Często zadawane pytania dotyczące odnajdywania urządzeń
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Znajdź odpowiedzi na często zadawane pytania dotyczące odnajdywania urządzeń.
Co to jest tryb odnajdywania podstawowego?
Ten tryb umożliwia każdemu Ochrona punktu końcowego w usłudze Microsoft Defender dołączonemu urządzeniu zbieranie danych sieciowych i odnajdywanie sąsiednich urządzeń. Dołączone punkty końcowe pasywnie zbierają zdarzenia w sieci i wyodrębniają z nich informacje o urządzeniu. Nie jest inicjowany żaden ruch sieciowy. Dołączone punkty końcowe wyodrębniają dane z każdego ruchu sieciowego, który jest widoczny dla dołączonego urządzenia. Te dane służą do wyświetlania listy niezarządzanych urządzeń w sieci.
Czy mogę wyłączyć odnajdywanie podstawowe?
Możesz wyłączyć odnajdywanie urządzeń za pośrednictwem strony Funkcje zaawansowane . Utracisz jednak widoczność na urządzeniach niezarządzanych w sieci. Należy pamiętać, że nawet jeśli odnajdywanie urządzeń jest wyłączone, SenseNDR.exe nadal będzie działać na dołączonych urządzeniach.
Co to jest tryb odnajdywania w warstwie Standardowa?
W tym trybie punkty końcowe dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender mogą aktywnie sondować obserwowane urządzenia w sieci, aby wzbogacić zebrane dane (z nieznaczną ilością ruchu sieciowego). Tylko urządzenia obserwowane przez podstawowy tryb odnajdywania są aktywnie badane w trybie standardowym. Ten tryb jest zdecydowanie zalecany do tworzenia niezawodnego i spójnego spisu urządzeń. Jeśli zdecydujesz się wyłączyć ten tryb i wybierzesz opcję Podstawowy tryb odnajdywania, prawdopodobnie uzyskasz tylko ograniczoną widoczność niezarządzanych punktów końcowych w sieci.
Tryb standardowy wykorzystuje również typowe protokoły odnajdywania korzystające z zapytań multiemisji w sieci w celu znalezienia jeszcze większej liczby urządzeń, oprócz tych, które zaobserwowano przy użyciu metody pasywnej.
Czy mogę kontrolować, które urządzenia wykonują odnajdywanie w warstwie Standardowa?
Listę urządzeń używanych do odnajdywania w warstwie Standardowa można dostosować. Możesz włączyć odnajdywanie w warstwie Standardowa na wszystkich dołączonych urządzeniach, które również obsługują tę funkcję (obecnie Windows 10 lub nowszą i tylko urządzenia z systemem Windows Server 2019 lub nowszym) albo wybrać podzbiór lub podzestaw urządzeń, określając tagi urządzeń. W takim przypadku wszystkie inne urządzenia są skonfigurowane do uruchamiania tylko odnajdywania podstawowego. Konfiguracja jest dostępna na stronie ustawień odnajdywania urządzeń.
Czy można wykluczyć urządzenia niezarządzane z listy spisu urządzeń?
Tak, można zastosować filtry, aby wykluczyć urządzenia niezarządzane z listy spisu urządzeń. Możesz również użyć kolumny stanu dołączania w zapytaniach interfejsu API, aby odfiltrować urządzenia niezarządzane.
Które urządzenia dołączone mogą przeprowadzać odnajdywanie?
Odnajdywanie mogą przeprowadzić dołączane urządzenia z systemem Windows 10 wersji 1809 lub nowszej, Windows 11, Windows Server 2019 lub Windows Server 2022.
Co się stanie, jeśli moje dołączone urządzenia są połączone z siecią domową lub publicznym punktem dostępu?
Aparat odnajdywania rozróżnia zdarzenia sieciowe odbierane w sieci firmowej i poza siecią firmową. Dzięki korelacji identyfikatorów sieci we wszystkich klientach dzierżawy zdarzenia są rozróżniane między tymi, które zostały odebrane z sieci prywatnych i firmowych. Jeśli na przykład większość urządzeń w organizacji zgłasza, że są połączone z tą samą nazwą sieci, z tą samą bramą domyślną i adresem serwera DHCP, można założyć, że ta sieć jest prawdopodobnie siecią firmową. Urządzenia sieci prywatnej nie zostaną wymienione w spisie i nie będą aktywnie sondowane.
Jakie protokoły są przechwytywane i analizowane?
Domyślnie wszystkie dołączone urządzenia działające w Windows 10 wersji 1809 lub nowszej, Windows 11, Windows Server 2019 lub Windows Server 2022 przechwytują i analizują następujące protokoły:
- ARP
- CDP
- DHCP
- DHCPv6
- Adres IP (nagłówki)
- LLDP
- LLMNR
- mDNS
- Protokół MNDP
- MSSQL
- NBNS
- SSDP
- TCP (nagłówki SYN)
- UDP (nagłówki)
- WSD
Których protokołów używasz do aktywnego sondowania w odnajdywaniem w warstwie Standardowa?
Gdy urządzenie jest skonfigurowane do uruchamiania odnajdywania w warstwie Standardowa, uwidocznione usługi są sondowane przy użyciu następujących protokołów:
- AFP
- ARP
- DHCP
- FTP
- HTTP
- HTTPS
- ICMP
- IphoneSync
- IPP
- LDAP
- LLMNR
- mDNS
- NBNS
- NBSS
- PJL
- RDP
- RPC
- SIP
- SLP
- SMB
- SMTP
- SNMP
- SSH
- Telnet
- UPNP
- VNC
- WinRM
- WSD
Ponadto odnajdywanie urządzeń może również skanować inne często używane porty w celu zwiększenia dokładności klasyfikacji & pokrycia.
Jak wykluczyć obiekty docelowe z sondowania przy użyciu odnajdywania standardowego?
Jeśli w sieci znajdują się urządzenia, których nie należy aktywnie badać, możesz również zdefiniować listę wykluczeń, aby zapobiec ich skanowaniu. Konfiguracja jest dostępna na stronie ustawień odnajdywania urządzeń.
Uwaga
Urządzenia mogą nadal odpowiadać na próby odnajdywania multiemisji w sieci. Te urządzenia zostaną odnalezione, ale nie będą aktywnie badane.
Czy można wykluczyć urządzenia z odnajdywania?
Ponieważ odnajdywanie urządzeń używa metod pasywnych do odnajdywania urządzeń w sieci, wszystkie urządzenia komunikujące się z dołączonymi urządzeniami w sieci firmowej można odnaleźć i wyświetlić w spisie. Urządzenia można wykluczyć tylko z aktywnego sondowania.
Jak częste jest aktywne sondowanie?
Urządzenia będą aktywnie sondowane, gdy zostaną zaobserwowane zmiany w charakterystykach urządzeń, aby upewnić się, że istniejące informacje są aktualne (zazwyczaj urządzenia sondowane nie częściej niż raz w okresie trzech tygodni)
Moje narzędzie zabezpieczeń zgłosiło alert dotyczący UnicastScanner.ps1/PSScript_{GUID}.ps1 lub zainicjowanego przez niego działania skanowania portów. Co mam zrobić?
Aktywne skrypty sondowania są podpisane przez firmę Microsoft i są bezpieczne. Do listy wykluczeń możesz dodać następującą ścieżkę:
C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1
Jaka jest ilość ruchu generowanego przez aktywną sondę odnajdywania w warstwie Standardowa?
Aktywne sondowanie może wygenerować do 50 KB ruchu między dołączonym urządzeniem a sondowanym urządzeniem, przy każdej próbie sondowania
Dlaczego występuje rozbieżność między urządzeniami "można dołączyć" do spisu urządzeń i liczbą "urządzeń do dołączenia" na kafelku pulpitu nawigacyjnego?
W spisie urządzeń można zauważyć różnice między liczbą wymienionych urządzeń w obszarze "można dołączyć" do spisu urządzeń, rekomendacją dotyczącą zabezpieczeń "dołączanie do Ochrona punktu końcowego w usłudze Microsoft Defender" a widżetem pulpitu nawigacyjnego "urządzenia do dołączenia".
Zalecenia dotyczące zabezpieczeń i widżet pulpitu nawigacyjnego są przeznaczone dla urządzeń, które są stabilne w sieci; z wyłączeniem urządzeń efemeryczne, urządzeń gościa i innych. Chodzi o to, aby zalecić na urządzeniach trwałych, które również sugerują ogólny wynik bezpieczeństwa organizacji.
Czy mogę dołączyć odnalezione niezarządzane urządzenia?
Tak. Urządzenia niezarządzane można dołączyć ręcznie. Niezarządzane punkty końcowe w sieci wprowadzają luki w zabezpieczeniach i zagrożenia dla sieci. Dołączenie ich do usługi może zwiększyć widoczność zabezpieczeń.
Zauważyłem, że stan kondycji urządzenia niezarządzanego jest zawsze "Aktywny". Dlaczego tak jest?
Tymczasowo stan kondycji urządzenia niezarządzanego to "Aktywny" w standardowym okresie przechowywania spisu urządzeń, niezależnie od ich rzeczywistego stanu.
Czy odnajdywanie standardowe wygląda jak złośliwa aktywność sieciowa?
Rozważając odnajdywanie w warstwie Standardowa, możesz się zastanawiać nad konsekwencjami sondowania, a w szczególności o tym, czy narzędzia zabezpieczeń mogą podejrzewać taką aktywność jako złośliwą. W poniższej podsekcji wyjaśniono, dlaczego w prawie wszystkich przypadkach organizacje nie powinny mieć żadnych obaw dotyczących włączania odnajdywania w warstwie Standardowa.
Sondowanie jest dystrybuowane na wszystkich urządzeniach z systemem Windows w sieci
W przeciwieństwie do złośliwych działań, które zazwyczaj skanują całą sieć z kilku urządzeń, których zabezpieczenia zostały naruszone, sondowanie odnajdywania standardowego Ochrona punktu końcowego w usłudze Microsoft Defender jest inicjowane ze wszystkich dołączonych urządzeń z systemem Windows, co sprawia, że działanie jest łagodne i nietypowe. Sondowanie jest centralnie zarządzane z chmury w celu zrównoważenia próby sondowania między wszystkimi obsługiwanymi urządzeniami dołączonymi w sieci.
Aktywne sondowanie generuje znikomą ilość dodatkowego ruchu
Urządzenia niezarządzane zwykle są sondowane nie częściej niż raz w ciągu trzech tygodni i generują mniej niż 50 KB ruchu. Złośliwe działanie zwykle obejmuje często powtarzające się próby sondowania, a w niektórych przypadkach eksfiltrację danych, która generuje znaczną ilość ruchu sieciowego, który można zidentyfikować jako anomalię za pomocą narzędzi do monitorowania sieci.
Na urządzeniu z systemem Windows jest już uruchomione aktywne odnajdywanie
Funkcje aktywnego odnajdywania zawsze były osadzone w systemie operacyjnym Windows, aby znaleźć pobliskie urządzenia, punkty końcowe i drukarki, aby ułatwić środowisko "plug and play" i udostępnianie plików między punktami końcowymi w sieci. Podobne funkcje są implementowane w urządzeniach przenośnych, sprzęcie sieciowym i aplikacjach spisu tylko po to, aby wymienić tylko kilka.
Odnajdywanie standardowe używa tych samych metod odnajdywania do identyfikowania urządzeń i zapewniania ujednoliconej widoczności dla wszystkich urządzeń w sieci w spisie urządzeń Microsoft Defender XDR. Na przykład — odnajdywanie standardowe identyfikuje pobliskie punkty końcowe w sieci w taki sam sposób, w jaki system Windows wyświetla listę dostępnych drukarek w sieci.
Narzędzia do zabezpieczeń sieci i monitorowania są obojętne na takie działania wykonywane przez urządzenia w sieci.
Sondowane są tylko urządzenia niezarządzane
Możliwości odnajdywania urządzeń zostały skompilowane w celu odnajdywania i identyfikowania urządzeń niezarządzanych w sieci. Oznacza to, że wcześniej odnalezione urządzenia, które są już dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender, nie będą sondowane.
Możesz wykluczyć przynęty sieciowe z aktywnego sondowania
Odnajdywanie standardowe obsługuje wykluczanie urządzeń lub zakresów (podsieci) z aktywnego sondowania. Jeśli masz wdrożone przynęty sieciowe, możesz użyć ustawień odnajdywania urządzeń, aby zdefiniować wykluczenia na podstawie adresów IP lub podsieci (zakres adresów IP). Zdefiniowanie tych wykluczeń gwarantuje, że te urządzenia nie będą aktywnie sondowane i nie będą otrzymywać alertów. Te urządzenia są odnajdywane tylko przy użyciu metod pasywnych (podobnie jak w trybie odnajdywania podstawowego).
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.