Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A deteção de dispositivos permite-lhe melhorar a visibilidade em dispositivos não geridos, avaliar a postura de segurança e tomar as medidas adequadas para os proteger.
Este artigo descreve como rever e avaliar dispositivos detetados pela deteção de dispositivos no Microsoft Defender para Ponto de Extremidade. Também irá aprender a obter dados em dispositivos que não estão integrados em Microsoft Defender para Ponto de Extremidade e como consultar dados em dispositivos detetados.
Pré-requisitos
Sistemas operacionais com suporte
- Windows 10 e posterior
- Windows Server 2019 e posterior.
Monitorizar dispositivos não integrados no inventário de dispositivos
Pode rever o inventário de dispositivos para dispositivos detetados que não estão integrados no Defender para Endpoint.
Observação
Um dispositivo não integrado permanece no portal do Defender (durante mais de 180 dias), se uma destas condições for cumprida:
- O dispositivo é detetado por um ponto final integrado na mesma rede
- O dispositivo é detetado por um sensor OT
Para avaliar estes dispositivos, navegue para o inventário de dispositivos e utilize o filtro status inclusão, com um dos seguintes valores:
| Valor | Descrição |
|---|---|
| Integrado | O ponto final está integrado no Defender para Endpoint. |
| Pode ser integrado | O Defender para Endpoint deteta o dispositivo na rede e suporta o respetivo sistema operativo, mas o dispositivo não está integrado. Observação: - Recomendamos vivamente que integre esses dispositivos. - Poderá reparar que as diferenças entre o número de dispositivos listados em podem ser integradas no inventário de dispositivos, na inclusão para Microsoft Defender para Ponto de Extremidade recomendação de segurança e nos dispositivos para integrar dashboard widget. A recomendação de segurança e o widget dashboard destinam-se a dispositivos estáveis na rede, excluindo dispositivos efémeros, dispositivos convidados, entre outros. A ideia é recomendar em dispositivos persistentes que também afetam a classificação de segurança geral da organização. |
| Sem suporte | O Defender para Endpoint deteta o ponto final, mas não suporta o dispositivo. |
| Informações insuficientes | O sistema não conseguiu determinar se o dispositivo tem suporte ou não. Ative a deteção padrão em mais dispositivos na rede para enriquecer os atributos detetados. |
Integrar dispositivos não geridos
Pode integrar dispositivos não geridos manualmente. Os pontos finais não geridos na sua rede introduzem vulnerabilidades e riscos na sua rede. Integrá-los no serviço pode aumentar a visibilidade de segurança nos mesmos.
Como usar a busca avançada nos dispositivos detectados
Pode utilizar consultas de investigação avançadas para obter visibilidade em dispositivos detetados. Encontre detalhes sobre dispositivos detetados na tabela DeviceInfo ou informações relacionadas com a rede sobre esses dispositivos, na tabela DeviceNetworkInfo.
Dica
Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.
Como explorar os dispositivos na rede
Pode utilizar a seguinte consulta de investigação avançada para obter mais contexto sobre cada nome de rede descrito na lista de redes. A consulta lista todos os dispositivos integrados que foram conectados a uma determinada rede nos últimos sete dias.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Como obter informações sobre o dispositivo
Pode utilizar a seguinte consulta avançada de investigação para obter as informações completas mais recentes num dispositivo específico.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Consultar detalhes de dispositivos detetados
Execute esta consulta na tabela DeviceInfo para devolver todos os dispositivos detetados juntamente com os detalhes mais atualizados para cada dispositivo:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Ao invocar a função SeenBy , na sua consulta de investigação avançada, pode obter detalhes sobre o dispositivo integrado pelo qual um dispositivo detetado foi visto. Estas informações podem ajudar a determinar a localização de rede de cada dispositivo detetado e, posteriormente, ajudar a identificá-lo na rede.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Para obter mais informações, veja a função SeenBy( ).
Como consultar informações relacionadas à rede
A deteção de dispositivos tira partido dos dispositivos integrados do Defender para Endpoint como uma origem de dados de rede para atribuir atividades a dispositivos não integrados. O sensor de rede no dispositivo integrado do Defender para Endpoint identifica dois novos tipos de ligação:
- ConnectionAttempt - Uma tentativa de estabelecer uma ligação TCP (syn)
- ConnectionAcknowledged - Confirmação de que uma ligação TCP foi aceite (syn\ack)
Isto significa que, quando um dispositivo não integrado tenta comunicar com um dispositivo do Defender para Ponto Final integrado, a tentativa gera um DeviceNetworkEvent e as atividades de dispositivos não integrados podem ser vistas no dispositivo integrado linha do tempo e através da tabela DeviceNetworkEvents de investigação avançada.
Você pode experimentar o seguinte exemplo de consulta:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Avaliar vulnerabilidades em dispositivos detetados
Gerenciamento de Vulnerabilidades do Microsoft Defender deteta riscos nos seus dispositivos e noutros dispositivos detetados e não geridos na rede.
Para rever as vulnerabilidades relevantes, veja a página Recomendações de gestão de exposição> e outraspáginas de entidade no portal do Defender.
Por exemplo, procure SSH na lista de recomendações de segurança para encontrar vulnerabilidades SSH relacionadas com dispositivos não geridos e geridos.
Para obter mais informações sobre as funcionalidades de gestão de vulnerabilidades, veja Gerenciamento de Vulnerabilidades do Microsoft Defender.