Compartilhar via


Perguntas mais frequentes sobre a deteção de dispositivos

Aplica-se a:

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Encontre respostas às perguntas mais frequentes (FAQ) sobre a deteção de dispositivos.

O que é o modo de deteção Básico?

Este modo permite que todos os Microsoft Defender para Ponto de Extremidade dispositivo integrado recolham dados de rede e descubram dispositivos vizinhos. Os pontos finais integrados recolhem passivamente eventos na rede e extraem informações do dispositivo dos mesmos. Nenhum tráfego de rede é iniciado. Os pontos finais integrados extraem dados de cada tráfego de rede que é visto por um dispositivo integrado. Estes dados são utilizados para listar dispositivos não geridos na sua rede.

Posso desativar a deteção Básica?

Tem a opção de desativar a deteção de dispositivos através da página Funcionalidades avançadas . No entanto, perderá visibilidade em dispositivos não geridos na sua rede. Tenha em atenção que, mesmo que a deteção de dispositivos esteja desativada, SenseNDR.exe continuarão a ser executadas nos dispositivos integrados.

O que é Standard modo de deteção?

Neste modo, os pontos finais integrados no Microsoft Defender para Ponto de Extremidade podem sondar ativamente os dispositivos observados na rede para enriquecer os dados recolhidos (com uma quantidade insignificante de tráfego de rede). Apenas os dispositivos que foram observados pelo modo de deteção básico são ativamente sondados no modo padrão. Este modo é altamente recomendado para criar um inventário de dispositivos fiável e coerente. Se optar por desativar este modo e selecionar Modo de deteção básico, provavelmente apenas obterá visibilidade limitada dos pontos finais não geridos na sua rede.

Standard modo também tira partido de protocolos de deteção comuns que utilizam consultas multicast na rede para encontrar ainda mais dispositivos, além dos que foram observados com o método passivo.

Posso controlar que dispositivos executam Standard deteção?

Pode personalizar a lista de dispositivos utilizados para executar Standard deteção. Pode ativar Standard deteção em todos os dispositivos integrados que também suportam esta capacidade (atualmente Windows 10 ou posterior e apenas no Windows Server 2019 ou dispositivos posteriores) ou selecionar um subconjunto ou subconjunto dos seus dispositivos ao especificar as respetivas etiquetas de dispositivo. Neste caso, todos os outros dispositivos estão configurados para executar apenas a deteção Básica. A configuração está disponível na página de definições de deteção de dispositivos.

Posso excluir dispositivos não geridos da lista de inventário de dispositivos?

Sim, pode aplicar filtros para excluir dispositivos não geridos da lista de inventário de dispositivos. Você também pode usar a coluna de status de integração nas consultas de API para filtrar dispositivos não gerenciados.

Que dispositivos integrados podem realizar a deteção?

Os dispositivos integrados com Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 podem realizar a deteção.

O que acontece se os meus dispositivos integrados estiverem ligados à minha rede doméstica ou ao ponto de acesso público?

O mecanismo de detecção distingue os eventos de rede recebidos na rede corporativa dos recebidos fora da rede corporativa. Ao correlacionar os identificadores de rede em todos os clientes do inquilino, os eventos são diferenciados entre os que foram recebidos de redes privadas e redes empresariais. Por exemplo, se a maioria dos dispositivos na organização comunicar que estão ligados ao mesmo nome de rede, com o mesmo gateway predefinido e endereço de servidor DHCP, pode presumir-se que esta rede é provavelmente uma rede empresarial. Os dispositivos de rede privada não serão listados no inventário e não serão sondados ativamente.

Que protocolos está a capturar e a analisar?

Por predefinição, todos os dispositivos integrados com Windows 10 versão 1809 ou posterior, Windows 11, Windows Server 2019 ou Windows Server 2022 estão a capturar e analisar os seguintes protocolos:

  • ARP
  • CDP
  • DHCP
  • DHCPv6
  • IP (cabeçalhos)
  • LLDP
  • LLMNR
  • mDNS
  • MNDP
  • MSSQL
  • NBNS
  • SSDP
  • TCP (cabeçalhos SYN)
  • UDP (cabeçalhos)
  • WSD

Que protocolos utiliza para a pesquisa ativa no Standard deteção?

Quando um dispositivo é configurado para executar Standard deteção, os serviços expostos são sondados através dos seguintes protocolos:

  • AFP
  • ARP
  • DHCP
  • FTP
  • HTTP
  • HTTPS
  • ICMP
  • IphoneSync
  • IPP
  • LDAP
  • LLMNR
  • mDNS
  • NBNS
  • NBSS
  • PJL
  • RDP
  • RPC
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SSH
  • Telnet
  • UPNP
  • VNC
  • WinRM
  • WSD

Além disso, a deteção de dispositivos também pode analisar outras portas frequentemente utilizadas para melhorar a precisão da classificação & cobertura.

Como posso excluir os destinos de serem sondados com Standard deteção?

Se existirem dispositivos na sua rede, que não devem ser sondados ativamente, também pode definir uma lista de exclusões para impedir que sejam analisados. A configuração está disponível na página de definições de deteção de dispositivos.

Observação

Os dispositivos ainda podem responder a tentativas de deteção multicast na rede. Esses dispositivos serão detetados, mas não serão sondados ativamente.

Posso excluir dispositivos de serem detetados?

À medida que a deteção de dispositivos utiliza métodos passivos para detetar dispositivos na rede, qualquer dispositivo que comunique com os seus dispositivos integrados na rede empresarial pode ser detetado e listado no inventário. Só pode excluir dispositivos da pesquisa ativa.

Qual é a frequência da pesquisa ativa?

Os dispositivos serão ativamente sondados quando forem observadas alterações nas características do dispositivo para garantir que as informações existentes estão atualizadas (normalmente, os dispositivos sondados não mais do que uma vez num período de três semanas)

A minha ferramenta de segurança emitiu um alerta sobre UnicastScanner.ps1/PSScript_{GUID}.ps1 ou atividade de análise de portas iniciada pela mesma. O que devo fazer?

Os scripts de pesquisa ativos são assinados pela Microsoft e são seguros. Pode adicionar o seguinte caminho à sua lista de exclusão:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Qual é a quantidade de tráfego que está a ser gerado pela sonda ativa de deteção Standard?

A pesquisa ativa pode gerar até 50 Kb de tráfego entre o dispositivo integrado e o dispositivo sondado, a cada tentativa de pesquisa

Por que motivo existe uma discrepância entre os dispositivos "podem ser integrados" no inventário de dispositivos e o número de "dispositivos a integrar" no mosaico dashboard?

Poderá notar diferenças entre o número de dispositivos listados em "pode ser integrado" no inventário de dispositivos, recomendação de segurança "integrar no Microsoft Defender para Ponto de Extremidade" e "dispositivos a integrar" dashboard widget.

A recomendação de segurança e o widget dashboard destinam-se a dispositivos estáveis na rede, excluindo dispositivos efémeros, dispositivos convidados e outros. A ideia é recomendar em dispositivos persistentes que também implicam a classificação de segurança geral da organização.

Posso integrar dispositivos não geridos que foram encontrados?

Sim. Pode integrar dispositivos não geridos manualmente. Os pontos finais não geridos na sua rede introduzem vulnerabilidades e riscos na sua rede. Integrá-los no serviço pode aumentar a visibilidade de segurança nos mesmos.

Reparei que o estado de funcionamento do dispositivo não gerido é sempre "Ativo". A que se deve isso?

Temporariamente, o estado de funcionamento do dispositivo não gerido é "Ativo" durante o período de retenção padrão do inventário do dispositivo, independentemente do seu estado real.

A deteção padrão parece uma atividade de rede maliciosa?

Ao considerar Standard deteção, pode estar a questionar-se sobre as implicações da pesquisa e, especificamente, se as ferramentas de segurança podem suspeitar de tais atividades como maliciosas. A subsecção seguinte explica por que motivo, em quase todos os casos, as organizações não devem ter qualquer preocupação em permitir Standard deteção.

A pesquisa é distribuída por todos os dispositivos Windows na rede

Ao contrário da atividade maliciosa, que normalmente analisaria toda a rede a partir de alguns dispositivos comprometidos, Microsoft Defender para Ponto de Extremidade Standard pesquisa de deteção é iniciada a partir de todos os dispositivos Windows integrados, tornando a atividade benigna e não anómalo. A pesquisa é gerida centralmente a partir da cloud para equilibrar a tentativa de pesquisa entre todos os dispositivos integrados suportados na rede.

A pesquisa ativa gera uma quantidade insignificante de tráfego extra

Normalmente, os dispositivos não geridos não são sondados mais do que uma vez num período de três semanas e geram menos de 50 KB de tráfego. Normalmente, a atividade maliciosa inclui tentativas de pesquisa repetitivas elevadas e, em alguns casos, a exfiltração de dados que gera uma quantidade significativa de tráfego de rede que pode ser identificada como uma anomalia pelas ferramentas de monitorização de rede.

O seu dispositivo Windows já executa a deteção ativa

As capacidades de deteção ativa foram sempre incorporadas no sistema operativo Windows, para localizar dispositivos, pontos finais e impressoras próximos, para experiências de "plug-and-play" mais fáceis e partilha de ficheiros entre pontos finais na rede. A funcionalidade semelhante é implementada em dispositivos móveis, equipamentos de rede e aplicações de inventário apenas para citar alguns.

Standard deteção utiliza os mesmos métodos de deteção para identificar dispositivos e ter uma visibilidade unificada para todos os dispositivos na sua rede na Microsoft Defender XDR Inventário de Dispositivos. Por exemplo, Standard deteção identifica pontos finais próximos na rede da mesma forma que o Windows lista impressoras disponíveis na rede.

As ferramentas de segurança e monitorização de rede são indiferentes a tais atividades realizadas pelos dispositivos na rede.

Apenas os dispositivos não geridos estão a ser sondados

As capacidades de deteção de dispositivos foram criadas apenas para detetar e identificar dispositivos não geridos na sua rede. Isto significa que os dispositivos detetados anteriormente que já estão integrados com Microsoft Defender para Ponto de Extremidade não serão sondados.

Pode excluir iscos de rede da pesquisa ativa

Standard deteção suporta a exclusão de dispositivos ou intervalos (sub-redes) da pesquisa ativa. Se tiver atrações de rede implementadas, pode utilizar as definições de Deteção de Dispositivos para definir exclusões com base em endereços IP ou sub-redes (um intervalo de endereços IP). Definir essas exclusões garante que esses dispositivos não serão ativamente sondados e não serão alertados. Esses dispositivos são detetados apenas através de métodos passivos (semelhantes ao modo de deteção Básico).

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.