Přehled zjišťování zařízení

Platí pro:

Ochrana prostředí vyžaduje inventarizaci zařízení, která jsou ve vaší síti. Mapování zařízení v síti ale může být často nákladné, náročné a časově náročné.

Microsoft Defender for Endpoint poskytuje funkci zjišťování zařízení, která vám pomůže najít nespravovaná zařízení připojená k podnikové síti bez nutnosti dalších zařízení nebo náročných změn procesů. Zjišťování zařízení používá nasazené koncové body ve vaší síti ke shromažďování, sondování nebo prohledávání sítě za účelem zjišťování nespravovaných zařízení. Funkce zjišťování zařízení umožňuje zjistit:

  • Enterprise koncové body (pracovní stanice, servery a mobilní zařízení), které ještě nejsou nasazené do Microsoft Defender for Endpoint
  • Síťová zařízení, jako jsou směrovače a přepínače
  • Zařízení IoT, jako jsou tiskárny a fotoaparáty

Neznámá a nespravovaná zařízení představují pro vaši síť významná rizika – ať už se jedná o nepotřebnou tiskárnu, síťová zařízení se slabými konfiguracemi zabezpečení nebo server bez bezpečnostních prvků. Po zjištění zařízení můžete:

  • Připojte nespravované koncové body ke službě a zvyšte jejich viditelnost zabezpečení.
  • Zmenšete prostor pro útoky tím, že identifikujete a vyhodnotíte ohrožení zabezpečení a zjistíte mezery v konfiguraci.

V tomto videu najdete rychlý přehled toho, jak vyhodnotit a připojit nespravovaná zařízení, která Microsoft Defender for Endpoint zjištěná.

Ve spojení s touto funkcí je v rámci stávajícího prostředí Threat and Vulnerability Management k dispozici doporučení zabezpečení pro připojení zařízení k Microsoft Defender for Endpoint.

Metody zjišťování

Můžete zvolit režim zjišťování, který budou používat vaše nasazená zařízení. Režim řídí úroveň viditelnosti, kterou můžete získat pro nespravovaná zařízení ve vaší podnikové síti.

K dispozici jsou dva režimy zjišťování:

  • Základní zjišťování: V tomto režimu koncové body pasivně shromažďují události ve vaší síti a extrahují z nich informace o zařízení. Základní zjišťování používá binární soubor SenseNDR.exe pro pasivní shromažďování síťových dat a nespouští se žádný síťový provoz. Koncové body jednoduše extrahují data ze všech síťových přenosů, které je vidět na onboardovaném zařízení. Se základním zjišťováním získáte jen omezenou viditelnost nespravovaných koncových bodů ve vaší síti.

  • Standardní zjišťování (doporučeno): Tento režim umožňuje koncovým bodům aktivně vyhledávat zařízení ve vaší síti a rozšiřovat shromážděná data a objevovat další zařízení, což vám pomůže vytvořit spolehlivý a soudržný inventář zařízení. Kromě zařízení pozorovaných pomocí pasivní metody využívá standardní režim také běžné protokoly zjišťování, které k nalezení dalších zařízení používají dotazy vícesměrového vysílání v síti. Standardní režim využívá inteligentní a aktivní sondování ke zjištění dalších informací o pozorovaných zařízeních k obohacení existujících informací o zařízení. Pokud je povolený standardní režim, nástroje pro monitorování sítě ve vaší organizaci můžou sledovat minimální a nedbalostní aktivitu sítě vygenerovanou senzorem zjišťování.

Nastavení zjišťování můžete změnit a přizpůsobit. Další informace najdete v tématu Konfigurace zjišťování zařízení.

Důležité

Standardní zjišťování je výchozí režim pro všechny zákazníky od 19. července 2021. Tuto konfiguraci můžete změnit na základní prostřednictvím stránky nastavení. Pokud zvolíte základní režim, získáte jen omezenou viditelnost nespravovaných koncových bodů ve vaší síti.

Poznámka

Modul zjišťování rozlišuje mezi síťovými událostmi přijatými v podnikové síti a mimo podnikovou síť. Zařízení, která nejsou připojená k podnikovým sítím, nebudou zjištěna ani uvedena v inventáři zařízení.

Inventář zařízení

Zařízení, která byla zjištěna, ale ještě nebyla nasazena a zabezpečena Microsoft Defender for Endpoint, budou uvedena v inventáři zařízení na kartě Počítače a mobilní zařízení.

K posouzení těchto zařízení můžete použít filtr v seznamu inventáře zařízení s názvem Stav onboardingu, který může mít některou z následujících hodnot:

  • Onboarded ( Onboarded): Koncový bod se onboarduje do Microsoft Defender for Endpoint.
  • Je možné provést onboarding: Koncový bod byl zjištěn v síti a operační systém byl identifikován jako takový, který Microsoft Defender for Endpoint podporuje, ale v současné době není nasazený. Důrazně doporučujeme tato zařízení zřazovat.
  • Nepodporováno: Koncový bod byl zjištěn v síti, ale Microsoft Defender for Endpoint ho nepodporuje.
  • Nedostatečné informace: Systém nemohl určit podporu zařízení. Povolením standardního zjišťování na více zařízeních v síti můžete zjištěné atributy rozšířit.

Řídicí panel inventáře zařízení

Tip

Filtry můžete vždy použít k vyloučení nespravovaných zařízení ze seznamu inventáře zařízení. Můžete také použít sloupec stavu onboardingu v dotazech rozhraní API k odfiltrování nespravovaných zařízení.

Další informace najdete v tématu Inventář zařízení.

Zjišťování síťových zařízení

Velký počet nespravovaných síťových zařízení nasazených v organizaci vytváří velkou plochu útoku a představuje významné riziko pro celý podnik. Microsoft Defender for Endpoint možnosti zjišťování sítě pomáhají zajistit, aby byla síťová zařízení zjištěna, přesně klasifikována a přidána do inventáře prostředků.

Síťová zařízení se nespravují jako standardní koncové body, protože Defender for Endpoint nemá senzor integrovaný do samotných síťových zařízení. Tyto typy zařízení vyžadují přístup bez agentů, kdy vzdálená kontrola získá potřebné informace ze zařízení. K tomu se v každém segmentu sítě použije určené zařízení Microsoft Defender for Endpoint k provádění pravidelných ověřených kontrol předkonfigurovaných síťových zařízení. Po zjištění poskytují funkce Threat and Vulnerability Management defenderu for Endpoint integrované pracovní postupy pro zabezpečené zjištěné přepínače, směrovače, kontrolery sítě WLAN, brány firewall a brány VPN.

Další informace najdete v tématu Síťová zařízení.

Integrace zjišťování zařízení

Pokud chcete vyřešit problém s získáním dostatečné viditelnosti pro vyhledání, identifikaci a zabezpečení kompletního inventáře prostředků OT/IOT, Microsoft Defender for Endpoint teď podporuje následující integrace:

  • Corelight: Microsoft ve spolupráci se společností Corelight přijímal data ze síťových zařízení Corelight. To poskytuje Microsoft 365 Defender se zvýšenou viditelností síťových aktivit nespravovaných zařízení, včetně komunikace s jinými nespravovanými zařízeními nebo externími sítěmi. Další informace najdete v tématu Povolení integrace dat Corelight.

  • Microsoft Defender for IoT: Tato integrace kombinuje funkce zjišťování zařízení Microsoft Defender for Endpoint s funkcemi monitorování bez agentů v programu Microsoft Defender for IoT za účelem zabezpečení podnikových zařízení IoT připojených k síti IT (například VoIP (Voice over Internet Protocol), tiskáren a inteligentních televizorů). Další informace najdete v tématu Povolení integrace Microsoft Defenderu pro IoT.

Posouzení ohrožení zabezpečení na zjištěných zařízeních

Ohrožení zabezpečení a rizika na vašich zařízeních a dalších zjištěných nespravovaných zařízeních v síti jsou součástí aktuálních toků TVM v části Zabezpečení Recommendations a reprezentované na stránkách entit na portálu. Vyhledejte doporučení zabezpečení související s protokolem SSH, abyste našli ohrožení zabezpečení SSH související s nespravovanými a spravovanými zařízeními.

Řídicí panel doporučení zabezpečení

Použití pokročilého proaktivního vyhledávání na zjištěných zařízeních

Rozšířené dotazy proaktivního vyhledávání můžete použít k získání přehledu o zjištěných zařízeních. Podrobnosti o zjištěných zařízeních najdete v tabulce DeviceInfo nebo informace o těchto zařízeních související se sítí v tabulce DeviceNetworkInfo.

Stránka rozšířeného proaktivního vyhledávání, na které je možné použít dotazy

Dotaz na podrobnosti zjištěných zařízení

Spuštěním tohoto dotazu v tabulce DeviceInfo vrátíte všechna zjištěná zařízení spolu s nejaktuálnějšími podrobnostmi o jednotlivých zařízeních:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Vyvoláním funkce SeenBy v rozšířeném proaktivním dotazu můžete získat podrobnosti o tom, které nasazené zařízení bylo zjištěno. Tyto informace vám můžou pomoct určit síťové umístění každého zjištěného zařízení a následně ho identifikovat v síti.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Další informace naleznete v tématu SeenBy() funkce.

Zjišťování zařízení využívá Microsoft Defender for Endpoint onboarded zařízení jako síťový zdroj dat, který přiřazuje aktivity ne onboardovaným zařízením. Síťový senzor na zařízení Microsoft Defender for Endpoint onboarded identifikuje dva nové typy připojení:

  • ConnectionAttempt – pokus o navázání připojení TCP (syn)
  • ConnectionAcknowledged – potvrzení, že bylo přijato připojení TCP (syn\ack)

To znamená, že když se zařízení, které není nasazené, pokusí komunikovat s nasazeným Microsoft Defender for Endpoint zařízením, tento pokus vygeneruje událost DeviceNetworkEvent a neboardované aktivity zařízení se zobrazí na časové ose nasazeného zařízení a prostřednictvím tabulky Advanced Hunting DeviceNetworkEvents.

Můžete vyzkoušet tento ukázkový dotaz:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Další kroky