Delen via


Overzicht van apparaatdetectie

Van toepassing op:

Voor het beveiligen van uw omgeving moet u inventariseren van de apparaten die zich in uw netwerk bevinden. Het toewijzen van apparaten in een netwerk kan echter vaak duur, lastig en tijdrovend zijn.

Microsoft Defender voor Eindpunt biedt een apparaatdetectiefunctie waarmee u onbeheerde apparaten kunt vinden die zijn verbonden met uw bedrijfsnetwerk zonder extra apparaten of omslachtige proceswijzigingen. Apparaatdetectie maakt gebruik van onboarded eindpunten in uw netwerk om uw netwerk te verzamelen, te testen of te scannen om onbeheerde apparaten te detecteren. Met de apparaatdetectiefunctie kunt u het volgende detecteren:

  • Ondernemingseindpunten (werkstations, servers en mobiele apparaten) die nog niet zijn toegevoegd aan Defender for Endpoint
  • Netwerkapparaten, zoals routers en switches
  • IoT-apparaten, zoals printers en camera's

Onbekende en onbeheerde apparaten brengen aanzienlijke risico's voor uw netwerk met zich mee, of het nu gaat om een niet-gepatchte printer, netwerkapparaten met zwakke beveiligingsconfiguraties of een server zonder beveiligingscontroles. Zodra apparaten zijn gedetecteerd, kunt u het volgende doen:

  • Onbeheerde eindpunten onboarden naar de service, waardoor de zichtbaarheid van de beveiliging op deze eindpunten wordt vergroot.
  • Verminder de kwetsbaarheid voor aanvallen door beveiligingsproblemen te identificeren en te beoordelen en configuratieproblemen te detecteren.

Bekijk deze video voor een kort overzicht van het beoordelen en onboarden van onbeheerde apparaten die door Defender voor Eindpunt zijn gedetecteerd.

Met deze mogelijkheid is een beveiligingsaanbeveling voor het onboarden van apparaten voor Defender voor Eindpunt beschikbaar als onderdeel van de bestaande Microsoft Defender Vulnerability Management-ervaring.

Detectiemethoden

U kunt de detectiemodus kiezen die moet worden gebruikt door uw onboardingsapparaten. De modus bepaalt het niveau van zichtbaarheid dat u kunt krijgen voor onbeheerde apparaten in uw bedrijfsnetwerk.

Er zijn twee detectiemodi beschikbaar:

  • Basisdetectie: in deze modus verzamelen eindpunten passief gebeurtenissen in uw netwerk en extraheren ze er apparaatgegevens uit. Basisdetectie maakt gebruik van het binaire SenseNDR.exe voor het verzamelen van passieve netwerkgegevens en er wordt geen netwerkverkeer geïnitieerd. Eindpunten extraheren gegevens uit al het netwerkverkeer dat wordt gezien door een onboarded apparaat. Met basisdetectie krijgt u slechts beperkte zichtbaarheid van onbeheerde eindpunten in uw netwerk.

  • Standaarddetectie (aanbevolen): met deze modus kunnen eindpunten actief apparaten in uw netwerk vinden om verzamelde gegevens te verrijken en meer apparaten te detecteren, zodat u een betrouwbare en coherente apparaatinventaris kunt maken. Naast apparaten die zijn waargenomen met behulp van de passieve methode, maakt de standaardmodus ook gebruik van algemene detectieprotocollen die gebruikmaken van multicastquery's in het netwerk om nog meer apparaten te vinden. De standaardmodus maakt gebruik van slim, actief testen om aanvullende informatie over waargenomen apparaten te detecteren om bestaande apparaatinformatie te verrijken. Wanneer de standaardmodus is ingeschakeld, kan minimale en verwaarloosbare netwerkactiviteit die door de detectiesensor wordt gegenereerd, worden waargenomen door netwerkbewakingshulpprogramma's in uw organisatie.

U kunt uw detectie-instellingen wijzigen en aanpassen. Zie Apparaatdetectie configureren voor meer informatie.

Belangrijk

Standaarddetectie is de standaardmodus voor alle klanten vanaf 19 juli 2021. U kunt ervoor kiezen om deze configuratie te wijzigen in Basic via de instellingenpagina. Als u de basismodus kiest, krijgt u slechts beperkte zichtbaarheid van niet-beheerde eindpunten in uw netwerk.

De detectie-engine maakt onderscheid tussen netwerkgebeurtenissen die worden ontvangen in het bedrijfsnetwerk en buiten het bedrijfsnetwerk. Apparaten die niet zijn verbonden met bedrijfsnetwerken, worden niet gedetecteerd of vermeld in de apparaatinventaris.

Apparaatinventaris

Apparaten die zijn gedetecteerd, maar niet zijn toegevoegd aan en beveiligd door Defender voor Eindpunt, worden vermeld in de apparaatinventaris.

Als u deze apparaten wilt beoordelen, kunt u een filter in de lijst met apparateninventarisatie gebruiken met de naam Onboardingstatus, dat een van de volgende waarden kan hebben:

  • Onboarded: Het eindpunt wordt toegevoegd aan Defender for Endpoint.
  • Kan worden toegevoegd: het eindpunt is gedetecteerd in het netwerk en het besturingssysteem is geïdentificeerd als een eindpunt dat wordt ondersteund door Defender for Endpoint, maar het is momenteel niet onboarded. We raden u ten zeerste aan om deze apparaten te onboarden.
  • Niet ondersteund: het eindpunt is gedetecteerd in het netwerk, maar wordt niet ondersteund door Defender voor Eindpunt.
  • Onvoldoende informatie: het systeem kan de ondersteuning van het apparaat niet bepalen. Het inschakelen van standaarddetectie op meer apparaten in het netwerk kan de gedetecteerde kenmerken verrijken.

Het dashboard apparaatinventarisatie

Tip

U kunt altijd filters toepassen om niet-beheerde apparaten uit te sluiten van de inventarislijst van apparaten. U kunt ook de kolom onboardingstatus voor API-query's gebruiken om niet-beheerde apparaten te filteren.

Zie Apparaatinventaris voor meer informatie.

Detectie van netwerkapparaten

Het grote aantal onbeheerde netwerkapparaten dat in een organisatie is geïmplementeerd, creëert een grote kwetsbaarheid voor aanvallen en vormt een aanzienlijk risico voor de hele onderneming. Met de mogelijkheden voor netwerkdetectie van Defender voor Eindpunt kunt u ervoor zorgen dat netwerkapparaten worden gedetecteerd, nauwkeurig worden geclassificeerd en toegevoegd aan de inventaris van assets.

Netwerkapparaten worden niet beheerd als standaardeindpunten, omdat Defender voor Eindpunt geen sensor heeft die is ingebouwd in de netwerkapparaten zelf. Voor deze typen apparaten is een agentloze benadering vereist, waarbij een externe scan de benodigde informatie van de apparaten ophaalt. Hiervoor wordt op elk netwerksegment een aangewezen Defender voor Eindpunt-apparaat gebruikt om periodieke geverifieerde scans van vooraf geconfigureerde netwerkapparaten uit te voeren. De mogelijkheden voor het beheer van beveiligingsproblemen van Defender for Endpoint bieden geïntegreerde werkstromen voor het beveiligen van gedetecteerde switches, routers, WLAN-controllers, firewalls en VPN-gateways.

Zie Netwerkapparaten voor meer informatie.

Integratie van apparaatdetectie

Om de uitdaging aan te gaan om voldoende zichtbaarheid te krijgen om uw volledige OT/IOT-assetvoorraad te vinden, te identificeren en te beveiligen, ondersteunt Defender voor Eindpunt nu de volgende integratie:

Evaluatie van beveiligingsproblemen op gedetecteerde apparaten

Beveiligingsproblemen en risico's op uw apparaten en andere gedetecteerde onbeheerde apparaten in het netwerk maken deel uit van de huidige Defender Vulnerability Management-stromen onder Beveiligingsaanbeveling en worden weergegeven op entiteitspagina's in de portal. Zoek naar SSH-gerelateerde beveiligingsaanbeveling om SSH-beveiligingsproblemen te vinden die betrekking hebben op niet-beheerde en beheerde apparaten.

Het dashboard beveiligingsaanbeveling

Geavanceerde opsporing gebruiken op gedetecteerde apparaten

U kunt geavanceerde opsporingsquery's gebruiken om inzicht te krijgen op gedetecteerde apparaten. Meer informatie over gedetecteerde apparaten vindt u in de tabel DeviceInfo of netwerkgerelateerde informatie over deze apparaten in de tabel DeviceNetworkInfo.

De pagina Geavanceerde opsporing waarop query's kunnen worden gebruikt

Details van gedetecteerde apparaten opvragen

Voer deze query uit in de tabel DeviceInfo om alle gedetecteerde apparaten te retourneren, samen met de meest recente details voor elk apparaat:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Door de functie SeenBy aan te roepen in uw geavanceerde opsporingsquery, krijgt u meer informatie over welk onboardingsapparaat een gedetecteerd apparaat heeft gezien. Deze informatie kan helpen bij het bepalen van de netwerklocatie van elk gedetecteerd apparaat en vervolgens helpen bij het identificeren van het apparaat in het netwerk.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Zie de functie SeenBy() voor meer informatie.

Apparaatdetectie maakt gebruik van onboarded Defender for Endpoint-apparaten als een netwerkgegevensbron om activiteiten toe te schrijven aan niet-onboarded apparaten. De netwerksensor op het onboarded Defender for Endpoint-apparaat identificeert twee nieuwe verbindingstypen:

  • ConnectionAttempt - Een poging om een TCP-verbinding tot stand te brengen (syn)
  • ConnectionAcknowledged - Een bevestiging dat een TCP-verbinding is geaccepteerd (syn\ack)

Dit betekent dat wanneer een niet-onboarded apparaat probeert te communiceren met een onboarded Defender for Endpoint-apparaat, de poging een DeviceNetworkEvent genereert en de niet-onboarded apparaatactiviteiten kunnen worden weergegeven op de tijdlijn van het onboarded apparaat en via de tabel Advanced hunting DeviceNetworkEvents.

U kunt deze voorbeeldquery proberen:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Volgende stappen

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.