Oversigt over enhedssøgning

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Beskyttelse af dit miljø kræver, at du opretter en oversigt over de enheder, der findes i dit netværk. Tilknytning af enheder i et netværk kan dog ofte være dyrt, udfordrende og tidskrævende.

Microsoft Defender for Endpoint indeholder en enhedsregistreringsfunktion, der hjælper dig med at finde ikke-administrerede enheder, der er tilsluttet virksomhedens netværk, uden at der er behov for ekstra apparater eller besværlige procesændringer. Enhedsregistrering bruger onboardede slutpunkter i dit netværk til at indsamle, undersøge eller scanne dit netværk for at finde ikke-administrerede enheder. Funktionen til enhedsregistrering giver dig mulighed for at finde:

• Virksomhedsslutpunkter (arbejdsstationer, servere og mobilenheder), der endnu ikke er onboardet til Defender for Endpoint
• Netværksenheder som routere og kontakter
• IoT-enheder som printere og kameraer

Ukendte og ikke-administrerede enheder medfører betydelige risici for dit netværk – uanset om det er en ikke-opdateret printer, netværksenheder med svage sikkerhedskonfigurationer eller en server uden sikkerhedskontroller. Når enhederne er fundet, kan du:

• Onboarde ikke-administrerede slutpunkter til tjenesten, hvilket øger sikkerhedens synlighed på dem.
• Reducer angrebsoverfladen ved at identificere og vurdere sikkerhedsrisici og registrere konfigurationshuller.

Se denne video for at få et hurtigt overblik over, hvordan du vurderer og onboarder ikke-administrerede enheder, som Defender for Endpoint fandt.

Med denne funktion er en sikkerhedsanbefaling om onboarding af enheder til Defender for Endpoint tilgængelig som en del af den eksisterende Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender oplevelse.

Registreringsmetoder

Du kan vælge den registreringstilstand, der skal bruges af dine onboardede enheder. Tilstanden styrer det synlighedsniveau, du kan få for ikke-administrerede enheder på virksomhedens netværk.

Der er to tilgængelige registreringstilstande:

• Grundlæggende registrering: I denne tilstand indsamler slutpunkter passivt hændelser i dit netværk og udtrækker enhedsoplysninger fra dem. Grundlæggende søgning bruger den SenseNDR.exe binære fil til passiv indsamling af netværksdata, og der startes ingen netværkstrafik. Slutpunkter udtrækker data fra al netværkstrafik, der ses af en onboardet enhed. Med grundlæggende registrering får du kun begrænset synlighed af ikke-administrerede slutpunkter i dit netværk.

• Standardregistrering (anbefales): Denne tilstand gør det muligt for slutpunkter aktivt at finde enheder på dit netværk for at forbedre indsamlede data og finde flere enheder – hvilket hjælper dig med at opbygge en pålidelig og sammenhængende enhedsoversigt. Ud over de enheder, der blev observeret ved hjælp af den passive metode, bruger standardtilstand også almindelige registreringsprotokoller, der bruger multicast-forespørgsler i netværket til at finde endnu flere enheder. Standardtilstand bruger intelligente, aktive sondering til at finde yderligere oplysninger om observerede enheder for at forbedre eksisterende enhedsoplysninger. Når Standardtilstand er aktiveret, kan minimal og ubetydelig netværksaktivitet, der genereres af registreringssensoren, blive observeret af værktøjer til netværksovervågning i din organisation.

Du kan ændre og tilpasse dine registreringsindstillinger. Du kan finde flere oplysninger under Konfigurer enhedsregistrering.

Vigtigt!

Standardregistrering er standardtilstanden for alle kunder fra den 19. juli 2021. Du kan vælge at ændre denne konfiguration til grundlæggende via indstillingssiden. Hvis du vælger grundlæggende tilstand, får du kun begrænset synlighed af ikke-administrerede slutpunkter i dit netværk.

Registreringsprogrammet skelner mellem netværkshændelser, der modtages i virksomhedens netværk i forhold til uden for virksomhedens netværk. Enheder, der ikke har forbindelse til virksomhedens netværk, bliver ikke fundet eller angivet i enhedsoversigten.

Enhedslager

Enheder, der blev fundet, men som ikke er onboardet til og sikret af Defender for Endpoint, er angivet i enhedslageret.

Hvis du vil vurdere disse enheder, kan du bruge et filter på enhedens lagerliste kaldet Onboarding-status, som kan have en af følgende værdier:

• Onboardet: Slutpunktet er onboardet til Defender for Endpoint.
• Kan onboardes: Slutpunktet blev fundet i netværket, og operativsystemet blev identificeret som et, der understøttes af Defender for Endpoint, men det er i øjeblikket ikke onboardet. Vi anbefaler på det kraftigste, at du onboarder disse enheder.
• Ikke understøttet: Slutpunktet blev fundet i netværket, men understøttes ikke af Defender for Endpoint.
• Utilstrækkelige oplysninger: Systemet kunne ikke fastslå, om enheden understøttes. Aktivering af standardregistrering på flere enheder i netværket kan forbedre de registrerede attributter.

Tip

Du kan altid anvende filtre for at udelade ikke-administrerede enheder fra enhedslagerlisten. Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.

Du kan få flere oplysninger under Enhedsoversigt.

Registrering af netværksenhed

Det store antal ikke-administrerede netværksenheder, der er installeret i en organisation, opretter et stort angrebsområde og udgør en betydelig risiko for hele virksomheden. Funktionerne til netværksregistrering i Defender for Endpoint hjælper dig med at sikre, at netværksenheder registreres, klassificeres nøjagtigt og føjes til aktivlageret.

Netværksenheder administreres ikke som standardslutpunkter, da Defender for Endpoint ikke har en sensor indbygget i selve netværksenhederne. Disse typer enheder kræver en agentløs tilgang, hvor en fjernscanning henter de nødvendige oplysninger fra enhederne. For at gøre dette bruges en udpeget Defender for Endpoint-enhed på hvert netværkssegment til at udføre periodiske godkendte scanninger af forudkonfigurerede netværksenheder. Funktionerne til administration af sårbarheder i Defender for Endpoint indeholder integrerede arbejdsprocesser, der sikrer fundne parametre, routere, WLAN-controllere, firewalls og VPN-gateways.

Du kan få flere oplysninger under Netværksenheder.

Integration af enhedsregistrering

Hvis du vil tage udfordringen op med at opnå tilstrækkelig synlighed til at finde, identificere og sikre hele OT/IOT-aktivlageret, understøtter Defender for Endpoint nu følgende integration:

• Microsoft Defender til IoT: Denne integration kombinerer Defender for Endpoints enhedsregistreringsfunktioner med de agentløse overvågningsfunktioner i Microsoft Defender til IoT for at sikre virksomheds-IoT-enheder, der er forbundet til et it-netværk (f.eks. VoIP (Voice over Internet Protocol), printere og intelligente tv'er). Du kan finde flere oplysninger under Aktivér Enterprise IoT-sikkerhed med Defender for Endpoint.

Vurdering af sårbarheder på registrerede enheder

Sikkerhedsrisici og risici på dine enheder samt andre registrerede ikke-administrerede enheder i netværket er en del af de aktuelle Defender Vulnerability Management-flow under "Sikkerhedsanbefalinger" og repræsenteres på objektsider på tværs af portalen. Søg til "SSH"-relaterede sikkerhedsanbefalinger for at finde SSH-sikkerhedsrisici, der er relateret til ikke-administrerede og administrerede enheder.

Brug avanceret jagt på registrerede enheder

Du kan bruge avancerede jagtforespørgsler til at få synlighed på registrerede enheder. Du kan finde oplysninger om registrerede enheder i tabellen DeviceInfo eller netværksrelaterede oplysninger om disse enheder i tabellen DeviceNetworkInfo.

Oplysninger om fundne enheder for forespørgsler

Kør denne forespørgsel i tabellen DeviceInfo for at returnere alle registrerede enheder sammen med de nyeste oplysninger for hver enhed:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Ved at aktivere funktionen SeenBy kan du i din avancerede jagtforespørgsel få detaljer om, hvilken onboardet enhed en registreret enhed blev set af. Disse oplysninger kan hjælpe med at bestemme netværksplaceringen af hver fundet enhed og derefter hjælpe med at identificere den i netværket.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Du kan få flere oplysninger i funktionen SeenBy().

Forespørg om netværksrelaterede oplysninger

Enhedsregistrering bruger Defender for Endpoint-onboardede enheder som en netværksdatakilde til at tildele aktiviteter til ikke-onboardede enheder. Netværkssensoren på den onboardede Defender for Endpoint-enhed identificerer to nye forbindelsestyper:

• ConnectionAttempt – Et forsøg på at oprette en TCP-forbindelse (syn)
• ConnectionAcknowledged – En bekræftelse på, at en TCP-forbindelse blev accepteret (syn\ack)

Det betyder, at når en ikke-onboardet enhed forsøger at kommunikere med en onboardet Defender for Endpoint-enhed, genererer forsøget en DeviceNetworkEvent, og de ikke-onboardede enhedsaktiviteter kan ses på den onboardede enhedstidslinje og via tabellen Advanced hunting DeviceNetworkEvents.

Du kan prøve denne eksempelforespørgsel:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Næste trin

• Konfigurer enhedssøgning
• Ofte stillede spørgsmål om enhedsregistrering

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.