设备发现常见问题

适用于:

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

查找有关设备发现的常见问题解答 (常见问题解答) 。

什么是基本发现模式?

此模式允许每个载入Microsoft Defender for Endpoint设备收集网络数据并发现相邻设备。 载入的终结点被动收集网络中的事件,并从中提取设备信息。 未启动网络流量。 载入终结点从载入设备看到的每个网络流量中提取数据。 此数据用于列出网络中的非托管设备。

是否可以禁用基本发现?

可以选择通过 “高级功能 ”页关闭设备发现。 但是,你将失去对网络中非托管设备的可见性。 请注意,即使设备发现已关闭,SenseNDR.exe 仍将在载入的设备上运行。

什么是Standard发现模式?

在此模式下,载入到Microsoft Defender for Endpoint的终结点可以主动探测网络中观察到的设备,以丰富收集的数据 (,) 网络流量可以忽略不计。 只有基本发现模式观察到的设备才会在标准模式下主动探测。 强烈建议使用此模式来构建可靠且一致的设备清单。 如果选择禁用此模式并选择“基本发现模式”,则可能只会获得网络中非托管终结点的有限可见性。

Standard模式还利用常见的发现协议,这些协议使用网络中的多播查询来查找更多设备,以及使用被动方法观察到的设备。

是否可以控制哪些设备执行Standard发现?

可以自定义用于执行Standard发现的设备列表。 可以在支持此功能的所有已载入设备上启用Standard发现, (当前Windows 10或更高版本,Windows Server 2019 或更高版本的设备仅) 或通过指定设备标记选择设备的子集或子集。 在这种情况下,所有其他设备都配置为仅运行基本发现。 设备发现设置页中提供了配置。

是否可以从设备清单列表中排除非托管设备?

是的,可以应用筛选器从设备清单列表中排除非托管设备。 还可以使用 API 查询上的载入状态列来筛选出不受管理设备。

哪些已载入的设备可以执行发现?

在Windows 10版本 1809 或更高版本、Windows 11、Windows Server 2019 或 Windows Server 2022 上运行的载入设备可以执行发现。

如果我加入的设备连接到我的家庭网络或公共接入点,会发生什么情况?

发现引擎会区分在公司网络中接收到的网络事件与在公司网络外部接收到的网络事件。 通过关联所有租户客户端中的网络标识符,可以区分从专用网络和企业网络接收的事件。 例如,如果组织中的大多数设备报告它们连接到同一网络名称,具有相同的默认网关和 DHCP 服务器地址,则可以假定此网络可能是公司网络。 专用网络设备不会在清单中列出,也不会主动探测。

你正在捕获和分析哪些协议?

默认情况下,在 Windows 10 版本 1809 或更高版本、Windows 11、Windows Server 2019 或 Windows Server 2022 上运行的所有载入设备都在捕获和分析以下协议:

  • ARP
  • CDP
  • DHCP
  • DHCPv6
  • IP (标头)
  • LLDP
  • LLMNR
  • mDNS
  • MNDP
  • MSSQL
  • NBNS
  • SSDP
  • TCP (SYN 标头)
  • UDP (标头)
  • WSD

在Standard发现中使用哪些协议进行主动探测?

当设备配置为运行Standard发现时,将使用以下协议来探测公开的服务:

  • 法新社
  • ARP
  • DHCP
  • FTP
  • HTTP
  • HTTPS
  • ICMP
  • IphoneSync
  • IPP
  • LDAP
  • LLMNR
  • mDNS
  • NBNS
  • NBSS
  • PJL
  • RDP
  • RPC
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SSH
  • Telnet
  • UPNP
  • VNC
  • WinRM
  • WSD

此外,设备发现还可以扫描其他常用端口,以提高分类准确性 & 覆盖范围。

如何使用Standard发现来排除探测目标?

如果网络上存在不应主动探测的设备,还可以定义排除项列表以防止扫描它们。 设备发现设置页中提供了配置。

注意

设备仍可能回复网络中的多播发现尝试。 这些设备将被发现,但不会主动探测。

是否可以排除设备被发现?

由于设备发现使用被动方法发现网络中的设备,因此可以在清单中发现并列出与公司网络中已载入设备通信的任何设备。 只能从活动探测中排除设备。

活动探测的频率如何?

当观察到设备特征的变化时,将主动探测设备,以确保现有信息是最新的 (通常,设备在三周内最多探测一次)

我的安全工具针对 UnicastScanner.ps1/PSScript_{GUID}.ps1 或端口扫描活动发出警报。 我该怎么办?

活动探测脚本由 Microsoft 签名,并且是安全的。 可以将以下路径添加到排除列表:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Standard发现活动探测生成的流量是多少?

活动探测可以在载入设备和探测的设备之间生成高达 50Kb 的流量,每次探测尝试

为什么设备清单中的“可以载入”设备与仪表板磁贴中的“要载入的设备”数量存在差异?

你可能会注意到设备清单中“可以载入”下列出的设备数、“载入到Microsoft Defender for Endpoint”安全建议和“要载入的设备”仪表板小组件之间的差异。

安全建议和仪表板小组件适用于网络中稳定的设备;不包括临时设备、来宾设备和其他设备。 其思路是在持久设备上推荐,这些设备也暗示了组织的整体安全分数。

是否可以载入找到的非托管设备?

是。 可以手动载入非托管设备。 网络中的非托管终结点会给网络带来漏洞和风险。 将他们加入服务可以提高其安全可见性。

我注意到非托管设备运行状况始终为“活动”。 为什么?

在设备清单的标准保留期内,非托管设备运行状况状态暂时为“活动”,无论其实际状态如何。

标准发现看起来像是恶意网络活动吗?

考虑Standard发现时,你可能想知道探测的影响,特别是安全工具是否会怀疑此类活动是恶意活动。 以下小节解释了为什么在几乎所有情况下,组织都不应担心启用Standard发现。

探测分布在网络上的所有 Windows 设备

与恶意活动(通常从少数受攻击的设备扫描整个网络)不同,Microsoft Defender for Endpoint的Standard发现探测是从所有已载入的 Windows 设备启动的,使活动是良性的且不异常的。 探测从云集中管理,以平衡网络中所有受支持的已载入设备之间的探测尝试。

主动探测产生的额外流量可以忽略不计

非托管设备通常不会在三周内被探测到一次,并生成小于 50KB 的流量。 恶意活动通常包括高重复性探测尝试,在某些情况下,数据外泄会生成大量网络流量,网络监视工具可将其识别为异常。

你的 Windows 设备已运行活动发现

主动发现功能始终嵌入到 Windows 操作系统中,用于查找附近的设备、终结点和打印机,以便更轻松地实现网络终结点之间的“即插即用”体验和文件共享。 类似的功能在移动设备、网络设备和库存应用程序中实现,仅举几例。

Standard发现使用相同的发现方法来标识设备,并在Microsoft Defender XDR设备清单中统一查看网络中的所有设备。 例如 - Standard发现标识网络中附近的终结点,与 Windows 列出网络中可用打印机的方式相同。

网络安全和监视工具对网络上的设备执行的此类活动漠不关注。

仅探测非托管设备

设备发现功能已构建为仅发现和标识网络上的非托管设备。 这意味着不会探测以前发现的已加入Microsoft Defender for Endpoint的设备。

可以从活动探测中排除网络 lures

Standard发现支持将设备或范围 (子网) 排除在活动探测之外。 如果已部署网络地址,则可以使用设备发现设置根据 IP 地址或子网定义排除项, (一系列 IP 地址) 。 定义这些排除项可确保不会主动探测这些设备,也不会收到警报。 这些设备仅使用被动方法发现 (类似于基本发现模式) 。

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区