Управление обнаружением устройств и оценкой уязвимостей

  • 9 мин

Для защиты вашей среды необходимо провести инвентаризацию устройств, которые находятся в вашей сети. Однако сопоставление устройств в сети часто может быть дорогостоящим, сложным и отнимать много времени.

Microsoft Defender для конечной точки предоставляет функцию обнаружения устройств, которая помогает организации находить неуправляемые устройства, подключенные к корпоративной сети. Она выполняет этот процесс обнаружения без необходимости в дополнительных устройствах или трудоемких изменениях процессов. Функция обнаружения устройств собирает и проверяет подключенные конечные точки и сканирует сеть на наличие неуправляемых устройств. Функция обнаружения устройств позволяет организациям обнаруживать:

  • Корпоративные конечные точки (рабочие станции, серверы и мобильные устройства), которые Microsoft Defender для конечной точки еще не подключены.
  • сетевые устройства, такие как маршрутизаторы и коммутаторы;
  • устройства Интернета вещей, такие как принтеры и камеры.

Неизвестные и неуправляемые устройства могут представлять значительный риск для сети. Это может быть, например, неисправленный принтер, сетевые устройства с ненадежными конфигурациями безопасности или сервер без средств управления безопасностью.

Когда служба обнаружения устройств Microsoft Defender для конечной точки обнаруживает устройства, организация может:

  • подключить неуправляемые конечные точки к службе, что увеличивает видимость их безопасности;
  • сократить направления атак путем выявления и оценки уязвимостей, а также обнаружения пробелов в конфигурации.

Дополнительный просмотр. Перейдите по следующей ссылке, чтобы посмотреть короткое видео об основах обнаружения устройств.

Рекомендации по безопасности для подключения устройств к Microsoft Defender для конечной точки также доступны в модуле Управление уязвимостями.

Методы обнаружения

Организация может выбрать режим обнаружения, который должны использовать подключенные устройства. Этот режим управляет уровнем видимости, который можно получить для неуправляемых устройств в корпоративной сети.

Доступны два режима обнаружения:

  • Базовое обнаружение. В этом режиме конечные точки пассивно собирают события в сети и извлекают из них сведения об устройстве. При базовом обнаружении используется двоичный файл SenseNDR.exe для пассивного сбора сетевых данных. Этот режим не инициирует сетевой трафик. Конечные точки просто извлекают данные из сетевого трафика, который видит подключенное устройство. При базовом обнаружении вы получаете только ограниченную видимость неуправляемых конечных точек в сети.
  • Стандартное обнаружение (рекомендуется) Этот режим позволяет конечным точкам активно находить устройства в сети для расширения собранных данных и обнаружения большего числа устройств. Этот процесс помогает организациям проводить надежную и последовательную инвентаризацию устройств. Помимо устройств, использующих пассивный метод, в стандартном режиме также применяются распространенные протоколы обнаружения, использующие многоадресные запросы в сети. Этот процесс находит еще больше устройств. Стандартный режим использует интеллектуальное активное зондирование для получения дополнительных сведений о наблюдаемых устройствах. Когда организация включает режим Standard, ее средства мониторинга сети могут наблюдать за минимальной и незначительной сетевой активностью, созданной датчиком обнаружения.

Стандартное обнаружение — это режим по умолчанию для всех клиентов начиная с июля 2021 г. Эту конфигурацию можно изменить на базовую на странице Параметры. Если выбрать базовый режим, вы получите только ограниченную видимость неуправляемых конечных точек в сети.

Организации могут изменять и настраивать параметры обнаружения. Дополнительные сведения см. в разделе Настройка обнаружения устройств.

Подсистема обнаружения различает сетевые события, полученные в корпоративной сети, и события за пределами корпоративной сети. Служба обнаружения устройств Microsoft Defender для конечной точки не может обнаружить устройства или перечислить их в списке устройств, если устройства не подключаются к корпоративным сетям.

Инвентаризация устройств

В Центре администрирования Microsoft Intune перечислены устройства в инвентаризации устройств. Это происходит, даже если служба обнаружения устройств Microsoft Defender для конечной точки обнаружила устройства, но Microsoft Defender для конечной точки еще предстоит подключить и защитить их.

Для оценки этих устройств можно использовать фильтр в перечне устройств под названием Состояние подключения. Этот фильтр может иметь одно из следующих значений.

  • Подключено. Microsoft Defender для конечной точки подключение конечной точки.
  • Может быть подключено. Microsoft Defender для конечной точки обнаружена конечная точка в сети. Она определила операционную систему как операционную систему, поддерживаемую Microsoft Defender для конечной точки. Однако Microsoft Defender для конечной точки еще предстоит подключить устройство. Корпорация Майкрософт рекомендует организациям как можно скорее подключить эти устройства.
  • Не поддерживается. Microsoft Defender для конечной точки обнаружена конечная точка в сети, но она не поддерживает конечную точку.
  • Недостаточно информации. Системе не удалось определить поддерживаемость устройства. Включение стандартного обнаружения на большем числе устройств в сети может привести к увеличению числа обнаруживаемых атрибутов.

Вы всегда можете применить фильтры, чтобы исключить неуправляемые устройства из перечня устройств. Чтобы отфильтровать неугодные устройства, также можно использовать столбец состояния подключения в запросах API.

Дополнительные сведения. Дополнительные сведения см. в разделе Инвентаризация устройств.

Обнаружение устройств в сети

Большое количество неуправляемых сетевых устройств, развернутых в организации, создает множество возможных направлений атак. Это также представляет значительный риск для всего предприятия. возможности обнаружения сети Microsoft Defender для конечной точки помогают организациям:

  • Обнаружение сетевых устройств.
  • Точно классифицируйте свои устройства.
  • Добавьте свои устройства в инвентаризацию активов.

Microsoft Defender для конечной точки не управляет сетевыми устройствами как стандартными конечными точками. Почему? У Microsoft Defender для конечной точки нет датчиков, встроенных в сами сетевые устройства. Вместо этого устройства такого типа требуют подхода без агентов, при котором необходимая информация с устройств получается путем удаленного сканирования. Для сбора этих сведений каждый сегмент сети использует назначенное Microsoft Defender для конечной точки устройство для периодического проверки подлинности предварительно настроенных сетевых устройств. Функция управления уязвимостями Microsoft Defender для конечной точки предоставляет интегрированные рабочие процессы для защиты следующих обнаруженных сведений:

  • Параметры
  • Маршрутизаторы
  • WLAN-контроллеры
  • Брандмауэры
  • VPN-шлюзы

Дополнительные сведения. Дополнительные сведения см. в разделе Сетевые устройства.

Интеграции обнаружения устройств

Microsoft Defender для конечной точки решает задачу получения для организаций достаточной видимости, чтобы можно было находить, идентифицировать и защищать все их ресурсы операционной технологии и Интернета вещей. Это делается путем поддержки следующих интеграций:

  • Corelight. Корпорация Майкрософт сотрудничает с Corelight для получения данных от сетевых устройств Corelight. Такая конструкция обеспечивает Microsoft Defender XDR с улучшенным представлением о сетевых действиях неуправляемых устройств. Такая видимость охватывает коммуникацию с другими неуправляемыми устройствами или внешними сетями. Дополнительные сведения см. в разделе "Включение интеграции данных Corelight".
  • Microsoft Defender для Интернета вещей. Эта интеграция объединяет функции обнаружения устройств в Microsoft Defender для конечной точки с функциями безагентного мониторинга Microsoft Defender для Интернета вещей. Она обеспечивает безопасность корпоративных устройств Интернета вещей, подключенных к ИТ-сети. К таким устройствам относятся, например, компьютерная телефония, принтеры и смарт-телевизоры. Дополнительные сведения см. в разделе Включение интеграции Microsoft Defender для конечной точки.

Настройка обнаружения устройств

Как отмечалось ранее, организации могут настроить обнаружение устройств в двух режимах — стандартном или базовом. Организациям следует использовать стандартный режим для активного поиска устройств в своих сетях. Этот параметр гарантирует обнаружение конечных точек и обеспечивает более обширную классификацию устройств.

Организация может настроить список устройств, используемых для стандартного обнаружения. Он может:

  • Включите стандартное обнаружение на всех подключенных устройствах, которые также поддерживают эту возможность (в настоящее время — Windows 10 или более поздней версии и только Windows Server устройствах 2019 или более поздних версий).
  • Выберите подмножество или подмножества устройств, указав их теги устройств.

Чтобы настроить обнаружение устройств, выполните указанные ниже действия.

  1. Перейдите на портал Microsoft Defender.

  2. В области навигации на портале Microsoft Defender выберите Параметры, а затем — Обнаружение устройств.

  3. Если вы хотите настроить базовый режим обнаружения для использования на подключенных устройствах, выберите Базовый, а затем нажмите кнопку Сохранить.

  4. Если вы выбрали параметр для использования Standard обнаружения, выберите один из следующих параметров, чтобы определить, какие устройства следует использовать для активного зондирования:

    • Все устройства
    • Подмножество устройств путем указания тегов устройств

  5. Выберите Сохранить.

Примечание.

При стандартном обнаружении используются различные сценарии PowerShell для активного зондирования устройств в сети. Эти скрипты PowerShell подписаны корпорацией Майкрософт, и система выполняет их из следующего расположения:

C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\\*.ps.

Например, C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\UnicastScannerV1.1.0.ps1.

Исключение устройств из активного сканирования при стандартном обнаружении

В некоторых организациях есть устройства в сети, которые служба обнаружения устройств Microsoft Defender для конечной точки не должна активно сканировать. Например, устройства, используемые в качестве медпосов для другого средства безопасности. В таких случаях организация может определить список исключений, чтобы предотвратить сканирование этих устройств. Настроить устройства для исключения можно на странице "Исключения".

Примечание.

Служба обнаружения устройств Microsoft Defender для конечной точки по-прежнему может использовать базовый режим обнаружения для обнаружения устройств. Он также может обнаруживать устройства с помощью попыток многоадресной рассылки. Служба обнаружения устройств пассивно обнаруживает эти устройства, но не выполняет их активную проверку.

Выбор сетей для отслеживания

Анализируя сеть, Microsoft Defender для конечной точки определяет, является ли сеть:

  • Корпоративная сеть, которую она должна отслеживать.
  • Некорпорационная сеть, которую она может игнорировать.

Чтобы определить сеть как корпоративную, Microsoft Defender для конечной точки коррелирует сетевые идентификаторы во всех клиентах клиентской организации. Предполагается, что сеть является корпоративной сетью, если большинство устройств в организации подключаются к одной и той же сети:

  • Имя сети
  • Шлюз по умолчанию
  • Адрес DHCP-сервера

Организации обычно выбирают мониторинг своих корпоративных сетей. Однако это решение можно переопределить, выбрав мониторинг некорпоратных сетей, содержащих подключенные устройства.

Организация может настроить, где выполнять обнаружение устройств. Это делается путем указания отслеживаемых сетей. Microsoft Defender для конечной точки может выполнять обнаружение устройств в отслеживаемой сети.

На странице Отслеживаемые сети отображается список сетей, в которых Microsoft Defender для конечной точки могут выполнять обнаружение устройств. В списке показаны сети, определенные как корпоративные сети. Если существует более 50 сетей, определенных как корпоративные сети, в списке отображается до 50 сетей с наиболее подключенными устройствами.

На странице Отслеживаемые сети список отслеживаемых сетей сортируется по общему количеству устройств, обнаруженных в сети за последние семь дней.

Фильтр можно применить для просмотра любого из следующих состояний обнаружения сети:

  • Отслеживаемые сети. Сети, в которых Microsoft Defender для конечной точки выполняет обнаружение устройств.
  • Игнорируемые сети. Microsoft Defender для конечной точки игнорирует эту сеть и не выполняет обнаружение устройств в ней.
  • Все. Microsoft Defender для конечной точки отображаются как отслеживаемые, так и игнорируемые сети.

Настройка состояния сетевого монитора

Организации могут управлять местом обнаружения устройств. Отслеживаемые сети — это место, где Microsoft Defender для конечной точки выполняет обнаружение устройств. Такими сетями обычно являются корпоративные сети. Также можно игнорировать сети или выбрать начальную классификацию обнаружения после изменения состояния.

  • Выбор начальной классификации обнаружения означает применение состояния системного сетевого монитора по умолчанию.

  • Выбор состояния сетевого монитора по умолчанию для системы означает, что обнаружение устройств:

    • Отслеживает сети, определенные как корпоративные.
    • Игнорирует сети, определенные как некорпоратные.

Чтобы настроить состояние сетевого монитора, выполните следующие действия:

  1. Перейдите на портал Microsoft Defender.

  2. В области навигации на портале Microsoft Defender выберите Параметры, а затем — Обнаружение устройств.

  3. На странице Обнаружение устройств выберите Отслеживаемые сети.

  4. Просмотрите список сетей. Выберите значок многоточия (три точки) рядом с именем сети, которую необходимо отслеживать.

  5. Выберите, следует ли отслеживать, игнорировать или использовать начальную классификацию обнаружения. Помните следующие особенности:

    • При выборе мониторинга сети, которая Microsoft Defender для конечной точки не является корпоративной сетью, может привести к обнаружению устройств за пределами вашей корпоративной сети. Таким образом, он может обнаруживать домашние или другие некорпоратные устройства.
    • Если игнорировать сеть, мониторинг и обнаружение устройств в этой сети прекращается. Microsoft Defender для конечной точки не удаляет обнаруженные устройства из инвентаризации. Однако они больше не могут обновляться, и система сохраняет сведения до истечения срока хранения данных Microsoft Defender для конечной точки.
    • Прежде чем выбирать мониторинг некорпорационных сетей, необходимо убедиться, что у вас есть разрешение на это.

  6. Подтвердите, что вы хотите внести изменения.

Обзор устройств в сети

С помощью следующего запроса на расширенную охоту (Kusto) можно получить дополнительный контекст для каждого сетевого имени, описанного в списке сетей. В запросе перечислены все подключенные устройства, подключенные к определенной сети за последние семь дней.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Получение информации по устройству

С помощью следующего запроса на расширенную охоту (Kusto) можно получить последние полные сведения по определенному устройству.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Оценка уязвимости на обнаруженных устройствах

Уязвимости и риски на ваших устройствах, а также других обнаруженных неуправляемых устройствах в сети являются частью текущих потоков управления угрозами и уязвимостями в разделе Рекомендации по безопасности. Страницы сущностей на портале представляют эти уязвимости и риски.

Например, поищите рекомендации по безопасности, связанные с SSH (SSH означает Secure Shell — широко используемый протокол для безопасного взаимодействия в ненадежной сети). Поиск предназначен для поиска уязвимостей SSH, связанных с неуправляемых и управляемых устройств.

Использование расширенной охоты на обнаруженных устройствах

Организации могут использовать запросы расширенной охоты для получения видимости обнаруженных устройств. Сведения об обнаруженных устройствах можно найти в таблице DeviceInfo, а сетевую информацию об этих устройствах — в таблице DeviceNetworkInfo.

Запустите в таблице DeviceInfo следующий запрос, который возвращает все обнаруженные устройства. В результатах также отображаются последние сведения для каждого устройства.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Вызвав функцию SeenBy в расширенном запросе охоты, вы можете получить сведения о том, какое подключенное устройство увидело обнаруженное устройство. Эти сведения могут помочь определить расположение каждого обнаруженного устройства в сети. Это, в свою очередь, помогает идентифицировать его в сети.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

Обнаружение устройств использует Microsoft Defender для конечной точки подключенных устройств в качестве источника сетевых данных для атрибута действий с незарегионированных устройств. Сетевой датчик на подключенных устройствах Microsoft Defender для конечной точки определяет два новых типа подключения:

  • ConnectionAttempt. Попытка установить TCP-подключение.
  • ConnectionAcknowledged. Подтверждение того, что сеть приняла TCP-подключение.

Когда устройство без подключения пытается связаться с подключенным Microsoft Defender для конечной точки устройством, попытка будет выполнять следующие действия:

  • Создайте DeviceNetworkEvent.
  • Отображение действий устройств без подключения на подключенном устройстве временная шкала и в таблице Advanced Hunting DeviceNetworkEvents.

Попробуйте запустить этот пример запроса:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10