Vanliga frågor och svar om enhetsidentifiering

Gäller för:

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Hitta svar på vanliga frågor och svar om enhetsidentifiering.

Vad är grundläggande identifieringsläge?

Med det här läget kan varje Microsoft Defender för slutpunktsbaserad enhet samla in nätverksdata och upptäcka intilliggande enheter. Inbyggda slutpunkter samlar in händelser in passivt i nätverket och extraherar enhetsinformation från dem. Ingen nätverkstrafik kommer att initieras. Onboarded endpoints will simply extract data from every network traffic that is seen by an onboarded device. Dessa data används för att lista ohanterade enheter i nätverket.

Kan jag inaktivera grundläggande identifiering?

Du kan stänga av enhetsidentifiering via sidan Avancerade funktioner. Men du tappar synen på ohanterade enheter i nätverket. Observera att SenseNDR.exe fortfarande körs på de onboarded-enheterna oavsett om identifieringen är inaktiverad.

Vad är standardidentifieringsläge?

I det här läget kan slutpunkter som förs över till Microsoft Defender för Endpoint aktivt registrera observerade enheter i nätverket för att inhämta insamlade data (med mängd nätverkstrafik). Endast enheter som observerats av det grundläggande identifieringsläget kommer att vara aktivt sökade i standardläge. Det här läget rekommenderas starkt för att skapa en tillförlitlig och sammanhängande enhetsinventering. Om du väljer att inaktivera det här läget och väljer Grundläggande identifieringsläge får du sannolikt bara begränsad synlighet för ohanterade slutpunkter i nätverket.

Standardläget utnyttjar också vanliga identifieringsprotokoll som använder multicast-frågor i nätverket för att hitta ännu fler enheter, utöver de som har ovservats med den passiva metoden.

Kan jag styra vilka enheter som utför standardidentifiering?

Du kan anpassa listan över enheter som används för identifiering av standard. Du kan antingen aktivera standardidentifiering för alla enheter som har stöd för den här funktionen (för närvarande Windows 10 eller senare och endast Windows Server 2019 eller senare enheter) eller välja en delmängd eller delmängder av dina enheter genom att ange deras enhetstaggar. I så fall konfigureras alla andra enheter för endast enkel identifiering. Konfigurationen är tillgänglig på sidan inställningar för enhetsidentifiering.

Kan jag utesluta ohanterade enheter från listan över enhetsinventering?

Ja, du kan använda filter för att utesluta ohanterade enheter från enhetsinventeringslistan. Du kan också använda kolumnen onboardingstatus i API-frågor för att filtrera bort ohanterade enheter.

Vilka onboarded-enheter kan identifieras?

Onboarded devices running on Windows 10 version 1809 or later, Windows 11, Windows Server 2019, or Windows Server 2022 can perform discovery.

Vad händer om mina onboarded-enheter är anslutna till mitt hemnätverk eller till en offentlig åtkomstpunkt?

Identifieringsmotorn skiljer mellan nätverkshändelser som tas emot i företagsnätverket jämfört med utanför företagsnätverket. Genom att korrelera nätverksidentifierare i alla klientorganisationens klienter differentieras mellan dem som tagits emot från privata nätverk och företagsnätverk. Om till exempel majoriteten av enheterna i organisationen rapporterar att de är anslutna till samma nätverksnamn, med samma standardgateway och ANSLUT-serveradress, kan det antas att det här nätverket är ett företagsnätverk. Privata nätverksenheter visas inte i inventeringen och kommer inte att sökas aktivt.

Vilka protokoll samlar du in och analyserar?

Som standard körs alla onboarded-enheter Windows 10 version 1809 eller senare. Windows 11, Windows Server 2019 eller Windows Server 2022 samlar in och analyserar följande protokoll: ARP, CDP, WM, DHCPv6, IP (rubriker), LLDP, LLMNR, mDNS, MNDP, NBNS, SSDP, TCP (SYN-rubriker), UDP (rubriker), WSD

Vilka protokoll använder du för aktiv sannolikhet vid standardidentifiering?

När en enhet är konfigurerad för att köra standardidentifiering Exponerade tjänster provas med hjälp av följande protokoll: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, SMTP, AFP,PsonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

Hur kan jag utesluta mål från att få reda på standardidentifiering?

Om det finns enheter i nätverket som inte bör sökas aktivt kan du definiera en lista med undantag för att förhindra att de genomsöks. Konfigurationen är tillgänglig på sidan inställningar för enhetsidentifiering.

Anteckning

Enheter kan fortfarande svara på multicast-identifieringsförsök i nätverket. Dessa enheter kommer att upptäckas, men kommer inte att sökas aktivt.

Kan jag utesluta enheter från att upptäckas?

Eftersom enhetsidentifiering använder passiva metoder för att upptäcka enheter i nätverket, kan alla enheter som kommunicerar med dina onboarded-enheter i företagsnätverket upptäckas och listas i inventeringen. Du kan utesluta enheter från endast aktiv sannolikhet.

Hur ofta är den aktiva boningen?

Enheter kommer aktivt att sökas efter när ändringar i enhetsegenskaper observeras för att se till att den befintliga informationen är uppdaterad (normalt så söker enheter högst en gång under en period på tre veckor)

Mitt säkerhetsverktyg upphöjd varning vid UnicastScanner.ps1 eller portsökningsaktivitet initierad av den, vad ska jag göra?

De aktiva testskripten är signerade av Microsoft och är säkra. Du kan lägga till följande sökväg till undantagslistan: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Hur stor är mängden trafik som genereras av den aktiva, standardavvikaren för identifiering?

Aktiv sannolikhet kan generera upp till 50kb för trafik mellan den onboarded enheten och den provade enheten, varje försök med sannolikhet

Varför finns det någon avvikelse mellan "kan introduceras" enheter i enhetsinventeringen och antalet "enheter att registrera" i panelen för instrumentpanelen?

Du kan märka skillnader mellan antalet listade enheter under "kan introduceras" i enhetsinventeringen, säkerhetsrekommendationer för "onboard to Microsoft Defender for Endpoint" och "enheter för att registrera"-instrumentpanelswidgeten.

Säkerhetsrekommendationer och instrumentpanelswidgetar gäller för enheter som är stabila i nätverket. utesluter tillfälliga enheter, gästenheter och andra. Rekommendationen är att använda beständiga enheter som också antyder organisationens övergripande säkerhetsresultat.

Kan jag registrera ohanterade enheter som hittades?

Ja. Du kan hantera ohanterade enheter manuellt. Ohanterade slutpunkter i nätverket innebär svagheter och risker för nätverket. Att registrera dem i tjänsten kan öka säkerheten för dem.

Jag har lagt märke till att statusen för ohanterade enheter alltid är "aktiv", varför är det?

Tillfälligt, ohanterad enhetshälsa blir "Aktiv" under standardlagringsperioden för enhetsinventeringen, oavsett deras faktiska status.

Ser standardidentifieringen ut som skadlig nätverksaktivitet?

När du överväger Standard-identifiering kanske du undrar över konsekvenserna av sannolikheter, och särskilt om säkerhetsverktyg kan misstänker sådan aktivitet som skadlig. I följande avsnitt förklaras varför det i nästan alla fall inte bör vara problem med att aktivera standardidentifiering.

Sannolikheten är fördelad över alla Windows enheter i nätverket

I motsats till skadlig aktivitet, som normalt skulle söka igenom hela nätverket från ett litet antal komprometterade enheter, initieras Microsoft Defender för Endpoints standardidentifieringssökning från alla onboarded Windows-enheter som gör aktiviteten till aktiv och icke-onormal. Sannolikheten hanteras centralt från molnet för att balansera sannolikhetsförsöket mellan alla enheter som stöds och som stöds i nätverket.

Aktiv sannolikhet genererar utforskande mängd extra trafik

Ohanterade enheter får vanligtvis inte mer sannolikhet än en gång under en treveckorsperiod och genererar mindre än 50kB för trafik. Skadlig aktivitet omfattar ofta hög återkommande sannolikhetsförsök och i vissa fall datainträndring som genererar en betydande mängd nätverkstrafik som kan identifieras som en avvikande avvikelse av nätverkskontrollverktygen.

Din Windows enhet kör redan aktiv identifiering

Active Discovery-funktioner har alltid bäddats in i operativsystemet Windows för att hitta närliggande enheter, slutpunkter och skrivare, så att det blir enklare att ansluta och spela upp samt fildelning mellan slutpunkter i nätverket. Liknande funktioner implementeras i mobila enheter, nätverksutrustning och lagerappar för att nämna några.

Standardidentifiering använder samma identifieringsmetoder för att identifiera enheter och ha en enhetlig synlighet för alla enheter i nätverket i Microsoft 365 Defender Enhetsinventering. Till exempel – Standardidentifiering identifierar närliggande slutpunkter i nätverket på samma sätt Windows visar tillgängliga skrivare i nätverket.

Verktyg för nätverkssäkerhet och övervakning är inte samma som de aktiviteter som utförs av enheter i nätverket.

Du behöver bara använda sannolikheter för ohanterade enheter

Funktionerna för enhetsidentifiering har skapats för att endast identifiera ohanterade enheter i nätverket. Det innebär att tidigare upptäckta enheter som redan har installerats med Microsoft Defender för Endpoint inte utforskas.

Du kan utesluta nätverks-lures från aktiv sannolikhet

Standardidentifiering har stöd för uteslutning av enheter eller områden (undernät) från aktiv sannolikhet. Om du har distribuerat nätverks-luren kan du använda inställningarna för enhetsidentifiering för att definiera undantag baserat på IP-adresser eller undernät (ett intervall med IP-adresser). Om du definierar dessa undantag kommer du att säkerställa att dessa enheter inte söker aktivt och att de inte avisering ges. Dessa enheter upptäcks med enbart passiva metoder (i likhet med Grundläggande identifieringsläge).