Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Cihaz bulma , yönetilmeyen cihazlara yönelik görünürlüğünüzü geliştirmenize, güvenlik duruşlarını değerlendirmenize ve bunların güvenliğini sağlamak için uygun eylemleri gerçekleştirmenize olanak tanır.
Bu makalede, Uç Nokta için Microsoft Defender'de cihaz bulma tarafından bulunan cihazların nasıl gözden geçirilip değerlendirildiği açıklanır. Ayrıca, Uç Nokta için Microsoft Defender eklenmemiş cihazlarda veri almayı ve bulunan cihazlarda verileri sorgulamayı da öğrenirsiniz.
Önkoşullar
Desteklenen işletim sistemleri
- Windows 10 ve sonrası
- Windows Server 2019 ve üzeri.
Cihaz envanterinde eklenmeyen cihazları izleme
Uç Nokta için Defender'a eklenmemiş bulunan cihazlar için cihaz envanterini gözden geçirebilirsiniz.
Not
Bu koşullardan biri karşılanırsa, eklenmeyen bir cihaz Defender portalında kalır (180 günden fazla süreyle):
- Cihaz, aynı ağdaki eklenen uç nokta tarafından bulunur
- Cihaz bir OT algılayıcısı tarafından bulunur
Bu cihazları değerlendirmek için cihaz envanterine gidin ve aşağıdaki değerlerden biriyle Ekleme durum filtresini kullanın:
| Değer | Açıklama |
|---|---|
| Eklenen | Uç nokta, Uç Nokta için Defender'a eklenir. |
| Eklenebilir | Uç Nokta için Defender, ağdaki cihazı bulur ve işletim sistemini destekler, ancak cihaz eklenmez. Not: - Bu tür cihazları eklemenizi kesinlikle öneririz. - Cihaz envanterine eklenebilen cihaz sayısı, Uç Nokta için Microsoft Defender güvenlik önerisine ekleme ve pano pencere öğesi eklenecek cihazlar arasındaki farkları fark edebilirsiniz. Güvenlik önerisi ve pano pencere öğesi, kısa ömürlü cihazlar, konuk cihazlar ve diğerleri hariç, ağda kararlı olan cihazlara yöneliktir. Amaç, kuruluşun genel güvenlik puanını da etkileyen kalıcı cihazlarda öneride bulunur. |
| Desteklenme -yen | Uç Nokta için Defender uç noktayı bulur ancak cihazı desteklemez. |
| Yetersiz bilgi | Sistem cihazın desteklenebilirliğini belirleyemedi. Bulunan öznitelikleri zenginleştirmek için ağdaki daha fazla cihazda standart bulmayı etkinleştirin. |
Yönetilmeyen cihazları ekleme
Yönetilmeyen cihazları el ile ekleyebilirsiniz. Ağınızdaki yönetilmeyen uç noktalar ağınıza güvenlik açıkları ve riskler getirir. Bunları hizmete eklemek, bu hizmetlerde güvenlik görünürlüğünü artırabilir.
Bulunan cihazlarda gelişmiş avcılık kullanma
Bulunan cihazlarda görünürlük elde etmek için gelişmiş tehdit avcılığı sorgularını kullanabilirsiniz. Bulunan cihazlar hakkındaki ayrıntıları DeviceNetworkInfo tablosundaki DeviceInfo tablosunda veya bu cihazlarla ilgili ağ ile ilgili bilgileri bulabilirsiniz.
İpucu
Yönetilmeyen cihazları filtrelemek için API sorgularında ekleme durumu sütununu da kullanabilirsiniz.
Ağdaki cihazları keşfetme
Ağ listesinde açıklanan her ağ adı hakkında daha fazla bağlam elde etmek için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz. Sorgu, son yedi gün içinde belirli bir ağa bağlı olan tüm eklenen cihazları listeler.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Cihazla ilgili bilgi alma
Belirli bir cihazda en son eksiksiz bilgileri almak için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Bulunan cihazların ayrıntılarını sorgulama
Bulunan tüm cihazları ve her cihaz için en güncel ayrıntıları döndürmek için bu sorguyu DeviceInfo tablosunda çalıştırın:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
SeenBy işlevini çağırarak, gelişmiş tehdit avcılığı sorgunuzda bulunan bir cihazın hangi yerleşik cihazın görüldüğünü ayrıntılı olarak öğrenebilirsiniz. Bu bilgiler, bulunan her cihazın ağ konumunu belirlemeye yardımcı olabilir ve daha sonra bu cihazın ağda tanımlanmasına yardımcı olabilir.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Daha fazla bilgi için bkz. SeenBy() işlevi.
Ağla ilgili bilgileri sorgulama
Cihaz bulma, eklenen uç nokta için Defender cihazlarından bir ağ veri kaynağı olarak yararlanarak etkinlikleri eklenmemiş cihazlara bağlar. Uç Nokta için Defender'ın eklenen cihazındaki ağ algılayıcısı iki yeni bağlantı türü tanımlar:
- ConnectionAttempt - TCP bağlantısı kurma girişimi (syn)
- ConnectionAcknowledged - TCP bağlantısının kabul edildiğine ilişkin bir bildirim (syn\ack)
Başka bir deyişle, eklenmemiş bir cihaz eklenen uç nokta için Defender cihazıyla iletişim kurmaya çalıştığında, girişim bir DeviceNetworkEvent oluşturur ve eklenen cihaz zaman çizelgesinde ve Gelişmiş avcılık DeviceNetworkEvents tablosu aracılığıyla eklenmemiş cihaz etkinlikleri görülebilir.
Bu örnek sorguyu deneyebilirsiniz:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Bulunan cihazlardaki güvenlik açıklarını değerlendirme
Microsoft Defender Güvenlik Açığı Yönetimi cihazlarınızdaki riskleri ve ağdaki bulunan, yönetilmeyen diğer cihazları algılar.
İlgili güvenlik açıklarını gözden geçirmek için, Defender portalındaki Etkilenme yönetimi>Önerileri sayfasına ve diğer varlık sayfalarına bakın.
Örneğin, yönetilmeyen ve yönetilen cihazlarla ilgili SSH güvenlik açıklarını bulmak için güvenlik önerileri listesinde SSH'yi arayın.
Güvenlik açığı yönetimi özellikleri hakkında daha fazla bilgi için bkz. Microsoft Defender Güvenlik Açığı Yönetimi.