Visão geral sobre descoberta de dispositivo

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

Para proteger seu ambiente, é necessário fazer o inventário dos dispositivos que estão em sua rede. No entanto, o mapeamento de dispositivos em uma rede costuma ser caro, difícil e demorado.

Microsoft Defender para Ponto de Extremidade fornece uma funcionalidade de descoberta de dispositivo que ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras ou alterações de processo complicadas. A descoberta do dispositivo usa pontos de extremidade integrados, em sua rede para coletar, sondar ou examinar sua rede para descobrir dispositivos não gerenciados. A funcionalidade de descoberta do dispositivo permite que você descubra:

• Pontos de extremidade corporativos (estações de trabalho, servidores e dispositivos móveis) que ainda não estão integrados ao Defender para Ponto de Extremidade
• Dispositivos de rede como roteadores e comutadores
• Dispositivos IoT como impressoras e câmeras

Dispositivos desconhecidos e não gerenciados apresentam riscos significativos à sua rede - seja uma impressora não controlada, dispositivos de rede com configurações de segurança fracas ou um servidor sem controles de segurança. Depois que os dispositivos forem descobertos, você poderá:

• Integrar ao serviço os pontos de extremidade não gerenciados, aumentando sua visibilidade para a segurança.
• Reduzir a superfície de ataque identificando e avaliando as vulnerabilidades e detectando lacunas de configuração.

Assista a este vídeo para obter uma visão geral rápida de como avaliar e integrar dispositivos não gerenciados que o Defender para Ponto de Extremidade descobriu.

Com esse recurso, uma recomendação de segurança para integrar dispositivos ao Defender para Ponto de Extremidade está disponível como parte da experiência de Gerenciamento de Vulnerabilidades do Microsoft Defender existente.

Métodos de detecção

Você pode escolher o modo de descoberta a ser usado por seus dispositivos integrados. O modo controla o nível de visibilidade que você pode obter para dispositivos não gerenciados em sua rede corporativa.

Há dois modos de detecção disponíveis:

• Descoberta básica: neste modo, os pontos de extremidade coletam passivamente eventos em sua rede e extraem informações do dispositivo deles. A descoberta básica usa o binário SenseNDR.exe para coleta de dados de rede passiva e nenhum tráfego de rede é iniciado. Os pontos de extremidade extraem dados de todo o tráfego de rede visto por um dispositivo integrado. Com a descoberta básica, você só obtém visibilidade limitada de pontos de extremidade não gerenciados em sua rede.

• Descoberta padrão (recomendado): esse modo permite que os pontos de extremidade encontrem ativamente dispositivos em sua rede para enriquecer dados coletados e descobrir mais dispositivos - ajudando você a criar um inventário de dispositivo confiável e coerente. Além dos dispositivos observados usando o método passivo, o modo padrão também usa protocolos de descoberta comuns que usam consultas multicast na rede para encontrar ainda mais dispositivos. O modo standard usa sondagem inteligente e ativa para descobrir informações adicionais sobre dispositivos observados para enriquecer as informações de dispositivo existentes. Quando o modo Standard estiver habilitado, a atividade de rede mínima e insignificante gerada pelo sensor de descoberta poderá ser observada pelas ferramentas de monitoramento de rede em sua organização.

Você pode alterar e personalizar suas configurações de descoberta, para obter mais informações, consulte Configurar a descoberta do dispositivo.

Importante

A descoberta padrão é o modo padrão para todos os clientes a partir de 19 de julho de 2021. Você pode optar por alterar essa configuração para básica por meio da página de configurações. Ao escolher o modo Básico, você só terá uma visibilidade limitada dos pontos de extremidade não gerenciados em sua rede.

O mecanismo de detecção distingue os eventos de rede recebidos na rede corporativa dos recebidos fora da rede corporativa. Os dispositivos que não estão conectados a redes corporativas não serão detectados ou listados no inventário de dispositivos.

Inventário de dispositivos

Os dispositivos que foram descobertos, mas não estão integrados e protegidos pelo Defender para Ponto de Extremidade, estão listados no inventário do dispositivo.

Para avaliar esses dispositivos, você pode usar um filtro na lista de inventário de dispositivos chamada Integração status, que pode ter qualquer um dos seguintes valores:

• Integrado: o ponto de extremidade está integrado ao Defender para Ponto de Extremidade.
• Pode ser integrado: o ponto de extremidade foi descoberto na rede e o Sistema Operacional foi identificado como um que tem suporte do Defender para Ponto de Extremidade, mas não está integrado no momento. É altamente recomendável integrar esses dispositivos.
• Sem suporte: o ponto de extremidade foi descoberto na rede, mas não tem suporte do Defender para Ponto de Extremidade.
• Informações insuficientes: o sistema não pôde determinar a capacidade de suporte do dispositivo. Habilitar a detecção Padrão em mais dispositivos na rede pode enriquecer os atributos localizados.

Dica

Você sempre pode aplicar filtros para excluir os dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.

Para obter mais informações, consulte Inventário de dispositivos.

Detecção de dispositivos de rede

O grande número de dispositivos de rede não gerenciados implantados em uma organização cria uma grande área de ataque de superfície e representa um risco significativo para toda a empresa. Os recursos de descoberta de rede do Defender para Ponto de Extremidade ajudam você a garantir que os dispositivos de rede sejam descobertos, classificados com precisão e adicionados ao inventário de ativos.

Os dispositivos de rede não são gerenciados como pontos de extremidade padrão, pois o Defender para Ponto de Extremidade não tem um sensor integrado nos próprios dispositivos de rede. Esses tipos de dispositivos exigem uma abordagem sem agente em que uma verificação remota obtém as informações necessárias dos dispositivos. Para fazer isso, um dispositivo designado defender para ponto de extremidade é usado em cada segmento de rede para executar verificações autenticadas periódicas de dispositivos de rede pré-configurados. Os recursos de gerenciamento de vulnerabilidades do Defender para Ponto de Extremidade fornecem fluxos de trabalho integrados para proteger comutadores, roteadores, controladores WLAN, firewalls e gateways de VPN descobertos.

Para obter mais informações, consulte Dispositivos de rede.

Integração de descoberta de dispositivo

Para enfrentar o desafio de obter visibilidade suficiente para localizar, identificar e proteger seu inventário completo de ativos OT/IOT, o Defender para Ponto de Extremidade agora dá suporte à seguinte integração:

• Microsoft Defender para IoT: essa integração combina os recursos de descoberta de dispositivos do Defender para Ponto de Extremidade, com os recursos de monitoramento sem agente do Microsoft Defender para IoT, para proteger dispositivos IoT corporativos conectados a uma rede de TI (por exemplo, Protocolo de Internet por Voz (VoIP), impressoras e TVs inteligentes). Para obter mais informações, consulte Habilitar a segurança de IoT empresarial com o Defender para Ponto de Extremidade.

Avaliação de vulnerabilidade nos dispositivos detectados

Vulnerabilidades e riscos em seus dispositivos, bem como em outros dispositivos não gerenciados descobertos na rede, fazem parte dos fluxos atuais do Gerenciamento de Vulnerabilidades do Defender em "Recomendações de Segurança" e representados em páginas de entidade em todo o portal. Pesquisa para recomendações de segurança relacionadas ao SSH para localizar vulnerabilidades SSH relacionadas a dispositivos não gerenciados e não gerenciados.

Como usar a busca avançada nos dispositivos detectados

Você pode usar consultas de caça avançadas para obter visibilidade em dispositivos descobertos. Encontre detalhes sobre dispositivos descobertos na tabela DeviceInfo ou informações relacionadas à rede sobre esses dispositivos na tabela DeviceNetworkInfo.

Consultar detalhes de dispositivos descobertos

Execute essa consulta na tabela DeviceInfo para retornar todos os dispositivos descobertos, juntamente com os detalhes mais atualizados para cada dispositivo:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Ao invocar a função SeenBy , em sua consulta de caça avançada, você pode obter detalhes sobre por qual dispositivo integrado um dispositivo descoberto foi visto. Essas informações podem ajudar a determinar o local de rede de cada dispositivo descoberto e, posteriormente, ajudar a identificá-lo na rede.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Para obter mais informações, consulte a função SeenBy().

Como consultar informações relacionadas à rede

A descoberta do dispositivo aproveita os dispositivos integrados do Defender para Ponto de Extremidade como uma fonte de dados de rede para atribuir atividades a dispositivos não integrados. O sensor de rede no dispositivo integrado defender para ponto de extremidade identifica dois novos tipos de conexão:

• ConnectionAttempt - Uma tentativa de estabelecer uma conexão TCP (syn)
• ConnectionAcknowledged - Um reconhecimento de que uma conexão TCP foi aceita (syn\ack)

Isso significa que, quando um dispositivo não integrado tenta se comunicar com um dispositivo do Defender para Ponto de Extremidade integrado, a tentativa gera um DeviceNetworkEvent e as atividades do dispositivo não integrado podem ser vistas no dispositivo integrado linha do tempo e por meio da tabela DeviceNetworkEvents de caça avançada.

Você pode experimentar o seguinte exemplo de consulta:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Próximas etapas

• Configurar a descoberta de dispositivo
• Perguntas frequentes sobre descoberta de dispositivos

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.