Übersicht über die Geräteermittlung

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Der Schutz Ihrer Umgebung erfordert eine Bestandsaufnahme der Geräte, die sich in Ihrem Netzwerk befinden. Das Zuordnen von Geräten in einem Netzwerk kann jedoch häufig teuer, schwierig und zeitaufwändig sein.

Microsoft Defender for Endpoint bietet eine Geräteermittlungsfunktion, mit der Sie nicht verwaltete Geräte finden können, die mit Ihrem Unternehmensnetzwerk verbunden sind, ohne dass zusätzliche Appliances oder umständliche Prozessänderungen erforderlich sind. Die Geräteermittlung verwendet integrierte Endpunkte in Ihrem Netzwerk, um Ihr Netzwerk zu erfassen, zu testen oder zu scannen, um nicht verwaltete Geräte zu ermitteln. Mit der Geräteermittlungsfunktion können Sie Folgendes ermitteln:

• Unternehmensendpunkte (Arbeitsstationen, Server und mobile Geräte), die noch nicht in Defender für Endpunkt integriert sind
• Netzwerkgeräte wie Router und Switches
• IoT-Geräte wie Drucker und Kameras

Unbekannte und nicht verwaltete Geräte stellen erhebliche Risiken für Ihr Netzwerk dar – unabhängig davon, ob es sich um einen nicht gepatchten Drucker, Netzwerkgeräte mit schwachen Sicherheitskonfigurationen oder um einen Server ohne Sicherheitskontrollen handelt. Nachdem Geräte erkannt wurden, können Sie:

• Nicht verwaltete Endpunkte in den Dienst integrieren, um die Sicherheitssichtbarkeit für sie zu erhöhen.
• Die Angriffsfläche reduzieren, indem die Sicherheitsrisiken identifiziert und bewertet werden und Konfigurationslücken erkannt werden.

Sehen Sie sich dieses Video an, um einen schnellen Überblick darüber zu erhalten, wie Sie nicht verwaltete Geräte bewerten und integrieren, die Defender für Endpunkt ermittelt hat.

Mit dieser Funktion ist eine Sicherheitsempfehlung für das Onboarding von Geräten in Defender für Endpunkt als Teil der vorhandenen Microsoft Defender Vulnerability Management verfügbar.

Erkennungsmethoden

Sie können den Ermittlungsmodus auswählen, der von Ihren integrierten Geräten verwendet werden soll. Der Modus steuert den Grad der Sichtbarkeit, den Sie für nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk erhalten können.

Es stehen zwei Erkennungsmodi zur Verfügung:

• Grundlegende Ermittlung: In diesem Modus sammeln Endpunkte passiv Ereignisse in Ihrem Netzwerk und extrahieren Geräteinformationen daraus. Die grundlegende Ermittlung verwendet die SenseNDR.exe Binärdatei für die passive Netzwerkdatensammlung, und es wird kein Netzwerkdatenverkehr initiiert. Endpunkte extrahieren Daten aus dem gesamten Netzwerkdatenverkehr, der von einem integrierten Gerät erkannt wird. Mit der einfachen Ermittlung erhalten Sie nur eingeschränkte Sichtbarkeit nicht verwalteter Endpunkte in Ihrem Netzwerk.

• Standardermittlung (empfohlen): Dieser Modus ermöglicht Es Endpunkten, Geräte in Ihrem Netzwerk aktiv zu finden, um gesammelte Daten anzureichern und weitere Geräte zu ermitteln. Dadurch können Sie einen zuverlässigen und kohärenten Gerätebestand erstellen. Zusätzlich zu Geräten, die mit der passiven Methode beobachtet wurden, verwendet der Standardmodus auch gängige Ermittlungsprotokolle, die Multicastabfragen im Netzwerk verwenden, um noch mehr Geräte zu finden. Im Standardmodus werden intelligente, aktive Tests verwendet, um zusätzliche Informationen zu beobachteten Geräten zu ermitteln, um vorhandene Geräteinformationen anzureichern. Wenn der Standardmodus aktiviert ist, können minimale und vernachlässigbare Netzwerkaktivitäten, die vom Ermittlungssensor generiert werden, von Netzwerküberwachungstools in Ihrem organization beobachtet werden.

Sie können Ihre Ermittlungseinstellungen ändern und anpassen. Weitere Informationen finden Sie unter Konfigurieren der Geräteermittlung.

Wichtig

Die Standardermittlung ist der Standardmodus für alle Kunden ab dem 19. Juli 2021. Sie können diese Konfiguration über die Einstellungsseite in Basic ändern. Wenn Sie den Basic-Modus auswählen erhalten Sie nur eingeschränkte Einblicke in nicht verwaltete Endpunkte in Ihrem Netzwerk.

Die Erkennungs-Engine unterscheidet zwischen Netzwerkereignissen, die innerhalb des Unternehmensnetzwerks empfangen werden, und solchen, die außerhalb des Unternehmensnetzwerks empfangen werden. Geräte, die nicht mit Unternehmensnetzwerken verbunden sind, werden nicht erkannt oder in der Geräteübersicht aufgeführt.

Geräteübersicht

Geräte, die ermittelt wurden, aber nicht in Defender für Endpunkt integriert und von Defender für Endpunkt geschützt sind, werden im Gerätebestand aufgeführt.

Um diese Geräte zu bewerten, können Sie in der Gerätebestandsliste einen Filter namens Onboarding status verwenden, der einen der folgenden Werte aufweisen kann:

• Integriert: Der Endpunkt wird in Defender für Endpunkt integriert.
• Onboarding möglich: Der Endpunkt wurde im Netzwerk ermittelt, und das Betriebssystem wurde als eines identifiziert, das von Defender für Endpunkt unterstützt wird, aber derzeit nicht integriert ist. Es wird dringend empfohlen, diese Geräte zu integrieren.
• Nicht unterstützt: Der Endpunkt wurde im Netzwerk ermittelt, wird aber von Defender für Endpunkt nicht unterstützt.
• Unzureichende Informationen: Das System konnte die Unterstützbarkeit des Geräts nicht ermitteln. Das Aktivieren der Standarderkennung auf mehr Geräten im Netzwerk kann die ermittelten Attribute anreichern.

Tipp

Sie können immer Filter anwenden, um nicht verwaltete Geräte aus der Geräteübersichtsliste auszuschließen. Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.

Weitere Informationen finden Sie unter Geräteübersicht.

Netzwerk-Geräteerkennung

Die große Anzahl nicht verwalteter Netzwerkgeräte, die in einem organization bereitgestellt werden, erzeugt eine große Angriffsfläche und stellt ein erhebliches Risiko für das gesamte Unternehmen dar. Mit den Netzwerkermittlungsfunktionen von Defender für Endpunkt können Sie sicherstellen, dass Netzwerkgeräte ermittelt, genau klassifiziert und dem Ressourcenbestand hinzugefügt werden.

Netzwerkgeräte werden nicht als Standardendpunkte verwaltet, da Defender für Endpunkt keinen Sensor in die Netzwerkgeräte selbst integriert hat. Diese Gerätetypen erfordern einen agentlosen Ansatz, bei dem eine Remoteüberprüfung die erforderlichen Informationen von den Geräten abruft. Zu diesem Zweck wird ein bestimmtes Defender für Endpunkt-Gerät in jedem Netzwerksegment verwendet, um regelmäßige authentifizierte Überprüfungen von vorkonfigurierten Netzwerkgeräten durchzuführen. Die Sicherheitsrisikoverwaltungsfunktionen von Defender für Endpunkt bieten integrierte Workflows zum Schützen von ermittelten Switches, Routern, WLAN-Controllern, Firewalls und VPN-Gateways.

Weitere Informationen finden Sie unter Netzwerkgeräte.

Integration der Geräteermittlung

Defender für Endpunkt unterstützt jetzt die folgende Integration, um die Herausforderung zu bewältigen, genügend Transparenz zu erhalten, um Ihren vollständigen OT/IOT-Ressourcenbestand zu finden, zu identifizieren und zu schützen:

• Microsoft Defender für IoT: Diese Integration kombiniert die Geräteermittlungsfunktionen von Defender für Endpunkt mit den Überwachungsfunktionen ohne Agent von Microsoft Defender für IoT, um IoT-Unternehmensgeräte zu schützen, die mit einem IT-Netzwerk verbunden sind (z. B. Voice over Internet Protocol (VoIP), Drucker und Smart-TVs). Weitere Informationen finden Sie unter Aktivieren der Enterprise IoT-Sicherheit mit Defender für Endpunkt.

Sicherheitsrisikobewertung auf erkannten Geräten

Sicherheitsrisiken und Risiken auf Ihren Geräten sowie auf anderen ermittelten nicht verwalteten Geräten im Netzwerk sind Teil der aktuellen Defender-Flows zur Verwaltung von Sicherheitsrisiken unter "Sicherheitsempfehlungen" und werden auf Entitätsseiten im gesamten Portal dargestellt. Search auf "SSH" bezogene Sicherheitsempfehlungen, um SSH-Sicherheitsrisiken zu finden, die für nicht verwaltete und verwaltete Geräte im Zusammenhang stehen.

Verwenden der erweiterten Bedrohungssuche auf erkannten Geräten

Sie können erweiterte Suchabfragen verwenden, um Sichtbarkeit auf ermittelten Geräten zu erhalten. Details zu ermittelten Geräten finden Sie in der Tabelle DeviceInfo oder netzwerkbezogene Informationen zu diesen Geräten in der Tabelle DeviceNetworkInfo.

Abfragen von Details zu ermittelten Geräten

Führen Sie diese Abfrage für die DeviceInfo-Tabelle aus, um alle ermittelten Geräte zusammen mit den aktuellsten Details für jedes Gerät zurückzugeben:

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Durch Aufrufen der SeenBy-Funktion können Sie in Ihrer erweiterten Huntingabfrage Details dazu abrufen, von welchem integrierten Gerät ein ermitteltes Gerät gesehen wurde. Diese Informationen können dabei helfen, den Netzwerkstandort jedes ermittelten Geräts zu bestimmen und es anschließend im Netzwerk zu identifizieren.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Weitere Informationen finden Sie unter der SeenBy() -Funktion.

Abfragen netzwerkbezogener Informationen

Die Geräteermittlung nutzt integrierte Defender für Endpunkt-Geräte als Netzwerkdatenquelle, um Aktivitäten nicht integrierten Geräten zuzuordnen. Der Netzwerksensor auf dem integrierten Defender für Endpunkt-Gerät identifiziert zwei neue Verbindungstypen:

• ConnectionAttempt– Ein Versuch, eine TCP-Verbindung (syn) herzustellen
• ConnectionAcknowledged : Eine Bestätigung, dass eine TCP-Verbindung akzeptiert wurde (syn\ack)

Wenn ein nicht integriertes Gerät versucht, mit einem integrierten Defender für Endpunkt-Gerät zu kommunizieren, generiert der Versuch ein DeviceNetworkEvent, und die nicht integrierten Geräteaktivitäten werden auf dem integrierten Gerät Zeitleiste und über die Tabelle Erweiterte Suche DeviceNetworkEvents angezeigt.

Sie können diese Beispielabfrage ausprobieren:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Nächste Schritte

• Konfigurieren der Geräteermittlung
• Häufig gestellte Fragen zur Geräteermittlung

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.