Översikt över enhetsidentifiering

Gäller för:

För att du ska kunna skydda din miljö måste du göra en inventering av de enheter som finns i nätverket. Det kan dock vara dyr, utmanande och tidskrävande att mappa enheter i ett nätverk.

Microsoft Defender för slutpunkt ger en funktion för enhetsidentifiering som hjälper dig att hitta ohanterade enheter som är anslutna till företagsnätverket utan att behöva extra utrustning eller krångliga processändringar. Enhetsidentifiering använder onboarded endpoints i nätverket för att samla in, söka igenom eller söka igenom nätverket för att upptäcka ohanterade enheter. Med funktionen för enhetsidentifiering kan du identifiera:

  • Företagsslutpunkter (arbetsstationer, servrar och mobila enheter) som ännu inte är onboarded to Microsoft Defender för Endpoint
  • Nätverksenheter som routrar och switchar
  • IoT-enheter som skrivare och kameror

Okända och ohanterade enheter innebär betydande risker för nätverket – oavsett om det är en icke-kompatibel skrivare, nätverksenheter med svaga säkerhetskonfigurationer eller en server utan säkerhetskontroller. När enheter upptäcks kan du:

  • Introducera ohanterade slutpunkter till tjänsten och öka säkerhetens synlighet för dem.
  • Minska attackytan genom att identifiera och utvärdera svagheter och upptäcka konfigurationsluckor.

Titta på den här videon för en snabb överblick över hur enhetsidentifiering:

Tillsammans med den här funktionen finns det en säkerhetsrekommendationer om att registrera enheter i Microsoft Defender för Endpoint som en del av den befintliga upplevelsen av hantering av hot och sårbarhet.

Identifieringsmetoder

Du kan välja det identifieringsläge som ska användas av dina onboarded-enheter. Läget styr synlighetsnivån som du kan få för ohanterade enheter i företagsnätverket.

Det finns två identifieringslägen:

  • Grundläggande identifiering: I det här läget samlar slutpunkter in händelser passivt i nätverket och extraherar enhetsinformation från dem. Grundläggande identifiering använder den SenseNDR.exe för insamling av passiva nätverksdata och ingen nätverkstrafik kommer att initieras. Slutpunkter extraherar helt enkelt data från varje nätverkstrafik som visas för en onboarded-enhet. Med grundläggande identifiering får du bara begränsad insyn i ohanterade slutpunkter i nätverket.

  • Standardidentifiering (rekommenderas): Med det här läget kan slutpunkter aktivt hitta enheter i nätverket för att utveckla insamlade data och hitta fler enheter – vilket hjälper dig att skapa en tillförlitlig och sammanhängande enhetsinventering. Utöver enheter som observerades med passiv metod, använder standardläget även vanliga identifieringsprotokoll som använder multicast-frågor i nätverket för att hitta ännu fler enheter. I standardläget används smart, aktiv sannolikhet för att upptäcka ytterligare information om observerade enheter för att utöka befintlig enhetsinformation. När standardläget är aktiverat, minimalt och normalt nätverksaktivitet som genereras av identifieringssensoren kan observeras av nätverksövervakningsverktygen i organisationen.

Du kan ändra och anpassa dina identifieringsinställningar. Mer information finns i Konfigurera enhetsidentifiering.

Viktigt

Standardidentifiering är standardläget för alla kunder från och med den 19 juli 2021. Du kan välja att ändra den här konfigurationen till grundläggande på inställningssidan. Om du väljer grundläggande läge kommer du bara att få begränsad insyn i ohanterade slutpunkter i nätverket.

Anteckning

Identifieringsmotorn skiljer mellan nätverkshändelser som tas emot i företagsnätverket jämfört med utanför företagsnätverket. Enheter som inte är anslutna till företagets nätverk upptäcks eller listas inte i enhetsinventeringen.

Enhetsinventering

Enheter som har identifierats men ännu inte har introducerats och säkrats av Microsoft Defender för Slutpunkt visas i Enhetsinventering på fliken Slutpunkter.

Du kan använda ett filter i enhetsinventeringslistan med namnet Onboarding status, som kan ha något av följande värden:

  • Introduktion: Slutpunkten introduceras till Microsoft Defender för Endpoint.
  • Kan introduceras: Slutpunkten identifierades i nätverket och operativsystemet identifierades som ett som stöds av Microsoft Defender för Endpoint, men som för närvarande inte är onboarded. Vi rekommenderar att du använder dessa enheter.
  • Stöds inte: Slutpunkten identifierades i nätverket men stöds inte av Microsoft Defender för Slutpunkt.
  • Otillräcklig information: Systemet kunde inte fastställa enhetens supportmöjlighet. Genom att aktivera standardidentifiering på fler enheter i nätverket kan de identifierade attributen utökas.

Bild på instrumentpanelen för enhetsinventering.

Tips

Du kan alltid använda filter för att utesluta ohanterade enheter från enhetsinventeringslistan. Du kan också använda kolumnen onboardingstatus i API-frågor för att filtrera bort ohanterade enheter.

Identifiering av nätverksenhet

Det stora antalet ohanterade nätverksenheter som distribueras i en organisation skapar ett stort attackområde och representerar en betydande risk för hela företaget. Med hjälp av nätverksidentifieringsfunktionerna i Microsoft Defender för Endpoint kan du se till att nätverksenheter upptäcks, klassificeras korrekt och läggs till i tillgångslager.

Nätverksenheter hanteras inte som standardslutpunkter, eftersom Defender för Slutpunkt inte har en sensor inbyggd i själva nätverksenheterna. Dessa typer av enheter kräver en agentlös metod där en fjärrsökning hämtar den information som behövs från enheterna. För att göra detta används en Microsoft Defender för Endpoint-enhet på varje nätverkssegment för att utföra periodiska autentiserade genomsökningar av förkonfigurerade nätverksenheter. När Den har identifierats tillhandahåller Defender för Endpoints Hantering av hot och säkerhetsrisker-funktioner integrerade arbetsflöden för att säkra identifierade switchar, routrar, WLAN-styrenheter, brandväggar och VPN-gatewayer.

Mer information finns i Nätverksenheter.

Integrering av enhetsidentifiering

För att hantera utmaningen med att få tillräckligt med synlighet för att hitta, identifiera och skydda din fullständiga OT/IOT-tillgångslager har Microsoft Defender för Endpoint nu stöd för följande integreringar:

  • Corelight: Microsoft samarbetar med Corelight för att ta emot data från Corelight-nätverksutrustning. Det ger Microsoft 365 Defender bättre insyn i nätverksaktiviteterna hos ohanterade enheter, inklusive kommunikation med andra ohanterade enheter eller externa nätverk. Mer information finns i Aktivera Corelight-dataintegrering.

  • Microsoft Defender för IoT: Den här integreringen kombinerar Microsoft Defender för Endpoints funktioner för enhetsidentifiering, med funktioner för agentless monitoring i Microsoft Defender för IoT, för att skydda IoT-enheter för företag som är anslutna till ett IT-nätverk (till exempel Voice over Internet Protocol (VoIP), skrivare och smarta TV-apparater). Mer information finns i Aktivera Microsoft Defender för IoT-integrering.

Sårbarhetsbedömning på identifierade enheter

Säkerhetsproblem och risker på dina enheter samt andra identifierade ohanterade enheter i nätverket är en del av de aktuella TVM-flödena under "Security Rekommendationer" och representeras på entitetssidor i portalen. Sök efter SSH-relaterade säkerhetsrekommendationer för att hitta svagheter i SSH som är relaterade till ohanterade och hanterade enheter.

Bild av instrumentpanelen med säkerhetsrekommendationer.

Använda Avancerad sökning på identifierade enheter

Du kan använda Avancerad sökning för att se vilka enheter som finns. Hitta information om identifierade slutpunkter i tabellen DeviceInfo eller nätverksrelaterad information om dessa enheter i tabellen DeviceNetworkInfo.

Bild på avancerad användning av sökning.

Enhetsidentifieringen utnyttjar Microsoft Defender för slutpunktsbaserade enheter som en nätverksdatakälla för att attributaktiviteter till enheter som inte är registrerade. Det innebär att om en Microsoft Defender för slutpunktsbaserad enhet kommuniceras med en enhet som inte är onboarded kan aktiviteter på enheter som inte är onboarded-enheter visas på tidslinjen och via tabellen Advanced hunting DeviceNetworkEvents.

Nya händelser är TCP-anslutningar (Transmission Control Protocol) och kommer att passa till det aktuella DeviceNetworkEvents-schemat. TCP-anslutning till Microsoft Defender för slutpunktsaktiverad enhet från en enhet som inte är Microsoft Defender för slutpunkt aktiverad.

Följande åtgärdstyper har också lagts till:

  • ConnectionAttempt – Ett försök att upprätta en TCP-anslutning (syn)
  • ConnectionAcknowledged – En bekräftelse på att en TCP-anslutning har accepterats (syn\ack)

Du kan prova den här exempelfrågan:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

Ändrat beteende

I följande avsnitt finns de ändringar som du kommer att se i Microsoft Defender för Endpoint Microsoft 365 Defender-portalen när den här funktionen är aktiverad.

  1. Enheter som inte är onboarded till Microsoft Defender för Endpoint förväntas visas i enhetsinventeringen, avancerad sökning och API-frågor. Det kan öka storleken på frågeresultatet avsevärt.
    1. Tabellerna "DeviceInfo" och "DeviceNetworkInfo" i Avancerad sökning kommer nu att innehålla identifierade enheter. Du kan filtrera bort dessa enheter med hjälp av attributet "OnboardingStatus".
    2. Identifierade enheter förväntas visas i resultat av streaming-API-frågor. Du kan filtrera bort dessa enheter genom att OnboardingStatus använda filtret i frågan.
  2. Ohanterade enheter tilldelas till befintliga enhetsgrupper baserat på definierade villkor.
  3. I sällsynta fall kan Standard-identifiering utlösa aviseringar på nätverksbildskärmar eller säkerhetsverktyg. Lämna gärna feedback om du upplever sådana händelser för att undvika återkommande problem. Du kan uttryckligen utesluta specifika mål eller hela undernät från aktivt söka efter standardidentifiering.

Nästa steg