使用裝置探索來偵測裝置
保護您的環境需要清查您網路中的裝置。 不過,在網路中對應裝置通常成本昂貴、具挑戰性且耗時。
適用於端點的 Microsoft Defender 提供裝置探索功能,可協助您尋找連線到公司網路的非受控裝置,而不需要額外的設備或麻煩的程序變更。 裝置探索會使用網路上的上線端點來收集、探查或掃描您的網路,以探索非受控裝置。 裝置探索功能可讓您探索:
- 尚未上線至適用於端點的 Microsoft Defender 的企業端點 (工作站、伺服器和行動裝置)
- 路由器和交換器之類的網路裝置
- 印表機和相機等 IoT 裝置
未知和非受控裝置會對您的網路帶來重大風險 - 無論是未修補的印表機、具有弱式安全性設定的網路裝置,還是沒有安全性控制的伺服器。 已探索裝置之後,您可以:
- 將非受控端點上線至服務,增加其安全性可見度。
- 藉由識別和評估弱點,以及偵測設定缺口,以減少受攻擊面。
若要探索裝置,請觀看:探索裝置影片 (英文)。
若要評估和上線非受控裝置:
透過這項功能,將裝置上線到適用於端點的 Microsoft Defender 的安全性建議,可做為現有威脅與弱點管理體驗的一部分。
探索方法 您可以選擇由上線裝置使用的探索模式。 此模式會控制您可以為公司網路中非受控裝置取得的可見度層級。
有兩種可用的探索模式:
基本探索:在此模式中,端點會被動收集您網路中的事件,並從中擷取裝置資訊。 基本探索會使用 SenseNDR.exe 二進位檔進行被動網路資料收集,而且不會起始任何網路流量。 端點會從已上線的裝置看到的每個網路流量擷取資料。 透過基本探索,您只會取得在網路中非受控端點的有限可見度。
標準探索 (建議):此模式可讓端點主動尋找網路中的裝置,以擴充收集的資料並探索更多裝置 - 協助您建置可靠且一致的裝置詳細目錄。 除了使用被動方法觀察到的裝置之外,標準模式也會使用網路中使用多點傳送查詢的常見探索通訊協定來尋找更多裝置。 標準模式會使用智慧型主動探查來探索所觀察裝置的其他資訊,以擴充現有的裝置資訊。 啟用標準模式時,您組織中的網路監視工具可能會觀察到探索感應器所產生的最小和可忽略的網路活動。
已探索到但尚未上線並受到適用於端點的 Microsoft Defender 保護的裝置,將會列在 [電腦和行動裝置] 索引標籤內的裝置詳細目錄中。
若要評估這些裝置,您可以在名為 [上線狀態] 的裝置詳細目錄清單中使用篩選條件,其中可以有下列任何值:
- 上線:端點已上線至適用於端點的 Microsoft Defender。
- 可上線:在網路中探索到端點,且作業系統已識別為適用於端點的 Microsoft Defender 所支援的端點,但目前尚未上線。 強烈建議您將這些裝置上線。
- 不支援:在網路中探索到此端點,但不受到適用於端點的 Microsoft Defender 支援。
- 資訊不足:系統無法判斷裝置的支援性。 在網路的更多裝置上啟用標準探索,可以擴充探索到的屬性。