Veelgestelde vragen over apparaatdetectie
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Vind antwoorden op veelgestelde vragen over apparaatdetectie.
Wat is de basisdetectiemodus?
Met deze modus kan elke Microsoft Defender voor Eindpunt onboarded apparaat netwerkgegevens verzamelen en naburige apparaten detecteren. Onboarded eindpunten verzamelen passief gebeurtenissen in het netwerk en extraheren er apparaatgegevens uit. Er wordt geen netwerkverkeer geïnitieerd. Onboarded eindpunten extraheren gegevens uit elk netwerkverkeer dat wordt gezien door een onboarded apparaat. Deze gegevens worden gebruikt om onbeheerde apparaten in uw netwerk weer te geven.
Kan ik Basisdetectie uitschakelen?
U hebt de mogelijkheid om apparaatdetectie uit te schakelen via de pagina Geavanceerde functies . U verliest echter de zichtbaarheid op onbeheerde apparaten in uw netwerk. Houd er rekening mee dat zelfs als apparaatdetectie is uitgeschakeld, SenseNDR.exe nog steeds wordt uitgevoerd op de onboarded apparaten.
Wat is de standaarddetectiemodus?
In deze modus kunnen eindpunten die zijn onboarden naar Microsoft Defender voor Eindpunt actief geobserveerde apparaten in het netwerk testen om verzamelde gegevens te verrijken (met verwaarloosbare hoeveelheid netwerkverkeer). Alleen apparaten die door de basisdetectiemodus zijn waargenomen, worden actief in de standaardmodus onderzocht. Deze modus wordt ten zeerste aanbevolen voor het bouwen van een betrouwbare en coherente apparaatinventaris. Als u ervoor kiest om deze modus uit te schakelen en Basisdetectiemodus te selecteren, krijgt u waarschijnlijk slechts beperkte zichtbaarheid van onbeheerde eindpunten in uw netwerk.
De standaardmodus maakt ook gebruik van algemene detectieprotocollen die gebruikmaken van multicast-query's in het netwerk om nog meer apparaten te vinden, naast de protocollen die zijn waargenomen met behulp van de passieve methode.
Kan ik bepalen welke apparaten standard-detectie uitvoeren?
U kunt de lijst met apparaten aanpassen die worden gebruikt om standaarddetectie uit te voeren. U kunt standaarddetectie inschakelen op alle onboarded apparaten die ook ondersteuning bieden voor deze mogelijkheid (momenteel Windows 10 of hoger en alleen windows Server 2019 of hoger) of een subset of subsets van uw apparaten selecteren door hun apparaattags op te geven. In dit geval zijn alle andere apparaten geconfigureerd om alleen Basisdetectie uit te voeren. De configuratie is beschikbaar op de pagina met instellingen voor apparaatdetectie.
Kan ik onbeheerde apparaten uitsluiten van de lijst met apparaten?
Ja, u kunt filters toepassen om niet-beheerde apparaten uit te sluiten van de inventarislijst van apparaten. U kunt ook de kolom onboardingstatus voor API-query's gebruiken om niet-beheerde apparaten te filteren.
Welke onboardingsapparaten kunnen detectie uitvoeren?
Onboarded apparaten die worden uitgevoerd op Windows 10 versie 1809 of hoger, Windows 11, Windows Server 2019 of Windows Server 2022 kunnen detectie uitvoeren.
Wat gebeurt er als mijn onboarded apparaten zijn verbonden met mijn thuisnetwerk of met een openbaar toegangspunt?
De detectie-engine maakt onderscheid tussen netwerkgebeurtenissen die worden ontvangen in het bedrijfsnetwerk en buiten het bedrijfsnetwerk. Door netwerk-id's te correleren tussen alle tenantclients, worden gebeurtenissen onderscheiden tussen gebeurtenissen die zijn ontvangen van particuliere netwerken en bedrijfsnetwerken. Als de meeste apparaten in de organisatie bijvoorbeeld melden dat ze zijn verbonden met dezelfde netwerknaam, met dezelfde standaardgateway en hetzelfde DHCP-serveradres, kan worden aangenomen dat dit netwerk waarschijnlijk een bedrijfsnetwerk is. Privénetwerkapparaten worden niet vermeld in de inventaris en worden niet actief getest.
Welke protocollen legt u vast en analyseert u?
Standaard worden op alle onboarded apparaten met Windows 10 versie 1809 of hoger, Windows 11, Windows Server 2019 of Windows Server 2022, de volgende protocollen vastgelegd en geanalyseerd: ARP, CDP, DHCP, DHCPv6, IP (headers), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN-headers), UDP (headers), WSDD
Welke protocollen gebruikt u voor actief testen in Standard-detectie?
Wanneer een apparaat is geconfigureerd voor het uitvoeren van Standard-detectie, beschikbare services worden onderzocht met behulp van de volgende protocollen: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Daarnaast kan apparaatdetectie ook andere veelgebruikte poorten scannen om de nauwkeurigheid van de classificatie & dekking te verbeteren.
Hoe kan ik uitsluiten dat doelen worden onderzocht met Standard-detectie?
Als er apparaten in uw netwerk zijn die niet actief moeten worden onderzocht, kunt u ook een lijst met uitsluitingen definiëren om te voorkomen dat ze worden gescand. De configuratie is beschikbaar op de pagina met instellingen voor apparaatdetectie.
Opmerking
Apparaten reageren mogelijk nog steeds op multicastdetectiepogingen in het netwerk. Deze apparaten worden gedetecteerd, maar worden niet actief getest.
Kan ik uitsluiten dat apparaten worden gedetecteerd?
Omdat apparaatdetectie gebruikmaakt van passieve methoden om apparaten in het netwerk te detecteren, kan elk apparaat dat communiceert met uw onboardingsapparaten in het bedrijfsnetwerk worden gedetecteerd en vermeld in de inventaris. U kunt apparaten uitsluiten van alleen actief testen.
Hoe vaak is de actieve peiling?
Apparaten worden actief gecontroleerd wanneer wijzigingen in apparaatkenmerken worden waargenomen om ervoor te zorgen dat de bestaande informatie up-to-date is (meestal worden apparaten niet meer dan één keer in een periode van drie weken gecontroleerd)
Mijn beveiligingshulpprogramma heeft een waarschuwing gegenereerd over UnicastScanner.ps1/PSScript_{GUID}.ps1 of poortscanactiviteit die door het hulpprogramma is geïnitieerd. Wat moet ik doen?
De actieve testscripts zijn ondertekend door Microsoft en zijn veilig. U kunt het volgende pad toevoegen aan uw uitsluitingslijst: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Wat is de hoeveelheid verkeer die wordt gegenereerd door de actieve standaarddetectietest?
Actief testen kan tot 50 Kb aan verkeer genereren tussen het onboarding-apparaat en het geteste apparaat, elke testpoging
Waarom is er een verschil tussen 'kan worden onboarded' apparaten in de apparaatinventaris en het aantal 'apparaten dat moet worden onboarden' op de dashboardtegel?
Mogelijk ziet u verschillen tussen het aantal vermelde apparaten onder 'kan worden onboarden' in de apparaatinventaris, 'onboarden naar Microsoft Defender voor Eindpunt'-beveiligingsaanbeveling en 'apparaten om te onboarden' dashboardwidget.
De beveiligingsaanbeveling en de dashboardwidget zijn bedoeld voor apparaten die stabiel zijn in het netwerk; met uitzondering van tijdelijke apparaten, gastapparaten en andere. Het idee is om permanente apparaten aan te bevelen die ook betrekking hebben op de algehele beveiligingsscore van de organisatie.
Kan ik onbeheerde apparaten onboarden die zijn gevonden?
Ja. U kunt onbeheerde apparaten handmatig onboarden. Niet-beheerde eindpunten in uw netwerk brengen beveiligingsproblemen en risico's voor uw netwerk met zich mee. Als u ze onboardt voor de service, kan de zichtbaarheid van de beveiliging op de service worden vergroot.
Ik heb gemerkt dat de status van niet-beheerde apparaten altijd Actief is, waarom is dat?
Tijdelijk is de status van niet-beheerd apparaat 'Actief' tijdens de standaardretentieperiode van de apparaatinventaris, ongeacht de werkelijke status.
Ziet standaarddetectie eruit als schadelijke netwerkactiviteit?
Wanneer u standaarddetectie overweegt, vraagt u zich misschien af wat de gevolgen zijn van het testen en met name of beveiligingsprogramma's dergelijke activiteiten als kwaadwillend kunnen vermoeden. In de volgende subsectie wordt uitgelegd waarom organisaties zich in bijna alle gevallen geen zorgen hoeven te maken over het inschakelen van Standard-detectie.
Testen wordt verdeeld over alle Windows-apparaten in het netwerk
In tegenstelling tot kwaadwillende activiteiten, die doorgaans het hele netwerk van een paar aangetaste apparaten scannen, wordt Microsoft Defender voor Eindpunt Standard-detectieprobing gestart vanaf alle onboarded Windows-apparaten, waardoor de activiteit goedaardig en niet-afwijkend is. De test wordt centraal beheerd vanuit de cloud om de testpoging te verdelen tussen alle ondersteunde onboarding-apparaten in het netwerk.
Actief testen genereert verwaarloosbare hoeveelheid extra verkeer
Niet-beheerde apparaten worden doorgaans niet meer dan één keer in een periode van drie weken getest en genereren minder dan 50 KB aan verkeer. Schadelijke activiteiten omvatten meestal een groot aantal herhaalde testpogingen en in sommige gevallen gegevensexfiltratie die een aanzienlijke hoeveelheid netwerkverkeer genereert dat kan worden geïdentificeerd als een anomalie door hulpprogramma's voor netwerkbewaking.
Op uw Windows-apparaat wordt al actieve detectie uitgevoerd
Actieve detectiemogelijkheden zijn altijd ingesloten in het Windows-besturingssysteem, om apparaten, eindpunten en printers in de buurt te vinden, voor eenvoudigere 'plug-and-play'-ervaringen en het delen van bestanden tussen eindpunten in het netwerk. Vergelijkbare functionaliteit wordt geïmplementeerd in mobiele apparaten, netwerkapparatuur en inventaristoepassingen, om er maar een paar te noemen.
Standaarddetectie maakt gebruik van dezelfde detectiemethoden om apparaten te identificeren en om een uniforme zichtbaarheid te hebben voor alle apparaten in uw netwerk in de Microsoft Defender XDR Apparaatinventaris. Standaarddetectie identificeert bijvoorbeeld nabijgelegen eindpunten in het netwerk op dezelfde manier als windows beschikbare printers in het netwerk vermeldt.
Hulpprogramma's voor netwerkbeveiliging en -bewaking zijn niet afhankelijk van dergelijke activiteiten die door apparaten op het netwerk worden uitgevoerd.
Alleen onbeheerde apparaten worden onderzocht
De mogelijkheden voor apparaatdetectie zijn gebouwd om alleen onbeheerde apparaten in uw netwerk te detecteren en te identificeren. Dit betekent dat eerder gedetecteerde apparaten die al zijn onboarded met Microsoft Defender voor Eindpunt niet worden getest.
U kunt netwerklokking uitsluiten van actief testen
Standaarddetectie biedt ondersteuning voor het uitsluiten van apparaten of bereiken (subnetten) van actieve peiling. Als u netwerklokkingen hebt geïmplementeerd, kunt u de instellingen voor apparaatdetectie gebruiken om uitsluitingen te definiëren op basis van IP-adressen of subnetten (een bereik van IP-adressen). Als u deze uitsluitingen definieert, zorgt u ervoor dat deze apparaten niet actief worden gecontroleerd en niet worden gewaarschuwd. Deze apparaten worden alleen gedetecteerd met behulp van passieve methoden (vergelijkbaar met de basisdetectiemodus).
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor