Vanlige spørsmål om enhetsoppdagelse

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Finn svar på vanlige spørsmål om enhetsoppdagelse.

Hva er grunnleggende søkemodus?

Denne modusen gjør det mulig for alle Microsoft Defender for endepunkt innebygde enheten å samle inn nettverksdata og oppdage nærliggende enheter. Innebygde endepunkter samler passivt inn hendelser i nettverket og trekker ut enhetsinformasjon fra dem. Ingen nettverkstrafikk startes. Innebygde endepunkter trekker ut data fra hver nettverkstrafikk som vises av en innebygd enhet. Disse dataene brukes til å vise uadministrerte enheter i nettverket.

Kan jeg deaktivere grunnleggende søk?

Du har muligheten til å deaktivere enhetsoppdagelse via avanserte funksjoner-siden . Du mister imidlertid synligheten på uadministrerte enheter i nettverket. Vær oppmerksom på at selv om enhetssøk er slått av, kjører SenseNDR.exe fremdeles på de innebygde enhetene.

Hva er standard søkemodus?

I denne modusen kan endepunkter som er koblet til Microsoft Defender for endepunkt aktivt undersøke observerte enheter i nettverket for å berike innsamlede data (med ubetydelig mengde nettverkstrafikk). Bare enheter som ble observert av den grunnleggende søkemodusen, undersøkes aktivt i standardmodus. Denne modusen anbefales på det sterkeste for å bygge en pålitelig og sammenhengende enhetsbeholdning. Hvis du velger å deaktivere denne modusen og velger Grunnleggende søkemodus, vil du sannsynligvis bare få begrenset synlighet for uadministrerte endepunkter i nettverket.

Standardmodus drar også nytte av vanlige oppdagelsesprotokoller som bruker flerkastingsspørringer i nettverket for å finne enda flere enheter, i tillegg til de som ble observert ved hjelp av passiv metode.

Kan jeg kontrollere hvilke enheter som utfører standardoppdagelse?

Du kan tilpasse listen over enheter som brukes til å utføre standard søk. Du kan enten aktivere standard søk på alle de innebygde enhetene som også støtter denne funksjonen (for øyeblikket Windows 10 eller nyere og bare Windows Server 2019 eller nyere enheter), eller velge et delsett eller delsett av enhetene dine ved å angi enhetskodene. I dette tilfellet er alle andre enheter konfigurert til å bare kjøre Grunnleggende søk. Konfigurasjonen er tilgjengelig på siden for enhetssøkinnstillinger.

Kan jeg utelate uadministrerte enheter fra listen over enhetsbeholdninger?

Ja, du kan bruke filtre til å utelate uadministrerte enheter fra listen over enhetsbeholdninger. Du kan også bruke statuskolonnen for pålasting på API-spørringer til å filtrere ut uadministrerte enheter.

Hvilke innebygde enheter kan utføre søk?

Innebygde enheter som kjører på Windows 10 versjon 1809 eller nyere, Windows 11, Windows Server 2019 eller Windows Server 2022, kan utføre søk.

Hva skjer hvis de innebygde enhetene mine er koblet til hjemmenettverket mitt eller til et offentlig tilgangspunkt?

Oppdagelsesmotoren skiller mellom nettverkshendelser som mottas i bedriftsnettverket kontra utenfor bedriftsnettverket. Ved å koordinere nettverksidentifikatorer på tvers av alle leiers klienter, skilles hendelser mellom de som ble mottatt fra private nettverk og bedriftsnettverk. Hvis de fleste enhetene i organisasjonen for eksempel rapporterer at de er koblet til samme nettverksnavn, med samme standard gateway- og DHCP-serveradresse, kan det antas at dette nettverket sannsynligvis er et firmanettverk. Private nettverksenheter blir ikke oppført i beholdningen og blir ikke aktivt undersøkt.

Hvilke protokoller registrerer og analyserer du?

Alle innebygde enheter som kjører på Windows 10 versjon 1809 eller nyere, som standard Windows 11, Windows Server 2019 eller Windows Server 2022 registrerer og analyserer følgende protokoller: ARP, CDP, DHCP, DHCPv6, IP (overskrifter), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN-overskrifter), UDP (topptekster), WSD

Hvilke protokoller bruker du til aktiv undersøkelse i Standardoppdagelse?

Når en enhet er konfigurert til å kjøre standard oppdagelse, undersøkes eksponerte tjenester ved hjelp av følgende protokoller: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

I tillegg kan enhetsoppdagelse også skanne andre vanlig brukte porter for å forbedre nøyaktigheten & dekning for klassifisering.

Hvordan kan jeg ekskludere mål fra å bli undersøkt med Standard oppdagelse?

Hvis det finnes enheter på nettverket, som ikke skal undersøkes aktivt, kan du også definere en liste over utelatelser for å hindre at de skannes. Konfigurasjonen er tilgjengelig på siden for enhetssøkinnstillinger.

Obs!

Enheter kan fortsatt svare på multikastingsforsøk i nettverket. Disse enhetene vil bli oppdaget, men vil ikke bli aktivt undersøkt.

Kan jeg utelate enheter fra å bli oppdaget?

Når enhetsoppdagelse bruker passive metoder for å oppdage enheter i nettverket, kan alle enheter som kommuniserer med de pålastede enhetene i firmanettverket, bli oppdaget og oppført i beholdningen. Du kan bare utelate enheter fra aktiv sondering.

Hvor hyppig er den aktive sonden?

Enheter vil aktivt bli undersøkt når endringer i enhetsegenskaper observeres for å sikre at den eksisterende informasjonen er oppdatert (vanligvis undersøker enheter ikke mer enn én gang i en tre ukers periode)

Sikkerhetsverktøyet mitt varslet om UnicastScanner.ps1/PSScript_{GUID}.ps1 eller portskanningsaktivitet initiert av det, hva bør jeg gjøre?

De aktive prøveskriptene er signert av Microsoft og er trygge. Du kan legge til følgende bane i utelatelseslisten: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Hva er trafikkmengden som genereres av den aktive sonden for standardoppdagelse?

Aktiv sondering kan generere opptil 50 kb trafikk mellom den pålastede enheten og den undersøkte enheten, hvert forsøk på å undersøke

Hvorfor er det et avvik mellom «kan være innebygde» enheter i enhetsbeholdningen og antallet «enheter til pålasting» i instrumentbordflisen?

Du kan legge merke til forskjeller mellom antall oppførte enheter under «kan være pålastet» i enhetsbeholdningen, sikkerhetsanbefaling om bord for å Microsoft Defender for endepunkt og kontrollprogrammet «enheter til ombord» instrumentbord.

Sikkerhetsanbefalingen og instrumentbord-kontrollprogrammet er for enheter som er stabile i nettverket. unntatt flyktige enheter, gjesteenheter og andre. Ideen er å anbefale på vedvarende enheter som også antyder den generelle sikkerhetspoengsummen for organisasjonen.

Kan jeg gå om bord på uadministrerte enheter som ble funnet?

Ja. Du kan legge inn uadministrerte enheter manuelt. Uadministrerte endepunkter i nettverket introduserer sårbarheter og risikoer for nettverket. Pålasting av dem til tjenesten kan øke sikkerhetssynligheten for dem.

Jeg har lagt merke til at tilstand for uadministrert enhetstilstand alltid er «aktiv», hvorfor er det det?

Midlertidig er ikke-administrert enhetstilstand aktiv i standard oppbevaringsperiode for enhetsbeholdningen, uavhengig av den faktiske tilstanden.

Ser standardoppdagelse ut som skadelig nettverksaktivitet?

Når du vurderer standard oppdagelse, lurer du kanskje på konsekvensene av å undersøke, og spesifikt om sikkerhetsverktøy kan mistenke slik aktivitet som ondsinnet. Det følgende avsnittet forklarer hvorfor organisasjoner i nesten alle tilfeller ikke bør ha noen bekymringer rundt aktivering av standardoppdagelse.

Sondering distribueres på tvers av alle Windows-enheter på nettverket

I motsetning til ondsinnet aktivitet, som vanligvis skanner hele nettverket fra noen få kompromitterte enheter, startes Microsoft Defender for endepunkt Standard discovery-undersøkelse fra alle innebygde Windows-enheter, noe som gjør aktiviteten godartet og ikke-uregelmessig. Sonden administreres sentralt fra skyen for å balansere prøveforsøket mellom alle de støttede innebygde enhetene i nettverket.

Aktiv sondering genererer ubetydelig mengde ekstra trafikk

Uadministrerte enheter vil vanligvis ikke bli undersøkt mer enn én gang i løpet av en tre ukers periode og generere mindre enn 50 KB trafikk. Ondsinnet aktivitet omfatter vanligvis forsøk på gjentatte gjentatte forsøk og i noen tilfeller datautfiltrering som genererer en betydelig mengde nettverkstrafikk som kan identifiseres som et avvik av nettverksovervåkingsverktøy.

Windows-enheten kjører allerede aktiv oppdagelse

Aktive oppdagelsesfunksjoner har alltid vært innebygd i Windows-operativsystemet, for å finne nærliggende enheter, endepunkter og skrivere, for enklere "plug and play"-opplevelser og fildeling mellom endepunkter i nettverket. Lignende funksjonalitet implementeres i mobile enheter, nettverksutstyr og lagerprogrammer bare for å nevne noen.

Standardoppdagelse bruker de samme oppdagelsesmetodene til å identifisere enheter og ha en enhetlig synlighet for alle enhetene i nettverket i Microsoft Defender XDR Enhetsbeholdning. Eksempel: Standardoppdagelse identifiserer nærliggende endepunkter i nettverket på samme måte som windows lister opp tilgjengelige skrivere i nettverket.

Nettverkssikkerhet og overvåkingsverktøy er likegyldige til slike aktiviteter som utføres av enheter på nettverket.

Bare uadministrerte enheter undersøkes

Funksjonene for enhetsoppdagelse er bygget for å bare oppdage og identifisere uadministrerte enheter på nettverket. Dette betyr at tidligere oppdagede enheter som allerede er pålastet med Microsoft Defender for endepunkt ikke vil bli undersøkt.

Du kan utelate nettverkslokker fra aktiv sondering

Standard oppdagelse støtter utelukkelse av enheter eller områder (delnett) fra aktiv sondering. Hvis du har distribuert nettverkslokker, kan du bruke innstillingene for enhetssøk til å definere utelatelser basert på IP-adresser eller delnett (et område med IP-adresser). Definering av disse utelukkelsene sikrer at disse enhetene ikke blir aktivt undersøkt og ikke blir varslet. Disse enhetene oppdages bare ved hjelp av passive metoder (på samme måte som grunnleggende søkemodus).

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.