettverket. Enheter som ikke er koblet til firmanettverk, blir ikke oppdaget eller oppført i enhetslageret.

Enhetsbeholdning

Enheter som ble oppdaget, men som ikke er pålastet og sikret av Defender for Endpoint, er oppført i enhetsbeholdningen.

Hvis du vil vurdere disse enhetene, kan du bruke et filter i enhetslagerlisten kalt Onboarding-status, som kan ha en av følgende verdier:

  • Pålastet: Endepunktet er innlastet til Defender for endepunkt.
  • Kan bli pålastet: Endepunktet ble oppdaget i nettverket, og operativsystemet ble identifisert som et som støttes av Defender for Endpoint, men det er for øyeblikket ikke pålastet. Vi anbefaler på det sterkeste å pålaste disse enhetene.
  • Støttes ikke: Endepunktet ble oppdaget i nettverket, men støttes ikke av Defender for endepunkt.
  • Utilstrekkelig informasjon: Systemet kan ikke fastslå støtte for enheten. Aktivering av standard søk på flere enheter i nettverket kan berike de oppdagede attributtene.

Instrumentbordet for enhetsbeholdning

Tips

Du kan alltid bruke filtre til å utelate uadministrerte enheter fra enhetslagerlisten. Du kan også bruke statuskolonnen for pålasting på API-spørringer til å filtrere ut uadministrerte enheter.

Hvis du vil ha mer informasjon, kan du se Enhetsbeholdning.

Nettverksenhetsoppdagelse

Det store antallet uadministrerte nettverksenheter som distribueres i en organisasjon, skaper et stort overflateområde med angrep, og representerer en betydelig risiko for hele virksomheten. Defender for nettverksoppdagelsesfunksjoner for endepunkt hjelper deg med å sikre at nettverksenheter oppdages, klassifiseres nøyaktig og legges til i aktivabeholdningen.

Nettverksenheter administreres ikke som standard endepunkter, siden Defender for Endpoint ikke har en sensor innebygd i selve nettverksenhetene. Denne typen enheter krever en agentløs tilnærming der en ekstern skanning henter den nødvendige informasjonen fra enhetene. For å gjøre dette brukes en angitt Defender for Endpoint-enhet på hvert nettverkssegment til å utføre periodiske godkjente skanninger av forhåndskonfigurerte nettverksenheter. Defender for endepunktets funksjoner for sårbarhetsbehandling gir integrerte arbeidsflyter for å sikre oppdagede brytere, rutere, WLAN-kontrollere, brannmurer og VPN-gatewayer.

Hvis du vil ha mer informasjon, kan du se Nettverksenheter.

Integrering av enhetsoppdagelse

For å løse utfordringen med å få nok synlighet til å finne, identifisere og sikre hele OT/IOT-aktivabeholdningen, støtter Defender for Endpoint nå følgende integrering:

  • Microsoft Defender for IoT: Denne integreringen kombinerer Defender for Endpoints funksjoner for enhetsoppdagelse, med de agentløse overvåkingsegenskapene til Microsoft Defender for IoT, for å sikre IoT-enheter for bedrifter som er koblet til et IT-nettverk (for eksempel Voice over Internet Protocol ), skrivere og smart-TV-er). Hvis du vil ha mer informasjon, kan du se Aktivere Enterprise IoT-sikkerhet med Defender for Endpoint.

Sårbarhetsvurdering på oppdagede enheter

Sikkerhetsproblemer og risikoer på enhetene dine samt andre oppdagede uadministrerte enheter i nettverket er en del av de gjeldende Defender Vulnerability Management-flytene under "Sikkerhetsanbefalinger" og representert i enhetssider på tvers av portalen. Søk for SSH-relaterte sikkerhetsanbefalinger for å finne SSH-sårbarheter som er relatert til uadministrerte og administrerte enheter.

Instrumentbordet for sikkerhetsanbefalinger

Bruk avansert jakt på oppdagede enheter

Du kan bruke avanserte jaktspørringer for å få innsyn på oppdagede enheter. Finn detaljer om oppdagede enheter i DeviceInfo-tabellen, eller nettverksrelatert informasjon om disse enhetene, i DeviceNetworkInfo-tabellen.

Avansert jakt-siden der spørringer kan brukes

Detaljer for spørringsoppdagede enheter

Kjør denne spørringen på DeviceInfo-tabellen for å returnere alle oppdagede enheter sammen med de mest oppdaterte detaljene for hver enhet:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Ved å aktivere SeenBy-funksjonen , kan du få detaljer om hvilken innebygd enhet en oppdaget enhet ble sett av, i den avanserte jaktspørringen. Denne informasjonen kan hjelpe deg med å bestemme nettverksplasseringen for hver oppdagede enhet, og deretter bidra til å identifisere den i nettverket.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Hvis du vil ha mer informasjon, kan du se SeenBy()- funksjonen.

Enhetsoppdagelse drar nytte av Defender for endepunktinnlastede enheter som en nettverksdatakilde for å tilskrive aktiviteter til enheter som ikke er innebygde. Nettverkssensoren på enheten Defender for Endpoint identifiserer to nye tilkoblingstyper:

  • ConnectionAttempt – et forsøk på å opprette en TCP-tilkobling (syn)
  • ConnectionAcknowledged – en bekreftelse på at en TCP-tilkobling ble godtatt (syn\ack)

Dette betyr at når en enhet som ikke er pålastet, prøver å kommunisere med en innebygd Defender for Endpoint-enhet, genererer forsøket en DeviceNetworkEvent, og de ikke-innebygde enhetsaktivitetene kan ses på den innebygde enhetens tidslinje, og gjennom tabellen Advanced hunting DeviceNetworkEvents.

Du kan prøve denne eksempelspørringen:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Neste trinn

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.