Laitteen etsinnän usein kysytyt kysymykset
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Etsi vastauksia usein kysyttyihin kysymyksiin laitteiden löytämisestä.
Mikä on perusetsintätila?
Tämän tilan avulla kaikki Microsoft Defender for Endpoint käyttöönotetut laitteet voivat kerätä verkkotietoja ja löytää naapurilaitteita. Perehdytetyt päätepisteet keräävät passiivisesti verkon tapahtumia ja poimivat niistä laitetietoja. Verkkoliikennettä ei aloiteta. Perehdytetyt päätepisteet poimivat tietoja jokaisesta verkkoliikenteestä, jonka perehdytyslaite voi nähdä. Näiden tietojen avulla luetellaan verkon hallitsemattomat laitteet.
Voinko poistaa perusetsinnän käytöstä?
Voit halutessasi poistaa laitteen etsinnän käytöstä Lisäominaisuudet-sivun kautta. Menetät kuitenkin näkyvyyden verkon hallitsemattomiin laitteisiin. Huomaa, että vaikka laitteiden etsintä olisi poistettu käytöstä, SenseNDR.exe ovat edelleen käynnissä perehdytetyissä laitteissa.
Mikä on tavallinen etsintätila?
Tässä tilassa Microsoft Defender for Endpoint käyttöön otetut päätepisteet voivat aktiivisesti tutkia havaittuja laitteita verkossa ja rikastaa kerättyjä tietoja (vähäisellä määrällä verkkoliikennettä). Vain laitteita, jotka on havaittu perusetsintätilassa, tutkitaan aktiivisesti vakiotilassa. Tätä tilaa suositellaan erittäin luotettavan ja johdonmukaisen laitevaraston luomiseen. Jos poistat tämän tilan käytöstä ja valitset Perusetsintä-tilan, saat todennäköisesti vain rajoitetun näkyvyyden verkon hallitsemattomiin päätepisteisiin.
Vakiotila hyödyntää myös yleisiä etsintäprotokollia, jotka käyttävät verkon monilähetyskyselyitä löytääkseen vielä enemmän laitteita passiivisella menetelmällä havaittujen lisäksi.
Voinko hallita, mitkä laitteet suorittavat vakioetsinnän?
Voit mukauttaa vakioetsinnän suorittamiseen käytettävien laitteiden luetteloa. Voit joko ottaa vakioetsinnän käyttöön kaikissa tätä ominaisuutta tukevissa laitteissa (tällä hetkellä Windows 10 tai uudemmissa ja Windows Server 2019-laitteissa tai uudemmissa laitteissa) tai valita laitteidesi alijoukon tai alijoukot määrittämällä niiden laitetunnisteet. Tässä tapauksessa kaikki muut laitteet on määritetty suorittamaan vain perusetsintä. Määritys on käytettävissä laitteen etsintäasetusten sivulla.
Voinko sulkea hallitsemattomat laitteet pois laitteiden varastoluettelosta?
Kyllä, voit käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.
Mitkä käyttöönotetut laitteet voivat suorittaa etsinnän?
Käyttöönotossa olevat laitteet, Windows 10 versiossa 1809 tai uudemmassa, Windows 11, Windows Server 2019:ssä tai Windows Server 2022:ssa, voivat suorittaa etsinnän.
Mitä tapahtuu, jos laitteideni on yhdistetty kotiverkkooni tai julkiseen yhteyspisteeseen?
Etsintämoduuli erottaa yritysverkossa vastaanotetut verkkotapahtumat yritysverkon ulkopuolisiin tapahtumiin verrattuna. Yhdistämällä verkkotunnukset kaikkien vuokraajan asiakkaisiin tapahtumat erotetaan yksityisistä verkoista ja yritysverkoista vastaanotettujen tapahtumien välillä. Jos esimerkiksi useimmat organisaation laitteet ilmoittavat olevansa yhteydessä samaan verkkonimeen ja joilla on sama oletusyhdyskäytävä ja DHCP-palvelimen osoite, voidaan olettaa, että tämä verkko on todennäköisesti yritysverkko. Yksityisiä verkkolaitteita ei luetella varastossa, eikä niitä tutkita aktiivisesti.
Mitä protokollia sieppaat ja analysoit?
Oletusarvoisesti kaikki Windows 10 versiossa 1809 tai uudemmassa, Windows 11, Windows Server 2019:ssä tai Windows Server 2022:ssa toimivat laitteet tallentavat ja analysoivat seuraavia protokollia:
- ARP
- CDP
- DHCP
- DHCPv6
- IP (otsikot)
- LLDP
- LLMNR
- mDNS
- MNDP
- MSSQL
- NBNS
- SSDP
- TCP (SYN-otsikot)
- UDP (otsikot)
- WSD
Mitä protokollia käytät vakioetsinnän aktiiviseen tutkimiseen?
Kun laite on määritetty suorittamaan vakioetsintä, paljastettuja palveluita tutkitaan seuraavien protokollien avulla:
- AFP
- ARP
- DHCP
- FTP
- HTTP
- HTTPS
- ICMP
- IphoneSync
- IPP
- LDAP
- LLMNR
- mDNS
- NBNS
- NBSS
- PJL
- RDP
- RPC
- SIP
- SLP
- SMB
- SMTP
- SNMP
- SSH
- Telnet
- UPNP
- VNC
- WinRM
- WSD
Lisäksi laitteiden etsintä saattaa myös skannata muita yleisesti käytettyjä portteja luokitustarkkuuden & kattavuuden parantamiseksi.
Miten voin sulkea pois kohteiden tutkimisen Standard Discoverylla?
Jos verkossasi on laitteita, joita ei tule aktiivisesti tutkia, voit myös määrittää poissulkemisten luettelon estääksesi niiden skannaamisen. Määritys on käytettävissä laitteen etsintäasetusten sivulla.
Huomautus
Laitteet saattavat silti vastata monilähetysten etsintäyrityksiin verkossa. Nämä laitteet löydetään, mutta niitä ei tutkita aktiivisesti.
Voinko sulkea pois laitteita löydettämästä niitä?
Koska laitteiden etsintä käyttää passiivisia menetelmiä löytääkseen laitteita verkosta, kaikki laitteet, jotka kommunikoivat yrityksen verkon laitteiden kanssa, voidaan löytää ja listata varastossa. Voit sulkea pois laitteita vain aktiivisesta hausta.
Kuinka usein aktiivinen tutkiminen on?
Laitteita tutkitaan aktiivisesti, kun laitteen ominaisuuksissa havaitaan muutoksia sen varmistamiseksi, että olemassa olevat tiedot ovat ajan tasalla (tyypillisesti laitteet, joita tutkitaan enintään kerran kolmen viikon aikana)
Suojaustyökaluni aiheutti hälytyksen UnicastScanner.ps1/PSScript_{GUID}.ps1 tai portin skannaustoiminnosta, jonka se aloitti. Mitä minun pitäisi tehdä?
Microsoft on allekirjoittanut aktiiviset tutkimiskomentosarjat, ja ne ovat turvassa. Voit lisätä poissulkemisluetteloon seuraavan polun:
C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Kuinka paljon liikennettä Standard discovery -aktiivinen luotain luo?
Aktiivinen tutkiminen voi luoda jopa 50 Kt liikennettä perehdytettyjen laitteiden ja tutkitun laitteen välillä, jokainen tutkimusyritys
Miksi laitevarastossa olevien "voidaan ottaa käyttöön" -laitteiden ja koontinäytön ruudussa olevien laitteiden määrän välillä on ero?
Saatat huomata eroja laitevarastossa kohdassa "voidaan ottaa käyttöön" olevien lueteltujen laitteiden määrän, "perehdyttämisestä Microsoft Defender for Endpoint" -suojaussuosituksen ja "laitteet mukaan otettavaksi" -koontinäytön pienoissovelluksen välillä.
Suojaussuositus ja koontinäytön pienoissovellus on tarkoitettu laitteille, joiden tila on vakaa verkossa. lukuun ottamatta lyhytaikaisia laitteita, vieraslaitteita ja muita. Ajatuksena on suositella pysyvissä laitteissa, jotka viittaavat myös organisaation yleisiin suojauspisteisiin.
Voinko käyttää löydettyjä hallitsemattomia laitteita?
Kyllä. Voit käyttää hallitsemattomia laitteita manuaalisesti. Verkon hallitsemattomat päätepisteet aiheuttavat verkon heikkouksia ja riskejä. Niiden käyttöönotto palveluun voi lisätä niiden suojausnäköä.
Olen huomannut, että hallitsematon laitteen kuntotila on aina "aktiivinen". Mistä tämä johtuu?
Tilapäisesti hallitsematon laitteen kuntotila on "aktiivinen" laitevaraston vakiosäilytysjakson aikana riippumatta niiden todellisesta tilasta.
Näyttääkö tavallinen etsintä haitalliselta verkkotoiminnalta?
Kun harkitset Standard Discoverya, saatat ihmetellä etsinnän vaikutuksia ja erityisesti sitä, saattavatko suojaustyökalut epäillä tällaista toimintaa haitallisiksi. Seuraavassa osiossa selitetään, miksi organisaatioiden ei pitäisi lähes kaikissa tapauksissa olla huolissaan vakioetsinnän käyttöönotosta.
Tutkiminen jaetaan verkon kaikkiin Windows-laitteisiin
Toisin kuin haitallinen toiminta, joka yleensä skannaisi koko verkon muutamasta vaarantuneesta laitteesta, Microsoft Defender for Endpoint Standard discovery -tutkimus käynnistetään kaikista käyttöön otetut Windows-laitteet, jotka tekevät toiminnosta hyvänlaatuisen ja poikkeavan. Tutkimista hallitaan keskitetysti pilvipalvelusta, jotta voidaan tasapainottaa valvontayritys kaikkien tuettujen verkon laitteiden välillä.
Aktiivinen tutkiminen aiheuttaa huomattavan määrän ylimääräistä liikennettä
Hallitsemattomia laitteita tutkitaan yleensä enintään kerran kolmen viikon aikana ja ne tuottavat alle 50 KT liikennettä. Haitallinen toiminta sisältää yleensä suuria toistuvia tutkimisyrityksiä ja joissain tapauksissa tietojen suodatustietoja, jotka tuottavat huomattavan määrän verkkoliikennettä ja jotka verkon valvontatyökalut voivat tunnistaa poikkeamiksi.
Windows-laitteesi suorittaa jo aktiivista etsintää
Aktiiviset etsintätoiminnot on aina upotettu Windows-käyttöjärjestelmään läheisten laitteiden, päätepisteiden ja tulostimien löytämiseksi, mikä helpottaa plug and play -käyttökokemusta ja tiedostojen jakamista verkon päätepisteiden välillä. Samanlaisia toimintoja otetaan käyttöön mobiililaitteissa, verkkolaitteissa ja varastosovelluksissa vain muutamia mainitaksemme.
Vakioetsintä käyttää samoja etsintämenetelmiä laitteiden tunnistamiseen ja kaikkien verkkosi laitteiden yhtenäiseen näkyvyyteen laitevarastossa Microsoft Defender XDR. Esimerkiksi – Vakioetsintä tunnistaa lähellä olevat verkon päätepisteet samalla tavalla kuin Windows luettelee verkossa käytettävissä olevat tulostimet.
Verkon suojaus- ja valvontatyökalut eivät ole sama asia kuin verkon laitteiden suorittamat toimet.
Vain hallitsemattomia laitteita tutkitaan
Laitteiden etsintäominaisuudet on luotu vain verkon hallitsemattomien laitteiden löytämiseksi ja tunnistamiseksi. Tämä tarkoittaa sitä, että aiemmin löydettyjä laitteita, jotka ovat jo perehdytetty Microsoft Defender for Endpoint, ei tutkita.
Voit sulkea pois verkon vieheet aktiivisesta hausta
Vakioetsintä tukee laitteiden tai alueiden (aliverkkojen) sulkemista aktiivisesta tutkimisesta. Jos verkkoviehet on otettu käyttöön, voit määrittää laiteetsintä-asetusten avulla poissulkemisia IP-osoitteiden tai aliverkkojen (IP-osoitteiden alue) perusteella. Näiden poissulkemisten määrittäminen varmistaa, että näitä laitteita ei tutkita aktiivisesti eikä niistä ilmoiteta. Nämä laitteet havaitaan vain passiivisilla menetelmillä (perusetsintätilan tapaan).
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.