Como gerenciar a detecção de dispositivos e a avaliação de vulnerabilidades

  • 9 minutos

Para proteger seu ambiente, é necessário fazer o inventário dos dispositivos que estão em sua rede. No entanto, o mapeamento de dispositivos em uma rede costuma ser caro, difícil e demorado.

O Microsoft Defender para Ponto de Extremidade fornece um recurso de detecção de dispositivos que ajuda as organizações a encontrar dispositivos não gerenciados conectados à sua rede corporativa. O processo de detecção é executado sem necessidade de ferramentas extras ou complicadas alterações de processo. A detecção de dispositivos usa pontos de extremidade integrados para coletar, investigar e verificar a rede e localizar dispositivos não gerenciados. O recurso de detecção de dispositivos permite que as organizações localizem:

  • Pontos finais empresariais (estações de trabalho, servidores e dispositivos móveis) que o Microsoft Defender para Endpoint ainda não integrou.
  • Dispositivos de rede, como roteadores e comutadores.
  • Dispositivos IoT, como impressoras e câmeras.

Dispositivos desconhecidos e não gerenciados representam um risco significativo em uma rede. Não importa se se trata de uma impressora sem atualização, dispositivos de rede com configurações de segurança inconsistentes ou um servidor sem controles de segurança.

Assim que o serviço de deteção de dispositivos do Microsoft Defender para Endpoint detetar dispositivos, uma organização pode:

  • Integrar ao serviço os pontos de extremidade não gerenciados, aumentando sua visibilidade para a segurança.
  • Reduzir a superfície de ataque identificando e avaliando as vulnerabilidades e detectando lacunas de configuração.

Material adicional. Selecione o link a seguir para assistir a um vídeo curto apresentando a detecção de dispositivos.

Também está disponível uma recomendação de segurança para integrar dispositivos no Microsoft Defender para Endpoint como parte do módulo de Gestão de Vulnerabilidades.

Métodos de detecção

Uma organização pode escolher o modo de deteção que os respetivos dispositivos integrados devem utilizar. O modo controla o nível de visibilidade que você pode obter para dispositivos não gerenciados em sua rede corporativa.

Há dois modos de detecção disponíveis:

  • Detecção Básica. Nesse modo, os pontos de extremidade coletam passivamente os eventos em uma rede para extrair informações de dispositivos. A detecção Básica usa o comando binário SenseNDR.exe para uma coleta passiva de dados da rede. Este modo não inicia o tráfego de rede. Os pontos finais apenas extraem dados do tráfego de rede que um dispositivo integrado vê. Com a deteção básica, só obtém visibilidade limitada dos pontos finais não geridos na sua rede.
  • Detecção Padrão (recomendada). Esse modo permite que os pontos de extremidade localizem ativamente dispositivos em uma rede para enriquecer os dados coletados e descobrir mais dispositivos. Esse processo ajuda as organizações a criarem um inventário de dispositivos confiável e coerente. Além dos dispositivos que utilizam o método passivo, o modo padrão também aplica protocolos de deteção comuns que utilizam consultas multicast na rede. Esse processo localiza um número ainda maior de dispositivos. O modo Padrão usa uma investigação inteligente ativa para encontrar mais informações sobre os dispositivos observados e enriquecer as informações de dispositivos já existentes. Quando uma organização ativa o modo Standard, as respetivas ferramentas de monitorização de rede podem observar atividades de rede mínimas e insignificantes geradas pelo sensor de deteção.

A detecção Padrão tornou-se o modo padrão para todos os clientes a partir de julho de 2021. Você pode optar por alterar essa configuração para o modo Básico na página Configurações. Se escolher o modo básico, apenas obtém visibilidade limitada dos pontos finais não geridos na sua rede.

As organizações podem alterar e personalizar suas configurações de detecção. Para obter mais informações, confira a seção Como configurar a detecção de dispositivos.

O motor de deteção distingue entre os eventos de rede recebidos na rede empresarial e fora da rede empresarial. O serviço de deteção de dispositivos do Microsoft Defender para Endpoint não consegue detetar dispositivos nem listá-los no inventário de dispositivos se os dispositivos não se ligarem a redes empresariais.

Inventário de dispositivos

O centro de administração do Microsoft Intune lista os dispositivos no inventário de dispositivos. Fá-lo mesmo que o serviço de deteção de dispositivos do Microsoft Defender para Endpoint tenha detetado os dispositivos, mas o Microsoft Defender para Endpoint ainda não os tenha integrado e protegido.

Para avaliar esses dispositivos, você pode usar na lista de inventário de dispositivos um filtro chamado Status de Integração. Esse filtro pode conter um dos seguintes valores:

  • Integrado. O Microsoft Defender para Endpoint integra o ponto final.
  • Pode ser integrado. O Microsoft Defender para Endpoint detetou o ponto final na rede. Identificou o sistema operativo como um suportado pelo Microsoft Defender para Endpoint. No entanto, o Microsoft Defender para Endpoint ainda não integrou o dispositivo. A Microsoft recomenda que as organizações integrem estes dispositivos o mais rapidamente possível.
  • Sem suporte. O Microsoft Defender para Endpoint detetou o ponto final na rede, mas não suporta o ponto final.
  • Informações insuficientes. O sistema não conseguiu determinar se o dispositivo tem suporte ou não. Habilitar a detecção Padrão em mais dispositivos na rede pode enriquecer os atributos localizados.

Você sempre pode aplicar filtros para excluir os dispositivos não gerenciados da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.

Leitura adicional. Para obter mais informações, consulte Inventário de dispositivos.

Detecção de dispositivos de rede

O grande número de dispositivos de rede não gerenciados implantados em uma organização cria uma grande área de superfície de ataque. Além disso, representam um risco significativo para toda a empresa. A capacidade de deteção de rede do Microsoft Defender para Endpoint ajuda as organizações:

  • Descubra os respetivos dispositivos de rede.
  • Classifique os respetivos dispositivos com precisão.
  • Adicione os respetivos dispositivos ao respetivo inventário de ativos.

O Microsoft Defender para Endpoint não gere dispositivos de rede como pontos finais padrão. Por quê? Porque o Microsoft Defender para Ponto de Extremidade não tem um sensor integrado aos dispositivos de rede propriamente ditos. Esses tipos de dispositivos requerem uma abordagem sem agente na qual uma verificação remota obtém as informações necessárias dos dispositivos. Para recolher estas informações, cada segmento de rede utiliza um dispositivo Microsoft Defender para Endpoint designado para realizar análises autenticadas periódicas de dispositivos de rede pré-configurados. A funcionalidade Gestão de Vulnerabilidades do Microsoft Defender para Endpoint fornece fluxos de trabalho integrados para proteger as seguintes informações detetadas:

  • comutadores
  • roteadores
  • controladores de WLAN
  • firewalls
  • gateways de VPN (rede virtual privada)

Leitura adicional. Para obter mais informações, consulte Dispositivos de rede.

Integrações de detecção de dispositivos

O Microsoft Defender para Ponto de Extremidade soluciona o desafio de obter visibilidade suficiente para que as organizações localizem, identifiquem e protejam todo o seu inventário de ativos de OT/IOT. Isso é feito por meio do suporte às seguintes integrações:

  • Corelight. A Microsoft estabeleceu uma parceria com o Corelight para receber dados de aplicações de rede do Corelight. Este design fornece ao Microsoft Defender XDR maior visibilidade sobre as atividades de rede de dispositivos não geridos. Essa visibilidade inclui a comunicação com outras redes externas ou dispositivos não gerenciados. Para obter mais informações, consulte “Habilitar a integração de dados do Corelight”.
  • Microsoft Defender para IoT. Essa integração combina os recursos de detecção de dispositivos incluídos no Microsoft Defender para Ponto de Extremidade aos recursos de monitoramento sem agente do Microsoft Defender para IoT. Essa integração protege os dispositivos IoT corporativos conectados a uma rede de TI. Por exemplo, o VoIP (Voz sobre Protocolo de Internet), impressoras e TVs inteligentes. Para obter mais informações, consulte Habilitar o Microsoft Defender para integração de IoT.

Como configurar a detecção de dispositivos

Conforme indicado anteriormente, as organizações podem configurar a deteção de dispositivos em qualquer um dos dois modos – padrão ou básico. As organizações devem usar a opção Padrão para localizar dispositivos em suas redes ativamente. Esta opção garante a deteção de pontos finais e fornece uma classificação de dispositivos mais rica.

Uma organização pode personalizar a lista de dispositivos utilizados para realizar a deteção padrão. Pode:

  • Ative a deteção padrão em todos os dispositivos integrados que também suportam esta capacidade (atualmente – apenas no Windows 10 ou posterior e no Windows Server 2019 ou posterior).
  • Selecione um subconjunto ou subconjunto dos seus dispositivos ao especificar as respetivas etiquetas de dispositivo.

Execute as seguintes etapas para configurar a detecção de dispositivos:

  1. Navegue para o portal do Microsoft Defender .
  2. No painel de navegação no portal do Microsoft Defender , selecione Definições e, em seguida, selecione Deteção de dispositivos.
  3. Se quiser configurar o Básico como o modo de deteção a utilizar nos seus dispositivos integrados, selecione Básico e, em seguida, selecione Guardar.
  4. Se tiver selecionado a opção para utilizar a deteção Padrão, selecione uma das seguintes opções para determinar quais os dispositivos a utilizar para a pesquisa ativa:
    • todos os dispositivos
    • um subconjunto de dispositivos, especificando as respectivas tags de dispositivo
  5. Selecione Salvar.

Observação

A detecção Padrão utiliza vários scripts do PowerShell para investigar os dispositivos da rede ativamente. Esses scripts do PowerShell são assinados pela Microsoft e o sistema executa-os a partir da seguinte localização:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps.

Por exemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Excluir dispositivos da análise ativa na deteção padrão

Algumas organizações têm dispositivos na rede que o serviço de deteção de dispositivos do Microsoft Defender para Endpoint não deve analisar ativamente. Por exemplo, dispositivos utilizados como potes de mel para outra ferramenta de segurança. Nestes casos, uma organização pode definir uma lista de exclusões para impedir a análise destes dispositivos. Você pode configurar os dispositivos a serem excluídos na página Exclusões.

Observação

O serviço de deteção de dispositivos do Microsoft Defender para Endpoint ainda pode utilizar o modo de deteção Básico para detetar dispositivos. Também pode detetar dispositivos através de tentativas de deteção multicast. O serviço de deteção de dispositivos deteta passivamente esses dispositivos, mas não os sonda ativamente.

Seleção das redes a serem monitoradas

Quando analisa uma rede, o Microsoft Defender para Ponto de Extremidade determina se a rede é:

  • Uma rede empresarial que tem de monitorizar.
  • Uma rede não incorporada que pode ignorar.

Para identificar uma rede como corporativa, o Microsoft Defender para Ponto de Extremidade correlaciona identificadores de rede em todos os clientes do locatário. Pressupõe que a rede é uma rede empresarial se a maioria dos dispositivos na organização se ligarem ao mesmo:

  • Nome da rede
  • Gateway padrão
  • Endereço do servidor DHCP

Normalmente, as organizações optam por monitorizar as respetivas redes empresariais. No entanto, pode substituir esta decisão ao optar por monitorizar redes não incorporadas que contenham dispositivos integrados.

Uma organização pode configurar onde efetuar a deteção de dispositivos. especificando quais redes monitorar. O Microsoft Defender para Endpoint pode efetuar a deteção de dispositivos numa rede monitorizada.

A página Redes monitorizadas apresenta uma lista de redes onde o Microsoft Defender para Endpoint pode efetuar a deteção de dispositivos. A lista mostra as redes identificadas como redes empresariais. Se existirem mais de 50 redes identificadas como redes empresariais, a lista apresenta até 50 redes com os dispositivos mais integrados.

A página Redes monitorizadas ordena a lista de redes monitorizadas com base no número total de dispositivos vistos na rede nos últimos sete dias.

Pode aplicar um filtro para ver qualquer um dos seguintes estados de deteção de rede:

  • Redes monitoradas. Redes em que o Microsoft Defender para Endpoint efetua a deteção de dispositivos.
  • Redes ignoradas. O Microsoft Defender para Endpoint ignora esta rede e não efetua a deteção de dispositivos na mesma.
  • Todas. O Microsoft Defender para Endpoint apresenta redes monitorizadas e ignoradas.

Configuração do estado do monitor de rede

As organizações podem controlar os locais onde a detecção de dispositivos ocorre. As redes monitorizadas são onde o Microsoft Defender para Endpoint efetua a deteção de dispositivos. Essas redes costumam ser redes corporativas. Você também pode optar por ignorar redes ou selecionar a classificação de detecção inicial após modificar um estado.

  • Selecionar a classificação de detecção inicial significa aplicar o estado padrão do monitor de rede criado pelo sistema.
  • Selecionar o estado predefinido do monitor de rede criado pelo sistema significa que a deteção de dispositivos:
    • Monitoriza redes identificadas como empresariais.
    • Ignora as redes identificadas como não incorporadas.

Execute as seguintes etapas para configurar o estado do monitor de rede:

  1. Navegue para o portal do Microsoft Defender .
  2. No painel de navegação no portal do Microsoft Defender , selecione Definições e, em seguida, selecione Deteção de dispositivos.
  3. Na página Deteção de dispositivos , selecione Redes monitorizadas.
  4. Confira a lista de redes. Selecione o ícone de reticências (três pontos) ao lado do nome da rede que você deseja monitorar.
  5. Escolha se deseja monitorar, ignorar ou usar a classificação de detecção inicial. Tenha em mente as seguintes considerações:
    • Optar por monitorizar uma rede que o Microsoft Defender para Endpoint não identifica como uma rede empresarial pode causar a deteção de dispositivos fora da sua rede empresarial. Como tal, pode detetar dispositivos domésticos ou outros dispositivos não incorporados.
    • Optar por ignorar uma rede deixa de monitorizar e detetar dispositivos nessa rede. O Microsoft Defender para Endpoint não remove os dispositivos detetados do inventário. No entanto, já não pode atualizá-los e o sistema mantém os detalhes até que o período de retenção de dados do Microsoft Defender para Endpoint expire.
    • Antes de optar por monitorizar redes não incorporadas, tem de garantir que tem permissão para o fazer.
  6. Confirme que você deseja fazer a alteração.

Como explorar os dispositivos na rede

Você pode usar a seguinte consulta de busca avançada (Kusto) para obter um contexto mais amplo sobre cada nome de rede descrito na lista de redes. A consulta lista todos os dispositivos integrados ligados a uma determinada rede nos últimos sete dias.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Como obter informações sobre o dispositivo

Você pode usar a seguinte consulta de busca avançada (Kusto) para obter as informações completas mais recentes de um dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Avaliação de vulnerabilidade nos dispositivos detectados

As vulnerabilidades e os riscos nos seus dispositivos, bem como noutros dispositivos não geridos detetados na rede, fazem parte dos fluxos atuais de Gestão de Ameaças e Vulnerabilidades em "Recomendações de Segurança". As páginas de entidade no portal representam estas vulnerabilidades e riscos.

Por exemplo, pesquise recomendações de segurança relacionadas a "SSH" (SSH significa Secure Shell, um protocolo amplamente adotado para comunicações seguras sobre uma rede não confiável). O objetivo da pesquisa é encontrar vulnerabilidades SSH relacionadas com dispositivos não geridos e geridos.

Como usar a busca avançada nos dispositivos detectados

As organizações podem usar consultas de busca avançadas para obter visibilidade dos dispositivos detectados. Encontre mais dados dos dispositivos detectados na tabela DeviceInfo, ou informações desses dispositivos relacionadas à rede na tabela DeviceNetworkInfo.

Execute a seguinte consulta na tabela DeviceInfo para retornar todos os dispositivos detectados. Os resultados também apresentam os detalhes mais recentes de cada dispositivo.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Ao invocar a função SeenBy na sua consulta de investigação avançada, pode obter detalhes sobre qual dispositivo integrado viu um dispositivo detetado. Essas informações podem ajudar a determinar o local de rede de cada dispositivo detectado. Em seguida, poderão ajudar a identificá-lo na rede.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

A deteção de dispositivos utiliza dispositivos integrados no Microsoft Defender para Endpoint como uma origem de dados de rede para atribuir atividades a dispositivos não integrados. O sensor de rede para dispositivos integrados do Microsoft Defender para Ponto de Extremidade identifica dois novos tipos de conexão:

  • ConnectionAttempt. Uma tentativa de estabelecer uma conexão TCP.
  • ConnectionAcknowledged. Uma confirmação de que a rede aceitou uma ligação TCP.

Quando um dispositivo não integrado tenta comunicar com um dispositivo do Microsoft Defender para Endpoint integrado, a tentativa irá:

  • gerar um DeviceNetworkEvent.
  • apresentar as atividades de dispositivos não integrados na linha cronológica do dispositivo integrado e através da tabela DeviceNetworkEvents de investigação avançada.

Você pode experimentar o seguinte exemplo de consulta:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10