Jaa

Laitteen etsinnän usein kysytyt kysymykset

  • Artikkeli

Koskee seuraavia:

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Etsi vastauksia usein kysyttyihin kysymyksiin laitteiden löytämisestä.

Mikä on perusetsintätila?

Tämän tilan avulla kaikki Microsoft Defender for Endpoint käyttöönotetut laitteet voivat kerätä verkkotietoja ja löytää naapurilaitteita. Perehdytetyt päätepisteet keräävät passiivisesti verkon tapahtumia ja poimivat niistä laitetietoja. Verkkoliikennettä ei aloiteta. Perehdytetyt päätepisteet poimivat tietoja jokaisesta verkkoliikenteestä, jonka perehdytyslaite voi nähdä. Näiden tietojen avulla luetellaan verkon hallitsemattomat laitteet.

Voinko poistaa perusetsinnän käytöstä?

Voit halutessasi poistaa laitteen etsinnän käytöstä Lisäominaisuudet-sivun kautta. Menetät kuitenkin näkyvyyden verkon hallitsemattomiin laitteisiin. Huomaa, että vaikka laitteiden etsintä olisi poistettu käytöstä, SenseNDR.exe ovat edelleen käynnissä perehdytetyissä laitteissa.

Mikä on Standard etsintätila?

Tässä tilassa Microsoft Defender for Endpoint käyttöön otetut päätepisteet voivat aktiivisesti tutkia havaittuja laitteita verkossa ja rikastaa kerättyjä tietoja (vähäisellä määrällä verkkoliikennettä). Vain laitteita, jotka on havaittu perusetsintätilassa, tutkitaan aktiivisesti vakiotilassa. Tätä tilaa suositellaan erittäin luotettavan ja johdonmukaisen laitevaraston luomiseen. Jos poistat tämän tilan käytöstä ja valitset Perusetsintä-tilan, saat todennäköisesti vain rajoitetun näkyvyyden verkon hallitsemattomiin päätepisteisiin.

Standard-tila hyödyntää myös yleisiä etsintäprotokollia, jotka käyttävät monilähetyskyselyitä verkossa löytääkseen vielä enemmän laitteita passiivisella menetelmällä havaittujen lisäksi.

Voinko hallita, mitkä laitteet suorittavat Standard resurssienetsintää?

Voit mukauttaa luettelon laitteista, joita käytetään Standard resurssienetsintään. Voit joko ottaa Standard etsinnän käyttöön kaikissa tätä ominaisuutta tukevissa laitteissa (tällä hetkellä Windows 10 tai uudemmissa ja Windows Server 2019- tai uudemmissa laitteissa) tai valita laitteidesi alijoukon tai alijoukot määrittämällä niiden laitetunnisteet. Tässä tapauksessa kaikki muut laitteet on määritetty suorittamaan vain perusetsintä. Määritys on käytettävissä laitteen etsintäasetusten sivulla.

Voinko sulkea hallitsemattomat laitteet pois laitteiden varastoluettelosta?

Kyllä, voit käyttää suodattimia jättääksesi hallitsemattomat laitteet pois laitteen varastoluettelosta. Voit myös käyttää API-kyselyiden perehdyttämisen tilasaraketta hallitsemattomien laitteiden suodattamiseen pois.

Mitkä käyttöönotetut laitteet voivat suorittaa etsinnän?

Laitteissa, joissa on käytössä seuraavat Windows-versiot, voidaan suorittaa laitteiden etsintä:

  • Windows 11
  • Windows 10, versio 1809 tai uudempi
  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019

Mitä tapahtuu, jos laitteideni on yhdistetty kotiverkkooni tai julkiseen yhteyspisteeseen?

Etsintämoduuli erottaa yritysverkossa vastaanotetut verkkotapahtumat yritysverkon ulkopuolisiin tapahtumiin verrattuna. Yhdistämällä verkkotunnukset kaikkien vuokraajan asiakkaisiin tapahtumat erotetaan yksityisistä verkoista ja yritysverkoista vastaanotettujen tapahtumien välillä. Jos esimerkiksi useimmat organisaation laitteet ilmoittavat olevansa yhteydessä samaan verkkonimeen ja joilla on sama oletusyhdyskäytävä ja DHCP-palvelimen osoite, voidaan olettaa, että tämä verkko on todennäköisesti yritysverkko. Yksityisiä verkkolaitteita ei luetella varastossa, eikä niitä tutkita aktiivisesti.

Mitä protokollia sieppaat ja analysoit?

Oletusarvoisesti kaikki Windows 10 versiossa 1809 tai sitä uudemmissa versioissa, Windows 11, Windows Server 2019, Windows Server 2022 tai Windows Server 2025 toimivat laitteet kaappaavat ja analysoivat seuraavia protokollia:

  • ARP
  • CDP
  • DHCP
  • DHCPv6
  • IP (otsikot)
  • LLDP
  • LL'MNR
  • mDNS
  • MNDP
  • MSSQL
  • NBNS
  • SSDP
  • TCP (SYN-otsikot)
  • UDP (otsikot)
  • WSD

Mitä protokollia käytät Standard etsinnän aktiiviseen tutkimiseen?

Kun laite on määritetty suorittamaan Standard resurssienetsintä, paljastettuja palveluita tutkitaan seuraavien protokollien avulla:

  • AFP
  • ARP
  • DHCP
  • FTP
  • HTTP
  • HTTPS
  • ICMP
  • IphoneSync
  • IPP
  • LDAP
  • LLMNR
  • mDNS
  • NBNS
  • NBSS
  • PJL
  • RDP
  • RPC
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SSH
  • Telnet
  • UPNP
  • VNC
  • WinRM
  • WSD

Lisäksi laitteiden etsintä saattaa myös skannata muita yleisesti käytettyjä portteja luokitustarkkuuden & kattavuuden parantamiseksi.

Miten voin sulkea pois kohteiden tutkimisen Standard etsinnällä?

Jos verkossasi on laitteita, joita ei tule aktiivisesti tutkia, voit myös määrittää poissulkemisten luettelon estääksesi niiden skannaamisen. Määritys on käytettävissä laitteen etsintäasetusten sivulla.

Huomautus

Laitteet saattavat silti vastata monilähetysten etsintäyrityksiin verkossa. Nämä laitteet löydetään, mutta niitä ei tutkita aktiivisesti.

Voinko sulkea pois laitteita löydettämästä niitä?

Koska laitteiden etsintä käyttää passiivisia menetelmiä löytääkseen laitteita verkosta, kaikki laitteet, jotka kommunikoivat yrityksen verkon laitteiden kanssa, voidaan löytää ja listata varastossa. Voit sulkea pois laitteita vain aktiivisesta hausta.

Kuinka usein aktiivinen tutkiminen on?

Laitteita tutkitaan aktiivisesti, kun laitteen ominaisuuksissa havaitaan muutoksia sen varmistamiseksi, että olemassa olevat tiedot ovat ajan tasalla (tyypillisesti laitteet, joita tutkitaan enintään kerran kolmen viikon aikana)

Suojaustyökaluni aiheutti hälytyksen UnicastScanner.ps1/PSScript_{GUID}.ps1 tai portin skannaustoiminnosta, jonka se aloitti. Mitä minun pitäisi tehdä?

Microsoft on allekirjoittanut aktiiviset tutkimiskomentosarjat, ja ne ovat turvassa. Voit lisätä poissulkemisluetteloon seuraavan polun:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Kuinka paljon liikennettä Standard etsintä aktiivinen luotain luo?

Aktiivinen tutkiminen voi luoda jopa 50 Kt liikennettä perehdytettyjen laitteiden ja tutkitun laitteen välillä, jokainen tutkimusyritys

Miksi laitevarastossa olevien "voidaan ottaa käyttöön" -laitteiden ja koontinäytön ruudussa olevien laitteiden määrän välillä on ero?

Saatat huomata eroja laitevarastossa kohdassa "voidaan ottaa käyttöön" olevien lueteltujen laitteiden määrän, "perehdyttämisestä Microsoft Defender for Endpoint" -suojaussuosituksen ja "laitteet mukaan otettavaksi" -koontinäytön pienoissovelluksen välillä.

Suojaussuositus ja koontinäytön pienoissovellus on tarkoitettu laitteille, joiden tila on vakaa verkossa. lukuun ottamatta lyhytaikaisia laitteita, vieraslaitteita ja muita. Ajatuksena on suositella pysyvissä laitteissa, jotka viittaavat myös organisaation yleisiin suojauspisteisiin.

Voinko käyttää löydettyjä hallitsemattomia laitteita?

Kyllä. Voit käyttää hallitsemattomia laitteita manuaalisesti. Verkon hallitsemattomat päätepisteet aiheuttavat verkon heikkouksia ja riskejä. Niiden käyttöönotto palveluun voi lisätä niiden suojausnäköä.

Olen huomannut, että hallitsematon laitteen kuntotila on aina "aktiivinen". Mistä tämä johtuu?

Tilapäisesti hallitsematon laitteen kuntotila on "aktiivinen" laitevaraston vakiosäilytysjakson aikana riippumatta niiden todellisesta tilasta.

Näyttääkö tavallinen etsintä haitalliselta verkkotoiminnalta?

Kun harkitset Standard resurssienetsintää, saatat ihmetellä tutkimisen vaikutuksia ja erityisesti sitä, saattavatko suojaustyökalut epäillä tällaista toimintaa haitallisiksi. Seuraavassa osiossa selitetään, miksi organisaatioiden ei pitäisi lähes kaikissa tapauksissa olla huolissaan Standard resurssienetsinnän käyttöönotosta.

Tutkiminen jaetaan verkon kaikkiin Windows-laitteisiin

Toisin kuin haitallinen toiminta, joka yleensä skannaisi koko verkon muutamasta vaarantuneesta laitteesta, Microsoft Defender for Endpoint Standard resurssienetsintä aloitetaan kaikista perehdytetyistä Windows-laitteista, mikä tekee toiminnosta hyvänlaatuisen ja poikkeavan. Tutkimista hallitaan keskitetysti pilvipalvelusta, jotta voidaan tasapainottaa valvontayritys kaikkien tuettujen verkon laitteiden välillä.

Aktiivinen tutkiminen aiheuttaa huomattavan määrän ylimääräistä liikennettä

Hallitsemattomia laitteita tutkitaan yleensä enintään kerran kolmen viikon aikana ja ne tuottavat alle 50 KT liikennettä. Haitallinen toiminta sisältää yleensä suuria toistuvia tutkimisyrityksiä ja joissain tapauksissa tietojen suodatustietoja, jotka tuottavat huomattavan määrän verkkoliikennettä ja jotka verkon valvontatyökalut voivat tunnistaa poikkeamiksi.

Windows-laitteesi suorittaa jo aktiivista etsintää

Aktiiviset etsintätoiminnot on aina upotettu Windows-käyttöjärjestelmään läheisten laitteiden, päätepisteiden ja tulostimien löytämiseksi, mikä helpottaa plug and play -käyttökokemusta ja tiedostojen jakamista verkon päätepisteiden välillä. Samanlaisia toimintoja otetaan käyttöön mobiililaitteissa, verkkolaitteissa ja varastosovelluksissa vain muutamia mainitaksemme.

Standard resurssienetsintä käyttää samoja etsintämenetelmiä laitteiden tunnistamiseen ja kaikkien verkkosi laitteiden yhtenäiseen näkyvyyteen Microsoft Defender XDR Laitevarastossa. Esimerkiksi – Standard resurssienetsintä tunnistaa lähellä olevat verkon päätepisteet samalla tavalla kuin Windows luettelee käytettävissä olevat tulostimet verkossa.

Verkon suojaus- ja valvontatyökalut eivät ole sama asia kuin verkon laitteiden suorittamat toimet.

Vain hallitsemattomia laitteita tutkitaan

Laitteiden etsintäominaisuudet on luotu vain verkon hallitsemattomien laitteiden löytämiseksi ja tunnistamiseksi. Tämä tarkoittaa sitä, että aiemmin löydettyjä laitteita, jotka ovat jo perehdytetty Microsoft Defender for Endpoint, ei tutkita.

Voit sulkea pois verkon vieheet aktiivisesta hausta

Standard resurssienetsintä tukee laitteiden tai alueiden (aliverkkojen) sulkemista aktiivisesta tutkimisesta. Jos verkkoviehet on otettu käyttöön, voit määrittää laiteetsintä-asetusten avulla poissulkemisia IP-osoitteiden tai aliverkkojen (IP-osoitteiden alue) perusteella. Näiden poissulkemisten määrittäminen varmistaa, että näitä laitteita ei tutkita aktiivisesti eikä niistä ilmoiteta. Nämä laitteet havaitaan vain passiivisilla menetelmillä (perusetsintätilan tapaan).

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.