管理设备发现和漏洞评估

  • 9 分钟

保护你的环境需要清点你网络中的设备。 然而,映射网络中的设备通常成本高昂、具有挑战性且耗时。

Microsoft Defender for Endpoint 提供了设备发现功能,可帮助组织查找连接到其公司网络的不受管理设备。 它无需额外的设备或繁琐的流程更改即可完成此发现过程。 设备发现使用载入的终结点来收集、探测和扫描网络以发现不受管理设备。 利用设备发现功能,组织能够发现:

  • Microsoft Defender for Endpoint尚未载入的企业终结点 (工作站、服务器和移动设备) 。
  • 路由器和交换机等网络设备。
  • 打印机和照相机等 IoT 设备。

未知设备和不受管理设备会给网络带来重大风险。 无论是未修补的打印机、安全配置较弱的网络设备,还是没有安全控制的服务器,都无关紧要。

Microsoft Defender for Endpoint设备发现服务发现设备后,组织可以:

  • 将不受管理终结点载入服务,从而提高其安全可见性。
  • 通过识别和评估漏洞以及检测配置差距来减少攻击面。

其他查看。 选择以下链接,观看介绍设备发现的简短视频。

漏洞管理模块中还提供了将设备载入Microsoft Defender for Endpoint的安全建议。

发现方法

组织可以选择其载入设备应使用的发现模式。 模式控制可为公司网络中的不受管理设备获取的可见性级别。

有两种可用的发现模式:

  • 基本发现。 在此模式下,终结点被动地收集网络中的事件,并从中提取设备信息。 基本发现使用 SenseNDR.exe 二进制文件进行被动网络数据收集。 此模式不会启动网络流量。 终结点只是从载入设备看到的网络流量中提取数据。 通过基本发现,只能获得网络中非托管终结点的有限可见性。
  • 标准发现(推荐)。 此模式使终结点能够主动查找网络中的设备,以丰富收集的数据并发现更多设备。 此过程可帮助组织构建可靠且一致的设备清单。 除了使用被动方法的设备外,标准模式还应用在网络中使用多播查询的常见发现协议。 此过程可查找更多设备。 标准模式使用智能、主动探测来发现有关所观察设备的更多信息,以丰富现有设备信息。 当组织启用Standard模式时,其网络监视工具可以观察到发现传感器生成的最小且微不足道的网络活动。

从 2021 年 7 月开始,标准发现是所有客户的默认模式。 可以选择通过“设置”页将此配置更改为基本配置。 如果选择基本模式,则只会获得网络中非托管终结点的有限可见性。

组织可以更改和自定义其发现设置。 有关详细信息,请参阅配置设备发现

发现引擎区分在公司网络中接收的网络事件与企业网络外部接收的网络事件。 如果设备未连接到公司网络,Microsoft Defender for Endpoint设备发现服务将无法发现设备或将其列出在设备清单中。

设备清单

Microsoft Intune管理中心列出了设备清单中的设备。 即使Microsoft Defender for Endpoint设备发现服务发现了设备,但Microsoft Defender for Endpoint尚未加入和保护设备,它也会这样做。

若要评估这些设备,可以在设备清单列表中使用名为“载入状态”的筛选器。 此筛选器可以具有以下任何值:

  • 已载入。 Microsoft Defender for Endpoint加入终结点。
  • 可以载入。 Microsoft Defender for Endpoint在网络中发现了终结点。 它将操作系统标识为Microsoft Defender for Endpoint支持的操作系统。 但是,Microsoft Defender for Endpoint尚未载入设备。 Microsoft建议组织尽快加入这些设备。
  • 不支持。 Microsoft Defender for Endpoint在网络中发现了终结点,但它不支持该终结点。
  • 信息不足。 系统无法确定设备的支持性。 在网络中的更多设备上启用标准发现可以丰富发现的属性。

始终可以应用筛选器来从设备清单列表中排除不受管理设备。 还可以使用 API 查询上的载入状态列来筛选出不受管理设备。

其他读取。 有关详细信息,请参阅设备清单

网络设备发现

如果组织中部署了大量不受管理设备,则会导致攻击面较大。 它们也给整个企业带来重大风险。 Microsoft Defender for Endpoint的网络发现功能可帮助组织:

  • 发现其网络设备。
  • 准确分类设备。
  • 将其设备添加到其资产清单。

Microsoft Defender for Endpoint不将网络设备作为标准终结点进行管理。 为什么? 因为 Microsoft Defender for Endpoint 在网络设备本身中没有内置传感器。 相反,这些类型的设备需要无代理方法,让远程扫描能从设备获取必要的信息。 为了收集此信息,每个网段使用指定的Microsoft Defender for Endpoint设备对预配置的网络设备执行定期身份验证扫描。 然后,Microsoft Defender for Endpoint的漏洞管理功能提供集成的工作流来保护以下发现的信息:

  • 交换机
  • 路由器
  • WLAN 控制器
  • 防火墙
  • VPN 网关

其他读取。 有关详细信息,请参阅网络设备

设备发现集成

Microsoft Defender for Endpoint 解决了获取足够的可见性以便组织能够查找、识别和保护其完整的 OT/IOT 资产清单这一难题。 它通过支持以下集成来实现:

  • Corelight。 Microsoft与 Corelight 合作从 Corelight 网络设备接收数据。 此设计为Microsoft Defender XDR提供了对非托管设备的网络活动的可见性。 此可见性包括与其他不受管理设备或外部网络的通信。 有关详细信息,请参阅“启用 Corelight 数据集成”。
  • 适用于 IoT 的 Microsoft Defender。 此集成将 Microsoft Defender for Endpoint 中的设备发现功能与 Microsoft Defender for IoT 的无代理监视功能相结合。 此集成可保护连接到 IT 网络的企业 IoT 设备。 例如,IP 电话 (VoIP)、打印机和智能电视。 有关详细信息,请参阅启用 Microsoft Defender for IoT 集成

配置设备发现

如前所述,组织可以在两种模式(标准模式或基本模式)中配置设备发现。 组织应使用标准选项在其网络中主动查找设备。 此选项可保证终结点的发现,并提供更丰富的设备分类。

组织可以自定义用于执行标准发现的设备列表。 它可以:

  • 在目前也支持此功能的所有已载入设备上启用标准发现 (- Windows 10 或更高版本,Windows Server 2019 或更高版本的设备仅) 。
  • 通过指定设备标记选择设备的子集。

请完成以下步骤来设置设备发现:

  1. 导航到Microsoft Defender门户。

  2. Microsoft Defender门户的导航窗格中,选择“设置”,然后选择“设备发现”。

  3. 如果要将 “基本” 配置为在载入的设备上使用的发现模式,请选择“ 基本”,然后选择“ 保存”。

  4. 如果选择了使用Standard发现的选项,请选择以下选项之一来确定要使用哪些设备进行主动探测:

    • 所有设备
    • 通过指定设备的设备标记的子集

  5. 选择“保存”

注意

标准发现使用各种 PowerShell 脚本来主动探测网络中的设备。 这些 PowerShell 脚本Microsoft签名,系统从以下位置执行它们:

C:\\ProgramData\\Microsoft\\Windows Defender 高级威胁防护\\下载\\\*.ps。

例如,C:\\ProgramData\\Microsoft\\Windows Defender 高级威胁 Protection\\Downloads\\UnicastScannerV1.1.0.ps1。

从标准发现中的活动扫描中排除设备

某些组织在其网络上有Microsoft Defender for Endpoint设备发现服务不应主动扫描的设备。 例如,用作另一个安全工具的蜜罐的设备。 在这些情况下,组织可以定义排除项列表,以防止扫描这些设备。 你可以在“排除项”页面中配置要排除的设备。

注意

Microsoft Defender for Endpoint的设备发现服务仍然可以使用基本发现模式来发现设备。 它还可以通过多播发现尝试发现设备。 设备发现服务被动地发现这些设备,但不主动探测它们。

选择要监视的网络

当 Microsoft Defender for Endpoint 分析网络时,它将确定网络是否为:

  • 它必须监视的公司网络。
  • 它可以忽略的非公司网络。

为了将网络标识为公司网络,Microsoft Defender for Endpoint 会将所有租户客户端的网络标识符关联起来。 如果组织中的大多数设备连接到同一个网络,则假定网络是企业网络:

  • 网络名称
  • 默认网关
  • DHCP 服务器地址

组织通常选择监视其公司网络。 但是,可以通过选择监视包含已载入设备的非公司网络来替代此决策。

组织可以配置执行设备发现的位置。 它通过指定要监视的网络来实现。 Microsoft Defender for Endpoint可以在受监视的网络上执行设备发现。

受监视的网络”页显示Microsoft Defender for Endpoint可以执行设备发现的网络列表。 该列表显示标识为公司网络的网络。 如果超过 50 个网络被标识为公司网络,则列表最多显示 50 个网络,其中载入的设备最多。

受监视的网络 ”页根据过去七天内在网络上看到的设备总数对受监视网络列表进行排序。

可以应用筛选器来查看以下任何网络发现状态:

  • 受监视的网络。 Microsoft Defender for Endpoint执行设备发现的网络。
  • 忽略的网络。 Microsoft Defender for Endpoint忽略此网络,并且不对其执行设备发现。
  • 全部。 Microsoft Defender for Endpoint同时显示受监视和忽略的网络。

配置网络监视器状态

组织可以控制执行设备发现的位置。 受监视的网络是Microsoft Defender for Endpoint执行设备发现的地方。 这些网络通常是公司网络。 你还可以选择忽略网络,或在修改状态后选择初始发现分类。

  • 选择初始发现分类意味着应用系统生成的默认网络监视器状态。

  • 选择默认的系统制造网络监视器状态意味着设备发现:

    • 监视标识为公司的网络。
    • 忽略标识为非公司的网络。

请完成以下步骤来配置网络监视器状态:

  1. 导航到Microsoft Defender门户。

  2. Microsoft Defender门户的导航窗格中,选择“设置”,然后选择“设备发现”。

  3. “设备发现 ”页上,选择“ 受监视的网络”。

  4. 查看网络列表。 选择要监视的网络名称旁边的省略号图标(三个点)。

  5. 选择是要监视、忽略还是使用初始发现分类。 请记住以下注意事项:

    • 选择监视Microsoft Defender for Endpoint未标识为公司网络的网络可能会导致设备在公司网络之外发现。 因此,它可能会检测家庭设备或其他非公司设备。
    • 选择忽略某个网络会停止监视和发现该网络中的设备。 Microsoft Defender for Endpoint不会从清单中删除已发现的设备。 但是,它不能再更新它们,并且系统会保留详细信息,直到Microsoft Defender for Endpoint的数据保留期到期。
    • 在选择监视非公司网络之前,必须确保你有权执行此操作。

  6. 确认要进行更改。

探索网络中的设备

可以使用以下高级搜寻 (Kusto) 查询来获取有关网络列表中描述的每个网络名称的更多上下文。 查询列出过去七天内连接到特定网络的所有已载入设备。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

获取设备相关信息

可以使用以下高级搜寻 (Kusto) 查询来获取有关特定设备的最新完整信息。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

已发现设备上的漏洞评估

设备上的漏洞和风险以及网络中发现的其他非托管设备是“安全建议”下当前威胁和漏洞管理流的一部分。门户中的实体页表示这些漏洞和风险。

例如,搜索与“SSH”相关的安全建议(SSH 代表安全外壳,这是一种广泛采用的协议,用于通过不受信任的网络进行安全通信)。 搜索的目的是查找与非托管和托管设备相关的 SSH 漏洞。

在已发现设备上使用高级搜寻

组织可以使用高级搜寻查询来查看已发现设备。 可在 DeviceInfo 表中查找有关已发现设备的详细信息,或在 DeviceNetworkInfo 表中查找有关这些设备的网络相关信息。

在 DeviceInfo 表上运行以下查询来返回发现的所有设备。 结果还会显示每个设备的最新详细信息。

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

通过在高级搜寻查询中调用 SeenBy 函数,可以获取有关哪些已载入设备看到了已发现设备的详细信息。 此信息可帮助确定每个已发现设备的网络位置。 然后,它可以帮助在网络中识别它。

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

设备发现使用Microsoft Defender for Endpoint已加入的设备作为网络数据源,将活动归因于非已加入的设备。 Microsoft Defender for Endpoint 载入的设备上的网络传感器可识别两种新的连接类型:

  • ConnectionAttempt。 尝试建立 TCP 连接。
  • ConnectionAcknowledged。 网络已接受 TCP 连接的确认。

当未加入的设备尝试与已载入Microsoft Defender for Endpoint设备通信时,尝试将:

  • 生成 DeviceNetworkEvent。
  • 通过高级搜寻 DeviceNetworkEvents 表,在载入的设备上时间线显示非登载设备活动。

可以尝试此示例查询:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10