Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В современных динамических ИТ-средах многие организации изо всех сил пытаются получить полную видимость всех своих устройств и ресурсов. Разнообразие устройств, теневая ИТ-служба, удаленная работа и быстрое изменение создают пробелы, которые подвергают организации риску безопасности.
Microsoft Defender для конечной точки обнаружение устройств позволяет напрямую получить представление о неуправляемых устройствах в сети. Вы можете выявлять риски и действовать быстро, без дополнительных устройств или сложной настройки.
Обнаружение устройств предназначено для уменьшения слепых пятен в вашей среде, что упрощает выявление, оценку и защиту устройств, которые в противном случае могут представлять риск. Эта функция работает как готовая возможность Defender для конечной точки с расширенной конфигурацией, доступной для более глубокой аналитики и пользовательских сценариев.
В этой статье объясняется, как работает обнаружение устройств, описываются поддерживаемые возможности, а также приводятся сведения о проверке и обнаружении ресурсов.
Принцип работы обнаружения устройств
Defender для конечной точки использует подключенные конечные точки для пассивного наблюдения за сетевым трафиком и активного зонда среды для выявления конечных точек, сетевых устройств и ресурсов Интернета вещей, которыми нельзя управлять или защищать.
Ниже приведен высокоуровневый поток, в котором описано, как работает обнаружение устройств:
- Defender для конечной точки сканирует среду и определяет неуправляемые устройства путем анализа сетевого трафика и использования активных методов проверки.
- Defender для конечной точки классифицирует обнаруженные устройства и добавляет их в инвентаризацию устройств, что обеспечивает видимость для устройств, которые не подключены.
- Вы можете просматривать устройства, которые не подключены к инвентаризации устройств, и подключить эти устройства, чтобы повысить уровень безопасности и снизить риск.
- Вы также можете настроить возможность обнаружения устройств: изменение режима сканирования, добавление исключений и доверенных сетей, включение проверки сети и многое другое. Дополнительные сведения см. в разделе Настройка обнаружения устройств.
В этом видео вы узнаете, как оценить и подключить неуправляемые устройства, обнаруженные Defender для конечной точки.
Обнаруженные ресурсы
Неизвестные и неуправляемые устройства представляют значительный риск для вашей сети, будь то принтер без исправления, сетевые устройства со слабыми конфигурациями безопасности или сервер без элементов управления безопасностью.
Defender для конечной точки обнаруживает:
- Конечные точки предприятия (рабочие станции, серверы и мобильные устройства), которые еще не подключены к Defender для конечной точки
- Сетевые устройства, такие как маршрутизаторы и коммутаторы
- Устройства Интернета вещей, такие как принтеры и камеры
Обнаруженные устройства Интернета вещей и OT
Defender для конечной точки может обнаруживать широкий спектр устройств Интернета вещей (IoT) и операционных технологий (OT) в вашей сети, включая принтеры, камеры, медицинские устройства, промышленные системы управления (ICS) и многое другое. Эти устройства часто имеют уникальные характеристики и могут не поддерживать традиционные агенты безопасности, что усложняет их мониторинг и защиту. Чтобы обнаружить эти устройства, необходимо подключить Defender для Интернета вещей на портале Defender.
Режимы обнаружения и проверки
Обнаружение устройств использует два основных режима обнаружения. Этот режим управляет уровнем видимости, который можно получить для неуправляемых устройств в корпоративной сети.
Режим обнаружения устройств можно выбрать в разделеПараметры>системы>Режим обнаружения>устройств. Дополнительные сведения см. в разделе Настройка обнаружения устройств.
| Режим | Описание | Принципы действия | Рекомендации и действия | Варианты использования и рекомендации |
|---|---|---|---|---|
| проверка Standard (по умолчанию) | Активное сканирование, которое обогащает данные устройства и обнаруживает больше устройств с помощью сетевых протоколов и активного сканирования. | — для поиска устройств используются распространенные протоколы обнаружения и многоадресные запросы. — Активно сканирует наблюдаемые устройства для получения дополнительных сведений. — Сканирует устройства при изменении характеристик, как правило, не чаще одного раза в три недели. |
— Активное сканирование может генерировать до 50 КБ трафика между подключенным устройством и сканируемым устройством на каждую попытку. — Standard обнаружении используются различные скрипты PowerShell для активного сканирования устройств в сети. Эти скрипты PowerShell подписаны корпорацией Майкрософт и выполняются из следующего расположения: C:\ProgramData\Майкрософт\Windows Defender Advanced Threat Protection\Downloads\*.ps. Например, C:\ProgramData\Майкрософт\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.— Сведения о том, какие устройства выполняют стандартное обнаружение, см. в разделе Управление устройствами, выполняющих стандартное обнаружение. — Сведения об исключении целевых объектов из стандартного обнаружения см. в разделе Исключение устройств. |
— настоятельно рекомендуется для создания надежного и согласованного инвентаризации устройств. — Почти во всех случаях организации не должны иметь проблем с безопасностью при включении стандартного обнаружения. Дополнительные сведения см. в статье Рекомендации по безопасности для стандартного обнаружения. |
| Базовая проверка | Пассивное сканирование, которое собирает сетевые события и сведения об устройстве без отправки проб. | — Пассивный сбор событий и извлечение сведений об устройстве из всего сетевого трафика, просматриваемого подключенными устройствами. — использует двоичный файлSenseNDR.exe для пассивного сбора сетевых данных. — проверка не инициирует сетевой трафик. |
Так как для обнаружения устройств в сети используются пассивные методы, все устройства, которые взаимодействуют с подключенными устройствами в корпоративной сети, могут быть обнаружены и перечислены в инвентаризации. Устройства можно исключить только из стандартных (активных) проверок. | — рекомендуется для конфиденциальных и устаревших сетей. — обеспечивает ограниченную видимость неуправляемых конечных точек. |
Вопросы безопасности при стандартном обнаружении
При рассмотрении стандартного обнаружения вы можете задаться вопросом о последствиях проверки и, в частности, могут ли средства безопасности подозревать такие действия как вредоносные. Почти во всех случаях организации не должны иметь проблем с включением стандартного обнаружения.
Проверка неуправляемых устройств нечасто и упрощена. Каждое неуправляемое устройство обычно сканируется не чаще одного раза в три недели, создавая менее 50 КБ трафика на каждую попытку. В отличие от этого, вредоносные действия создают гораздо более частый и объемный сетевой трафик, который легко обнаруживается средствами мониторинга.
Активное обнаружение — это стандартная функция Windows. Windows и многие другие платформы уже давно включают активное обнаружение для поиска близлежащих устройств для таких функций, как общий доступ к файлам и обнаружение принтеров. Defender для конечной точки использует эти же методы, поэтому средства мониторинга сети обрабатывают это действие как обычное.
Целевыми являются только неуправляемые устройства. Обнаружение устройств намеренно позволяет избежать сканирования устройств, которые уже подключены к Defender для конечной точки. Активному сканированию подлежат только неуправляемые или неизвестные устройства.
Вы можете исключить определенные устройства или подсети. Если у вас есть сетевые приманки или конфиденциальные устройства, вы можете настроить исключения в параметрах обнаружения устройств. Исключенные устройства не сканируются активно и обнаруживаются только пассивно, аналогично базовому режиму обнаружения.
Проверка подлинности сети
Проверка подлинности сети предоставляет способ обнаружения и оценки устройств сетевой инфраструктуры без агента, таких как коммутаторы, маршрутизаторы, контроллеры WLAN, брандмауэры и VPN-шлюзы. Назначенные подключенные устройства в вашей среде периодически сканируют предварительно настроенные сетевые устройства с помощью поддерживаемых протоколов, обеспечивая более глубокое представление сети за пределами стандартных датчиков конечных точек.
Так как сетевые устройства обычно не поддерживают подключенные датчики, Defender для конечной точки использует удаленные проверки, прошедшие проверку подлинности, для сбора информации. В каждом сегменте сети одно или несколько подключенных устройств Windows выступают в качестве устройств сканирования, выполняя эти проверки через регулярные интервалы. После обнаружения и классификации сетевые устройства интегрируются в рабочие процессы управления уязвимостями Defender для конечной точки, что позволяет администраторам безопасности получать рекомендации и проверять уязвимости.
Проверки, прошедшие проверку подлинности, используют SNMP (только для чтения) и поддерживают как SNMPv2, так и SNMPv3. Для этого необходимо указать, какие подключенные устройства будут выступать в качестве сканеров, и указать сетевые устройства, которые требуется сканировать. Такой подход гарантирует, что даже инфраструктура без агента будет включена в вашу стратегию управления безопасностью и уязвимостями.
После обнаружения и классификации сетевых устройств администраторы безопасности могут получать последние рекомендации по безопасности и просматривать недавно обнаруженные уязвимости на сетевых устройствах, развернутых в их организациях.
Примечание.
Проверка подлинности Windows не рекомендуется использовать с 18 декабря 2025 г. Дополнительные сведения см. в статье Часто задаваемые вопросы о проверке подлинности Windows.
Сведения о том, как инициировать сканирование сети, см. в разделе Настройка проверки сети с проверкой подлинности.
Отслеживаемые сети
Microsoft Defender для конечной точки анализирует сеть и определяет, является ли она корпоративной сетью, которую необходимо отслеживать, или не корпоративной сетью, которую можно игнорировать. Устройства, которые не подключены к корпоративным сетям, не обнаруживаются и не отображаются в списке устройств.
Чтобы определить сеть как корпоративную, Defender для конечной точки сопоставляет сетевые идентификаторы между всеми клиентами клиента. Если большинство устройств в организации сообщают, что они подключены к одному и тому же сетевому имени, с тем же шлюзом по умолчанию и адресом DHCP-сервера, Defender для конечной точки предполагает, что сеть является корпоративной сетью.
Устройства частной сети не перечислены в инвентаризации и не проверяются активно.
Чтобы переопределить этот параметр, можно добавить сети в отслеживаемый список. Дополнительные сведения см. в разделе Выбор сетей для мониторинга.
Поддерживаемые операционные системы и протоколы
Чтобы решить проблему, связанную с получением достаточной видимости для поиска, идентификации и защиты полного набора ресурсов OT/IOT, Defender для конечной точки поддерживает следующую интеграцию:
Поддерживаемые операционные системы
- Windows 10 версии 1809 или более поздней
- Windows 11
- Windows Server 2019 г. и более поздних версий
- ос Azure Stack HCI версии 23H2 и более поздних версий
Поддерживаемые протоколы
В следующей таблице показано, какие протоколы поддерживаются каждым режимом обнаружения.
| Протокол | Базовое обнаружение | Стандартное обнаружение |
|---|---|---|
| AFP | Нет | Да |
| ARP | Да | Да |
| CDP | Да | Нет |
| DHCP | Да | Да |
| DHCPv6 | Да | Нет |
| FTP | Нет | Да |
| HTTP | Нет | Да |
| HTTPS | Нет | Да |
| ICMP | Нет | Да |
| IP-адрес (заголовки) | Да | Нет |
| IphoneSync | Нет | Да |
| IPP | Нет | Да |
| LDAP | Нет | Да |
| LLDP | Да | Нет |
| LLMNR | Да | Да |
| mDNS | Да | Да |
| MNDP | Да | Нет |
| MSSQL | Да | Нет |
| NBNS | Да | Да |
| NBSS | Нет | Да |
| PJL | Нет | Да |
| RDP | Нет | Да |
| RPC | Нет | Да |
| SIP | Нет | Да |
| SLP | Нет | Да |
| SMB | Нет | Да |
| SMTP | Нет | Да |
| SNMP | Нет | Да |
| SSDP | Да | Нет |
| SSH | Нет | Да |
| TCP (заголовки SYN) | Да | Нет |
| Telnet | Нет | Да |
| UDP (заголовки) | Да | Нет |
| UPNP | Нет | Да |
| VNC | Нет | Да |
| Winrm | Нет | Да |
| WSD | Да | Да |
Обнаружение устройств может также сканировать другие часто используемые порты для повышения точности классификации и покрытия.
Возможности и параметры конфигурации
Большинство организаций получают преимущества от встроенного активного обнаружения, интеграции инвентаризации устройств и автоматической обработки сети. Вы можете использовать дополнительные параметры конфигурации для более детального управления, нацеливания и исключений по мере необходимости для вашей среды.
В этой таблице перечислены возможности обнаружения устройств, которые предоставляются автоматически, что включает каждый дополнительный параметр конфигурации и где можно изменить настраиваемые параметры на портале Defender.
Сведения об управлении параметрами обнаружения устройств см. в разделе Управление обнаружением устройств. Дополнительные сведения об анализе, оценке уязвимостей и охоте на запросы см. в статье Проверка и оценка устройств.
| Компонент или параметр | По умолчанию | Что он включает или включает | Настройка на портале Defender | Дополнительная информация |
|---|---|---|---|---|
| Базовое обнаружение | Нет | Обнаруживает неуправляемые конечные точки, сетевые устройства, ресурсы Интернета вещей через трафик. Может использоваться для конфиденциальных или устаревших сетей. | Системы>Параметры>Обнаружение> устройствРежим> обнаруженияОсновные | Режимы обнаружения и проверки |
| Стандартное обнаружение | Да | Добавляет сканирование на основе протокола для более глубокой идентификации устройств и расширенного инвентаризации. Можно отключить (переключиться в базовый режим). | Системы>Параметры>Обнаружение> устройствРежим> обнаруженияобнаружение Standard (рекомендуется) | Режимы обнаружения и проверки |
| Интеграция инвентаризации устройств | Да | Единое представление подключенных и обнаруженных устройств. Фильтрация, оценка и принятие мер в инвентаризации. | Активов>Устройств | Проверка устройств, которые не подключены |
| Управление списками сетей | Да | Отслеживает корпоративные сети, по умолчанию игнорирует не корпоративные сети. Может отслеживать или игнорировать определенные сети. | Системы>Параметры>Обнаружение> устройствОтслеживаемые сети | Управление списками сетей |
| Исключения | Нет | Исключите IP-адреса или группы устройств из проверок. | Системы>Параметры>Обнаружение> устройствИсключения | Исключение устройств |
| Проверка подлинности сети | Нет | — Обнаружение и классификация устройств сетевой инфраструктуры, которые не могут быть подключены. — Планирование проверок и определение целевых объектов сканирования за пределами подсети по умолчанию. |
Системы>Параметры>Обнаружение> устройствОбнаружение> устройствПроверка подлинности | Настройка проверки сети с проверкой подлинности |
| Обнаружение устройств OT/IoT | Нет | Интеграция с Defender для Интернета вещей для обнаружения устройств OT и корпоративных устройств Интернета вещей. | Системы>Параметры>Обнаружение> устройствКорпоративный Интернет вещей | Подключение Defender для Интернета вещей на портале Defender |
| Оценка уязвимостей | Да | Оцените уязвимости на обнаруженных устройствах и получите рекомендации по исправлению. Например, выполните поиск по запросу SSH , чтобы найти рекомендации по уязвимостям SSH, связанным с неуправляемых устройств. | Рекомендации по управлению экспозицией > | Обзор управления уязвимостями |
| Расширенная охота на обнаруженных устройствах | Да | Используйте расширенные запросы охоты для изучения обнаруженных устройств, их действий и связанных угроз. | Расширенная охота | Использование расширенной охоты на обнаруженных устройствах |
Возможности обнаружения и доступность устройств
Обнаружение устройств позволяет организациям определять управляемые и неуправляемые устройства в сети, включая конечные точки, сетевые устройства и устройства Интернета вещей и OT. Все обнаруженные устройства отображаются в инвентаризации устройств, независимо от типа устройства.
Основные возможности обнаружения, включая видимость устройств и проверку подлинности сети, согласованы в поддерживаемых средах Defender для конечных точек. Оценка уязвимостей и рекомендации по безопасности предоставляются для устройств конечных точек в рамках возможностей оценки уязвимостей в защитнике.
Если лицензия Enterprise IoT Security включена (через Microsoft 365 E5 или через автономную лицензию Enterprise IoT), оценка уязвимостей доступна для обнаруженных устройств Интернета вещей, обеспечивая более глубокое представление о рисках за пределами основных инвентаризаций.
Сведения о доступности и лицензировании функций см. в описании службы Microsoft Defender.