Forum aux questions sur la découverte d’appareils
S’applique à :
- Microsoft Defender pour point de terminaison Plan 1
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender XDR
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Trouvez des réponses aux questions fréquemment posées (FAQ) sur la découverte d’appareils.
Qu’est-ce que le mode de découverte de base ?
Ce mode permet à chaque Microsoft Defender pour point de terminaison appareil intégré de collecter des données réseau et de découvrir les appareils voisins. Les points de terminaison intégrés collectent passivement les événements dans le réseau et en extraient les informations sur les appareils. Aucun trafic réseau n’est lancé. Les points de terminaison intégrés extraient des données de chaque trafic réseau vu par un appareil intégré. Ces données sont utilisées pour répertorier les appareils non gérés dans votre réseau.
Puis-je désactiver la découverte de base ?
Vous avez la possibilité de désactiver la découverte des appareils via la page Fonctionnalités avancées . Toutefois, vous perdrez la visibilité sur les appareils non gérés de votre réseau. Notez que même si la découverte d’appareils est désactivée, SenseNDR.exe sera toujours en cours d’exécution sur les appareils intégrés.
Qu’est-ce que Standard mode de découverte ?
Dans ce mode, les points de terminaison intégrés à Microsoft Defender pour point de terminaison peuvent activement sonder les appareils observés dans le réseau pour enrichir les données collectées (avec une quantité négligeable de trafic réseau). Seuls les appareils qui ont été observés par le mode de découverte de base sont activement sondés en mode standard. Ce mode est fortement recommandé pour créer un inventaire d’appareils fiable et cohérent. Si vous choisissez de désactiver ce mode et sélectionnez Mode de découverte de base, vous obtiendrez probablement une visibilité limitée des points de terminaison non managés dans votre réseau.
Standard mode tire également parti des protocoles de découverte courants qui utilisent des requêtes de multidiffusion dans le réseau pour trouver encore plus d’appareils, en plus de ceux qui ont été observés à l’aide de la méthode passive.
Puis-je contrôler quels appareils effectuent Standard découverte ?
Vous pouvez personnaliser la liste des appareils utilisés pour effectuer Standard découverte. Vous pouvez activer Standard découverte sur tous les appareils intégrés qui prennent également en charge cette fonctionnalité (actuellement Windows 10 ou version ultérieure et windows Server 2019 ou version ultérieure uniquement) ou sélectionner un sous-ensemble ou des sous-ensembles de vos appareils en spécifiant leurs étiquettes d’appareil. Dans ce cas, tous les autres appareils sont configurés pour exécuter la découverte de base uniquement. La configuration est disponible dans la page des paramètres de découverte d’appareil.
Puis-je exclure des appareils non gérés de la liste d’inventaire des appareils ?
Oui, vous pouvez appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.
Quels appareils intégrés peuvent effectuer la découverte ?
Les appareils intégrés s’exécutant sur Windows 10 version 1809 ou ultérieure, Windows 11, Windows Server 2019 ou Windows Server 2022 peuvent effectuer la découverte.
Que se passe-t-il si mes appareils intégrés sont connectés à mon réseau domestique ou à un point d’accès public ?
Le moteur de détection fait la distinction entre les événements réseau reçus dans le réseau d’entreprise et en dehors du réseau d’entreprise. En corrélatant les identificateurs réseau entre tous les clients du locataire, les événements sont différenciés entre ceux qui ont été reçus à partir de réseaux privés et de réseaux d’entreprise. Par exemple, si la plupart des appareils du organization signalent qu’ils sont connectés au même nom de réseau, avec la même passerelle par défaut et la même adresse de serveur DHCP, on peut supposer que ce réseau est probablement un réseau d’entreprise. Les appareils réseau privés ne seront pas répertoriés dans l’inventaire et ne seront pas activement sondés.
Quels protocoles capturez-vous et analysez-vous ?
Par défaut, tous les appareils intégrés s’exécutant sur Windows 10 version 1809 ou ultérieure, Windows 11, Windows Server 2019 ou Windows Server 2022 capturent et analysent les protocoles suivants :
- ARP
- CDP
- DHCP
- DHCPv6
- IP (en-têtes)
- LLDP
- LLMNR
- mDNS
- MNDP
- MSSQL
- NBNS
- SSDP
- TCP (en-têtes SYN)
- UDP (en-têtes)
- WSD
Quels protocoles utilisez-vous pour la détection active dans Standard découverte ?
Lorsqu’un appareil est configuré pour exécuter Standard détection, les services exposés sont sondés à l’aide des protocoles suivants :
- AFP
- ARP
- DHCP
- FTP
- HTTP
- HTTPS
- ICMP
- IphoneSync
- IPP
- LDAP
- LLMNR
- mDNS
- NBNS
- NBSS
- PJL
- RDP
- RPC
- SIP
- SLP
- SMB
- SMTP
- SNMP
- SSH
- Telnet
- UPNP
- VNC
- WinRM
- WSD
En outre, la découverte d’appareils peut également analyser d’autres ports couramment utilisés pour améliorer la précision de la classification & couverture.
Comment puis-je exclure des cibles d’être sondées avec Standard découverte ?
S’il existe des appareils sur votre réseau, qui ne doivent pas être activement sondés, vous pouvez également définir une liste d’exclusions pour les empêcher d’être analysés. La configuration est disponible dans la page des paramètres de découverte d’appareil.
Remarque
Les appareils peuvent toujours répondre aux tentatives de découverte de multidiffusion dans le réseau. Ces appareils seront découverts, mais ne seront pas activement sondés.
Puis-je exclure la découverte d’appareils ?
Comme la découverte d’appareils utilise des méthodes passives pour découvrir les appareils du réseau, tout appareil qui communique avec vos appareils intégrés dans le réseau d’entreprise peut être découvert et répertorié dans l’inventaire. Vous pouvez exclure les appareils de la détection active uniquement.
Quelle est la fréquence du sondage actif ?
Les appareils sont activement sondés lorsque des modifications des caractéristiques des appareils sont observées pour s’assurer que les informations existantes sont à jour (en règle générale, les appareils ne sont pas interrogés plus d’une fois sur une période de trois semaines).
Mon outil de sécurité a déclenché une alerte sur UnicastScanner.ps1/PSScript_{GUID}.ps1 ou l’activité d’analyse des ports lancée par celui-ci. Que dois-je faire ?
Les scripts de détection actifs sont signés par Microsoft et sont sécurisés. Vous pouvez ajouter le chemin d’accès suivant à votre liste d’exclusion :
C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Quelle est la quantité de trafic générée par la sonde active de découverte Standard ?
La détection active peut générer jusqu’à 50 Ko de trafic entre l’appareil intégré et l’appareil sondé, chaque tentative de détection
Pourquoi existe-t-il une différence entre les appareils « peuvent être intégrés » dans l’inventaire des appareils et le nombre d'« appareils à intégrer » dans la vignette du tableau de bord ?
Vous remarquerez peut-être des différences entre le nombre d’appareils répertoriés sous « Peuvent être intégrés » dans l’inventaire des appareils, la recommandation de sécurité « Intégrer à Microsoft Defender pour point de terminaison » et le widget de tableau de bord « Appareils à intégrer ».
La recommandation de sécurité et le widget de tableau de bord s’adressent aux appareils qui sont stables dans le réseau ; à l’exclusion des appareils éphémères, des appareils invités et autres. L’idée est de recommander sur les appareils persistants qui impliquent également sur le score de sécurité global du organization.
Puis-je intégrer des appareils non managés qui ont été trouvés ?
Oui. Vous pouvez intégrer manuellement des appareils non gérés. Les points de terminaison non managés dans votre réseau introduisent des vulnérabilités et des risques pour votre réseau. Leur intégration au service peut augmenter la visibilité de la sécurité sur ces derniers.
J’ai remarqué que l’état d’intégrité de l’appareil non managé est toujours « Actif ». Pourquoi ?
Temporairement, l’état d’intégrité de l’appareil non managé est « Actif » pendant la période de rétention standard de l’inventaire des appareils, quel que soit leur état réel.
La découverte standard ressemble-t-elle à une activité réseau malveillante ?
Lorsque vous envisagez de découvrir Standard, vous vous demandez peut-être quelles sont les implications de la détection, et en particulier si les outils de sécurité peuvent soupçonner une telle activité comme malveillante. La sous-section suivante explique pourquoi, dans presque tous les cas, les organisations ne doivent avoir aucune préoccupation quant à l’activation de Standard découverte.
Le sondage est distribué sur tous les appareils Windows sur le réseau
Contrairement aux activités malveillantes, qui analysent généralement l’ensemble du réseau à partir de quelques appareils compromis, la détection de Standard de Microsoft Defender pour point de terminaison est lancée à partir de tous les appareils Windows intégrés, ce qui rend l’activité bénigne et non anormale. La détection est gérée de manière centralisée à partir du cloud pour équilibrer la tentative de détection entre tous les appareils intégrés pris en charge dans le réseau.
La détection active génère une quantité négligeable de trafic supplémentaire
Les appareils non gérés ne sont généralement pas sondés au plus une fois sur une période de trois semaines et génèrent moins de 50 Ko de trafic. Les activités malveillantes incluent généralement des tentatives de détection répétitives élevées et, dans certains cas, une exfiltration de données qui génère une quantité importante de trafic réseau qui peut être identifiée comme une anomalie par les outils de surveillance réseau.
Votre appareil Windows exécute déjà la découverte active
Les fonctionnalités de découverte active ont toujours été incorporées dans le système d’exploitation Windows pour rechercher des appareils, des points de terminaison et des imprimantes à proximité, pour faciliter les expériences « plug-and-play » et le partage de fichiers entre les points de terminaison du réseau. Des fonctionnalités similaires sont implémentées dans les appareils mobiles, l’équipement réseau et les applications d’inventaire, pour n’en nommer que quelques-uns.
Standard découverte utilise les mêmes méthodes de découverte pour identifier les appareils et pour avoir une visibilité unifiée pour tous les appareils de votre réseau dans le Microsoft Defender XDR Inventaire des appareils. Par exemple , Standard détection identifie les points de terminaison à proximité dans le réseau de la même façon que Windows répertorie les imprimantes disponibles dans le réseau.
Les outils de surveillance et de sécurité réseau sont indifférents à ces activités effectuées par les appareils sur le réseau.
Seuls les appareils non gérés sont sondés
Les fonctionnalités de découverte d’appareils ont été conçues pour détecter et identifier uniquement les appareils non gérés sur votre réseau. Cela signifie que les appareils précédemment découverts qui sont déjà intégrés à Microsoft Defender pour point de terminaison ne seront pas sondés.
Vous pouvez exclure les leurres réseau de la détection active
Standard détection prend en charge l’exclusion des appareils ou des plages (sous-réseaux) de la détection active. Si vous avez déployé des leurres réseau, vous pouvez utiliser les paramètres de découverte d’appareils pour définir des exclusions en fonction des adresses IP ou des sous-réseaux (une plage d’adresses IP). La définition de ces exclusions garantit que ces appareils ne seront pas activement sondés et ne seront pas alertés. Ces appareils sont découverts à l’aide de méthodes passives uniquement (similaires au mode de découverte de base).
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.