Häufig gestellte Fragen zur Geräteermittlung
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Hier finden Sie Antworten auf häufig gestellte Fragen (FAQs) zur Geräteermittlung.
Was ist der grundlegende Ermittlungsmodus?
In diesem Modus kann jedes Microsoft Defender for Endpoint integriertes Gerät Netzwerkdaten sammeln und benachbarte Geräte ermitteln. Integrierte Endpunkte erfassen passiv Ereignisse im Netzwerk und extrahieren Geräteinformationen aus ihnen. Kein Netzwerkdatenverkehr wird initiiert. Integrierte Endpunkte extrahieren Daten aus jedem Netzwerkdatenverkehr, der von einem integrierten Gerät erkannt wird. Diese Daten werden verwendet, um nicht verwaltete Geräte in Ihrem Netzwerk aufzulisten.
Kann ich die Grundlegende Ermittlung deaktivieren?
Sie haben die Möglichkeit, die Geräteermittlung über die Seite Erweiterte Features zu deaktivieren. Sie verlieren jedoch die Sichtbarkeit auf nicht verwalteten Geräten in Ihrem Netzwerk. Beachten Sie, dass auch wenn die Geräteermittlung deaktiviert ist, SenseNDR.exe weiterhin auf den integrierten Geräten ausgeführt wird.
Was ist der Standardermittlungsmodus?
In diesem Modus können Endpunkte, die in Microsoft Defender for Endpoint integriert sind, beobachtete Geräte im Netzwerk aktiv testen, um gesammelte Daten anzureichern (mit einer vernachlässigbaren Menge an Netzwerkdatenverkehr). Nur Geräte, die vom grundlegenden Ermittlungsmodus beobachtet wurden, werden im Standardmodus aktiv untersucht. Dieser Modus wird dringend empfohlen, um einen zuverlässigen und kohärenten Gerätebestand zu erstellen. Wenn Sie diesen Modus deaktivieren und Standardermittlungsmodus auswählen, erhalten Sie wahrscheinlich nur eingeschränkte Sichtbarkeit nicht verwalteter Endpunkte in Ihrem Netzwerk.
Der Standardmodus nutzt auch gängige Ermittlungsprotokolle, die Multicastabfragen im Netzwerk verwenden, um noch mehr Geräte zu finden, zusätzlich zu den Geräten, die mit der passiven Methode beobachtet wurden.
Kann ich steuern, welche Geräte die Standardermittlung durchführen?
Sie können die Liste der Geräte anpassen, die zum Ausführen der Standardermittlung verwendet werden. Sie können entweder die Standardermittlung auf allen integrierten Geräten aktivieren, die diese Funktion ebenfalls unterstützen (derzeit Windows 10 oder höher und nur Geräte mit Windows Server 2019 oder höher), oder sie können eine Oder Teilmenge Ihrer Geräte auswählen, indem Sie deren Gerätetags angeben. In diesem Fall sind alle anderen Geräte so konfiguriert, dass nur die Basic-Ermittlung ausgeführt wird. Die Konfiguration ist auf der Seite mit den Einstellungen für die Geräteermittlung verfügbar.
Kann ich nicht verwaltete Geräte aus der Gerätebestandsliste ausschließen?
Ja, Sie können Filter anwenden, um nicht verwaltete Geräte aus der Gerätebestandsliste auszuschließen. Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.
Welche integrierten Geräte können die Ermittlung durchführen?
Integrierte Geräte mit Windows 10 Version 1809 oder höher, Windows 11, Windows Server 2019 oder Windows Server 2022 können eine Ermittlung durchführen.
Was geschieht, wenn meine integrierten Geräte mit meinem Heimnetzwerk oder einem öffentlichen Zugriffspunkt verbunden sind?
Die Erkennungs-Engine unterscheidet zwischen Netzwerkereignissen, die innerhalb des Unternehmensnetzwerks empfangen werden, und solchen, die außerhalb des Unternehmensnetzwerks empfangen werden. Durch die Korrelation von Netzwerkbezeichnern über alle Mandantenclients hinweg werden Ereignisse zwischen Ereignissen unterschieden, die von privaten Netzwerken und Unternehmensnetzwerken empfangen wurden. Wenn die meisten Geräte im organization z. B. melden, dass sie mit demselben Netzwerknamen und der gleichen Standardgateway- und DHCP-Serveradresse verbunden sind, kann davon ausgegangen werden, dass es sich bei diesem Netzwerk wahrscheinlich um ein Unternehmensnetzwerk handelt. Private Netzwerkgeräte werden nicht im Bestand aufgeführt und nicht aktiv untersucht.
Welche Protokolle erfassen und analysieren Sie?
Standardmäßig Alle integrierten Geräte mit Windows 10 Version 1809 oder höher, Windows 11, Windows Server 2019 oder Windows Server 2022, erfassen und analysieren die folgenden Protokolle: ARP, CDP, DHCP, DHCPv6, IP (Header), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN-Header), UDP (Header), WSD
Welche Protokolle verwenden Sie für die aktive Überprüfung in der Standardermittlung?
Wenn ein Gerät für die Ausführung der Standardermittlung konfiguriert ist, Verfügbar gemachte Dienste werden mit den folgenden Protokollen überprüft: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP
Darüber hinaus kann die Geräteermittlung auch andere häufig verwendete Ports überprüfen, um die Klassifizierungsgenauigkeit & Abdeckung zu verbessern.
Wie kann ich Ziele von der Überprüfung mit der Standardermittlung ausschließen?
Wenn in Ihrem Netzwerk Geräte vorhanden sind, die nicht aktiv überprüft werden sollten, können Sie auch eine Liste von Ausschlüssen definieren, um zu verhindern, dass sie gescannt werden. Die Konfiguration ist auf der Seite mit den Einstellungen für die Geräteermittlung verfügbar.
Hinweis
Geräte antworten möglicherweise weiterhin auf Multicastermittlungsversuche im Netzwerk. Diese Geräte werden zwar ermittelt, aber nicht aktiv überprüft.
Kann ich Geräte von der Ermittlung ausschließen?
Da die Geräteermittlung passive Methoden verwendet, um Geräte im Netzwerk zu ermitteln, kann jedes Gerät, das mit Ihren integrierten Geräten im Unternehmensnetzwerk kommuniziert, ermittelt und im Bestand aufgeführt werden. Sie können Geräte nur von der aktiven Überprüfung ausschließen.
Wie häufig wird die aktive Probe durchgeführt?
Geräte werden aktiv überprüft, wenn Änderungen der Gerätemerkmale beobachtet werden, um sicherzustellen, dass die vorhandenen Informationen auf dem neuesten Stand sind (in der Regel werden Geräte nicht mehr als einmal in einem Zeitraum von drei Wochen überprüft).
Mein Sicherheitstool hat eine Warnung für UnicastScanner.ps1/PSScript_{GUID}.ps1- oder Portscanaktivität ausgelöst, was soll ich tun?
Die aktiven Testskripts werden von Microsoft signiert und sind sicher. Sie können der Ausschlussliste den folgenden Pfad hinzufügen: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Wie hoch ist die Menge des Datenverkehrs, der vom aktiven Standardermittlungstest generiert wird?
Aktives Testen kann bei jedem Testversuch bis zu 50 KB Datenverkehr zwischen dem integrierten Gerät und dem überprüften Gerät generieren.
Warum gibt es eine Diskrepanz zwischen geräten im Gerätebestand und der Anzahl der zu integrierenden Geräte in der Kachel Dashboard?
Möglicherweise bemerken Sie Unterschiede zwischen der Anzahl der aufgeführten Geräte unter "Kann integriert werden" im Gerätebestand, der Sicherheitsempfehlung "Onboarding in Microsoft Defender for Endpoint" und "Geräte zum Onboarding" Dashboard Widgets.
Die Sicherheitsempfehlung und das Dashboard Widget gelten für Geräte, die im Netzwerk stabil sind, ausgenommen kurzlebige Geräte, Gastgeräte und andere. Die Idee besteht darin, persistente Geräte zu empfehlen, die auch die Gesamtsicherheitsbewertung der organization implizieren.
Kann ich gefundene nicht verwaltete Geräte integrieren?
Ja. Sie können nicht verwaltete Geräte manuell integrieren. Nicht verwaltete Endpunkte in Ihrem Netzwerk führen zu Sicherheitsrisiken und Risiken für Ihr Netzwerk. Das Onboarding in den Dienst kann die Sicherheitstransparenz für sie erhöhen.
Ich habe festgestellt, dass der Integritätsstatus nicht verwalteter Geräte immer "Aktiv" lautet. Warum ist das so?
Vorübergehend ist der Integritätsstatus des nicht verwalteten Geräts während des Standardaufbewahrungszeitraums des Gerätebestands "Aktiv", unabhängig vom tatsächlichen Zustand.
Sieht die Standardermittlung wie eine schädliche Netzwerkaktivität aus?
Wenn Sie die Standardermittlung in Betracht ziehen, fragen Sie sich vielleicht, welche Auswirkungen das Testen hat, und insbesondere, ob Sicherheitstools eine solche Aktivität als bösartig vermuten könnten. Im folgenden Unterabschnitt wird erläutert, warum Organisationen in fast allen Fällen keine Bedenken hinsichtlich der Aktivierung der Standardermittlung haben sollten.
Die Überprüfung ist auf alle Windows-Geräte im Netzwerk verteilt.
Im Gegensatz zu schädlichen Aktivitäten, die in der Regel das gesamte Netzwerk von einigen kompromittierten Geräten aus scannen würden, wird die Standardermittlungsüberprüfung von Microsoft Defender for Endpoint von allen integrierten Windows-Geräten initiiert, sodass die Aktivität gutartig und nicht anomale ist. Die Überprüfung wird zentral aus der Cloud verwaltet, um den Testversuch zwischen allen unterstützten integrierten Geräten im Netzwerk auszugleichen.
Aktives Testen erzeugt eine vernachlässigbare Menge an zusätzlichem Datenverkehr
Nicht verwaltete Geräte werden in der Regel innerhalb eines Zeitraums von drei Wochen nicht mehr als einmal untersucht und generieren weniger als 50 KB Datenverkehr. Bösartige Aktivitäten umfassen in der Regel hohe sich wiederholende Testversuche und in einigen Fällen datenexfiltration, die eine erhebliche Menge an Netzwerkdatenverkehr generiert, der von Netzwerküberwachungstools als Anomalie identifiziert werden kann.
Ihr Windows-Gerät führt bereits die aktive Ermittlung aus.
Aktive Ermittlungsfunktionen wurden immer in das Windows-Betriebssystem eingebettet, um Geräte, Endpunkte und Drucker in der Nähe zu finden, um "Plug-and-Play"-Funktionen zu vereinfachen und die Dateifreigabe zwischen Endpunkten im Netzwerk zu vereinfachen. Ähnliche Funktionen werden in mobilen Geräten, Netzwerkgeräten und Bestandsanwendungen implementiert, um nur einige zu nennen.
Bei der Standardermittlung werden dieselben Ermittlungsmethoden verwendet, um Geräte zu identifizieren und eine einheitliche Sichtbarkeit für alle Geräte in Ihrem Netzwerk im Microsoft Defender XDR Gerätebestand zu erhalten. Beispiel: Die Standardermittlung identifiziert Endpunkte in der Nähe im Netzwerk auf die gleiche Weise, wie Windows verfügbare Drucker im Netzwerk auflistet.
Netzwerksicherheits- und Überwachungstools sind solchen Aktivitäten, die von Geräten im Netzwerk ausgeführt werden, gleichgültig.
Es werden nur nicht verwaltete Geräte überprüft.
Die Geräteermittlungsfunktionen wurden so entwickelt, dass nur nicht verwaltete Geräte in Ihrem Netzwerk ermittelt und identifiziert werden. Dies bedeutet, dass zuvor ermittelte Geräte, die bereits mit Microsoft Defender for Endpoint integriert sind, nicht überprüft werden.
Sie können Netzwerk-Köder von der aktiven Überprüfung ausschließen.
Die Standardermittlung unterstützt den Ausschluss von Geräten oder Bereichen (Subnetze) von der aktiven Überprüfung. Wenn Sie Netzwerk-Köder bereitgestellt haben, können Sie die Einstellungen für die Geräteermittlung verwenden, um Ausschlüsse basierend auf IP-Adressen oder Subnetzen (einem Bereich von IP-Adressen) zu definieren. Durch das Definieren dieser Ausschlüsse wird sichergestellt, dass diese Geräte nicht aktiv überprüft und nicht benachrichtigt werden. Diese Geräte werden nur mit passiven Methoden ermittelt (ähnlich wie im Standardermittlungsmodus).
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.