Gérer la détection d’appareils et l’évaluation des vulnérabilités

Effectué

La protection de votre environnement nécessite de faire l’inventaire des appareils de votre réseau. Toutefois, le mappage des appareils d’un réseau peut souvent être coûteux, difficile et fastidieux.

Microsoft Defender pour point de terminaison fournit une fonctionnalité de détection d’appareils qui permet à une organisation de trouver des appareils non gérés connectés à son réseau d’entreprise. Ce processus de détection est effectué sans avoir besoin d’appareils supplémentaires ou de modifications de traitement fastidieuses. La détection d’appareils utilise des points de terminaison intégrés pour collecter, sonder et analyser le réseau afin de détecter les appareils non gérés. La fonctionnalité de détection d’appareils permet aux organisations de détecter :

  • Les points de terminaison d’entreprise (stations de travail, serveurs et appareils mobiles) qui Microsoft Defender pour point de terminaison n’ont pas encore été intégrés.
  • Les périphériques réseau tels que les routeurs et les commutateurs.
  • Les appareils IoT tels que les imprimantes et les caméras.

Les appareils inconnus et non gérés présentent des risques significatifs pour un réseau. Peu importe s’il s’agit d’une imprimante non corrigée, de périphériques réseau avec des configurations de sécurité faibles ou d’un serveur sans contrôle de sécurité.

Une fois que le service de découverte d’appareils Microsoft Defender pour point de terminaison a découvert des appareils, un organization peut :

  • Intégrer des points de terminaison non gérés au service, ce qui augmente la visibilité de la sécurité sur ces derniers.
  • Réduire la surface d’attaque en identifiant et en évaluant les vulnérabilités, et en détectant les lacunes de configuration.

Affichage supplémentaire. Sélectionnez le lien suivant pour regarder une courte vidéo qui présente la détection d’appareils.

Une recommandation de sécurité pour intégrer des appareils à Microsoft Defender pour point de terminaison est également disponible dans le cadre du module Gestion des vulnérabilités.

Méthodes de détection

Un organization peut choisir le mode de découverte que ses appareils intégrés doivent utiliser. Le mode contrôle le degré de visibilité que vous pouvez avoir pour les appareils non gérés dans votre réseau d’entreprise.

Deux modes de détection sont disponibles :

  • Détection de base. Dans ce mode, les points de terminaison collectent passivement les événements dans un réseau et en extraient des informations sur les appareils. La détection de base utilise le fichier binaire SenseNDR.exe pour la collecte de données réseau passive. Ce mode ne lance pas le trafic réseau. Les points de terminaison extraient simplement les données du trafic réseau qu’un appareil intégré voit. Avec la découverte de base, vous bénéficiez uniquement d’une visibilité limitée des points de terminaison non managés dans votre réseau.
  • Mode de détection standard (recommandé). Ce mode permet aux points de terminaison de trouver activement des appareils dans un réseau pour enrichir les données collectées et de détecter davantage d’appareils. Ce processus aide les organisations à établir un inventaire fiable et cohérent des appareils. En plus des appareils qui utilisent la méthode passive, le mode standard applique également les protocoles de découverte courants qui utilisent des requêtes de multidiffusion dans le réseau. Ce processus permet de trouver encore plus d’appareils. Le mode standard a recours à une détection active et intelligente pour découvrir davantage d’informations sur les appareils observés en vue de compléter les informations existantes sur ceux-ci. Lorsqu’un organization active le mode Standard, ses outils de surveillance réseau peuvent observer une activité réseau minimale et négligeable générée par le capteur de découverte.

La détection standard est le mode par défaut pour tous les clients à compter de juillet 2021. Vous pouvez choisir la configuration de base sur la page Paramètres. Si vous choisissez le mode de base, vous bénéficiez uniquement d’une visibilité limitée des points de terminaison non managés dans votre réseau.

Les organisations peuvent modifier et personnaliser leurs paramètres de détection. Pour plus d’informations, consultez Configurer la détection d’appareils.

Le moteur de découverte fait la distinction entre les événements réseau reçus dans le réseau d’entreprise et en dehors du réseau d’entreprise. Le service de découverte d’appareils Microsoft Defender pour point de terminaison ne peut pas découvrir les appareils ou les répertorier dans l’inventaire des appareils si les appareils ne se connectent pas aux réseaux d’entreprise.

Inventaire des appareils

Le centre d’administration Microsoft Intune répertorie les appareils dans l’inventaire des appareils. Il le fait même si le service de découverte d’appareils Microsoft Defender pour point de terminaison a découvert les appareils, mais Microsoft Defender pour point de terminaison n’a pas encore les intégrer et les sécuriser.

Pour évaluer ces appareils, vous pouvez utiliser un filtre dans la liste d’inventaire des appareils appelé État de l’intégration. Ce filtre peut avoir l’une des valeurs suivantes :

  • Intégré. Microsoft Defender pour point de terminaison intègre le point de terminaison.
  • Peut être intégré. Microsoft Defender pour point de terminaison découvert le point de terminaison dans le réseau. Il a identifié le système d’exploitation comme étant pris en charge par Microsoft Defender pour point de terminaison. Toutefois, Microsoft Defender pour point de terminaison n’a pas encore intégré l’appareil. Microsoft recommande aux organisations d’intégrer ces appareils dès que possible.
  • Non pris en charge. Microsoft Defender pour point de terminaison découvert le point de terminaison dans le réseau, mais il ne le prend pas en charge.
  • Informations insuffisantes. Le système n’a pas pu déterminer la prise en charge de l’appareil. L’activation du mode de détection standard sur davantage d’appareils du réseau peut enrichir les attributs détectés.

Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.

Lecture supplémentaire. Pour plus d’informations, consultez Inventaire des appareils.

Détection de périphériques réseau

Le grand nombre de périphériques réseau non gérés déployés dans une organisation crée une grande surface d’attaque. Ils représentent également un risque significatif pour l’ensemble de l’entreprise. La fonctionnalité de découverte de réseau de Microsoft Defender pour point de terminaison aide les organisations à :

  • Découvrez leurs appareils réseau.
  • Classifiez leurs appareils avec précision.
  • Ajoutez leurs appareils à leur inventaire de ressources.

Microsoft Defender pour point de terminaison ne gère pas les appareils réseau en tant que points de terminaison standard. Pourquoi ? Parce que Microsoft Defender pour point de terminaison n’a pas de capteur intégré aux périphériques réseau eux-mêmes. Au lieu de cela, ces types d’appareils nécessitent une approche sans agent, où une analyse à distance obtient les informations nécessaires à partir des appareils. Pour collecter ces informations, chaque segment réseau utilise un appareil Microsoft Defender pour point de terminaison désigné pour effectuer des analyses authentifiées périodiques d’appareils réseau préconfigurés. la fonctionnalité gestion des vulnérabilités de Microsoft Defender pour point de terminaison fournit ensuite des flux de travail intégrés pour sécuriser les informations découvertes suivantes :

  • Commutateurs
  • Routeurs
  • contrôleurs WLAN
  • Pare-feu
  • passerelles VPN

Lecture supplémentaire. Pour plus d’informations, consultez Périphériques réseau.

Intégrations de la détection d’appareils

Microsoft Defender pour point de terminaison répond au défi d’obtenir une visibilité suffisante pour que les organisations puissent localiser, identifier et sécuriser leur inventaire complet de ressources OT/IoT. Pour ce faire, il prend en charge les intégrations suivantes :

  • Corelight. Microsoft s’est associé à Corelight pour recevoir des données à partir d’appliances réseau Corelight. Cette conception offre Microsoft Defender XDR une visibilité accrue sur les activités réseau des appareils non gérés. Cette visibilité inclut la communication avec d’autres appareils non gérés ou réseaux externes. Pour plus d’informations, consultez Activer l’intégration des données Corelight.
  • Microsoft Defender pour IoT. Cette intégration combine les fonctionnalités de détection d’appareils dans Microsoft Defender pour point de terminaison avec les fonctionnalités de surveillance sans agent de Microsoft Defender pour IoT. Cette intégration sécurise les appareils IoT d’entreprise connectés à un réseau informatique. Par exemple, le protocole voix sur IP (VoIP), les imprimantes et les téléviseurs intelligents. Pour plus d’informations, consultez Activer l’intégration Microsoft Defender pour IoT.

Configurer la découverte d’appareils

Comme indiqué précédemment, les organisations peuvent configurer la découverte d’appareils dans l’un des deux modes : standard ou de base. Les organisations doivent utiliser l’option standard pour rechercher activement des appareils dans leurs réseaux. Cette option garantit la découverte des points de terminaison et fournit une classification des appareils plus riche.

Un organization peut personnaliser la liste des appareils utilisés pour effectuer la découverte standard. Il peut :

  • Activez la découverte standard sur tous les appareils intégrés qui prennent également en charge cette fonctionnalité (actuellement, Windows 10 ou version ultérieure et Windows Server 2019 ou version ultérieure uniquement).
  • Sélectionnez un ou plusieurs sous-ensembles de vos appareils en spécifiant leurs étiquettes d’appareil.

Procédez comme suit pour configurer la détection d’appareils :

  1. Accédez au portail Microsoft Defender.

  2. Dans le volet de navigation du portail Microsoft Defender, sélectionnez Paramètres, puis Découverte d’appareils.

  3. Si vous souhaitez configurer De base comme mode de découverte à utiliser sur vos appareils intégrés, sélectionnez De base, puis Enregistrer.

  4. Si vous avez sélectionné l’option pour utiliser Standard découverte, sélectionnez l’une des options suivantes pour déterminer les appareils à utiliser pour la détection active :

    • Tous les appareils
    • Sous-ensemble d’appareils en spécifiant leurs étiquettes d’appareil
  5. Sélectionnez Enregistrer.

Remarque

Le mode de détection standard utilise différents scripts PowerShell pour détecter activement les appareils du réseau. Ces scripts PowerShell sont signés par Microsoft et le système les exécute à partir de l’emplacement suivant :

C :\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\\*.ps.

Par exemple, C :\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\UnicastScannerV1.1.0.ps1.

Exclure des appareils de l’analyse active dans la découverte standard

Certaines organisations disposent d’appareils sur leur réseau que le service de découverte d’appareils de Microsoft Defender pour point de terminaison ne doit pas analyser activement. Par exemple, les appareils utilisés comme pots de miel pour un autre outil de sécurité. Dans ce cas, un organization peut définir une liste d’exclusions pour empêcher l’analyse de ces appareils. Vous pouvez configurer les appareils à exclure sur la page Exclusions.

Remarque

Le service de découverte d’appareils de Microsoft Defender pour point de terminaison peut toujours utiliser le mode de découverte de base pour découvrir les appareils. Il peut également découvrir des appareils par le biais de tentatives de découverte de multidiffusion. Le service de découverte d’appareils découvre passivement ces appareils, mais il ne les sonde pas activement.

Sélectionner les réseaux à surveiller

Lorsque Microsoft Defender pour point de terminaison analyse un réseau, il détermine si celui-ci est :

  • Réseau d’entreprise qu’il doit surveiller.
  • Réseau non incorporé qu’il peut ignorer.

Pour identifier un réseau comme étant d’entreprise, Microsoft Defender pour point de terminaison met en corrélation les identificateurs réseau entre tous les clients du locataire. Il suppose que le réseau est un réseau d’entreprise si la plupart des appareils du organization se connectent au même :

  • Nom du réseau
  • Passerelle par défaut
  • Adresse du serveur DHCP

Les organisations choisissent généralement de surveiller leurs réseaux d’entreprise. Toutefois, vous pouvez ignorer cette décision en choisissant de surveiller les réseaux non professionnels contenant des appareils intégrés.

Un organization peut configurer où effectuer la découverte des appareils. Pour ce faire, elle spécifie les réseaux à surveiller. Microsoft Defender pour point de terminaison pouvez effectuer la découverte d’appareils sur un réseau surveillé.

La page Réseaux supervisés affiche la liste des réseaux où Microsoft Defender pour point de terminaison pouvez effectuer la découverte d’appareils. La liste affiche les réseaux identifiés en tant que réseaux d’entreprise. S’il existe plus de 50 réseaux identifiés en tant que réseaux d’entreprise, la liste affiche jusqu’à 50 réseaux avec les appareils les plus intégrés.

La page Réseaux supervisés trie la liste des réseaux surveillés en fonction du nombre total d’appareils vus sur le réseau au cours des sept derniers jours.

Vous pouvez appliquer un filtre pour afficher l’un des états de découverte de réseau suivants :

  • Réseaux surveillés. Réseaux où Microsoft Defender pour point de terminaison effectue la découverte d’appareils.
  • Réseaux ignorés. Microsoft Defender pour point de terminaison ignore ce réseau et n’effectue pas de découverte d’appareil sur celui-ci.
  • Tous. Microsoft Defender pour point de terminaison affiche les réseaux surveillés et ignorés.

Configurer l’état du moniteur réseau

Les organisations peuvent décider de l’endroit où la détection d’appareils a lieu. Les réseaux surveillés sont l’endroit où Microsoft Defender pour point de terminaison effectue la découverte des appareils. Il s’agit généralement de réseaux d’entreprise. Vous pouvez également choisir d’ignorer des réseaux ou de sélectionner la classification de détection initiale après avoir modifié un état.

  • Sélectionner la classification de détection initiale signifie appliquer l’état par défaut du moniteur réseau créé par le système.

  • La sélection de l’état par défaut du moniteur réseau créé par le système signifie que la découverte de l’appareil :

    • Surveille les réseaux identifiés comme d’entreprise.
    • Ignore les réseaux identifiés comme non constitués en société.

Procédez comme suit pour configurer l’état du moniteur réseau :

  1. Accédez au portail Microsoft Defender.

  2. Dans le volet de navigation du portail Microsoft Defender, sélectionnez Paramètres, puis Découverte d’appareils.

  3. Dans la page Découverte de l’appareil , sélectionnez Réseaux surveillés.

  4. Passez en revue la liste des réseaux. Sélectionnez l’icône de points de suspension à côté du nom du réseau que vous souhaitez surveiller.

  5. Indiquez si vous souhaitez surveiller, ignorer ou utiliser la classification de détection initiale. Gardez à l’esprit ce qui suit :

    • Choisir de surveiller un réseau que Microsoft Defender pour point de terminaison n’a pas identité comme réseau d’entreprise peut entraîner la découverte d’appareils en dehors de votre réseau d’entreprise. Par conséquent, il peut détecter les appareils domestiques ou autres appareils non professionnels.
    • Le fait de choisir d’ignorer un réseau arrête la surveillance et la découverte des appareils dans ce réseau. Microsoft Defender pour point de terminaison ne supprime pas les appareils découverts de l’inventaire. Toutefois, il ne peut plus les mettre à jour et le système conserve les détails jusqu’à l’expiration de la période de conservation des données du Microsoft Defender pour point de terminaison.
    • Avant de choisir de surveiller les réseaux non professionnels, vous devez vous assurer que vous êtes autorisé à le faire.
  6. Confirmez que vous souhaitez apporter cette modification.

Explorer les appareils du réseau

Vous pouvez utiliser la requête de repérage avancé (Kusto) suivante pour obtenir plus de contexte sur chaque nom de réseau décrit dans la liste des réseaux. La requête répertorie tous les appareils intégrés connectés à un certain réseau au cours des sept derniers jours.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Obtenir des informations sur un appareil

Vous pouvez utiliser la requête de repérage avancé (Kusto) suivante pour obtenir les dernières informations complètes sur un appareil spécifique.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Évaluation des vulnérabilités sur les appareils détectés

Les vulnérabilités et les risques sur vos appareils, ainsi que sur d’autres appareils non gérés découverts dans le réseau, font partie des flux actuels de gestion des menaces et des vulnérabilités sous « Recommandations de sécurité ». Les pages d’entité sur le portail représentent ces vulnérabilités et risques.

Par exemple, recherchez des recommandations de sécurité associées à « SSH » (SSH signifie Secure Shell, un protocole largement adopté pour les communications sécurisées sur un réseau non approuvé). L’objectif de la recherche est de rechercher les vulnérabilités SSH liées aux appareils non managés et gérés.

Utiliser le repérage avancé sur les appareils détectés

Les organisations peuvent utiliser des requêtes de repérage avancé pour avoir de la visibilité sur les appareils détectés. Recherchez des détails sur les appareils détectés dans la table DeviceInfo ou des informations réseau sur ces appareils dans la table DeviceNetworkInfo.

Exécutez la requête suivante sur la table DeviceInfo pour récupérer tous les appareils détectés. Les résultats affichent également les détails les plus récents pour chaque appareil.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

En appelant la fonction SeenBy dans votre requête de repérage avancée, vous pouvez obtenir des détails sur l’appareil intégré qui a vu un appareil découvert. Ces informations peuvent vous aider à déterminer l’emplacement réseau de chaque appareil détecté. Elles peuvent ensuite vous aider à l’identifier dans le réseau.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

La découverte d’appareils utilise Microsoft Defender pour point de terminaison appareils intégrés comme source de données réseau pour attribuer des activités à des appareils non intégrés. Le capteur réseau sur l’appareil intégré à Microsoft Defender pour point de terminaison identifie deux nouveaux types de connexion :

  • ConnectionAttempt. Une tentative d’établissement d’une connexion TCP.
  • ConnectionAcknowledged. Accusé de réception que le réseau a accepté une connexion TCP.

Lorsqu’un appareil non intégré tente de communiquer avec un appareil Microsoft Defender pour point de terminaison intégré, la tentative :

  • Générez un DeviceNetworkEvent.
  • Affichez les activités d’appareil non intégrées sur l’appareil intégré chronologie et via la table DeviceNetworkEvents de repérage avancé.

Vous pouvez essayer cet exemple de requête :

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10