Erkennen von Geräten mit Geräteermittlung

  • 3 Minuten

Der Schutz Ihrer Umgebung erfordert eine Bestandsaufnahme der Geräte, die sich in Ihrem Netzwerk befinden. Die Zuordnung von Geräten in einem Netzwerk kann jedoch häufig teuer, schwierig und zeitaufwendig sein.

Microsoft Defender for Endpoint bietet eine Geräteermittlungsfunktion, die Ihnen hilft, nicht verwaltete Geräte zu finden, die mit Ihrem Unternehmensnetzwerk verbunden sind, ohne dass zusätzliche Geräte oder schwerfällige Prozessänderungen erforderlich sind. Die Geräteermittlung verwendet integrierte Endpunkte in Ihrem Netzwerk, um Ihr Netzwerk zu erfassen, zu untersuchen oder zu überprüfen, um nicht verwaltete Geräte zu ermitteln. Mit der Geräteermittlungsfunktion können Sie Folgendes ermitteln:

  • Unternehmensendpunkte (Arbeitsstationen, Server und mobile Geräte), die noch nicht in Microsoft Defender for Endpoint integriert sind
  • Netzwerkgeräte wie Router und Switches
  • IoT-Geräte wie Drucker und Kameras

Unbekannte und nicht verwaltete Geräte stellen erhebliche Risiken für Ihr Netzwerk dar – unabhängig davon, ob es sich um einen nicht gepatchten Drucker, Netzwerkgeräte mit schwachen Sicherheitskonfigurationen oder einen Server ohne Sicherheitskontrollen handelt. Sobald Geräte registriert sind, können Sie folgende Aktionen durchführen:

  • Ausführen eines Onboardings für nicht verwaltete Endpunkte an den Dienst, wodurch die Sicherheitstransparenz auf sie erhöht wird
  • Die Angriffsfläche reduzieren, indem die Sicherheitsrisiken identifiziert und bewertet werden und Konfigurationslücken erkannt werden.

Um Geräte zu ermitteln, schauen Sie sich Folgendes an: Video „Geräte entdecken”.

So bewerten und integrieren Sie nicht verwaltete Geräte:

Mit dieser Funktion ist eine Sicherheitsempfehlung zum Onboarding von Geräten in Microsoft Defender for Endpoint als Teil des vorhandenen Bedrohungs- und Sicherheitsrisikomanagements verfügbar.

Ermittlungsmethoden Sie können den Ermittlungsmodus auswählen, der von Ihren integrierten Geräten verwendet werden soll. Der Modus steuert das Maß an Sichtbarkeit, das Sie für nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk abrufen können.

Es stehen zwei Erkennungsmodi zur Verfügung:

  • Grundlegende Ermittlung: In diesem Modus sammeln Endpunkte Ereignisse in Ihrem Netzwerk passiv und extrahieren Geräteinformationen von ihnen. Die grundlegende Ermittlung verwendet die „SenseNDR.exe“-Binärdatei für die Sammlung passiver Netzwerkdaten, und kein Netzwerkdatenverkehr wird initiiert. Endpunkte extrahieren Daten aus jedem Netzwerkdatenverkehr, der von einem integrierten Gerät angezeigt wird. Mit der grundlegenden Ermittlung erhalten Sie nur eingeschränkte Sichtbarkeit von nicht verwalteten Endpunkten in Ihrem Netzwerk.

  • Standardermittlung (empfohlen): Dieser Modus ermöglicht Endpunkten, Geräte in Ihrem Netzwerk aktiv zu finden, um gesammelte Daten zu erweitern und weitere Geräte zu ermitteln. So können Sie einen zuverlässigen und kohärenten Gerätebestand erstellen. Zusätzlich zu Geräten, die mit der passiven Methode überwacht wurden, verwendet der Standardmodus auch allgemeine Ermittlungsprotokolle, die Multicastabfragen im Netzwerk verwenden, um noch mehr Geräte zu finden. Der Standardmodus verwendet intelligente, aktive Tests, um zusätzliche Informationen zu überwachten Geräten zu ermitteln, um vorhandene Geräteinformationen zu erweitern. Wenn der Standardmodus aktiviert ist, können minimale und vernachlässigbare Netzwerkaktivitäten, die vom Ermittlungssensor generiert werden, von Netzwerküberwachungstools in Ihrer Organisation überwacht werden.

Geräte, die erkannt wurden, aber noch nicht integriert und durch Microsoft Defender for Endpoint gesichert wurden, werden im Gerätebestand auf der Registerkarte „Computer und mobile Geräte“ aufgeführt.

Um diese Geräte zu bewerten, können Sie einen Filter in der Gerätebestandsliste namens „Onboardingstatus“ verwenden, der über einen der folgenden Werte verfügen kann:

  • Integriert: Der Endpunkt wird in Microsoft Defender for Endpoint integriert.
  • Kann integriert werden: Der Endpunkt wurde im Netzwerk erkannt, und das Betriebssystem wurde als eines identifiziert, das von Microsoft Defender for Endpoint unterstützt wird, aber derzeit nicht integriert ist. Es wird dringend empfohlen, diese Geräte zu integrieren.
  • Nicht unterstützt: Der Endpunkt wurde im Netzwerk zwar erkannt, wird jedoch von Microsoft Defender for Endpoint nicht unterstützt.
  • Unzureichende Informationen: Das System konnte die Unterstützung des Geräts nicht ermitteln. Das Aktivieren der Standardermittlung auf weiteren Geräten im Netzwerk kann die ermittelten Attribute anreichern.