分享方式:


裝置探索概觀

適用於:

保護您的環境需要清查網路中的裝置。 然而,在網路中對應裝置通常費用昂貴、具有挑戰性並非常耗時。

Microsoft適用於端點的 Defender 提供裝置探索功能,可協助您尋找連線到公司網路的非受控裝置,而不需要額外的設備或繁瑣的程式變更。 裝置探索會使用您網路中的上線端點來收集、探查或掃描您的網路,以探索非受控裝置。 裝置探索功能可讓您探索:

  • 企業端點 (尚未上線至適用於端點的Defender的工作站、伺服器和行動裝置)
  • 路由器和交換器等網路裝置
  • IoT 裝置,例如印表機和相機

未知和非受控裝置會對您的網路帶來重大風險 - 無論是未修補的印表機、具有弱式安全性設定的網路裝置,或沒有安全性控制的伺服器。 探索到裝置之後,您可以:

  • 將非受控端點新增至服務中,提高它們的安全性可見性。
  • 透過識別和評估弱點以及偵測設定缺口來减少受攻擊面。

觀看這段影片以快速概觀瞭解如何評估及上線適用於端點的 Defender 探索到的非受控裝置。

透過這項功能,將裝置上線至適用於端點的 Defender 的安全性建議可作為現有 Microsoft Defender 弱點管理體驗的一部分。

探索方法

您可以選擇上線裝置要使用的探索模式。 模式控制企業網路中非受控裝置的可見度層級。

提供兩種探索模式:

  • 基本探索:在此模式中,端點會被動收集您網路中的事件,並從中擷取裝置資訊。 基本探索會使用 SenseNDR.exe 二進位檔來收集被動網路數據,而且不會起始任何網路流量。 端點會從已上線裝置看到的所有網路流量擷取數據。 透過基本探索,您只會在網路中取得非受控端點的有限可見度。

  • 標準探索 (建議的) :此模式可讓端點主動尋找您網路中的裝置,以擴充收集的數據並探索更多裝置 ,協助您建置可靠且一致的裝置清查。 除了使用被動方法觀察到的裝置之外,標準模式也會使用常見的探索通訊協定,在網路中使用多播查詢來尋找更多裝置。 標準模式會使用智慧、主動探查來探索觀察到之裝置的其他資訊,以擴充現有的裝置資訊。 啟用標準模式時,組織中的網路監視工具可能會觀察到探索感測器所產生的最小和可忽略的網路活動。

您可以變更和自定義探索設定,如需詳細資訊,請參閱 設定裝置探索

重要事項

標準探索是自 2021 年 7 月 19 日起所有客戶的預設模式。 您可以選擇透過 [設定] 頁面,將此設定變更為基本設定。 如果選擇基本模式,則只能取得網路中非受控端點的有限可見度。

探索引擎區分在公司網路内部與在公司網路外部接收到的事件。 不會探索未連線至公司網路的裝置或將其列在裝置清單中。

裝置庫存

裝置清查中會列出已探索但未上線並受到適用於端點的 Defender 保護的裝置。

若要評估這些裝置,您可以在裝置清查清單中使用稱為 [ 上線狀態] 的篩選條件,其可以具有下列任何值:

  • 上線:端點已上線至適用於端點的Defender。
  • 可上線:已在網路中探索到端點,且操作系統已識別為適用於端點的 Defender 所支援的端點,但目前尚未上線。 強烈建議您將這些裝置上線。
  • 不支援:已在網路中探索到端點,但適用於端點的 Defender 不支援此端點。
  • 資訊不足:系統無法判斷裝置的支援能力。 在網路中的更多裝置上啟用標準探索可以豐富探索到的屬性。

裝置清查儀錶板

提示

您隨時可以套用篩選從裝置庫存清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

如需詳細資訊,請參閱裝置庫存

網路裝置探索

組織中部署的大量非受控網路裝置會建立大型攻擊介面區,並代表整個企業的重大風險。 適用於端點的 Defender 網路探索功能可協助您確保網路裝置已探索、正確分類,並新增至資產清查。

網路裝置不會以標準端點身分管理,因為適用於端點的 Defender 本身沒有內建感測器。 這些類型的裝置需要無代理程式方法,遠端掃描會從裝置取得必要的資訊。 若要這樣做,每個網路區段上都會使用指定的適用於端點的 Defender 裝置,對預先設定的網路裝置執行定期驗證掃描。 適用於端點的 Defender 弱點管理功能提供整合式工作流程,以保護探索到的交換器、路由器、WLAN 控制器、防火牆和 VPN 閘道。

如需詳細資訊,請參閱網路裝置

裝置探索整合

若要解決取得足夠可見度以找出、識別及保護完整 OT/IOT 資產清查的挑戰,適用於端點的 Defender 現在支援下列整合:

發現的裝置之弱點評定

您裝置及其他在網路中探索到的非受控裝置上的弱點和風險,都是「安全性建議」下目前 Defender 弱點管理流程的一部分,並以入口網站的實體頁面表示。 搜尋「SSH」相關的安全性建議,以尋找與非受控和受控裝置相關的 SSH 弱點。

安全性建議儀錶板

對發現的裝置使用進階搜捕

您可以使用進階搜捕查詢來查看探索到的裝置。 在 DeviceNetworkInfo 數據表的 DeviceInfo 數據表中尋找探索到之裝置的詳細數據,或與這些裝置相關的網路相關信息。

可以使用查詢的 [進階搜捕] 頁面

查詢探索到的裝置詳細數據

在 DeviceInfo 數據表上執行此查詢,以傳回所有探索到的裝置,以及每個裝置最新的詳細數據:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

藉由叫用 SeenBy 函式,您可以在進階搜捕查詢中取得所探索到裝置上線裝置的詳細數據。 這項資訊可協助判斷每個探索到裝置的網路位置,並協助在網路中識別它。

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

如需詳細資訊,請參 閱 SeenBy () 函式。

裝置探索會利用適用於端點的Defender上線裝置作為網路數據源,將活動屬性化為未上線的裝置。 適用於端點的 Defender 上線裝置上的網路感測器會識別兩個新的連線類型:

  • ConnectionAttempt - 嘗試建立 TCP 連線 (syn)
  • ConnectionAcknowledged - 確認已接受 TCP 連線 (syn\ack)

這表示當未上線的裝置嘗試與已上線的適用於端點的 Defender 裝置通訊時,嘗試會產生 DeviceNetworkEvent,而未上線的裝置活動可在上線的裝置時間軸上,以及透過進階搜捕 DeviceNetworkEvents 數據表來查看。

您可以嘗試此範例査詢:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

後續步驟

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。