Cihaz bulma hakkında sık sorulan sorular

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 1
• Uç Nokta için Microsoft Defender Planı 2
• Microsoft Defender XDR

Önemli

Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Cihaz bulma hakkında sık sorulan soruların (SSS) yanıtlarını bulun.

Temel bulma modu nedir?

Bu mod, eklenen her Uç Nokta için Microsoft Defender cihazın ağ verilerini toplamasına ve komşu cihazları bulmasına olanak tanır. Eklenen uç noktalar, ağdaki olayları pasif olarak toplar ve onlardan cihaz bilgilerini ayıklar. Ağ trafiği başlatılmaz. Eklenen uç noktalar, eklenen bir cihaz tarafından görülen her ağ trafiğinden verileri ayıklar. Ağınızdaki yönetilmeyen cihazları listelemek için kullanılan bu veriler.

Temel bulma özelliğini devre dışı bırakabilir miyim?

Gelişmiş özellikler sayfasından cihaz bulmayı kapatma seçeneğiniz vardır. Ancak ağınızdaki yönetilmeyen cihazlarda görünürlüğü kaybedersiniz. Cihaz bulma özelliği kapalı olsa bile, SenseNDR.exe eklenen cihazlarda çalışmaya devam edecektir.

Standart bulma modu nedir?

Bu modda, Uç Nokta için Microsoft Defender eklenen uç noktalar toplanan verileri zenginleştirmek için ağdaki gözlemlenen cihazları etkin bir şekilde yoklayabilir (ağ trafiğinin önemsiz miktarıyla). Yalnızca temel bulma modu tarafından gözlemlenen cihazlar standart modda etkin bir şekilde yoklanır. Bu mod, güvenilir ve tutarlı bir cihaz envanteri oluşturmak için kesinlikle önerilir. Bu modu devre dışı bırakmayı ve Temel bulma modunu seçerseniz, büyük olasılıkla ağınızdaki yönetilmeyen uç noktaların yalnızca sınırlı görünürlüğünü elde edersiniz.

Standart mod, pasif yöntem kullanılarak gözlemlenenlere ek olarak daha fazla cihaz bulmak için ağda çok noktaya yayın sorguları kullanan yaygın bulma protokollerinden de yararlanıyor.

Hangi cihazların Standart bulma gerçekleştirebileceğini denetleyebilirim?

Standart bulma gerçekleştirmek için kullanılan cihazların listesini özelleştirebilirsiniz. Bu özelliği de destekleyen tüm eklenen cihazlarda Standart bulma özelliğini etkinleştirebilir (şu anda yalnızca Windows 10 veya üzeri ve Windows Server 2019 veya üzeri cihazlar) ya da cihaz etiketlerini belirterek cihazlarınızın alt kümesini veya alt kümelerini seçebilirsiniz. Bu durumda, diğer tüm cihazlar yalnızca Temel bulma'yı çalıştıracak şekilde yapılandırılır. Yapılandırma, cihaz bulma ayarları sayfasında sağlanır.

Yönetilmeyen cihazları cihaz envanter listesinden dışlayabilir miyim?

Evet, yönetilmeyen cihazları cihaz envanter listesinden dışlamak için filtreler uygulayabilirsiniz. Yönetilmeyen cihazları filtrelemek için API sorgularında ekleme durumu sütununu da kullanabilirsiniz.

Hangi eklenen cihazlar bulma gerçekleştirebilir?

Windows 10 sürüm 1809 veya üzeri, Windows 11, Windows Server 2019 veya Windows Server 2022'de çalışan eklenen cihazlar bulma gerçekleştirebilir.

Eklenen cihazlarım ev ağıma veya genel erişim noktasına bağlıysa ne olur?

Bulma altyapısı, şirket ağında alınan ağ olaylarını kurumsal ağın dışından ayırt eder. Ağ tanımlayıcıları tüm kiracının istemcileri arasında ilişkilendirilerek olaylar, özel ağlardan ve şirket ağlarından alınanlar arasında ayırt edilir. Örneğin, kuruluştaki cihazların çoğu aynı ağ adına, aynı varsayılan ağ geçidine ve DHCP sunucu adresine bağlı olduklarını bildirirse, bu ağın büyük olasılıkla bir şirket ağı olduğu varsayılabilir. Özel ağ cihazları envanterde listelenmez ve etkin bir şekilde yoklamaz.

Hangi protokolleri yakalayıp analiz ediyorsunuz?

Varsayılan olarak, Windows 10 sürüm 1809 veya sonraki bir sürümde çalışan tüm eklenen cihazlar, Windows 11, Windows Server 2019 veya Windows Server 2022 şu protokolleri yakalayıp analiz ediyor: ARP, CDP, DHCP, DHCPv6, IP (üst bilgiler), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN üst bilgileri), UDP (üst bilgiler), WSD

Standart bulmada etkin yoklama için hangi protokolleri kullanırsınız?

Bir cihaz Standart bulma çalıştıracak şekilde yapılandırıldığında, Kullanıma sunulan hizmetler şu protokoller kullanılarak araştırılıyor: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

Ayrıca, cihaz bulma, sınıflandırma doğruluğunu & kapsamını geliştirmek için yaygın olarak kullanılan diğer bağlantı noktalarını da tarayabilir.

Standart bulma ile hedeflerin yoklanmasını nasıl dışlayabilirim?

Ağınızda etkin olarak araştırılmaması gereken cihazlar varsa, bunların taranmasını önlemek için bir dışlama listesi de tanımlayabilirsiniz. Yapılandırma, cihaz bulma ayarları sayfasında sağlanır.

Not

Cihazlar yine de ağdaki çok noktaya yayın bulma girişimlerini yanıtlayabilir. Bu cihazlar bulunur ancak etkin bir şekilde yoklamaz.

Cihazların bulunmasını dışlayabilir miyim?

Cihaz bulma, ağdaki cihazları bulmak için pasif yöntemler kullandığından, şirket ağında eklenen cihazlarınızla iletişim kuran tüm cihazlar bulunabilir ve envanterde listelenebilir. Cihazları yalnızca etkin yoklamanın dışında tutabilirsiniz.

Etkin yoklama ne sıklıktadır?

Mevcut bilgilerin güncel olduğundan emin olmak için cihaz özelliklerindeki değişiklikler gözlemlendiğinde cihazlar etkin bir şekilde yoklanır (genellikle, cihazlar üç haftalık bir süre içinde en fazla bir kez yoklanır)

Güvenlik aracım tarafından başlatılan UnicastScanner.ps1 /PSScript_{GUID}.ps1 veya bağlantı noktası tarama etkinliğinde uyarı tetikledi, ne yapmalıyım?

Etkin yoklama betikleri Microsoft tarafından imzalandığından güvenlidir. Dışlama listenize aşağıdaki yolu ekleyebilirsiniz: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Standart bulma etkin yoklaması tarafından oluşturulan trafik miktarı nedir?

Etkin yoklama, eklenen cihaz ve yoklama cihazı arasında her yoklama girişiminde 50 KB'a kadar trafik oluşturabilir

Cihaz envanterindeki "eklenebilir" cihazlar ile pano kutucuğundaki "eklenecek cihazlar" arasında neden bir tutarsızlık var?

Cihaz envanterinde "eklenebilir" altında listelenen cihazların sayısı, "Uç Nokta için Microsoft Defender'a ekleme" güvenlik önerisi ve "eklenecek cihazlar" pano pencere öğesi arasında farklar görebilirsiniz.

Güvenlik önerisi ve pano pencere öğesi ağdaki kararlı cihazlara yöneliktir; kısa ömürlü cihazlar, konuk cihazlar ve diğerleri hariç. Amaç, kuruluşun genel güvenlik puanını da ima eden kalıcı cihazlarda öneride bulunur.

Bulunan yönetilmeyen cihazları ekleyebilir miyim?

Evet. Yönetilmeyen cihazları el ile ekleyebilirsiniz. Ağınızdaki yönetilmeyen uç noktalar ağınıza güvenlik açıkları ve riskler getirir. Bunları hizmete eklemek, bu hizmetlerde güvenlik görünürlüğünü artırabilir.

Yönetilmeyen cihaz sistem durumunun her zaman "Etkin" olduğunu fark ettim, neden bu?

Gerçek durumları ne olursa olsun, cihaz envanterinin standart saklama süresi boyunca geçici olarak yönetilmeyen cihaz sistem durumu "Etkin" olur.

Standart bulma kötü amaçlı ağ etkinliği gibi görünüyor mu?

Standart bulmayı değerlendirirken, yoklamanın etkilerini ve özellikle güvenlik araçlarının kötü amaçlı etkinlik gibi etkinliklerden şüphelenip şüphelenmeyeceğini merak ediyor olabilirsiniz. Aşağıdaki alt bölümde, neredeyse tüm durumlarda kuruluşların Standart bulmayı etkinleştirme konusunda neden endişeleri olmaması gerektiği açıklanmaktadır.

Yoklama, ağdaki tüm Windows cihazlarına dağıtılır

Genellikle güvenliği aşılmış birkaç cihazdan ağın tamamını tarayan kötü amaçlı etkinliklerin aksine, Uç Nokta için Microsoft Defender Standart bulma yoklama işlemi, etkinliği zararsız ve anormal olmayan hale getiren tüm eklenen Windows cihazlarından başlatılır. Yoklama, ağdaki desteklenen tüm eklenen cihazlar arasında yoklama girişimini dengelemek için buluttan merkezi olarak yönetilir.

Etkin yoklama göz ardı edilebilir miktarda ek trafik oluşturur

Yönetilmeyen cihazlar genellikle üç haftalık bir süre içinde en fazla bir kez yoklanır ve 50 KB'tan az trafik oluşturur. Kötü amaçlı etkinlikler genellikle yüksek yinelenen yoklama denemelerini ve bazı durumlarda ağ izleme araçları tarafından anomali olarak tanımlanabilen önemli miktarda ağ trafiği oluşturan veri sızdırmayı içerir.

Windows cihazınız zaten etkin bulma çalıştırıyor

Etkin bulma özellikleri, ağdaki uç noktalar arasında daha kolay "tak çalıştır" deneyimleri ve dosya paylaşımı için yakındaki cihazları, uç noktaları ve yazıcıları bulmak için her zaman Windows işletim sistemine eklenmiştir. Benzer işlevler mobil cihazlarda, ağ ekipmanında ve envanter uygulamalarında yalnızca birkaç adla uygulanır.

Standart bulma, cihazları tanımlamak ve Microsoft Defender XDR Cihaz Envanteri'nde ağınızdaki tüm cihazlar için birleşik görünürlüğe sahip olmak için aynı bulma yöntemlerini kullanır. Örneğin– Standart bulma, ağdaki yakındaki uç noktaları Windows'un ağdaki kullanılabilir yazıcıları listelediği gibi tanımlar.

Ağ güvenliği ve izleme araçları, ağdaki cihazlar tarafından gerçekleştirilen bu tür etkinliklere kayıtsızdır.

Yalnızca yönetilmeyen cihazlar yoklanıyor

Cihaz bulma özellikleri yalnızca ağınızdaki yönetilmeyen cihazları bulmak ve tanımlamak için oluşturulmuş. Bu, önceden bulunan ve önceden Uç Nokta için Microsoft Defender eklenen cihazların yoklanmayacağı anlamına gelir.

Ağ yemlerini etkin yoklamanın dışında tutabilirsiniz

Standart bulma, cihazların veya aralıkların (alt ağlar) etkin yoklamadan dışlanmasını destekler. Dağıtılan ağ yemleriniz varsa, IP adreslerine veya alt ağlara (bir ip adresi aralığı) göre dışlamaları tanımlamak için Cihaz Bulma ayarlarını kullanabilirsiniz. Bu dışlamaları tanımlamak, bu cihazların etkin bir şekilde yoklanmamasını ve uyarı almamasını sağlar. Bu cihazlar yalnızca pasif yöntemler kullanılarak bulunur (Temel bulma moduna benzer).

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.