Cihaz keşfine genel bakış
Şunlar için geçerlidir:
Ortamınızı korumak için ağınızdaki cihazların envanterinin alınması gerekir. Ancak, bir ağdaki cihazları eşlemek genellikle pahalı, zorlayıcı ve zaman alıcı olabilir.
Uç Nokta için Microsoft Defender, şirket ağınıza bağlı yönetilmeyen cihazları ek gereçlere veya hantal işlem değişikliklerine gerek kalmadan bulmanıza yardımcı olan bir cihaz bulma özelliği sağlar. Cihaz bulma, ağınızdaki yerleşik uç noktaları kullanarak yönetilmeyen cihazları bulmak için ağınızda toplar, yoklar veya tarar. Cihaz bulma özelliği şunları keşfetmenize olanak tanır:
- Henüz Uç Nokta için Defender'a eklenmemiş kurumsal uç noktalar (iş istasyonları, sunucular ve mobil cihazlar)
- Yönlendiriciler ve anahtarlar gibi ağ cihazları
- Yazıcılar ve kameralar gibi IoT cihazları
Bilinmeyen ve yönetilmeyen cihazlar ağınıza önemli riskler getirir. Bu, eşleşmeyen bir yazıcı, zayıf güvenlik yapılandırmalarına sahip ağ cihazları veya güvenlik denetimleri olmayan bir sunucu olabilir. Cihazlar bulunduktan sonra şunları yapabilirsiniz:
- Yönetilmeyen uç noktaları hizmete ekleyip bu uç noktaların güvenlik görünürlüğünü artırır.
- Güvenlik açıklarını tanımlayıp değerlendirerek ve yapılandırma boşluklarını algılayarak saldırı yüzeyini azaltın.
Uç Nokta için Defender'ın keşfettiği yönetilmeyen cihazları değerlendirmeye ve eklemeye hızlı bir genel bakış için bu videoyu izleyin.
Bu özellik sayesinde, cihazları Uç Nokta için Defender'a eklemeye yönelik bir güvenlik önerisi, mevcut Microsoft Defender Güvenlik Açığı Yönetimi deneyiminin bir parçası olarak kullanılabilir.
Bulma yöntemleri
Eklenen cihazlarınız tarafından kullanılacak bulma modunu seçebilirsiniz. Mod, şirket ağınızdaki yönetilmeyen cihazlar için alabileceğiniz görünürlük düzeyini denetler.
Kullanılabilir iki bulma modu vardır:
Temel bulma: Bu modda uç noktalar ağınızdaki olayları pasif olarak toplar ve onlardan cihaz bilgilerini ayıklar. Temel bulma, pasif ağ veri toplama için SenseNDR.exe ikili dosyasını kullanır ve hiçbir ağ trafiği başlatılmaz. Uç noktalar, eklenen bir cihaz tarafından görülen tüm ağ trafiğinden verileri ayıklar. Temel bulma ile ağınızdaki yönetilmeyen uç noktaların yalnızca sınırlı görünürlüğünü elde edebilirsiniz.
Standart bulma (önerilen): Bu mod, uç noktaların toplanan verileri zenginleştirmek ve daha fazla cihaz bulmak için ağınızdaki cihazları etkin bir şekilde bulmasına olanak tanır ve güvenilir ve tutarlı bir cihaz envanteri oluşturmanıza yardımcı olur. Pasif yöntem kullanılarak gözlemlenen cihazlara ek olarak, standart mod daha da fazla cihaz bulmak için ağdaki çok noktaya yayın sorgularını kullanan yaygın bulma protokollerini de kullanır. Standart mod, mevcut cihaz bilgilerini zenginleştirmek için gözlemlenen cihazlar hakkında ek bilgileri keşfetmek için akıllı ve etkin yoklama kullanır. Standart mod etkinleştirildiğinde, kuruluşunuzdaki ağ izleme araçları tarafından bulma algılayıcısı tarafından oluşturulan minimum ve ihmal edilebilir ağ etkinliği gözlemlenebilir.
Bulma ayarlarınızı değiştirebilir ve özelleştirebilirsiniz. Daha fazla bilgi için bkz. Cihaz bulmayı yapılandırma.
Önemli
Standart bulma, 19 Temmuz 2021'den itibaren tüm müşteriler için varsayılan moddur. Ayarlar sayfasından bu yapılandırmayı temel olarak değiştirmeyi seçebilirsiniz. Temel modu seçerseniz ağınızdaki yönetilmeyen uç noktaların yalnızca sınırlı görünürlüğünü elde edersiniz.
Bulma altyapısı, şirket ağında alınan ağ olaylarını kurumsal ağın dışından ayırt eder. Şirket ağlarına bağlı olmayan cihazlar bulunamaz veya cihaz envanterinde listelenmez.
Cihaz envanteri
Bulunan ancak Uç Nokta için Defender tarafından eklenen ve güvenliği sağlanmayan cihazlar cihaz envanterinde listelenir.
Bu cihazları değerlendirmek için cihaz envanter listesinde Ekleme durumu adlı bir filtre kullanabilirsiniz ve bu filtre aşağıdaki değerlerden herhangi birine sahip olabilir:
- Eklendi: Uç nokta, Uç Nokta için Defender'a eklenir.
- Eklenebilir: Uç nokta ağda bulundu ve İşletim Sistemi Uç Nokta için Defender tarafından desteklenen bir uç nokta olarak tanımlandı, ancak şu anda eklenmemiştir. Bu cihazları eklemenizi kesinlikle öneririz.
- Desteklenmeyen: Uç nokta ağda bulundu ancak Uç Nokta için Defender tarafından desteklenmiyor.
- Yetersiz bilgi: Sistem cihazın desteklenebilirliğini belirleyemedi. Ağdaki daha fazla cihazda standart bulmayı etkinleştirmek bulunan öznitelikleri zenginleştirebilir.
İpucu
Yönetilmeyen cihazları cihaz envanter listesinden dışlamak için istediğiniz zaman filtre uygulayabilirsiniz. Yönetilmeyen cihazları filtrelemek için API sorgularında ekleme durumu sütununu da kullanabilirsiniz.
Daha fazla bilgi için bkz . Cihaz envanteri.
Ağ cihazı bulma
Bir kuruluşa dağıtılan çok sayıda yönetilmeyen ağ cihazı, büyük bir yüzey saldırı alanı oluşturur ve kuruluşun tamamı için önemli bir riski temsil eder. Uç Nokta için Defender ağ bulma özellikleri, ağ cihazlarının bulunmasını, doğru sınıflandırılmasını ve varlık envanterine eklenmesini sağlamanıza yardımcı olur.
Uç Nokta için Defender'ın ağ cihazlarında yerleşik bir algılayıcısı olmadığından, ağ cihazları standart uç nokta olarak yönetilmez. Bu tür cihazlar, uzaktan taramanın cihazlardan gerekli bilgileri aldığı aracısız bir yaklaşım gerektirir. Bunu yapmak için, önceden yapılandırılmış ağ cihazlarında düzenli aralıklarla kimliği doğrulanmış taramalar gerçekleştirmek üzere her ağ kesiminde belirlenmiş bir Uç Nokta için Defender cihazı kullanılır. Uç Nokta için Defender'ın güvenlik açığı yönetimi özellikleri bulunan anahtarları, yönlendiricileri, WLAN denetleyicilerini, güvenlik duvarlarını ve VPN ağ geçitlerini güvenli hale getirmek için tümleşik iş akışları sağlar.
Daha fazla bilgi için bkz . Ağ cihazları.
Cihaz bulma tümleştirmesi
Uç Nokta için Defender tam OT/IOT varlık envanterinizi bulmak, tanımlamak ve güvenliğini sağlamak için yeterli görünürlük elde etme sorununu çözmek için artık aşağıdaki tümleştirmeyi destekliyor:
IoT için Microsoft Defender: Bu tümleştirme, uç nokta için Defender'ın cihaz bulma özelliklerini Microsoft Defender portalında IoT için Microsoft Defender (Önizleme) ile birleştirerek aşağıdakileri güvence altına alır:
- Sunucular veya paketleme sistemleri gibi OT cihazları. Daha fazla bilgi için bkz . Defender portalında IoT için Defender'ı ekleme.
- BIR BT ağına bağlı kurumsal IoT cihazları (örneğin, İnternet Protokolü üzerinden Ses (VoIP), yazıcılar ve akıllı TV'ler). Daha fazla bilgi için bkz. Uç Nokta için Defender ile Kurumsal IoT güvenliğini etkinleştirme.
Bulunan cihazlarda güvenlik açığı değerlendirmesi
Cihazlarınızdaki güvenlik açıkları ve risklerin yanı sıra ağda bulunan diğer yönetilmeyen cihazlar, "Güvenlik Önerileri" altındaki geçerli Defender Güvenlik Açığı Yönetimi akışlarının bir parçasıdır ve portaldaki varlık sayfalarında gösterilir. Yönetilmeyen ve yönetilen cihazlarla ilgili SSH güvenlik açıklarını bulmak için "SSH" ile ilgili güvenlik önerilerini arayın.
Bulunan cihazlarda gelişmiş avcılık kullanma
Bulunan cihazlarda görünürlük elde etmek için gelişmiş tehdit avcılığı sorgularını kullanabilirsiniz. Bulunan cihazlar hakkındaki ayrıntıları DeviceNetworkInfo tablosundaki DeviceInfo tablosunda veya bu cihazlarla ilgili ağ ile ilgili bilgileri bulabilirsiniz.
Bulunan cihazların ayrıntılarını sorgulama
Bulunan tüm cihazları ve her cihaz için en güncel ayrıntıları döndürmek için bu sorguyu DeviceInfo tablosunda çalıştırın:
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
SeenBy işlevini çağırarak, gelişmiş tehdit avcılığı sorgunuzda bulunan bir cihazın hangi yerleşik cihazın görüldüğünü ayrıntılı olarak öğrenebilirsiniz. Bu bilgiler, bulunan her cihazın ağ konumunu belirlemeye yardımcı olabilir ve daha sonra bu cihazın ağda tanımlanmasına yardımcı olabilir.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Daha fazla bilgi için bkz. SeenBy() işlevi.
Ağla ilgili bilgileri sorgulama
Cihaz bulma, eklenen uç nokta için Defender cihazlarından bir ağ veri kaynağı olarak yararlanarak etkinlikleri eklenmemiş cihazlara bağlar. Uç Nokta için Defender'ın eklenen cihazındaki ağ algılayıcısı iki yeni bağlantı türü tanımlar:
- ConnectionAttempt - TCP bağlantısı kurma girişimi (syn)
- ConnectionAcknowledged - TCP bağlantısının kabul edildiğine ilişkin bir bildirim (syn\ack)
Başka bir deyişle, eklenmemiş bir cihaz eklenen uç nokta için Defender cihazıyla iletişim kurmaya çalıştığında, girişim bir DeviceNetworkEvent oluşturur ve eklenen cihaz zaman çizelgesinde ve Gelişmiş avcılık DeviceNetworkEvents tablosu aracılığıyla eklenmemiş cihaz etkinlikleri görülebilir.
Bu örnek sorguyu deneyebilirsiniz:
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Sonraki adımlar
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.