Perguntas frequentes sobre descoberta de dispositivo
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
Encontre respostas para perguntas frequentes (perguntas frequentes) sobre a descoberta do dispositivo.
O que é o modo básico de descoberta?
Esse modo permite que cada Microsoft Defender para Ponto de Extremidade dispositivo integrado colete dados de rede e descubra dispositivos vizinhos. Os pontos de extremidade integrados coletam passivamente eventos na rede e extraem informações do dispositivo deles. Nenhum tráfego de rede é iniciado. Os pontos de extremidade integrados extraem dados de cada tráfego de rede que é visto por um dispositivo integrado. Esses dados usados para listar dispositivos não gerenciados em sua rede.
Posso desabilitar a descoberta básica?
Você tem a opção de desativar a descoberta do dispositivo por meio da página Recursos avançados . No entanto, você perderá a visibilidade em dispositivos não gerenciados em sua rede. Observe que, mesmo que a descoberta do dispositivo esteja desativada, SenseNDR.exe ainda estará em execução nos dispositivos integrados.
O que é o modo de descoberta Standard?
Nesse modo, os pontos de extremidade integrados a Microsoft Defender para Ponto de Extremidade podem investigar ativamente dispositivos observados na rede para enriquecer dados coletados (com uma quantidade insignificante de tráfego de rede). Somente os dispositivos observados pelo modo básico de descoberta são ativamente investigados no modo padrão. Esse modo é altamente recomendado para criar um inventário de dispositivo confiável e coerente. Se você optar por desabilitar esse modo e selecionar o modo de descoberta básico, provavelmente só ganhará visibilidade limitada de pontos de extremidade não gerenciados em sua rede.
O modo standard também aproveita protocolos comuns de descoberta que usam consultas multicast na rede para encontrar ainda mais dispositivos, além dos que foram observados usando o método passivo.
Posso controlar quais dispositivos executam a descoberta Standard?
Você pode personalizar a lista de dispositivos usados para executar a descoberta Standard. Você pode habilitar a descoberta Standard em todos os dispositivos integrados que também dão suporte a essa funcionalidade (atualmente Windows 10 ou posterior e somente dispositivos Windows Server 2019 ou posterior) ou selecionar um subconjunto ou subconjunto de seus dispositivos especificando suas marcas de dispositivo. Nesse caso, todos os outros dispositivos são configurados apenas para executar a descoberta básica. A configuração está disponível na página de configurações de descoberta do dispositivo.
Posso excluir dispositivos não gerenciados da lista de inventário de dispositivos?
Sim, você pode aplicar filtros para excluir dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.
Quais dispositivos integrados podem executar a descoberta?
Dispositivos integrados em execução no Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 podem executar a descoberta.
O que acontece se meus dispositivos integrados estiverem conectados à minha rede inicial ou ao ponto de acesso público?
O mecanismo de detecção distingue os eventos de rede recebidos na rede corporativa dos recebidos fora da rede corporativa. Ao correlacionar identificadores de rede entre todos os clientes do locatário, os eventos são diferenciados entre os que foram recebidos de redes privadas e redes corporativas. Por exemplo, se a maioria dos dispositivos na organização relatar que eles estão conectados ao mesmo nome de rede, com o mesmo gateway padrão e o endereço do servidor DHCP, pode-se supor que essa rede é provavelmente uma rede corporativa. Os dispositivos de rede privada não serão listados no inventário e não serão investigados ativamente.
Quais protocolos você está capturando e analisando?
Por padrão, todos os dispositivos integrados em execução no Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 estão capturando e analisando os seguintes protocolos: ARP, CDP, DHCP, DHCPv6, IP (cabeçalhos), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (cabeçalhos SYN), UDP (cabeçalhos), WSD
Quais protocolos você usa para sondagem ativa na descoberta standard?
Quando um dispositivo é configurado para executar a descoberta Padrão, os serviços expostos estão sendo investigados usando os seguintes protocolos: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Além disso, a descoberta do dispositivo também pode examinar outras portas comumente usadas para melhorar a precisão de classificação & cobertura.
Como posso excluir destinos de serem investigados com a descoberta Standard?
Se houver dispositivos em sua rede, que não devem ser investigados ativamente, você também poderá definir uma lista de exclusões para impedir que eles sejam verificados. A configuração está disponível na página de configurações de descoberta do dispositivo.
Observação
Os dispositivos ainda podem responder a tentativas de descoberta multicast na rede. Esses dispositivos serão descobertos, mas não serão investigados ativamente.
Posso excluir dispositivos de serem descobertos?
Como a descoberta de dispositivo usa métodos passivos para descobrir dispositivos na rede, qualquer dispositivo que se comunique com seus dispositivos integrados na rede corporativa pode ser descoberto e listado no inventário. Você só pode excluir dispositivos da sondagem ativa.
Qual é a frequência da sondagem ativa?
Os dispositivos serão ativamente investigados quando as alterações nas características do dispositivo forem observadas para garantir que as informações existentes estejam atualizadas (normalmente, os dispositivos investigados não mais de uma vez em um período de três semanas)
Minha ferramenta de segurança levantou alerta sobre UnicastScanner.ps1/PSScript_{GUID}.ps1 ou atividade de verificação de porta iniciada por ela, o que devo fazer?
Os scripts de sondagem ativos são assinados pela Microsoft e são seguros. Você pode adicionar o seguinte caminho à sua lista de exclusão: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Qual é a quantidade de tráfego que está sendo gerada pela investigação ativa de descoberta padrão?
A sondagem ativa pode gerar até 50Kb de tráfego entre o dispositivo integrado e o dispositivo investigado, todas as tentativas de sondagem
Por que há uma discrepância entre dispositivos "podem ser integrados" no inventário do dispositivo e o número de "dispositivos a bordo" no bloco dashboard?
Você pode notar diferenças entre o número de dispositivos listados em "pode ser integrado" no inventário do dispositivo, recomendação de segurança "a bordo para Microsoft Defender para Ponto de Extremidade" e "dispositivos a bordo" dashboard widget.
A recomendação de segurança e o widget dashboard são para dispositivos estáveis na rede; excluindo dispositivos efêmeros, dispositivos convidados e outros. A ideia é recomendar em dispositivos persistentes que também implicam na pontuação geral de segurança da organização.
Posso integrar dispositivos não gerenciados que foram encontrados?
Sim. Você pode integrar dispositivos não gerenciados manualmente. Pontos de extremidade não gerenciados em sua rede introduzem vulnerabilidades e riscos à sua rede. Integrá-los ao serviço pode aumentar a visibilidade de segurança sobre eles.
Notei que o estado de integridade do dispositivo não gerenciado é sempre "Ativo", por que isso?
Temporariamente, o estado de integridade do dispositivo não gerenciado é "Ativo" durante o período de retenção padrão do inventário do dispositivo, independentemente do estado real.
A descoberta padrão parece uma atividade de rede mal-intencionada?
Ao considerar a descoberta Standard, você pode estar se perguntando sobre as implicações da sondagem e especificamente se as ferramentas de segurança podem suspeitar de atividades como mal-intencionadas. A subseção a seguir explica por que, em quase todos os casos, as organizações não devem ter preocupações em habilitar a descoberta Standard.
A sondagem é distribuída em todos os dispositivos Windows na rede
Em oposição à atividade mal-intencionada, que normalmente examinaria toda a rede de alguns dispositivos comprometidos, a sondagem de descoberta Standard da Microsoft Defender para Ponto de Extremidade é iniciada a partir de todos os dispositivos Windows integrados tornando a atividade benigna e não anômala. A sondagem é gerenciada centralmente da nuvem para equilibrar a tentativa de sondagem entre todos os dispositivos integrados com suporte na rede.
A sondagem ativa gera uma quantidade insignificante de tráfego extra
Dispositivos não gerenciados normalmente seriam investigados não mais de uma vez em um período de três semanas e gerariam menos de 50KB de tráfego. A atividade mal-intencionada geralmente inclui altas tentativas de sondagem repetitivas e, em alguns casos, exfiltração de dados que gera uma quantidade significativa de tráfego de rede que pode ser identificada como uma anomalia pelas ferramentas de monitoramento de rede.
Seu dispositivo Windows já executa a descoberta ativa
Os recursos de descoberta ativa sempre foram inseridos no sistema operacional Windows, para encontrar dispositivos, pontos de extremidade e impressoras próximos, para obter experiências mais fáceis de "conectar e reproduzir" e compartilhamento de arquivos entre pontos de extremidade na rede. Funcionalidade semelhante é implementada em dispositivos móveis, equipamentos de rede e aplicativos de inventário apenas para citar alguns.
A descoberta padrão usa os mesmos métodos de descoberta para identificar dispositivos e ter uma visibilidade unificada para todos os dispositivos em sua rede no inventário de dispositivos Microsoft Defender XDR. Por exemplo: a descoberta padrão identifica pontos de extremidade próximos na rede da mesma forma que o Windows lista impressoras disponíveis na rede.
As ferramentas de segurança e monitoramento de rede são indiferentes a essas atividades executadas por dispositivos na rede.
Somente dispositivos não gerenciados estão sendo investigados
Os recursos de descoberta do dispositivo foram criados apenas para descobrir e identificar dispositivos não gerenciados em sua rede. Isso significa que dispositivos descobertos anteriormente que já estão integrados com Microsoft Defender para Ponto de Extremidade não serão investigados.
Você pode excluir iscas de rede da sondagem ativa
A descoberta padrão dá suporte à exclusão de dispositivos ou intervalos (sub-redes) da sondagem ativa. Se você tiver iscas de rede implantadas no local, poderá usar as configurações de Descoberta de Dispositivo para definir exclusões com base em endereços IP ou sub-redes (um intervalo de endereços IP). Definir essas exclusões garante que esses dispositivos não sejam investigados ativamente e não sejam alertados. Esses dispositivos são descobertos usando apenas métodos passivos (semelhantes ao modo básico de descoberta).
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de