Übersicht über die Geräteermittlung
Gilt für:
Der Schutz Ihrer Umgebung erfordert eine Bestandsaufnahme der Geräte, die sich in Ihrem Netzwerk befinden. Das Zuordnen von Geräten in einem Netzwerk kann jedoch häufig teuer, schwierig und zeitaufwändig sein.
Microsoft Defender für Endpunkt bietet eine Geräteermittlungsfunktion, mit der Sie nicht verwaltete Geräte finden können, die mit Ihrem Unternehmensnetzwerk verbunden sind, ohne dass zusätzliche Appliances oder umständliche Prozessänderungen erforderlich sind. Die Geräteermittlung verwendet integrierte Endpunkte in Ihrem Netzwerk, um Ihr Netzwerk zu erfassen, zu testen oder zu scannen, um nicht verwaltete Geräte zu ermitteln. Mit der Geräteermittlungsfunktion können Sie Folgendes ermitteln:
- Unternehmensendpunkte (Arbeitsstationen, Server und mobile Geräte), die noch nicht in Defender für Endpunkt integriert sind
- Netzwerkgeräte wie Router und Switches
- IoT-Geräte wie Drucker und Kameras
Unbekannte und nicht verwaltete Geräte stellen erhebliche Risiken für Ihr Netzwerk dar – unabhängig davon, ob es sich um einen nicht gepatchten Drucker, Netzwerkgeräte mit schwachen Sicherheitskonfigurationen oder um einen Server ohne Sicherheitskontrollen handelt. Nachdem Geräte erkannt wurden, können Sie:
- Nicht verwaltete Endpunkte in den Dienst integrieren, um die Sicherheitssichtbarkeit für sie zu erhöhen.
- Die Angriffsfläche reduzieren, indem die Sicherheitsrisiken identifiziert und bewertet werden und Konfigurationslücken erkannt werden.
Sehen Sie sich dieses Video an, um einen schnellen Überblick darüber zu erhalten, wie Sie nicht verwaltete Geräte bewerten und integrieren, die Defender für Endpunkt ermittelt hat.
Mit dieser Funktion ist eine Sicherheitsempfehlung für das Onboarding von Geräten in Defender für Endpunkt als Teil der vorhandenen Microsoft Defender-Sicherheitsrisikoverwaltung verfügbar.
Erkennungsmethoden
Sie können den Ermittlungsmodus auswählen, der von Ihren integrierten Geräten verwendet werden soll. Der Modus steuert den Grad der Sichtbarkeit, den Sie für nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk erhalten können.
Es stehen zwei Erkennungsmodi zur Verfügung:
Grundlegende Ermittlung: In diesem Modus sammeln Endpunkte passiv Ereignisse in Ihrem Netzwerk und extrahieren Geräteinformationen daraus. Die grundlegende Ermittlung verwendet die SenseNDR.exe Binärdatei für die passive Netzwerkdatensammlung, und es wird kein Netzwerkdatenverkehr initiiert. Endpunkte extrahieren Daten aus dem gesamten Netzwerkdatenverkehr, der von einem integrierten Gerät erkannt wird. Mit der einfachen Ermittlung erhalten Sie nur eingeschränkte Sichtbarkeit nicht verwalteter Endpunkte in Ihrem Netzwerk.
Standardermittlung (empfohlen): Dieser Modus ermöglicht Es Endpunkten, Geräte in Ihrem Netzwerk aktiv zu finden, um gesammelte Daten anzureichern und weitere Geräte zu ermitteln. Dadurch können Sie einen zuverlässigen und kohärenten Gerätebestand erstellen. Zusätzlich zu Geräten, die mit der passiven Methode beobachtet wurden, verwendet der Standardmodus auch gängige Ermittlungsprotokolle, die Multicastabfragen im Netzwerk verwenden, um noch mehr Geräte zu finden. Im Standardmodus werden intelligente, aktive Tests verwendet, um zusätzliche Informationen zu beobachteten Geräten zu ermitteln, um vorhandene Geräteinformationen anzureichern. Wenn der Standardmodus aktiviert ist, können minimale und vernachlässigbare Netzwerkaktivitäten, die vom Ermittlungssensor generiert werden, von Netzwerküberwachungstools in Ihrer Organisation beobachtet werden.
Sie können Ihre Ermittlungseinstellungen ändern und anpassen. Weitere Informationen finden Sie unter Konfigurieren der Geräteermittlung.
Wichtig
Die Standardermittlung ist der Standardmodus für alle Kunden ab dem 19. Juli 2021. Sie können diese Konfiguration über die Einstellungsseite in Basic ändern. Wenn Sie den Basic-Modus auswählen erhalten Sie nur eingeschränkte Einblicke in nicht verwaltete Endpunkte in Ihrem Netzwerk.
Die Erkennungs-Engine unterscheidet zwischen Netzwerkereignissen, die innerhalb des Unternehmensnetzwerks empfangen werden, und solchen, die außerhalb des Unternehmensnetzwerks empfangen werden. Geräte, die nicht mit Unternehmensnetzwerken verbunden sind, werden nicht erkannt oder in der Geräteübersicht aufgeführt.
Geräteübersicht
Geräte, die ermittelt wurden, aber nicht in Defender für Endpunkt integriert und von Defender für Endpunkt geschützt sind, werden im Gerätebestand aufgeführt.
Um diese Geräte zu bewerten, können Sie einen Filter in der Gerätebestandsliste namens Onboardingstatus verwenden, der einen der folgenden Werte aufweisen kann:
- Integriert: Der Endpunkt wird in Defender für Endpunkt integriert.
- Onboarding möglich: Der Endpunkt wurde im Netzwerk ermittelt, und das Betriebssystem wurde als eines identifiziert, das von Defender für Endpunkt unterstützt wird, aber derzeit nicht integriert ist. Es wird dringend empfohlen, diese Geräte zu integrieren.
- Nicht unterstützt: Der Endpunkt wurde im Netzwerk ermittelt, wird aber von Defender für Endpunkt nicht unterstützt.
- Unzureichende Informationen: Das System konnte die Unterstützbarkeit des Geräts nicht ermitteln. Das Aktivieren der Standarderkennung auf mehr Geräten im Netzwerk kann die ermittelten Attribute anreichern.
Tipp
Sie können immer Filter anwenden, um nicht verwaltete Geräte aus der Geräteübersichtsliste auszuschließen. Sie können auch die Spalte "Onboardingstatus" für API-Abfragen verwenden, um nicht verwaltete Geräte herauszufiltern.
Weitere Informationen finden Sie unter Geräteübersicht.
Netzwerk-Geräteerkennung
Die große Anzahl nicht verwalteter Netzwerkgeräte, die in einer Organisation bereitgestellt werden, schafft eine große Angriffsfläche und stellt ein erhebliches Risiko für das gesamte Unternehmen dar. Mit den Netzwerkermittlungsfunktionen von Defender für Endpunkt können Sie sicherstellen, dass Netzwerkgeräte ermittelt, genau klassifiziert und dem Ressourcenbestand hinzugefügt werden.
Netzwerkgeräte werden nicht als Standardendpunkte verwaltet, da Defender für Endpunkt keinen Sensor in die Netzwerkgeräte selbst integriert hat. Diese Gerätetypen erfordern einen agentlosen Ansatz, bei dem eine Remoteüberprüfung die erforderlichen Informationen von den Geräten abruft. Zu diesem Zweck wird ein bestimmtes Defender für Endpunkt-Gerät in jedem Netzwerksegment verwendet, um regelmäßige authentifizierte Überprüfungen von vorkonfigurierten Netzwerkgeräten durchzuführen. Die Sicherheitsrisikoverwaltungsfunktionen von Defender für Endpunkt bieten integrierte Workflows zum Schützen von ermittelten Switches, Routern, WLAN-Controllern, Firewalls und VPN-Gateways.
Weitere Informationen finden Sie unter Netzwerkgeräte.
Integration der Geräteermittlung
Defender für Endpunkt unterstützt jetzt die folgende Integration, um die Herausforderung zu bewältigen, genügend Transparenz zu erhalten, um Ihren vollständigen OT/IOT-Ressourcenbestand zu finden, zu identifizieren und zu schützen:
Microsoft Defender für IoT: Bei dieser Integration werden die Geräteermittlungsfunktionen von Defender für Endpunkt mit Microsoft Defender für IoT im Microsoft Defender-Portal (Vorschau) kombiniert, um Folgendes zu schützen:
- OT-Geräte, z. B. Server oder Verpackungssysteme. Weitere Informationen finden Sie unter Onboarding von Defender für IoT im Defender-Portal.
- Enterprise IoT-Geräte, die mit einem IT-Netzwerk verbunden sind (z. B. VoIP (Voice over Internet Protocol), Drucker und Smart-TVs). Weitere Informationen finden Sie unter Aktivieren der Enterprise IoT-Sicherheit mit Defender für Endpunkt.
Sicherheitsrisikobewertung auf erkannten Geräten
Sicherheitsrisiken und Risiken auf Ihren Geräten sowie auf anderen ermittelten nicht verwalteten Geräten im Netzwerk sind Teil der aktuellen Defender-Flows zur Verwaltung von Sicherheitsrisiken unter "Sicherheitsempfehlungen" und werden auf Entitätsseiten im gesamten Portal dargestellt. Suchen Sie nach "SSH"-bezogenen Sicherheitsempfehlungen, um SSH-Sicherheitsrisiken zu finden, die für nicht verwaltete und verwaltete Geräte im Zusammenhang stehen.
Verwenden der erweiterten Bedrohungssuche auf erkannten Geräten
Sie können erweiterte Suchabfragen verwenden, um Sichtbarkeit auf ermittelten Geräten zu erhalten. Details zu ermittelten Geräten finden Sie in der Tabelle DeviceInfo oder netzwerkbezogene Informationen zu diesen Geräten in der Tabelle DeviceNetworkInfo.
Abfragen von Details zu ermittelten Geräten
Führen Sie diese Abfrage für die DeviceInfo-Tabelle aus, um alle ermittelten Geräte zusammen mit den aktuellsten Details für jedes Gerät zurückzugeben:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
Durch Aufrufen der SeenBy-Funktion können Sie in Ihrer erweiterten Huntingabfrage Details dazu abrufen, von welchem integrierten Gerät ein ermitteltes Gerät gesehen wurde. Diese Informationen können dabei helfen, den Netzwerkstandort jedes ermittelten Geräts zu bestimmen und es anschließend im Netzwerk zu identifizieren.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Weitere Informationen finden Sie unter der SeenBy() -Funktion.
Abfragen netzwerkbezogener Informationen
Die Geräteermittlung nutzt integrierte Defender für Endpunkt-Geräte als Netzwerkdatenquelle, um Aktivitäten nicht integrierten Geräten zuzuordnen. Der Netzwerksensor auf dem integrierten Defender für Endpunkt-Gerät identifiziert zwei neue Verbindungstypen:
- ConnectionAttempt– Ein Versuch, eine TCP-Verbindung (syn) herzustellen
- ConnectionAcknowledged : Eine Bestätigung, dass eine TCP-Verbindung akzeptiert wurde (syn\ack)
Dies bedeutet, dass wenn ein nicht integriertes Gerät versucht, mit einem integrierten Defender für Endpunkt-Gerät zu kommunizieren, der Versuch ein DeviceNetworkEvent generiert, und die nicht integrierten Geräteaktivitäten werden auf der Zeitachse des integrierten Geräts und über die Tabelle Erweiterte Suche DeviceNetworkEvents angezeigt.
Sie können diese Beispielabfrage ausprobieren:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Nächste Schritte
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.