Verwalten der Geräteerkennung und Sicherheitsrisikobewertung

  • 9 Minuten

Der Schutz Ihrer Umgebung erfordert eine Bestandsaufnahme der Geräte, die sich in Ihrem Netzwerk befinden. Das Zuordnen von Geräten in einem Netzwerk kann jedoch häufig teuer, schwierig und zeitaufwändig sein.

Microsoft Defender für Endpunkt bietet eine Geräteermittlungsfunktion, die einer Organisation hilft, nicht verwaltete Geräte zu finden, die mit ihrem Unternehmensnetzwerk verbunden sind. Dieser Erkennungsprozess wird abgeschlossen, ohne dass zusätzliche Appliances oder umständliche Verarbeitung von Änderungen erforderlich sind. Bei der Geräteerkennung werden integrierte Endpunkte verwendet, um das Netzwerk zu erfassen, zu testen und zu überprüfen, um nicht verwaltete Geräte zu ermitteln. Mithilfe der Geräteerkennungsfunktion können Organisationen Folgendes ermitteln:

  • Unternehmensendpunkte (Arbeitsstationen, Server und mobile Geräte), die Microsoft Defender for Endpoint noch nicht integriert haben.
  • Netzwerkgeräte wie Router und Switches.
  • IoT-Geräte wie Drucker und Kameras.

Unbekannte und nicht verwaltete Geräte stellen erhebliche Risiken für ein Netzwerk dar. Es spielt keine Rolle, ob es sich um einen nicht gepatchten Drucker, Netzwerkgeräte mit schwachen Sicherheitskonfigurationen oder einen Server ohne Sicherheitskontrollen handelt.

Sobald der Microsoft Defender for Endpoint Geräteermittlungsdienst Geräte ermittelt, kann ein organization:

  • Nicht verwaltete Endpunkte in den Dienst integrieren, um die Sicherheitssichtbarkeit für sie zu erhöhen.
  • Die Angriffsfläche reduzieren, indem die Sicherheitsrisiken identifiziert und bewertet werden und Konfigurationslücken erkannt werden.

Zusätzliche Anzeige. Wählen Sie den folgenden Link aus, um ein kurzes Video anzusehen, in dem Geräteerkennung vorgestellt wird.

Eine Sicherheitsempfehlung zum Integrieren von Geräten in Microsoft Defender for Endpoint ist auch als Teil des Moduls Zur Verwaltung von Sicherheitsrisiken verfügbar.

Erkennungsmethoden

Ein organization kann den Ermittlungsmodus auswählen, den seine integrierten Geräte verwenden sollten. Der Modus steuert den Grad der Sichtbarkeit, den Sie für nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk erhalten können.

Es stehen zwei Erkennungsmodi zur Verfügung:

  • Einfache Erkennung. In diesem Modus erfassen Endpunkte passiv Ereignisse in einem Netzwerk und extrahieren Geräteinformationen daraus. Bei der einfachen Erkennung wird die Binärdatei "SenseNDR.exe" für die passive Netzwerkdatensammlung verwendet. Dieser Modus initiiert keinen Netzwerkdatenverkehr. Endpunkte extrahieren nur Daten aus dem Netzwerkdatenverkehr, den ein integriertes Gerät sieht. Mit der einfachen Ermittlung erhalten Sie nur eingeschränkte Sichtbarkeit nicht verwalteter Endpunkte in Ihrem Netzwerk.
  • Standarderkennung (empfohlen). Dieser Modus ermöglicht es Endpunkten, aktiv Geräte in einem Netzwerk zu finden, um gesammelte Daten anzureichern und weitere Geräte zu erkennen. Dieser Prozess hilft Organisationen dabei, eine zuverlässige und einheitliche Geräteübersicht zu erstellen. Zusätzlich zu Geräten, die die passive Methode verwenden, wendet der Standardmodus auch allgemeine Ermittlungsprotokolle an, die Multicastabfragen im Netzwerk verwenden. Dieser Prozess findet noch mehr Geräte. Der Standardmodus verwendet intelligente, aktive Überprüfungen, um weitere Informationen zu beobachteten Geräten zu ermitteln, um vorhandene Geräteinformationen anzureichern. Wenn ein organization Standard Modus aktiviert, können seine Netzwerküberwachungstools minimale und vernachlässigbare Netzwerkaktivitäten beobachten, die vom Ermittlungssensor generiert werden.

Die Standarderkennung ist der Standardmodus für alle Kunden ab Juli 2021. Sie können diese Konfiguration auf der Seite Einstellungen in "Einfach" ändern. Wenn Sie den Standardmodus auswählen, erhalten Sie nur eingeschränkte Sichtbarkeit nicht verwalteter Endpunkte in Ihrem Netzwerk.

Organisationen können ihre Erkennungseinstellungen ändern und anpassen. Weitere Informationen finden Sie unter Geräteerkennung konfigurieren.

Die Ermittlungs-Engine unterscheidet zwischen Netzwerkereignissen, die im Unternehmensnetzwerk und außerhalb des Unternehmensnetzwerks empfangen werden. Der Microsoft Defender for Endpoint Geräteermittlungsdienst kann keine Geräte ermitteln oder im Gerätebestand auflisten, wenn die Geräte keine Verbindung mit Unternehmensnetzwerken herstellen.

Geräteübersicht

Das Microsoft Intune Admin Center listet Geräte im Gerätebestand auf. Dies ist auch dann der Fall, wenn der Microsoft Defender for Endpoint Geräteermittlungsdienst die Geräte ermittelt hat, aber Microsoft Defender for Endpoint sie noch nicht integriert und gesichert hat.

Um diese Geräte zu bewerten, können Sie einen Filter in der Geräteübersichtsliste mit dem Namen Onboardingstatus verwenden. Dieser Filter kann einen der folgenden Werte aufweisen:

  • Onboarding stattgefunden. Microsoft Defender for Endpoint integriert den Endpunkt.
  • Kann integriert werden. Microsoft Defender for Endpoint den Endpunkt im Netzwerk ermittelt. Das Betriebssystem wurde als von Microsoft Defender for Endpoint unterstützt. Allerdings muss Microsoft Defender for Endpoint das Gerät noch integrieren. Microsoft empfiehlt Organisationen, diese Geräte so bald wie möglich zu integrieren.
  • Nicht unterstützt. Microsoft Defender for Endpoint den Endpunkt im Netzwerk ermittelt, unterstützt den Endpunkt jedoch nicht.
  • Unzureichende Informationen. Das System konnte die Unterstützbarkeit des Geräts nicht ermitteln. Das Aktivieren der Standarderkennung auf mehr Geräten im Netzwerk kann die ermittelten Attribute anreichern.

Sie können immer Filter anwenden, um nicht verwaltete Geräte aus der Geräteübersichtsliste auszuschließen. Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.

Zusätzliche Informationen. Weitere Informationen finden Sie unter Geräteübersicht.

Netzwerk-Geräteerkennung

Die große Anzahl von nicht verwalteten Netzwerkgeräten, die in einer Organisation bereitgestellt werden, führt zu einer großen Angriffsfläche. Sie stellen auch ein erhebliches Risiko für das gesamte Unternehmen dar. Die Netzwerkermittlungsfunktion von Microsoft Defender for Endpoint hilft Organisationen:

  • Entdecken Sie ihre Netzwerkgeräte.
  • Klassifizieren Sie ihre Geräte genau.
  • Fügen Sie ihre Geräte ihrem Bestand hinzu.

Microsoft Defender for Endpoint verwaltet Netzwerkgeräte nicht als Standardendpunkte. Warum? Da Microsoft Defender für Endpunkt nicht über einen Sensor verfügt, der in die Netzwerkgeräte selbst integriert ist. Stattdessen erfordern diese Gerätetypen einen Ansatz ohne Agent, bei dem eine Remote-Überprüfung die erforderlichen Informationen von den Geräten abruft. Um diese Informationen zu sammeln, verwendet jedes Netzwerksegment ein bestimmtes Microsoft Defender for Endpoint Gerät, um regelmäßige authentifizierte Überprüfungen von vorkonfigurierten Netzwerkgeräten durchzuführen. Microsoft Defender for Endpoint bietet dann integrierte Workflows, um die folgenden ermittelten Informationen zu schützen:

  • Optionen
  • Router
  • WLAN-Controller
  • Firewalls
  • VPN-Gateways

Zusätzliche Informationen. Weitere Informationen finden Sie unter Netzwerkgeräte.

Geräteerkennungsintegrationen

Microsoft Defender für Endpunkt behebt die Herausforderung, genügend Sichtbarkeit für Organisationen zu erhalten, um ihren vollständigen OT/IOT-Ressourcenbestand zu finden, zu identifizieren und zu sichern. Dazu werden die folgenden Integrationen unterstützt:

  • Corelight. Microsoft hat sich mit Corelight zusammengetan, um Daten von Corelight-Netzwerkgeräten zu empfangen. Dieses Design bietet Microsoft Defender XDR einen besseren Einblick in die Netzwerkaktivitäten nicht verwalteter Geräte. Diese Sichtbarkeit umfasst die Kommunikation mit anderen nicht verwalteten Geräten oder externen Netzwerken. Weitere Informationen finden Sie unter "Corelight-Datenintegration aktivieren".
  • Microsoft Defender für IoT. Diese Integration kombiniert die Geräteerkennungsfunktionen in Microsoft Defender für Endpunkt mit den Überwachungsfunktionen von Microsoft Defender für IoT ohne Agent. Diese Integration schützt IoT-Unternehmensgeräte, die mit einem IT-Netzwerk verbunden sind. Beispiel: VoIP (Voice over Internet Protocol), Drucker und Smart TVs. Weitere Informationen finden Sie unter Microsoft Defender für IoT-Integration aktivieren.

Konfigurieren der Geräteermittlung

Wie bereits erwähnt, können Organisationen die Geräteermittlung in einem von zwei Modi konfigurieren: Standard oder Basic. Organisationen sollten die Standardoption verwenden, um Aktiv nach Geräten in ihren Netzwerken zu suchen. Diese Option garantiert die Ermittlung von Endpunkten und bietet eine umfassendere Geräteklassifizierung.

Ein organization kann die Liste der Geräte anpassen, die zum Ausführen der Standardermittlung verwendet werden. Es kann entweder:

  • Aktivieren Sie die Standardermittlung auf allen integrierten Geräten, die diese Funktion ebenfalls unterstützen (derzeit – Windows 10 oder höher und nur Windows Server 2019 oder höher).
  • Wählen Sie eine oder mehrere Teilmengen Ihrer Geräte aus, indem Sie deren Gerätetags angeben.

Führen Sie die folgenden Schritte aus, um die Geräteerkennung einzurichten:

  1. Navigieren Sie zum Microsoft Defender-Portal.

  2. Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Einstellungen und dann Geräteermittlung aus.

  3. Wenn Sie Basic als Ermittlungsmodus konfigurieren möchten, der auf Ihren integrierten Geräten verwendet werden soll, wählen Sie Basic und dann Speichern aus.

  4. Wenn Sie die Option zur Verwendung Standard Ermittlung ausgewählt haben, wählen Sie eine der folgenden Optionen aus, um zu bestimmen, welche Geräte für die aktive Überprüfung verwendet werden sollen:

    • Alle Geräte
    • Eine Teilmenge von Geräten durch Angabe ihrer Gerätetags

  5. Klicken Sie auf Speichern.

Hinweis

Bei der Standardermittlung werden verschiedene PowerShell-Skripts verwendet, um Geräte im Netzwerk aktiv zu testen. Diese PowerShell-Skripts sind von Microsoft signiert, und das System führt sie von folgendem Speicherort aus aus:

C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\*.ps.

Beispiel: C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\UnicastScannerV1.1.0.ps1.

Ausschließen von Geräten von der aktiven Überprüfung bei der Standardermittlung

Einige Organisationen verfügen über Geräte in ihrem Netzwerk, die vom Geräteermittlungsdienst von Microsoft Defender for Endpoint nicht aktiv überprüft werden sollten. Beispielsweise Geräte, die als Honeypots für ein anderes Sicherheitstool verwendet werden. In diesen Fällen kann ein organization eine Liste von Ausschlüssen definieren, um das Scannen dieser Geräte zu verhindern. Sie können die auszuschließenden Geräte auf der Seite "Ausschlüsse" konfigurieren.

Hinweis

der Geräteermittlungsdienst von Microsoft Defender for Endpoint kann weiterhin den Standardermittlungsmodus verwenden, um Geräte zu ermitteln. Es kann auch Geräte durch Multicastermittlungsversuche ermitteln. Der Geräteermittlungsdienst ermittelt diese Geräte passiv, testet sie jedoch nicht aktiv.

Zu überwachende Netzwerke auswählen

Wenn Microsoft Defender für Endpunkt ein Netzwerk analysiert, wird ermittelt, ob das Netzwerk wie folgt lautet:

  • Ein Unternehmensnetzwerk, das überwacht werden muss.
  • Ein Nichtkorporales Netzwerk, das ignoriert werden kann.

Um ein Netzwerk als Unternehmensnetzwerk zu identifizieren, korreliert Microsoft Defender für Endpunkt Netzwerkbezeichner für alle Clients des Mandanten. Es wird davon ausgegangen, dass das Netzwerk ein Unternehmensnetzwerk ist, wenn die meisten Geräte im organization eine Verbindung mit demselben herstellen:

  • Netzwerkname
  • Standardgateway
  • DHCP-Serveradresse

Organisationen entscheiden sich in der Regel dafür, ihre Unternehmensnetzwerke zu überwachen. Sie können diese Entscheidung jedoch außer Kraft setzen, indem Sie netzwerke ohne Unternehmen überwachen, die integrierte Geräte enthalten.

Ein organization kann konfigurieren, wo die Geräteermittlung ausgeführt werden soll. Dazu wird angegeben, welche Netzwerke überwacht werden sollen. Microsoft Defender for Endpoint können die Geräteermittlung in einem überwachten Netzwerk durchführen.

Auf der Seite Überwachte Netzwerke wird eine Liste der Netzwerke angezeigt, in denen Microsoft Defender for Endpoint die Geräteermittlung durchführen können. Die Liste enthält die Netzwerke, die als Unternehmensnetzwerke identifiziert werden. Wenn mehr als 50 Netzwerke als Unternehmensnetzwerke identifiziert werden, werden in der Liste bis zu 50 Netzwerke mit den meisten integrierten Geräten angezeigt.

Auf der Seite Überwachte Netzwerke wird die Liste der überwachten Netzwerke basierend auf der Gesamtzahl der Geräte sortiert, die in den letzten sieben Tagen im Netzwerk angezeigt wurden.

Sie können einen Filter anwenden, um einen der folgenden Netzwerkermittlungszustände anzuzeigen:

  • Überwachte Netzwerke. Netzwerke, in denen Microsoft Defender for Endpoint die Geräteermittlung durchführt.
  • Ignorierte Netzwerke. Microsoft Defender for Endpoint ignoriert dieses Netzwerk und führt keine Geräteermittlung für das Netzwerk durch.
  • Alle. Microsoft Defender for Endpoint werden sowohl überwachte als auch ignorierte Netzwerke angezeigt.

Netzwerkmonitorstatus konfigurieren

Organisationen können steuern, wo die Geräteerkennung stattfindet. In überwachten Netzwerken führt Microsoft Defender for Endpoint die Geräteermittlung durch. Diese Netzwerke sind in der Regel Unternehmensnetzwerke. Sie können Netzwerke auch ignorieren oder die anfängliche Erkennungsklassifizierung auswählen, nachdem Sie einen Zustand geändert haben.

  • Wenn Sie die anfängliche Erkennungsklassifizierung auswählen, wird der standardmäßige systemseitig erstellte Netzwerkmonitorstatus angewendet.

  • Wenn Sie den standardmäßigen Systemzustand des Netzwerkmonitors auswählen, bedeutet dies, dass die Geräteermittlung:

    • Überwacht Netzwerke, die als Unternehmens identifiziert werden.
    • Ignoriert Netzwerke, die als Nichtunternehmen identifiziert werden.

Führen Sie die folgenden Schritte aus, um den Netzwerkmonitorstatus zu konfigurieren:

  1. Navigieren Sie zum Microsoft Defender-Portal.

  2. Wählen Sie im Microsoft Defender-Portal im Navigationsbereich Einstellungen und dann Geräteermittlung aus.

  3. Wählen Sie auf der Seite Geräteermittlungdie Option Überwachte Netzwerke aus.

  4. Zeigen Sie die Liste der Netzwerke an. Wählen Sie das Symbol "Auslassungspunkte" (drei Punkte) neben dem Namen des Netzwerks aus, das Sie überwachen möchten.

  5. Wählen Sie aus, ob Sie die anfängliche Erkennungsklassifizierung überwachen, ignorieren oder verwenden möchten. Bedenken Sie dabei Folgendes:

    • Wenn Sie sich dafür entscheiden, ein Netzwerk zu überwachen, das Microsoft Defender for Endpoint nicht als Unternehmensnetzwerk bezeichnet wurde, kann die Geräteermittlung außerhalb Ihres Unternehmensnetzwerks verursachen. Daher kann es heime oder andere geräte erkennen, die keine Unternehmen sind.
    • Wenn Sie ein Netzwerk ignorieren, wird die Überwachung und Ermittlung von Geräten in diesem Netzwerk beendet. Microsoft Defender for Endpoint entfernt ermittelte Geräte nicht aus dem Bestand. Sie können sie jedoch nicht mehr aktualisieren, und das System behält Details bei, bis der Datenaufbewahrungszeitraum des Microsoft Defender for Endpoint abläuft.
    • Bevor Sie sich für die Überwachung von Nichtunternehmensnetzwerken entscheiden, müssen Sie sicherstellen, dass Sie über die entsprechende Berechtigung verfügen.

  6. Vergewissern Sie sich, dass Sie die Änderung vornehmen möchten.

Durchsuchen von Geräten im Netzwerk

Sie können die folgende Kusto-Abfrage (erweiterte Bedrohungssuche) verwenden, um mehr Kontext zu jedem Netzwerknamen zu erhalten, der in der Netzwerkliste beschrieben wird. Die Abfrage listet alle integrierten Geräte auf, die innerhalb der letzten sieben Tage mit einem bestimmten Netzwerk verbunden sind.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Abrufen von Informationen zum Gerät

Sie können die folgende Kusto-Abfrage (erweiterte Bedrohungssuche) verwenden, um die neuesten vollständigen Informationen auf einem bestimmten Gerät abzurufen.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Sicherheitsrisikobewertung auf erkannten Geräten

Sicherheitsrisiken und Risiken auf Ihren Geräten sowie auf anderen ermittelten nicht verwalteten Geräten im Netzwerk sind Teil der aktuellen Flows zur Verwaltung von Bedrohungen und Sicherheitsrisiken unter "Sicherheitsempfehlungen". Die Entitätsseiten im Portal stellen diese Sicherheitsrisiken und Risiken dar.

Suchen Sie beispielsweise nach "SSH"-bezogenen Sicherheitsempfehlungen (SSH steht für Secure Shell, ein weit verbreitetes Protokoll für sichere Kommunikation über ein nicht vertrauenswürdiges Netzwerk). Der Zweck der Suche besteht darin, SSH-Sicherheitsrisiken im Zusammenhang mit nicht verwalteten und verwalteten Geräten zu finden.

Verwenden der erweiterten Bedrohungssuche auf erkannten Geräten

Organisationen können erweiterte Bedrohungssuchabfragen verwenden, um Sichtbarkeit auf erkannten Geräten zu erhalten. In der Tabelle "DeviceInfo" finden Sie Details zu erkannten Geräten oder netzwerkbezogene Informationen zu diesen Geräten in der Tabelle "DeviceNetworkInfo".

Führen Sie die folgende Abfrage in der Tabelle "DeviceInfo" aus, um alle erkannten Geräte zurückzugeben. In den Ergebnissen werden auch die neuesten Details für jedes Gerät angezeigt.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Durch Aufrufen der SeenBy-Funktion in Ihrer erweiterten Suchabfrage können Sie Details dazu abrufen, auf welchem integrierten Gerät ein ermitteltes Gerät erkannt wurde. Anhand dieser Informationen kann die Netzwerkadresse jedes erkannten Geräts ermittelt werden. Es kann dann helfen, es im Netzwerk zu identifizieren.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Bei der Geräteermittlung werden Microsoft Defender for Endpoint integrierten Geräte als Netzwerkdatenquelle verwendet, um Aktivitäten nicht eingebundenen Geräten zuzuordnen. Der Netzwerksensor auf dem integrierten Gerät von Microsoft Defender für Endpunkt identifiziert zwei neue Verbindungstypen:

  • ConnectionAttempt. Ein Versuch, eine TCP-Verbindung herzustellen.
  • ConnectionAcknowledged. Eine Bestätigung, dass das Netzwerk eine TCP-Verbindung akzeptiert hat.

Wenn ein nicht eingebundenes Gerät versucht, mit einem integrierten Microsoft Defender for Endpoint Gerät zu kommunizieren, wird folgendes versucht:

  • Generieren Sie ein DeviceNetworkEvent.
  • Zeigen Sie die nicht eingebundenen Geräteaktivitäten auf dem integrierten Gerät Zeitleiste und über die Tabelle Erweiterte Suche DeviceNetworkEvents an.

Sie können diese Beispielabfrage ausprobieren:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10