Ofte stillede spørgsmål om enhedsregistrering
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vigtigt!
Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.
Få svar på ofte stillede spørgsmål om enhedsregistrering.
Hvad er grundlæggende registreringstilstand?
Denne tilstand gør det muligt for alle Microsoft Defender for Endpoint onboardede enheder at indsamle netværksdata og finde tilstødende enheder. Onboardede slutpunkter indsamler passivt hændelser på netværket og udtrækker enhedsoplysninger fra dem. Der startes ingen netværkstrafik. Onboardede slutpunkter udtrækker data fra hver netværkstrafik, der ses af en onboardet enhed. Disse data bruges til at vise ikke-administrerede enheder på netværket.
Kan jeg deaktivere grundlæggende registrering?
Du har mulighed for at slå enhedsregistrering fra på siden Avancerede funktioner . Du mister dog synligheden på ikke-administrerede enheder på dit netværk. Bemærk, at selvom enhedsregistrering er slået fra, kører SenseNDR.exe stadig på de onboardede enheder.
Hvad er Standard-registreringstilstand?
I denne tilstand kan slutpunkter, der er onboardet til Microsoft Defender for Endpoint aktivt undersøge observerede enheder i netværket for at forbedre indsamlede data (med ubetydelig mængde netværkstrafik). Kun enheder, der blev observeret af den grundlæggende registreringstilstand, undersøges aktivt i standardtilstand. Denne tilstand anbefales på det kraftigste til oprettelse af en pålidelig og sammenhængende enhedsoversigt. Hvis du vælger at deaktivere denne tilstand og vælger Grundlæggende registreringstilstand, vil du sandsynligvis kun få begrænset synlighed af ikke-administrerede slutpunkter i netværket.
Standardtilstand bruger også almindelige registreringsprotokoller, der bruger multicast-forespørgsler i netværket, til at finde endnu flere enheder ud over dem, der blev observeret ved hjælp af den passive metode.
Kan jeg styre, hvilke enheder der udfører standardregistrering?
Du kan tilpasse listen over enheder, der bruges til at udføre standardregistrering. Du kan enten aktivere Standard-registrering på alle de onboardede enheder, der også understøtter denne funktion (i øjeblikket Windows 10 eller nyere og kun Windows Server 2019 eller nyere enheder), eller du kan vælge et undersæt eller undersæt af dine enheder ved at angive deres enhedstags. I dette tilfælde er alle andre enheder konfigureret til kun at køre Grundlæggende registrering. Konfigurationen er tilgængelig på siden med indstillinger for enhedsregistrering.
Kan jeg udelade ikke-administrerede enheder fra enhedens lagerliste?
Ja, du kan anvende filtre for at udelade ikke-administrerede enheder fra enhedslagerlisten. Du kan også bruge kolonnen med onboardingstatus i API-forespørgsler til at filtrere ikke-administrerede enheder fra.
Hvilke onboardede enheder kan udføre registrering?
Onboardede enheder, der kører på Windows 10 version 1809 eller nyere, Windows 11, Windows Server 2019 eller Windows Server 2022 kan udføre registrering.
Hvad sker der, hvis mine onboardede enheder har forbindelse til mit hjemmenetværk eller til et offentligt adgangspunkt?
Registreringsprogrammet skelner mellem netværkshændelser, der modtages i virksomhedens netværk i forhold til uden for virksomhedens netværk. Ved at korrelere netværks-id'er på tværs af alle lejerens klienter skelnes der mellem hændelser, der blev modtaget fra private netværk og virksomhedsnetværk. Hvis de fleste enheder i organisationen f.eks. rapporterer, at de har forbindelse til det samme netværksnavn med den samme standardgateway og DHCP-serveradresse, kan det antages, at dette netværk sandsynligvis er et virksomhedsnetværk. Private netværksenheder vises ikke i oversigten og undersøges ikke aktivt.
Hvilke protokoller opfanger og analyserer du?
Alle onboardede enheder, der kører på Windows 10 version 1809 eller nyere, Windows 11, Windows Server 2019 eller Windows Server 2022 registrerer og analyserer følgende protokoller: ARP, CDP, DHCP, DHCPv6, IP (headers), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN-headere), UDP (headere), WSD
Hvilke protokoller bruger du til aktiv undersøgelse i Standard discovery?
Når en enhed er konfigureret til at køre Standard discovery, eksponerede tjenester undersøges ved hjælp af følgende protokoller: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Derudover kan enhedsregistrering også scanne andre almindeligt anvendte porte for at forbedre klassificeringsnøjagtigheden & dækningen.
Hvordan kan jeg udelukke, at mål undersøges med Standard-registrering?
Hvis der er enheder på netværket, som ikke skal undersøges aktivt, kan du også definere en liste over undtagelser for at forhindre, at de scannes. Konfigurationen er tilgængelig på siden med indstillinger for enhedsregistrering.
Bemærk!
Enheder kan stadig besvare multicast-registreringsforsøg i netværket. Disse enheder bliver fundet, men undersøges ikke aktivt.
Kan jeg udelukke enheder fra at blive fundet?
Da enhedsregistrering bruger passive metoder til at finde enheder i netværket, kan alle enheder, der kommunikerer med dine onboardede enheder i virksomhedens netværk, registreres og vises i oversigten. Du kan kun udelukke enheder fra aktiv undersøgelse.
Hvor hyppigt er den aktive probing?
Enheder undersøges aktivt, når ændringer i enhedsegenskaberne observeres for at sikre, at de eksisterende oplysninger er opdateret (typisk er enheder, der ikke undersøges mere end én gang i en tre ugers periode)
Mit sikkerhedsværktøj har givet besked om UnicastScanner.ps1/PSScript_{GUID}.ps1 eller portscanning, der er initieret af det. Hvad skal jeg gøre?
De aktive probingscripts er signeret af Microsoft og er sikre. Du kan føje følgende sti til listen over undtagelser: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Hvad er den mængde trafik, der genereres af den aktive standardregistreringssonde?
Aktiv probing kan generere op til 50 KB trafik mellem den onboardede enhed og den probede enhed, hvert probingforsøg
Hvorfor er der en uoverensstemmelse mellem "kan onboardes"-enheder i enhedslageret og antallet af "enheder, der skal onboardes" i dashboardfeltet?
Du vil muligvis bemærke forskelle mellem antallet af angivne enheder under "kan onboardes" i enhedslageret, sikkerhedsanbefalingerne "onboardes til Microsoft Defender for Endpoint" og "enheder, der skal onboardes" dashboardwidget.
Sikkerhedsanbefalingerne og dashboardwidgetten er til enheder, der er stabile på netværket. undtagen flygtighedsenheder, gæsteenheder og andre. Ideen er at anbefale på faste enheder, der også indebærer den overordnede sikkerhedsscore for organisationen.
Kan jeg onboarde ikke-administrerede enheder, der blev fundet?
Ja. Du kan onboarde ikke-administrerede enheder manuelt. Ikke-administrerede slutpunkter i dit netværk introducerer sikkerhedsrisici og risici for dit netværk. Onboarding af dem til tjenesten kan øge sikkerheden synlighed på dem.
Jeg har bemærket, at ikke-administreret enhedstilstand altid er "Aktiv", hvorfor er det?
Midlertidigt er den ikke-administrerede tilstandstilstand "Aktiv" i enhedens standardopbevaringsperiode, uanset deres faktiske tilstand.
Ligner standardregistrering skadelig netværksaktivitet?
Når du overvejer Standard discovery, undrer du dig måske over konsekvenserne af at undersøge, og specifikt om sikkerhedsværktøjer kan have mistanke om sådan aktivitet som ondsindet. I følgende underafsnit forklares det, hvorfor organisationer i næsten alle tilfælde ikke bør have nogen bekymringer omkring aktivering af Standard-registrering.
Probing distribueres på tværs af alle Windows-enheder på netværket
I modsætning til ondsindet aktivitet, som typisk ville scanne hele netværket fra nogle få kompromitterede enheder, startes Microsoft Defender for Endpoint Standard discovery probing fra alle onboardede Windows-enheder, hvilket gør aktiviteten godartet og ikke-unormal. Probing administreres centralt fra clouden for at balancere probingforsøget mellem alle understøttede onboardede enheder i netværket.
Aktiv probing genererer ubetydelig mængde ekstra trafik
Ikke-administrerede enheder undersøges typisk ikke mere end én gang i en tre ugers periode og genererer mindre end 50 KB trafik. Ondsindet aktivitet omfatter normalt store gentagne probingforsøg og i nogle tilfælde dataudfiltrering, der genererer en betydelig mængde netværkstrafik, der kan identificeres som en uregelmæssighed ved hjælp af værktøjer til netværksovervågning.
Din Windows-enhed kører allerede aktiv registrering
Aktive registreringsfunktioner er altid blevet integreret i Windows-operativsystemet for at finde enheder i nærheden, slutpunkter og printere for at lette "plug and play"-oplevelser og fildeling mellem slutpunkter i netværket. Lignende funktionalitet implementeres i mobilenheder, netværksudstyr og lagerapplikationer blot for at nævne nogle få.
Standardregistrering bruger de samme registreringsmetoder til at identificere enheder og til at have en samlet synlighed for alle enheder i dit netværk i Microsoft Defender XDR Enhedsoversigt. For eksempel – Standardregistrering identificerer nærliggende slutpunkter på netværket på samme måde, som Windows viser tilgængelige printere på netværket.
Værktøjer til netværkssikkerhed og overvågning er ligeglade med sådanne aktiviteter, der udføres af enheder på netværket.
Det er kun ikke-administrerede enheder, der undersøges
Enhedens registreringsfunktioner er udviklet til kun at finde og identificere ikke-administrerede enheder på netværket. Det betyder, at tidligere registrerede enheder, der allerede er onboardet med Microsoft Defender for Endpoint, ikke bliver undersøgt.
Du kan udelukke netværks lokker fra aktiv sondering
Standardregistrering understøtter udeladelse af enheder eller områder (undernet) fra aktiv probing. Hvis du har installeret netværks-lokker, kan du bruge indstillingerne for Enhedsregistrering til at definere undtagelser baseret på IP-adresser eller undernet (en række IP-adresser). Hvis du definerer disse undtagelser, sikrer du, at disse enheder ikke undersøges aktivt og ikke bliver advaret. Disse enheder registreres kun ved hjælp af passive metoder (svarer til grundlæggende registreringstilstand).
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om