Часто задаваемые вопросы об обнаружении устройств
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Найдите ответы на часто задаваемые вопросы об обнаружении устройств.
Что такое базовый режим обнаружения?
Этот режим позволяет каждому подключенном Microsoft Defender для конечной точки устройству собирать сетевые данные и обнаруживать соседние устройства. Подключенные конечные точки пассивно собирают события в сети и извлекают из них сведения об устройстве. Сетевой трафик не инициируется. Подключенные конечные точки извлекают данные из каждого сетевого трафика, который видится подключенным устройством. Эти данные используются для вывода списка неуправляемых устройств в сети.
Можно ли отключить базовое обнаружение?
Вы можете отключить обнаружение устройств на странице Дополнительные функции . Однако вы потеряете видимость на неуправляемых устройствах в сети. Обратите внимание, что даже если обнаружение устройств отключено, SenseNDR.exe по-прежнему будут работать на подключенных устройствах.
Что такое стандартный режим обнаружения?
В этом режиме конечные точки, подключенные к Microsoft Defender для конечной точки, могут активно проверять наблюдаемые устройства в сети для обогащения собранных данных (с незначительным объемом сетевого трафика). В стандартном режиме активно пробуются только те устройства, которые наблюдались в базовом режиме обнаружения. Этот режим настоятельно рекомендуется для создания надежного и согласованного инвентаризации устройств. Если вы отключите этот режим и выберите базовый режим обнаружения, скорее всего, вы получите ограниченную видимость неуправляемых конечных точек в сети.
В стандартном режиме также используются распространенные протоколы обнаружения, использующие многоадресные запросы в сети, чтобы найти еще больше устройств, помимо тех, которые наблюдались с помощью пассивного метода.
Можно ли контролировать, какие устройства выполняют обнаружение "Стандартный"?
Вы можете настроить список устройств, которые используются для обнаружения уровня "Стандартный". Вы можете включить обнаружение уровня "Стандартный" на всех подключенных устройствах, которые также поддерживают эту возможность (в настоящее время Windows 10 или более поздней версии и только на устройствах с Windows Server 2019 или более поздних версий), либо выбрать подмножество или подмножество устройств, указав их теги устройств. В этом случае все остальные устройства настроены только для базового обнаружения. Конфигурация доступна на странице параметров обнаружения устройств.
Можно ли исключить неуправляемые устройства из списка инвентаризации устройств?
Да, можно применить фильтры, чтобы исключить неуправляемые устройства из списка инвентаризации устройств. Чтобы отфильтровать неугодные устройства, также можно использовать столбец состояния подключения в запросах API.
Какие подключенные устройства могут выполнять обнаружение?
Подключенные устройства под управлением Windows 10 версии 1809 или более поздней, Windows 11, Windows Server 2019 или Windows Server 2022 могут выполнять обнаружение.
Что произойдет, если подключенные устройства подключены к домашней сети или к общедоступной точке доступа?
Механизм обнаружения различает сетевые события, полученные в корпоративной сети, и за ее пределами. Сопоставляя идентификаторы сети по всем клиентам клиента, события различаются между событиями, полученными из частных и корпоративных сетей. Например, если большинство устройств в организации сообщают, что они подключены к одному и тому же сетевому имени, с тем же адресом шлюза по умолчанию и DHCP-сервера, можно предположить, что эта сеть, скорее всего, является корпоративной сетью. Устройства частной сети не будут перечислены в инвентаризации и не будут активно проверяться.
Какие протоколы записываются и анализируются?
По умолчанию все подключенные устройства, работающие на Windows 10 версии 1809 или более поздней, Windows 11, Windows Server 2019 или Windows Server 2022 собирают и анализируют следующие протоколы: ARP, CDP, DHCP, DHCPv6, IP (заголовки), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (заголовки SYN), UDP (заголовки), WSD
Какие протоколы используются для активного зондирования в стандартном обнаружении?
Если устройство настроено для выполнения обнаружения уровня "Стандартный", доступные службы исследуются по следующим протоколам: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Кроме того, обнаружение устройств может также сканировать другие часто используемые порты для повышения точности классификации & покрытия.
Как исключить целевые объекты из проверки с помощью обнаружения "Стандартный"?
Если в сети есть устройства, которые не должны проверяться активно, можно также определить список исключений, чтобы предотвратить их сканирование. Конфигурация доступна на странице параметров обнаружения устройств.
Примечание.
Устройства по-прежнему могут отвечать на попытки обнаружения многоадресной рассылки в сети. Эти устройства будут обнаружены, но не будут активно проверяться.
Можно ли исключить обнаружение устройств?
Так как обнаружение устройств использует пассивные методы для обнаружения устройств в сети, любое устройство, которое взаимодействует с подключенными устройствами в корпоративной сети, может быть обнаружено и перечислено в инвентаризации. Устройства можно исключить только из активного зондирования.
Как часто выполняется активное зондирование?
Устройства будут активно проверяться при изменении характеристик устройства, чтобы убедиться, что существующие сведения актуальны (как правило, устройства пробуются не более одного раза в течение трех недель).
Мое средство безопасности вызвало оповещение о инициированном им действии UnicastScanner.ps1 или PSScript_{GUID .ps1}или инициированном им действии сканирования портов?
Активные скрипты зондирования подписаны корпорацией Майкрософт и являются безопасными. В список исключений можно добавить следующий путь: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Какой объем трафика генерируется активной пробой обнаружения "Стандартный"?
Активное зондирование может генерировать до 50 КБ трафика между подключенным устройством и зондируемым устройством, при каждой попытке проверки
Почему существует несоответствие между устройствами "можно подключиться" в инвентаризации устройств и числом "устройств для подключения" на плитке панели мониторинга?
Вы можете заметить различия между количеством устройств, перечисленных в разделе "Можно подключиться" в инвентаризации устройств, рекомендации по безопасности "подключение к Microsoft Defender для конечной точки" и мини-приложение панели мониторинга "устройства для подключения".
Рекомендации по безопасности и мини-приложение панели мониторинга предназначены для устройств, которые являются стабильными в сети; за исключением временных устройств, гостевых устройств и других устройств. Идея заключается в том, чтобы рекомендовать на постоянных устройствах, которые также подразумевают общий показатель безопасности организации.
Можно ли подключить найденные неуправляемые устройства?
Да. Вы можете подключить неуправляемые устройства вручную. Неуправляемые конечные точки в сети представляют уязвимости и риски для сети. Подключение к службе может повысить видимость безопасности.
Я заметил, что состояние работоспособности неуправляемого устройства всегда "Активно", почему это?
Временно неуправляемое состояние работоспособности устройства имеет значение "Активно" в течение стандартного периода хранения для инвентаризации устройств, независимо от их фактического состояния.
Стандартное обнаружение выглядит как вредоносная сетевая активность?
При рассмотрении стандартного обнаружения вы можете задаться вопросом о последствиях проверки и, в частности, могут ли средства безопасности подозревать такие действия, как вредоносные. В следующем подразделе объясняется, почему почти во всех случаях организации не должны иметь проблем с включением стандартного обнаружения.
Проверка распределена между всеми устройствами Windows в сети
В отличие от вредоносных действий, которые обычно сканируют всю сеть с нескольких скомпрометированных устройств, Microsoft Defender для конечной точки стандартное обнаружение инициируется со всех подключенных устройств Windows, что делает действия безопасными и неаномальными. Проверка централизованно управляется из облака, чтобы сбалансировать попытку проверки между всеми поддерживаемыми подключенными устройствами в сети.
Активное зондирование создает незначительный объем дополнительного трафика
Неуправляемые устройства обычно пробуются не чаще одного раза в течение трех недель и генерируют менее 50 КБ трафика. Вредоносные действия обычно включают в себя многократные попытки проверки и в некоторых случаях кражу данных, которая создает значительный объем сетевого трафика, который может быть идентифицирован как аномалия с помощью средств мониторинга сети.
Ваше устройство с Windows уже выполняет активное обнаружение
Активные возможности обнаружения всегда были внедрены в операционную систему Windows для поиска близлежащих устройств, конечных точек и принтеров, что упрощает взаимодействие с подключением и воспроизведением файлов между конечными точками в сети. Аналогичная функциональность реализована на мобильных устройствах, сетевом оборудовании и в приложениях инвентаризации.
Стандартное обнаружение использует одни и те же методы обнаружения для идентификации устройств и обеспечения единой видимости всех устройств в сети в Microsoft Defender XDR инвентаризации устройств. Например, обнаружение "Стандартный" определяет ближайшие конечные точки в сети так же, как Windows перечисляет доступные принтеры в сети.
Средства сетевой безопасности и мониторинга безразличны к таким действиям, выполняемым устройствами в сети.
Выполняется проверка только неуправляемых устройств
Возможности обнаружения устройств созданы для обнаружения и идентификации только неуправляемых устройств в сети. Это означает, что обнаруженные ранее устройства, которые уже подключены к Microsoft Defender для конечной точки, не будут проверяться.
Можно исключить сетевые приманки из активного зондирования
Стандартное обнаружение поддерживает исключение устройств или диапазонов (подсетей) из активного зондирования. Если на месте развернуты сетевые приманки, можно использовать параметры обнаружения устройств для определения исключений на основе IP-адресов или подсетей (диапазон IP-адресов). Определение этих исключений гарантирует, что эти устройства не будут активно проверяться и не будут оповещены. Эти устройства обнаруживаются только с помощью пассивных методов (аналогично режиму обнаружения "Базовый").
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по