Perguntas mais frequentes sobre a deteção de dispositivos
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
Encontre respostas às perguntas mais frequentes (FAQ) sobre a deteção de dispositivos.
O que é o modo de deteção Básico?
Este modo permite que todos os Microsoft Defender para Endpoint dispositivo integrado recolham dados de rede e descubram dispositivos vizinhos. Os pontos finais integrados recolhem passivamente eventos na rede e extraem informações do dispositivo dos mesmos. Não é iniciado qualquer tráfego de rede. Os pontos finais integrados extraem dados de cada tráfego de rede que é visto por um dispositivo integrado. Estes dados são utilizados para listar dispositivos não geridos na sua rede.
Posso desativar a deteção Básica?
Tem a opção de desativar a deteção de dispositivos através da página Funcionalidades avançadas . No entanto, perderá visibilidade em dispositivos não geridos na sua rede. Tenha em atenção que, mesmo que a deteção de dispositivos esteja desativada, SenseNDR.exe continuarão a ser executadas nos dispositivos integrados.
O que é o modo de deteção Standard?
Neste modo, os pontos finais integrados no Microsoft Defender para Endpoint podem sondar ativamente os dispositivos observados na rede para enriquecer os dados recolhidos (com uma quantidade insignificante de tráfego de rede). Apenas os dispositivos que foram observados pelo modo de deteção básico são ativamente sondados no modo padrão. Este modo é altamente recomendado para criar um inventário de dispositivos fiável e coerente. Se optar por desativar este modo e selecionar Modo de deteção básico, provavelmente apenas obterá visibilidade limitada dos pontos finais não geridos na sua rede.
O modo padrão também tira partido de protocolos de deteção comuns que utilizam consultas multicast na rede para encontrar ainda mais dispositivos, além dos que foram observados com o método passivo.
Posso controlar que dispositivos efetuam a deteção Standard?
Pode personalizar a lista de dispositivos que são utilizados para efetuar a deteção Padrão. Pode ativar a deteção Standard em todos os dispositivos integrados que também suportam esta capacidade (atualmente Windows 10 ou posterior e apenas no Windows Server 2019 ou dispositivos posteriores) ou selecionar um subconjunto ou subconjunto dos seus dispositivos ao especificar as respetivas etiquetas de dispositivo. Neste caso, todos os outros dispositivos estão configurados para executar apenas a deteção Básica. A configuração está disponível na página de definições de deteção de dispositivos.
Posso excluir dispositivos não geridos da lista de inventário de dispositivos?
Sim, pode aplicar filtros para excluir dispositivos não geridos da lista de inventário de dispositivos. Também pode utilizar a coluna de estado de inclusão em consultas de API para filtrar dispositivos não geridos.
Que dispositivos integrados podem realizar a deteção?
Os dispositivos integrados com Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 podem realizar a deteção.
O que acontece se os meus dispositivos integrados estiverem ligados à minha rede doméstica ou ao ponto de acesso público?
O motor de deteção distingue entre os eventos de rede que são recebidos na rede empresarial e fora da rede empresarial. Ao correlacionar os identificadores de rede em todos os clientes do inquilino, os eventos são diferenciados entre os que foram recebidos de redes privadas e redes empresariais. Por exemplo, se a maioria dos dispositivos na organização comunicar que estão ligados ao mesmo nome de rede, com o mesmo gateway predefinido e endereço de servidor DHCP, pode presumir-se que esta rede é provavelmente uma rede empresarial. Os dispositivos de rede privada não serão listados no inventário e não serão sondados ativamente.
Que protocolos está a capturar e a analisar?
Por predefinição, todos os dispositivos integrados em execução no Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 estão a capturar e analisar os seguintes protocolos: ARP, CDP, DHCP, DHCPv6, IP (cabeçalhos), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (cabeçalhos SYN), UDP (cabeçalhos), WSD
Que protocolos utiliza para a pesquisa ativa na deteção Padrão?
Quando um dispositivo está configurado para executar a deteção Standard, os serviços expostos estão a ser sondados através dos seguintes protocolos: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Além disso, a deteção de dispositivos também pode analisar outras portas frequentemente utilizadas para melhorar a precisão da classificação & cobertura.
Como posso excluir os destinos de serem sondados com a deteção Standard?
Se existirem dispositivos na sua rede, que não devem ser sondados ativamente, também pode definir uma lista de exclusões para impedir que sejam analisados. A configuração está disponível na página de definições de deteção de dispositivos.
Nota
Os dispositivos ainda podem responder a tentativas de deteção multicast na rede. Esses dispositivos serão detetados, mas não serão sondados ativamente.
Posso excluir dispositivos de serem detetados?
À medida que a deteção de dispositivos utiliza métodos passivos para detetar dispositivos na rede, qualquer dispositivo que comunique com os seus dispositivos integrados na rede empresarial pode ser detetado e listado no inventário. Só pode excluir dispositivos da pesquisa ativa.
Qual é a frequência da pesquisa ativa?
Os dispositivos serão ativamente sondados quando forem observadas alterações nas características do dispositivo para garantir que as informações existentes estão atualizadas (normalmente, os dispositivos sondados não mais do que uma vez num período de três semanas)
A minha ferramenta de segurança emitiu um alerta sobre UnicastScanner.ps1/PSScript_{GUID}.ps1 ou atividade de análise de portas iniciada pela mesma, o que devo fazer?
Os scripts de pesquisa ativos são assinados pela Microsoft e são seguros. Pode adicionar o seguinte caminho à sua lista de exclusão: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Qual é a quantidade de tráfego que está a ser gerado pela sonda ativa de deteção Padrão?
A pesquisa ativa pode gerar até 50 Kb de tráfego entre o dispositivo integrado e o dispositivo sondado, a cada tentativa de pesquisa
Por que motivo existe uma discrepância entre os dispositivos "podem ser integrados" no inventário de dispositivos e o número de "dispositivos a integrar" no mosaico do dashboard?
Poderá notar diferenças entre o número de dispositivos listados em "pode ser integrado" no inventário de dispositivos, a recomendação de segurança "integrar no Microsoft Defender para Endpoint" e o widget do dashboard "dispositivos a integrar".
A recomendação de segurança e o widget do dashboard destinam-se a dispositivos estáveis na rede; excluindo dispositivos efémeros, dispositivos convidados e outros. A ideia é recomendar em dispositivos persistentes que também implicam a classificação de segurança geral da organização.
Posso integrar dispositivos não geridos que foram encontrados?
Sim. Pode integrar dispositivos não geridos manualmente. Os pontos finais não geridos na sua rede introduzem vulnerabilidades e riscos na sua rede. Integrá-los no serviço pode aumentar a visibilidade de segurança nos mesmos.
Reparei que o estado de funcionamento do dispositivo não gerido é sempre "Ativo", porque é que isso acontece?
Temporariamente, o estado de funcionamento do dispositivo não gerido é "Ativo" durante o período de retenção padrão do inventário do dispositivo, independentemente do seu estado real.
A deteção padrão parece uma atividade de rede maliciosa?
Ao considerar a deteção Padrão, poderá estar a questionar-se sobre as implicações da pesquisa e, especificamente, se as ferramentas de segurança podem suspeitar de atividades como maliciosas. A subsecção seguinte explica por que motivo, em quase todos os casos, as organizações não devem ter qualquer preocupação em permitir a deteção Padrão.
A pesquisa é distribuída por todos os dispositivos Windows na rede
Ao contrário da atividade maliciosa, que normalmente analisaria toda a rede a partir de alguns dispositivos comprometidos, a pesquisa de deteção Padrão do Microsoft Defender para Endpoint é iniciada a partir de todos os dispositivos Windows integrados, tornando a atividade benigna e não anómalo. A pesquisa é gerida centralmente a partir da cloud para equilibrar a tentativa de pesquisa entre todos os dispositivos integrados suportados na rede.
A pesquisa ativa gera uma quantidade insignificante de tráfego extra
Normalmente, os dispositivos não geridos não são sondados mais do que uma vez num período de três semanas e geram menos de 50 KB de tráfego. Normalmente, a atividade maliciosa inclui tentativas de pesquisa repetitivas elevadas e, em alguns casos, a exfiltração de dados que gera uma quantidade significativa de tráfego de rede que pode ser identificada como uma anomalia pelas ferramentas de monitorização de rede.
O seu dispositivo Windows já executa a deteção ativa
As capacidades de deteção ativa foram sempre incorporadas no sistema operativo Windows, para localizar dispositivos, pontos finais e impressoras próximos, para experiências de "plug-and-play" mais fáceis e partilha de ficheiros entre pontos finais na rede. A funcionalidade semelhante é implementada em dispositivos móveis, equipamentos de rede e aplicações de inventário apenas para citar alguns.
A deteção padrão utiliza os mesmos métodos de deteção para identificar dispositivos e ter uma visibilidade unificada para todos os dispositivos na sua rede na Microsoft Defender XDR Inventário de Dispositivos. Por exemplo – a deteção padrão identifica pontos finais próximos na rede da mesma forma que o Windows lista impressoras disponíveis na rede.
As ferramentas de segurança e monitorização de rede são indiferentes a tais atividades realizadas pelos dispositivos na rede.
Apenas os dispositivos não geridos estão a ser sondados
As capacidades de deteção de dispositivos foram criadas apenas para detetar e identificar dispositivos não geridos na sua rede. Isto significa que os dispositivos detetados anteriormente que já estão integrados com Microsoft Defender para Endpoint não serão sondados.
Pode excluir iscos de rede da pesquisa ativa
A deteção padrão suporta a exclusão de dispositivos ou intervalos (sub-redes) da pesquisa ativa. Se tiver atrações de rede implementadas, pode utilizar as definições de Deteção de Dispositivos para definir exclusões com base em endereços IP ou sub-redes (um intervalo de endereços IP). Definir essas exclusões garante que esses dispositivos não serão ativamente sondados e não serão alertados. Esses dispositivos são detetados apenas através de métodos passivos (semelhantes ao modo de deteção Básico).
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários