مشاركة عبر

الأسئلة المتداولة حول اكتشاف الجهاز

  • مقالة

ينطبق على:

هام

تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.

ابحث عن إجابات للأسئلة المتداولة (FAQs) حول اكتشاف الجهاز.

ما هو وضع الاكتشاف الأساسي؟

يسمح هذا الوضع لكل جهاز تم إلحاقه Microsoft Defender لنقطة النهاية بجمع بيانات الشبكة واكتشاف الأجهزة المجاورة. تجمع نقاط النهاية المإلحاقة الأحداث في الشبكة بشكل سلبي وتستخرج معلومات الجهاز منها. لم يتم بدء حركة مرور الشبكة. تستخرج نقاط النهاية المإلحاقة البيانات من كل نسبة استخدام الشبكة التي يراها جهاز تم إلحاقه. تستخدم هذه البيانات لسرد الأجهزة غير المدارة في شبكتك.

هل يمكنني تعطيل الاكتشاف الأساسي؟

لديك خيار إيقاف تشغيل اكتشاف الجهاز من خلال صفحة الميزات المتقدمة . ومع ذلك، ستفقد الرؤية على الأجهزة غير المدارة في شبكتك. لاحظ أنه حتى إذا تم إيقاف تشغيل اكتشاف الجهاز، فسيظل SenseNDR.exe قيد التشغيل على الأجهزة المإلحاقة.

ما هو وضع الاكتشاف Standard؟

في هذا الوضع، يمكن لنقاط النهاية المإلحاقة Microsoft Defender لنقطة النهاية فحص الأجهزة التي تمت ملاحظتها بنشاط في الشبكة لإثراء البيانات المجمعة (مع كمية ضئيلة من نسبة استخدام الشبكة). يتم فحص الأجهزة التي تمت ملاحظتها بواسطة وضع الاكتشاف الأساسي فقط بنشاط في الوضع القياسي. يوصى بهذا الوضع بشدة لإنشاء مخزون أجهزة موثوق به ومتماسك. إذا اخترت تعطيل هذا الوضع، وحددت وضع الاكتشاف الأساسي، فستحصل على رؤية محدودة فقط لنقاط النهاية غير المدارة في شبكتك.

يستفيد وضع Standard أيضا من بروتوكولات الاكتشاف الشائعة التي تستخدم استعلامات الإرسال المتعدد في الشبكة للعثور على المزيد من الأجهزة، بالإضافة إلى الأجهزة التي تمت ملاحظتها باستخدام الأسلوب السلبي.

هل يمكنني التحكم في الأجهزة التي تقوم Standard الاكتشاف؟

يمكنك تخصيص قائمة الأجهزة المستخدمة لإجراء اكتشاف Standard. يمكنك إما تمكين اكتشاف Standard على جميع الأجهزة المإلحاقة التي تدعم أيضا هذه الإمكانية (حاليا Windows 10 أو أحدث Windows Server 2019 أو الأجهزة الأحدث فقط) أو تحديد مجموعة فرعية أو مجموعات فرعية من أجهزتك عن طريق تحديد علامات أجهزتها. في هذه الحالة، يتم تكوين جميع الأجهزة الأخرى لتشغيل الاكتشاف الأساسي فقط. يتوفر التكوين في صفحة إعدادات اكتشاف الجهاز.

هل يمكنني استبعاد الأجهزة غير المدارة من قائمة مخزون الأجهزة؟

نعم، يمكنك تطبيق عوامل التصفية لاستبعاد الأجهزة غير المدارة من قائمة مخزون الجهاز. يمكنك أيضا استخدام عمود حالة الإلحاق في استعلامات واجهة برمجة التطبيقات لتصفية الأجهزة غير المدارة.

ما هي الأجهزة المإلحاقة التي يمكنها إجراء الاكتشاف؟

يمكن للأجهزة المإلحاقة التي تعمل بالإصدارات التالية من Windows إجراء اكتشاف الجهاز:

  • Windows 11
  • الإصدار 1809 من Windows 10 أو أحدث
  • Windows Server 2025
  • Windows Server 2022
  • Windows Server 2019

ماذا يحدث إذا كانت أجهزتي المإلحاقة متصلة بشبكتي المنزلية، أو بنقطة وصول عامة؟

يميز محرك الاكتشاف بين أحداث الشبكة التي يتم تلقيها في شبكة الشركة مقابل خارج شبكة الشركة. من خلال ربط معرفات الشبكة عبر جميع عملاء المستأجر، يتم تمييز الأحداث بين تلك التي تم تلقيها من الشبكات الخاصة وشبكات الشركات. على سبيل المثال، إذا أبلغت معظم الأجهزة في المؤسسة أنها متصلة بنفس اسم الشبكة، بنفس البوابة الافتراضية وعنوان خادم DHCP، يمكن افتراض أن هذه الشبكة من المحتمل أن تكون شبكة شركة. لن يتم إدراج أجهزة الشبكة الخاصة في المخزون ولن يتم فحصها بنشاط.

ما البروتوكولات التي تلتقطها وتحللها؟

بشكل افتراضي، تقوم جميع الأجهزة المدمجة التي تعمل على الإصدار 1809 Windows 10 أو أحدث أو Windows 11 أو Windows Server 2019 أو Windows Server 2022 أو Windows Server 2025 بالتقاط البروتوكولات التالية وتحليلها:

  • ARP
  • CDP
  • DHCP
  • DHCPv6
  • IP (رؤوس)
  • LLDP
  • LL'MNR
  • mDNS
  • MNDP
  • MSSQL
  • NBNS
  • SSDP
  • TCP (رؤوس SYN)
  • UDP (رؤوس)
  • WSD

ما البروتوكولات التي تستخدمها للكشف النشط في اكتشاف Standard؟

عند تكوين جهاز لتشغيل Standard الاكتشاف، يتم فحص الخدمات المكشوفة باستخدام البروتوكولات التالية:

  • AFP
  • ARP
  • DHCP
  • FTP
  • HTTP
  • HTTPS
  • ICMP
  • IphoneSync
  • IPP
  • LDAP
  • LLMNR
  • mDNS
  • NBNS
  • NBSS
  • PJL
  • RDP
  • RPC
  • SIP
  • SLP
  • SMB
  • SMTP
  • SNMP
  • SSH
  • Telnet
  • UPNP
  • VNC
  • WinRM
  • WSD

بالإضافة إلى ذلك، قد يقوم اكتشاف الجهاز أيضا بفحص المنافذ الأخرى شائعة الاستخدام لتحسين دقة التصنيف & التغطية.

كيف يمكنني استبعاد الأهداف من التحقيق في اكتشاف Standard؟

إذا كانت هناك أجهزة على شبكتك، والتي لا ينبغي فحصها بنشاط، يمكنك أيضا تحديد قائمة بالاستثناءات لمنع فحصها. يتوفر التكوين في صفحة إعدادات اكتشاف الجهاز.

ملاحظة

قد لا تزال الأجهزة ترد على محاولات اكتشاف الإرسال المتعدد في الشبكة. سيتم اكتشاف هذه الأجهزة ولكن لن يتم فحصها بنشاط.

هل يمكنني استبعاد اكتشاف الأجهزة؟

نظرا لأن اكتشاف الجهاز يستخدم أساليب سلبية لاكتشاف الأجهزة في الشبكة، يمكن اكتشاف أي جهاز يتصل بأجهزتك المإلحاقة في شبكة الشركة وإدراجه في المخزون. يمكنك استبعاد الأجهزة من التحقق النشط فقط.

ما مدى تكرار التحقق النشط؟

سيتم فحص الأجهزة بنشاط عند ملاحظة التغييرات في خصائص الجهاز للتأكد من تحديث المعلومات الموجودة (عادة، لا يتم فحص الأجهزة أكثر من مرة واحدة في فترة ثلاثة أسابيع)

رفعت أداة الأمان الخاصة بي تنبيها على UnicastScanner.ps1 / PSScript_{GUID}.ps1 أو نشاط فحص المنفذ الذي بدأه. ما الذي ينبغي علي فعله؟

يتم توقيع برامج التحقق النصية النشطة من قبل Microsoft وهي آمنة. يمكنك إضافة المسار التالي إلى قائمة الاستبعاد الخاصة بك:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

ما مقدار نسبة استخدام الشبكة التي يتم إنشاؤها بواسطة الفحص النشط لاكتشاف Standard؟

يمكن أن يؤدي الفحص النشط إلى إنشاء ما يصل إلى 50 كيلوبايت من نسبة استخدام الشبكة بين الجهاز المإلحاق والجهاز الذي تم فحصه، كل محاولة فحص

لماذا يوجد تعارض بين الأجهزة "يمكن إلحاقها" في مخزون الجهاز، وعدد "الأجهزة المراد إلحاقها" في لوحة المعلومات؟

قد تلاحظ اختلافات بين عدد الأجهزة المدرجة ضمن "يمكن إلحاقها" في مخزون الجهاز، والتوصية الأمنية "إلحاق Microsoft Defender لنقطة النهاية"، وأداة لوحة معلومات "الأجهزة للإلحاق".

توصية الأمان وأداة لوحة المعلومات مخصصة للأجهزة المستقرة في الشبكة؛ باستثناء الأجهزة سريعة الزوال وأجهزة الضيوف وغيرها. الفكرة هي التوصية على الأجهزة الثابتة التي تشير أيضا إلى درجة الأمان الإجمالية للمؤسسة.

هل يمكنني إلحاق الأجهزة غير المدارة التي تم العثور عليها؟

نعم. يمكنك إلحاق الأجهزة غير المدارة يدويا. تقدم نقاط النهاية غير المدارة في شبكتك ثغرات أمنية ومخاطر على شبكتك. يمكن أن يؤدي إلحاقها بالخدمة إلى زيادة رؤية الأمان عليها.

لقد لاحظت أن حالة صحة الجهاز غير المدارة دائما "نشطة". لماذا هذا؟

بشكل مؤقت، تكون حالة سلامة الجهاز غير المدارة "نشطة" خلال فترة الاستبقاء القياسية لمخزون الجهاز، بغض النظر عن حالتها الفعلية.

هل يبدو الاكتشاف القياسي مثل نشاط الشبكة الضار؟

عند التفكير في Standard الاكتشاف، قد تتساءل عن الآثار المترتبة على الفحص، وتحديدا ما إذا كانت أدوات الأمان قد تشك في مثل هذا النشاط على أنه ضار. يشرح القسم الفرعي التالي لماذا، في جميع الحالات تقريبا، يجب ألا يكون لدى المؤسسات أي مخاوف بشأن تمكين اكتشاف Standard.

يتم توزيع التحقق عبر جميع أجهزة Windows على الشبكة

بدلا من النشاط الضار، الذي من شأنه عادة مسح الشبكة بأكملها من عدد قليل من الأجهزة المخترقة، يتم بدء فحص اكتشاف Microsoft Defender لنقطة النهاية Standard من جميع أجهزة Windows المإلحاقة مما يجعل النشاط حميدا وغير شاذ. تتم إدارة التحقق مركزيا من السحابة لموازنة محاولة التحقق بين جميع الأجهزة المإلحاقة المدعومة في الشبكة.

يؤدي التحقق النشط إلى كمية ضئيلة من نسبة استخدام الشبكة الإضافية

عادة ما لا يتم فحص الأجهزة غير المدارة أكثر من مرة واحدة في فترة ثلاثة أسابيع وتولد أقل من 50 كيلوبايت من نسبة استخدام الشبكة. يتضمن النشاط الضار عادة محاولات فحص متكررة للغاية وفي بعض الحالات تسرب البيانات الذي يولد قدرا كبيرا من حركة مرور الشبكة التي يمكن تحديدها على أنها حالة شاذة بواسطة أدوات مراقبة الشبكة.

يعمل جهاز Windows الخاص بك بالفعل على تشغيل الاكتشاف النشط

تم دائما تضمين قدرات الاكتشاف النشطة في نظام التشغيل Windows، للعثور على الأجهزة القريبة ونقاط النهاية والطابعات، لتسهيل تجارب "التوصيل والتشغيل" ومشاركة الملفات بين نقاط النهاية في الشبكة. يتم تنفيذ وظائف مماثلة في الأجهزة المحمولة ومعدات الشبكة وتطبيقات المخزون على سبيل المثال لا الحصر.

يستخدم Standard الاكتشاف نفس أساليب الاكتشاف لتحديد الأجهزة والحصول على رؤية موحدة لجميع الأجهزة في شبكتك في Microsoft Defender XDR Device Inventory. على سبيل المثال - يحدد Standard الاكتشاف نقاط النهاية القريبة في الشبكة بنفس الطريقة التي يسرد بها Windows الطابعات المتوفرة في الشبكة.

أدوات أمان الشبكة ومراقبتها غير مبالة بمثل هذه الأنشطة التي تقوم بها الأجهزة الموجودة على الشبكة.

يتم فحص الأجهزة غير المدارة فقط

تم إنشاء قدرات اكتشاف الجهاز لاكتشاف الأجهزة غير المدارة وتحديدها فقط على شبكتك. وهذا يعني أنه لن يتم فحص الأجهزة التي تم اكتشافها مسبقا والتي تم إلحاقها بالفعل Microsoft Defender لنقطة النهاية.

يمكنك استبعاد استدراج الشبكة من التحقق النشط

يدعم اكتشاف Standard استبعاد الأجهزة أو النطاقات (الشبكات الفرعية) من التحقق النشط. إذا كان لديك استدراج للشبكة تم نشره في مكانه، يمكنك استخدام إعدادات اكتشاف الجهاز لتحديد الاستثناءات استنادا إلى عناوين IP أو الشبكات الفرعية (نطاق من عناوين IP). يضمن تحديد هذه الاستثناءات عدم فحص هذه الأجهزة بشكل نشط ولن يتم تنبيهها. يتم اكتشاف هذه الأجهزة باستخدام أساليب سلبية فقط (على غرار وضع الاكتشاف الأساسي).

تلميح

هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.