管理裝置探索和弱點評定

  • 9 分鐘

保護您的環境需要清查網路中的裝置。 然而,在網路中對應裝置通常費用昂貴、具有挑戰性並非常耗時。

適用於端點的 Microsoft Defender 提供裝置探索功能,可協助組織尋找連線至其公司網路的非受控裝置。 它完成此探索程序,而不需要其他的裝置或繁瑣的程序變更。 裝置探索使用已上線端點來收集、探查和掃描網路,以探索非受控裝置。 裝置探索功能可讓組織探索:

  • 企業端點 (適用於端點的 Microsoft Defender 尚未上線的工作站、伺服器和行動裝置) 。
  • 路由器和交換器等網路裝置。
  • 物聯網裝置,如印表機和相機。

未知和非受控裝置會給網路帶來重大風險。 無論是未經修補的印表機、安全性設定較弱的網路裝置,還是沒有安全性控制的伺服器。

一旦 適用於端點的 Microsoft Defender 裝置探索服務探索裝置,組織就可以:

  • 將非受控端點新增至服務中,提高它們的安全性可見性。
  • 透過識別和評估弱點以及偵測設定缺口來减少受攻擊面。

其他檢視。 選取以下連結來觀看介紹裝置探索的短片。

弱點管理模組也提供將裝置上線至 適用於端點的 Microsoft Defender 的安全性建議。

探索方法

組織可以選擇其上線裝置應該使用的探索模式。 模式控制企業網路中非受控裝置的可見度層級。

提供兩種探索模式:

  • 基本探索。 在此模式下,端點被動地收集網路中的事件並從中擷取裝置資訊。 基本探索使用 SenseNDR.exe 二進位檔進行被動網路資料收集。 此模式不會起始網路流量。 端點只會從上線裝置看到的網路流量擷取數據。 透過基本探索,您只會在網路中取得非受控端點的有限可見度。
  • 標準探索 (建議) 此模式可讓端點能够主動尋找網路中的裝置,以豐富收集的資料並探索更多裝置。 此程序有助於組織建立可靠和一致的裝置庫存。 除了使用被動方法的裝置之外,標準模式也會套用在網路中使用多播查詢的常見探索通訊協定。 此程序可以找到更多裝置。 標準模式使用智慧型主動探查來探索有關所觀察裝置的更多資訊,以豐富現有裝置資訊。 當組織啟用 Standard 模式時,其網路監視工具可以觀察探索感測器所產生的最小且可忽略的網路活動。

從 2021 年 7 月開始,標準探索是所有客戶的預設模式。 您可以選擇透過 [設定] 頁面將此設定變更為基本。 如果您選擇基本模式,您只會在網路中取得非受控端點的有限可見度。

組織可以變更和自訂其探索設定。 如需詳細資訊,請參閱設定裝置探索

探索引擎會區分公司網路中接收到的網路事件與公司網路外部。 如果裝置未連線到公司網路,適用於端點的 Microsoft Defender 裝置探索服務就無法探索裝置或將其列在裝置清查中。

裝置庫存

Microsoft Intune 系統管理中心會列出裝置清查中的裝置。 即使 適用於端點的 Microsoft Defender 裝置探索服務探索到裝置,但 適用於端點的 Microsoft Defender 尚未上線並保護它們,它還是會這麼做。

若要評估這些裝置,您可以在裝置庫存清單中使用名為「上線狀態」的篩選。 此篩選可以具有以下任何值:

  • 已上線。 適用於端點的 Microsoft Defender 端點上線。
  • 可以上線。 適用於端點的 Microsoft Defender 探索到網路中的端點。 它已將作業系統識別為 適用於端點的 Microsoft Defender 所支援的作業系統。 不過,適用於端點的 Microsoft Defender 尚未將裝置上線。 Microsoft建議組織儘快將這些裝置上線。
  • 不支援。 適用於端點的 Microsoft Defender 探索到網路中的端點,但不支援端點。
  • 資訊不足。 系統無法確定裝置的支援性。 在網路中的更多裝置上啟用標準探索可以豐富探索到的屬性。

您隨時可以套用篩選從裝置庫存清單中排除非受控裝置。 您還可以在 API 査詢上使用上線狀態欄位來篩選出非受控裝置。

其他閲讀資源。 如需詳細資訊,請參閱裝置庫存

網路裝置探索

組織中部署的大量非受控網路裝置會造成大面積的攻擊。 它們也對整個企業構成重大風險。 適用於端點的 Microsoft Defender 的網路探索功能可協助組織:

  • 探索其網路裝置。
  • 正確地分類其裝置。
  • 將其裝置新增至其資產清查。

適用於端點的 Microsoft Defender 不會將網路裝置當作標準端點來管理。 為什麼? 因為適用於端點的 Microsoft Defender 在網路裝置自身中沒有內建感應器。 相反,這些類型的裝置需要無代理程式方法,其中遠端掃描從裝置取得必要資訊。 為了收集這項資訊,每個網路區段都會使用指定的 適用於端點的 Microsoft Defender 裝置,對預先設定的網路裝置執行定期驗證掃描。 適用於端點的 Microsoft Defender 的弱點管理功能接著會提供整合式工作流程,以保護下列探索到的資訊:

  • 開關
  • 路由器
  • WLAN 控制器
  • 防火牆
  • VPN 閘道

其他閲讀資源。 如需詳細資訊,請參閱網路裝置

裝置探索整合

適用於端點的 Microsoft Defender 解决了為組織提供足够的可見度以尋找、識別和保護其完整 OT/IOT 資產庫存的難題。 它透過支援以下整合來做到這一點:

  • Corelight。 Microsoft與 Corelight 合作,從 Corelight 網路設備接收數據。 此設計可讓 Microsoft Defender 全面偵測回應 更深入瞭解 Unmanaged 裝置的網路活動。 此可見度包括與其他非受控裝置或外部網路的通訊。 如需詳細資訊,請參閱「啟用 Corelight」資料整合。
  • 適用於 IoT 的 Microsoft Defender。 此整合將適用於端點的 Microsoft Defender 内的裝置探索功能與適用於 IoT 的 Microsoft Defender 的無代理程式監視功能相結合。 此整合保護連線至 IT 網路的企業物聯網裝置的安全。 例如,VoIP、印表機和智慧型電視。 如需詳細資訊,請參閱啟用適用於 IoT 的 Microsoft Defender 整合

設定裝置探索

如先前所述,組織可以在標準或基本兩種模式中設定裝置探索。 組織應使用標準選項在其網路中主動尋找裝置。 此選項可保證端點的探索,並提供更豐富的裝置分類。

組織可以自定義用來執行標準探索的裝置清單。 它可以:

  • 在目前也支援此功能的所有已上線裝置上啟用標準探索 (- Windows 10 或更新版本,Windows Server 2019 或更新版本的裝置僅) 。
  • 指定裝置的裝置捲標,以選取裝置的子集或子集。

完成以下步驟以設定裝置探索:

  1. 流覽至 Microsoft Defender 入口網站。

  2. 在 Microsoft Defender 入口網站的瀏覽窗格中,選取 [設定],然後選取 [裝置探索]

  3. 如果您想要將 [基本 ] 設定為要在上線裝置上使用的探索模式,請選取 [ 基本],然後選取 [ 儲存]

  4. 如果您選取了使用 Standard 探索的選項,請選取下列其中一個選項來判斷要用於主動探查的裝置:

    • 所有裝置
    • 指定裝置捲標的裝置子集

  5. 選取 [儲存]

注意事項

標準探索使用各種 PowerShell 指令碼來主動探查網路中的裝置。 這些 PowerShell 腳本會Microsoft簽署,而系統會從下列位置執行這些腳本:

C:\\ProgramData\\Microsoft\\Windows Defender 進階威脅防護\\Downloads\\\*.ps。

例如,C:\\ProgramData\\Microsoft\\Windows Defender 進階威脅 Protection\\Downloads\\UnicastScannerV1.1.0.ps1。

在標準探索中排除裝置不使用中掃描

有些組織在其網路上有裝置,適用於端點的 Microsoft Defender的裝置探索服務不應該主動掃描。 例如,作為另一個安全性工具之 Honeypot 的裝置。 在這些情況下,組織可以定義排除專案清單,以防止掃描這些裝置。 您可以在 [排除] 頁面中設定要排除的裝置。

注意事項

適用於端點的 Microsoft Defender的裝置探索服務仍然可以使用基本探索模式來探索裝置。 它也可以透過多播探索嘗試來探索裝置。 裝置探索服務會被動探索這些裝置,但不會主動探查它們。

選取要監視的網路

當適用於端點的 Microsoft Defender 分析網路時,它確定網路是否為:

  • 必須監視的公司網路。
  • 可以忽略的非公司網路。

爲了識別公司網路,適用於端點的 Microsoft Defender 將所有租用戶用戶端的網路識別碼關聯起來。 如果組織中的大部分裝置都連線到相同的裝置,則會假設網路是公司網路:

  • 網路名稱
  • 預設閘道
  • DHCP 伺服器位址

組織通常會選擇監視其公司網路。 不過,您可以選擇監視包含已上線裝置的非公司網路,以覆寫此決策。

組織可以設定要在何處執行裝置探索。 它透過指定要監視的網路來實現這一點。 適用於端點的 Microsoft Defender 可以在受監視的網路上執行裝置探索。

[受監視的網络] 頁面會顯示 適用於端點的 Microsoft Defender 可以執行裝置探索的網路清單。 此清單會顯示識別為公司網路的網路。 如果有超過 50 個網路識別為公司網路,清單會顯示最多 50 個網路,其中包含最多已上線的裝置。

[ 受監視的網络] 頁面會根據過去七天內在網络上看到的裝置總數來排序受監視的網路清單。

您可以套用篩選來檢視下列任何網路探索狀態:

  • 監視的網路。 適用於端點的 Microsoft Defender 執行裝置探索的網路。
  • 忽略的網路。 適用於端點的 Microsoft Defender 會忽略此網路,且不會對其執行裝置探索。
  • 全部。 適用於端點的 Microsoft Defender 會同時顯示受監視和忽略的網路。

設定網路監視器狀態

組織可以控制裝置探索的位置。 受監視的網路是 適用於端點的 Microsoft Defender 執行裝置探索的位置。 這些網路通常是公司網路。 您還可以選擇忽略網路或在修改狀態後選取初始探索分類。

  • 選取初始探索分類表示套用預設系統生成網路監視器狀態。

  • 選取預設系統建立的網路監視器狀態表示裝置探索:

    • 監視識別為公司的網路。
    • 忽略識別為非公司網路。

完成以下步驟以設定網路監視器狀態:

  1. 流覽至 Microsoft Defender 入口網站。

  2. 在 Microsoft Defender 入口網站的瀏覽窗格中,選取 [設定],然後選取 [裝置探索]

  3. 在 [ 裝置探索 ] 頁面上,選取 [ 受監視的網络]

  4. 檢視網路清單。 選取要監視網路的名稱旁的省略符號圖示 (三個點)。

  5. 選擇是要監視、忽略還是使用初始探索分類。 請記住以下考量:

    • 選擇監視 適用於端點的 Microsoft Defender 無法識別為公司網路的網路,可能會導致公司網路外部的裝置探索。 因此,它可能會偵測到家用或其他非公司裝置。
    • 選擇忽略網路會停止監視和探索該網路中的裝置。 適用於端點的 Microsoft Defender 不會從清查中移除探索到的裝置。 不過,它無法再更新它們,而且系統會保留詳細數據,直到 適用於端點的 Microsoft Defender 的數據保留期間到期為止。
    • 在選擇監視非公司網路之前,您必須確定您有許可權執行此動作。

  6. 確認您要進行變更。

探索網路中的裝置

您可以使用以下進階搜捕 (Kusto) 査詢取得在網路清單中描述的每個網路名稱的更多相關内容。 查詢會列出過去七天內連線到特定網路的所有上線裝置。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

取得裝置資訊

您可以使用以下進階搜捕 (Kusto) 査詢取得特定裝置的最新完整資訊。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

發現的裝置之弱點評定

裝置上的弱點和風險,以及網路中其他探索到的非受控裝置,都是「安全性建議」下目前威脅和弱點管理流程的一部分。入口網站中的實體頁面代表這些弱點和風險。

例如,搜尋與「SSH」相關的安全性建議 (SSH 代表安全殼層,這是在不信任網路上廣泛採用的安全性通訊協定)。 搜尋的目的是要尋找與非受控和受控裝置相關的 SSH 弱點。

對發現的裝置使用進階搜捕

組織可以使用進階搜捕査詢來取得發現的裝置之可見度。 在 DeviceInfo 表格中尋找有關已發現裝置的詳細資料,或在 DeviceNetworkInfo 表格中尋找有關這些裝置的網路相關資訊。

對 DeviceInfo 表格執行以下査詢以傳回所有發現的裝置。 結果也會顯示每個裝置的最新詳細數據。

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

藉由在進階搜捕查詢中叫用 SeenBy 函式,您可以取得已上線裝置看到探索到之裝置的詳細數據。 此資訊可以協助確定每個發現的裝置之網路位置。 然後,它可以協助在網路中識別它。

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

裝置探索會使用 適用於端點的 Microsoft Defender 上線裝置作為網路數據源,將活動屬性化為未上線的裝置。 適用於端點的 Microsoft Defender 已上線裝置上的網路感應器可識別兩種新的連線類型:

  • ConnectionAttempt。 嘗試建立 TCP 連線。
  • ConnectionAcknowledged。 確認網路已接受 TCP 連線。

當未上線的裝置嘗試與已上線的 適用於端點的 Microsoft Defender 裝置通訊時,此嘗試將會:

  • 產生 DeviceNetworkEvent。
  • 透過 [進階搜捕DeviceNetworkEvents] 資料表,顯示已上線裝置時程表上的非上線裝置活動。

您可以嘗試此範例査詢:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10