裝置探索常見問題

適用於：

• 適用於端點的 Microsoft Defender 方案 1
• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關，在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊，不提供任何明確或隱含的瑕疵擔保。

尋找常見問題的解答， (裝置探索) 常見問題。

什麼是基本探索模式？

此模式可讓每個 適用於端點的 Microsoft Defender 上線的裝置收集網路數據，並探索相鄰的裝置。 上線端點會被動收集網路中的事件，並從中擷取裝置資訊。 未起始網路流量。 上線端點會從已上線裝置看到的每個網路流量擷取數據。 此數據可用來列出您網路中的非受控裝置。

我可以停用基本探索嗎？

您可以選擇透過 [進階 功能 ] 頁面關閉裝置探索。 不過，您將無法在網路中的非受控裝置上看到。 請注意，即使裝置探索已關閉，SenseNDR.exe 仍會在已上線的裝置上執行。

什麼是標準探索模式？

在此模式中，上線至 適用於端點的 Microsoft Defender 端點可以主動探查網路中觀察到的裝置，以可忽略的網路流量量) 來擴充收集的數據 (。 只有基本探索模式觀察到的裝置會在標準模式中主動探查。 強烈建議使用此模式來建置可靠且一致的裝置清查。 如果您選擇停用此模式，並選取 [基本探索模式]，您可能只會在網路中取得非受控端點的有限可見度。

除了使用被動方法觀察到的裝置之外，標準模式也會利用在網路中使用多播查詢的常見探索通訊協議來尋找更多裝置。

我可以控制哪些裝置執行標準探索嗎？

您可以自定義用來執行標準探索的裝置清單。 您可以在目前 Windows 10 或更新版本 (支援此功能的所有已上線裝置上啟用標準探索，且 Windows Server 2019 或更新版本裝置只能) 或藉由指定裝置捲標來選取裝置的子集或子集。 在此情況下，所有其他裝置都設定為只執行基本探索。 此設定可在裝置探索設定頁面中取得。

我可以從裝置清查清單中排除非受控裝置嗎？

是，您可以套用篩選，從裝置清查清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

哪些已上線的裝置可以執行探索？

在 Windows 10 1809 版或更新版本、Windows 11、Windows Server 2019 或 Windows Server 2022 上執行的上線裝置可以執行探索。

如果我上線的裝置連線到我的主機網路或公用存取點，會發生什麼事？

探索引擎區分在公司網路内部與在公司網路外部接收到的事件。 藉由將所有租使用者用戶端的網路標識符相互關聯，事件會區分從專用網和公司網路接收的事件。 例如，如果組織中的大部分裝置都回報它們已連線到相同的網路名稱，且具有相同的默認閘道和 DHCP 伺服器位址，則可以假設此網路可能是公司網路。 專用網裝置不會列在清查中，也不會主動探查。

您要擷取和分析哪些通訊協定？

根據預設，在 Windows 10 1809 版或更新版本上執行的所有已上線裝置，Windows 11 Windows Server 2019、 或 Windows Server 2022 正在擷取和分析下列通訊協定：ARP、CDP、DHCP、DHCPv6、IP (標頭) 、LLDP、LLMNR、mDNS、MNDP、MSSQL、NBNS、SSDP、TCP (SYN 標頭) 、UDP (標頭) 、WSD

您在標準探索中使用哪些通訊協議進行主動探查？

當裝置設定為執行標準探索時，會使用下列通訊協定來探查公開的服務：ARP、 FTP、HTTP、HTTPS、ICMP、LLMNR、NBNS、RDP、SIP、SMTP、SNMP、SSH、Telnet、UPNP、WSD、SMB、NBSS、IPP、PJL、RPC、mDNS、DHCP、}、CrestonCIP、IphoneSync、WinRM、VNC、SLP、LDAP

此外，裝置探索也可能會掃描其他常用的埠，以改善分類精確度 & 涵蓋範圍。

如何使用標準探索來排除目標不進行探查？

如果您的網路上有不應主動探查的裝置，您也可以定義排除清單來防止掃描它們。 此設定可在裝置探索設定頁面中取得。

注意事項

裝置仍可能回復網路中的多播探索嘗試。 這些裝置將會被探索，但不會主動探查。

我可以排除裝置無法被探索嗎？

當裝置探索使用被動方法來探索網路中的裝置時，任何與公司網路中已上線裝置通訊的裝置，都可以在清查中探索並列出。 您只能將裝置排除在主動探查之外。

使用中探查的頻率有多高？

觀察到裝置特性變更時會主動探查裝置，以確保現有資訊通常是最新的 (，裝置在三周的期間內只會探查一次)

我的安全性工具在 UnicastScanner.ps1/PSScript_{GUID}.ps1 或由其起始的埠掃描活動上引發警示，我該怎麼辦？

作用中的探查腳本是由 Microsoft 簽署且安全。 您可以將下列路徑新增至排除清單： C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

標準探索作用中探查所產生的流量為何？

作用中探查在上線裝置與探查裝置之間最多可以產生 50Kb 的流量，每次探查嘗試

為什麼裝置清查中的「可上線」裝置與儀錶板磚中的「要上線的裝置」數目之間有差異？

您可能會注意到在裝置清查中「可上線」下列出的裝置數目、「上線至 適用於端點的 Microsoft Defender」安全性建議，以及「裝置上線」儀錶板小工具之間的差異。

安全性建議和儀錶板小工具適用於網路中穩定的裝置;不包括暫時裝置、來賓裝置和其他裝置。 其概念是在持續性裝置上提出建議，這也表示組織的整體安全性分數。

我可以將找到的非受控裝置上線嗎？

是。 您可以手動將非受控裝置上線。 網路中的非受控端點會對您的網路造成弱點和風險。 將它們上線至服務可以提高其安全性可見度。

我注意到非受控裝置健康情況狀態一律為「作用中」，為什麼會這樣？

非受控裝置健康情況狀態在裝置清查的標準保留期間暫時為「作用中」，不論其實際狀態為何。

標準探索看起來像惡意網路活動嗎？

考慮標準探索時，您可能會想知道探查的影響，特別是安全性工具是否可能會懷疑這類活動為惡意活動。 下列小節說明為什麼在幾乎所有情況下，組織都不應該擔心如何啟用標準探索。

探查會分散到網路上的所有 Windows 裝置

相對於惡意活動，通常會從少數遭入侵的裝置掃描整個網路，適用於端點的 Microsoft Defender 的標準探索探查是從所有已上線的 Windows 裝置起始，讓活動變成良性且非異常。 探查會從雲端集中管理，以平衡網路中所有支持上線裝置之間的探查嘗試。

主動探查會產生可忽略的額外流量

非受控裝置通常會在三周內被探查一次，併產生少於 50 KB 的流量。 惡意活動通常包含高重複性探查嘗試，在某些情況下，會產生大量網路流量的數據外洩，而網路監視工具可將這些流量識別為異常。

您的 Windows 裝置已執行主動式探索

主動式探索功能一律內嵌在 Windows 作業系統中，以尋找附近的裝置、端點和印表機，以便在網路中的端點之間進行「隨插即用」體驗和檔案共用。 類似的功能會在行動裝置、網路設備和庫存應用程式中實作，僅舉幾例。

標準探索會使用相同的發現方法來識別裝置，並在 Microsoft Defender 全面偵測回應 裝置清查中統一查看您網路中的所有裝置。 例如，標準探索會以 Windows 列出網路中可用印表機的方式，識別網路中的鄰近端點。

網路安全性和監視工具與網路上的裝置所執行的這類活動不同。

只會探查非受控裝置

已建置裝置探索功能，以僅探索和識別您網路上的非受控裝置。 這表示不會探查先前探索到已使用 適用於端點的 Microsoft Defender 上線的裝置。

您可以將網路偽裝排除在主動探查之外

標準探索支援從作用中探查排除) (子網的裝置或範圍。 如果您已就地部署網路偽裝，您可以使用裝置探索設定，根據IP位址或子網定義排除專案， (IP位址範圍) 。 定義這些排除專案可確保不會主動探查這些裝置，也不會收到警示。 這些裝置只會使用被動方法探索， (類似於基本探索模式) 。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。