Vanliga frågor och svar om enhetsidentifiering

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Få svar på vanliga frågor och svar om enhetsidentifiering.

Vad är grundläggande identifieringsläge?

Med det här läget kan alla Microsoft Defender för Endpoint registrerade enheter samla in nätverksdata och identifiera närliggande enheter. Registrerade slutpunkter samlar passivt in händelser i nätverket och extraherar enhetsinformation från dem. Ingen nätverkstrafik initieras. Registrerade slutpunkter extraherar data från varje nätverkstrafik som visas av en registrerad enhet. Dessa data används för att lista ohanterade enheter i nätverket.

Kan jag inaktivera grundläggande identifiering?

Du kan välja att inaktivera enhetsidentifiering via sidan Avancerade funktioner . Du förlorar dock synligheten på ohanterade enheter i nätverket. Observera att även om enhetsidentifiering är inaktiverat körs SenseNDR.exe fortfarande på de registrerade enheterna.

Vad är standardidentifieringsläge?

I det här läget kan slutpunkter som registrerats för Microsoft Defender för Endpoint aktivt avsöka observerade enheter i nätverket för att utöka insamlade data (med försumbar mängd nätverkstrafik). Endast enheter som observerades av det grundläggande identifieringsläget avsöks aktivt i standardläge. Det här läget rekommenderas starkt för att skapa en tillförlitlig och sammanhängande enhetsinventering. Om du väljer att inaktivera det här läget och väljer Grundläggande identifieringsläge får du förmodligen bara begränsad synlighet för ohanterade slutpunkter i nätverket.

Standardläget använder också vanliga identifieringsprotokoll som använder multicast-frågor i nätverket för att hitta ännu fler enheter, utöver de som observerades med hjälp av den passiva metoden.

Kan jag styra vilka enheter som utför standardidentifiering?

Du kan anpassa listan över enheter som används för att utföra standardidentifiering. Du kan antingen aktivera standardidentifiering på alla registrerade enheter som också stöder den här funktionen (för närvarande Windows 10 eller senare och endast Windows Server 2019- eller senare enheter) eller välja en delmängd eller delmängd av dina enheter genom att ange deras enhetstaggar. I det här fallet är alla andra enheter konfigurerade för att endast köra grundläggande identifiering. Konfigurationen är tillgänglig på sidan inställningar för enhetsidentifiering.

Kan jag undanta ohanterade enheter från enhetsinventeringslistan?

Ja, du kan använda filter för att undanta ohanterade enheter från enhetsinventeringslistan. Du kan också använda kolumnen registreringsstatus i API-frågor för att filtrera bort ohanterade enheter.

Vilka registrerade enheter kan utföra identifiering?

Registrerade enheter som körs på Windows 10 version 1809 eller senare, Windows 11, Windows Server 2019 eller Windows Server 2022 kan utföra identifiering.

Vad händer om mina registrerade enheter är anslutna till mitt hemnätverk eller till en offentlig åtkomstpunkt?

Identifieringsmotorn skiljer mellan nätverkshändelser som tas emot i företagsnätverket jämfört med utanför företagsnätverket. Genom att korrelera nätverksidentifierare för alla klientorganisationers klienter skiljer sig händelserna mellan dem som togs emot från privata nätverk och företagsnätverk. Om de flesta enheter i organisationen till exempel rapporterar att de är anslutna till samma nätverksnamn, med samma standardgateway och DHCP-serveradress, kan det antas att det här nätverket sannolikt är ett företagsnätverk. Privata nätverksenheter visas inte i inventeringen och avsöks inte aktivt.

Vilka protokoll samlar du in och analyserar?

Som standard körs alla registrerade enheter på Windows 10 version 1809 eller senare. Windows 11, Windows Server 2019 eller Windows Server 2022 samlar in och analyserar följande protokoll: ARP, CDP, DHCP, DHCPv6, IP (rubriker), LLDP, LLMNR, mDNS, MNDP, MSSQL, NBNS, SSDP, TCP (SYN-huvuden), UDP (rubriker), WSD

Vilka protokoll använder du för aktiv avsökning i standardidentifiering?

När en enhet har konfigurerats för att köra standardidentifiering avsöks exponerade tjänster med hjälp av följande protokoll: ARP, FTP, HTTP, HTTPS, ICMP, LLMNR, NBNS, RDP, SIP, SMTP, SNMP, SSH, Telnet, UPNP, WSD, SMB, NBSS, IPP, PJL, RPC, mDNS, DHCP, AFP, CrestonCIP, IphoneSync, WinRM, VNC, SLP, LDAP

Dessutom kan enhetsidentifiering också genomsöka andra vanliga portar för att förbättra klassificeringsprecisionen & täckning.

Hur kan jag undanta mål från att avsökas med standardidentifiering?

Om det finns enheter i nätverket, som inte bör avsökas aktivt, kan du också definiera en lista över undantag för att förhindra att de genomsöks. Konfigurationen är tillgänglig på sidan inställningar för enhetsidentifiering.

Kan jag undanta enheter från att identifieras?

Eftersom enhetsidentifiering använder passiva metoder för att identifiera enheter i nätverket kan alla enheter som kommunicerar med dina registrerade enheter i företagsnätverket identifieras och visas i inventeringen. Du kan endast undanta enheter från aktiv avsökning.

Hur ofta är aktiv avsökning?

Enheter avsöks aktivt när ändringar i enhetens egenskaper observeras för att se till att den befintliga informationen är uppdaterad (vanligtvis avsöks enheter högst en gång under en treveckorsperiod)

Mitt säkerhetsverktyg utlöste aviseringar om UnicastScanner.ps1/PSScript_{GUID}.ps1 eller portgenomsökningsaktivitet som initierades av det, vad ska jag göra?

De aktiva avsökningsskripten signeras av Microsoft och är säkra. Du kan lägga till följande sökväg i undantagslistan: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Hur mycket trafik genereras av den aktiva avsökningen för standardidentifiering?

Aktiv avsökning kan generera upp till 50 KB trafik mellan den registrerade enheten och den avsökda enheten, varje avsökningsförsök

Varför finns det en avvikelse mellan "kan registreras" enheter i enhetsinventeringen och antalet "enheter som ska registreras" på instrumentpanelspanelen?

Du kan se skillnader mellan antalet listade enheter under "kan registreras" i enhetsinventeringen, säkerhetsrekommenderingen "registrera för att Microsoft Defender för Endpoint" och instrumentpanelswidgeten "enheter att registrera".

Säkerhetsrekommendations- och instrumentpanelswidgeten är för enheter som är stabila i nätverket. exkludering av tillfälliga enheter, gästenheter och andra. Tanken är att rekommendera beständiga enheter som också innebär organisationens övergripande säkerhetspoäng.

Kan jag registrera ohanterade enheter som hittades?

Ja. Du kan registrera ohanterade enheter manuellt. Ohanterade slutpunkter i nätverket medför sårbarheter och risker i nätverket. Registrering av dem till tjänsten kan öka säkerhetssynligheten för dem.

Jag har märkt att ohanterat hälsotillstånd för enheten alltid är "Aktiv", varför är det så?

Tillfälligt är ohanterat hälsotillstånd för enheten "Aktiv" under standardkvarhållningsperioden för enhetsinventeringen, oavsett deras faktiska tillstånd.

Ser standardidentifiering ut som skadlig nätverksaktivitet?

När du överväger standardidentifiering kanske du undrar över konsekvenserna av avsökning, och specifikt om säkerhetsverktyg kan misstänka sådan aktivitet som skadlig. Följande underavsnitt förklarar varför organisationer i nästan alla fall inte bör ha några problem med att aktivera standardidentifiering.

Avsökning distribueras över alla Windows-enheter i nätverket

I motsats till skadlig aktivitet, som vanligtvis skulle genomsöka hela nätverket från några komprometterade enheter, initieras Microsoft Defender för Endpoint standardidentifieringssökning från alla registrerade Windows-enheter som gör aktiviteten godartad och icke-avvikande. Avsökningen hanteras centralt från molnet för att balansera avsökningsförsöket mellan alla registrerade enheter som stöds i nätverket.

Aktiv avsökning genererar försumbar mängd extra trafik

Ohanterade enheter avsöks vanligtvis inte mer än en gång under en treveckorsperiod och genererar mindre än 50 KB trafik. Skadlig aktivitet omfattar vanligtvis höga repetitiva avsökningsförsök och i vissa fall dataexfiltrering som genererar en betydande mängd nätverkstrafik som kan identifieras som en avvikelse av nätverksinformationsverktyg.

Din Windows-enhet kör redan aktiv identifiering

Aktiva identifieringsfunktioner har alltid bäddats in i Windows-operativsystemet, för att hitta närliggande enheter, slutpunkter och skrivare, för enklare "plug and play"-funktioner och fildelning mellan slutpunkter i nätverket. Liknande funktioner implementeras i mobila enheter, nätverksutrustning och inventeringsprogram bara för att nämna några.

Standardidentifiering använder samma identifieringsmetoder för att identifiera enheter och för att ha en enhetlig synlighet för alla enheter i nätverket i Microsoft Defender XDR Enhetsinventering. Till exempel – Standardidentifiering identifierar närliggande slutpunkter i nätverket på samma sätt som Windows visar tillgängliga skrivare i nätverket.

Verktyg för nätverkssäkerhet och övervakning är likgiltiga för sådana aktiviteter som utförs av enheter i nätverket.

Endast ohanterade enheter avsöks

Funktionerna för enhetsidentifiering har skapats för att endast identifiera ohanterade enheter i nätverket. Det innebär att tidigare identifierade enheter som redan har registrerats med Microsoft Defender för Endpoint inte avsöks.

Du kan utesluta nätverksdrag från aktiv avsökning

Standardidentifiering stöder uteslutning av enheter eller intervall (undernät) från aktiv avsökning. Om du har nätverksdrag distribuerade på plats kan du använda inställningarna för enhetsidentifiering för att definiera undantag baserat på IP-adresser eller undernät (ett intervall med IP-adresser). Genom att definiera dessa undantag ser du till att enheterna inte aktivt avsöks och inte aviseras. Dessa enheter identifieras endast med passiva metoder (liknar grundläggande identifieringsläge).