Eszközfelderítéssel kapcsolatos gyakori kérdések

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Az eszközfelderítéssel kapcsolatos gyakori kérdésekre (GYIK) adott válaszok.

Mi az alapszintű felderítési mód?

Ez a mód lehetővé teszi, hogy minden Végponthoz készült Microsoft Defender előkészített eszköz összegyűjtse a hálózati adatokat, és felderítse a szomszédos eszközöket. Az előkészített végpontok passzívan gyűjtik az eseményeket a hálózaton, és eszközadatokat nyernek ki belőlük. A rendszer nem kezdeményez hálózati forgalmat. Az előkészített végpontok adatokat nyernek ki minden olyan hálózati forgalomból, amelyet egy előkészített eszköz lát. Ezek az adatok a hálózat nem felügyelt eszközeinek listázására szolgálnak.

Letilthatom az alapszintű felderítést?

Az eszközfelderítést a Speciális funkciók lapon kapcsolhatja ki. A hálózat nem felügyelt eszközein azonban elveszíti a láthatóságát. Vegye figyelembe, hogy ha az eszközfelderítés ki van kapcsolva, SenseNDR.exe továbbra is futni fog az előkészített eszközökön.

Mi az a Standard felderítési mód?

Ebben a módban a Végponthoz készült Microsoft Defender előkészített végpontok aktívan mintavételezhetik a megfigyelt eszközöket a hálózaton, hogy bővítsék az összegyűjtött adatokat (elhanyagolható mennyiségű hálózati forgalommal). A rendszer csak az alapszintű felderítési mód által megfigyelt eszközöket vizsgálja aktívan standard módban. Ez a mód kifejezetten ajánlott megbízható és koherens eszközleltár készítéséhez. Ha úgy dönt, hogy letiltja ezt a módot, és az Alapszintű felderítési módot választja, akkor valószínűleg csak korlátozottan fogja áttekinteni a hálózat nem felügyelt végpontjait.

A standard mód olyan gyakori felderítési protokollokat is használ, amelyek csoportos küldésű lekérdezéseket használnak a hálózaton, hogy még több eszközt találjanak a passzív módszerrel megfigyelteken kívül.

Szabályozhatom, hogy mely eszközök hajtanak végre standard felderítést?

Testre szabhatja a standard felderítés végrehajtásához használt eszközök listáját. Engedélyezheti a Standard felderítést az összes olyan előkészített eszközön, amely szintén támogatja ezt a képességet (jelenleg Windows 10 vagy újabb, és csak a 2019-Windows Server vagy újabb eszközökön), vagy kiválaszthatja az eszközök egy részhalmazát vagy részhalmazát az eszközcímkék megadásával. Ebben az esetben az összes többi eszköz úgy van konfigurálva, hogy csak az alapszintű felderítést futtassa. A konfiguráció az eszközfelderítési beállítások oldalán érhető el.

Kizárhatom a nem felügyelt eszközöket az eszközleltár-listából?

Igen, szűrők alkalmazásával kizárhatja a nem felügyelt eszközöket az eszközleltár-listából. A nem felügyelt eszközök kiszűréséhez az API-lekérdezések előkészítési állapot oszlopát is használhatja.

Mely előkészített eszközök végezhetnek felderítést?

A Windows következő verzióit futtató előkészített eszközök eszközfelderítést végezhetnek:

• Windows 11
• Windows 10, 1809-es verzió vagy újabb verzió
• Windows Server 2025
• Windows Server 2022
• Windows Server 2019

Mi történik, ha az előkészített eszközeim az otthoni hálózathoz vagy a nyilvános hozzáférési ponthoz csatlakoznak?

A felderítési motor különbséget tesz a vállalati hálózaton és a vállalati hálózaton kívül fogadott hálózati események között. Az összes bérlői ügyfél hálózati azonosítóinak korrelálásával az események megkülönböztethetők a magánhálózatoktól és a vállalati hálózatoktól érkezők között. Ha például a szervezet legtöbb eszköze arról számol be, hogy ugyanahhoz a hálózatnévhez csatlakoznak, ugyanazzal az alapértelmezett átjáró- és DHCP-kiszolgálócímmel, akkor feltételezhető, hogy ez a hálózat valószínűleg vállalati hálózat. A magánhálózati eszközök nem jelennek meg a leltárban, és nem lesznek aktívan mintavételezésre.

Milyen protokollokat rögzít és elemez?

Alapértelmezés szerint az Windows 10 1809-es vagy újabb, Windows 11, Windows Server 2019-es, Windows Server 2022-es vagy Windows Server 2025-ös verzióján futó összes előkészített eszköz rögzíti és elemzi a következő protokollokat:

• ARP
• CDP
• DHCP
• DHCPv6
• IP (fejlécek)
• LLDP
• LL'MNR
• mDNS
• MNDP
• MSSQL
• NBNS
• SSDP
• TCP (SYN-fejlécek)
• UDP (fejlécek)
• WSD

Milyen protokollokat használ az aktív mintavételhez a Standard felderítésben?

Ha egy eszköz standard felderítés futtatására van konfigurálva, a közzétett szolgáltatások mintavétele a következő protokollok használatával történik:

• AFP
• ARP
• DHCP
• FTP
• HTTP
• HTTPS
• ICMP
• IphoneSync
• IPP
• LDAP
• LLMNR
• mDNS
• NBNS
• NBSS
• PJL
• RDP
• RPC
• SIP
• SLP
• SMB
• SMTP
• SNMP
• SSH
• Telnet
• UPNP
• VNC
• WinRM
• WSD

Emellett az eszközfelderítés más gyakran használt portokat is megvizsgálhat a besorolás pontosságának & lefedettség javítása érdekében.

Hogyan zárhatom ki a célokat a standard felderítés mintavételéből?

Ha vannak olyan eszközök a hálózaton, amelyeket nem szabad aktívan mintavételezni, a kizárások listájának meghatározásával megakadályozhatja a vizsgálatukat. A konfiguráció az eszközfelderítési beállítások oldalán érhető el.

Kizárhatom az eszközöket a felderítésből?

Mivel az eszközfelderítés passzív módszerekkel deríti fel a hálózaton lévő eszközöket, a vállalati hálózaton lévő előkészített eszközökkel kommunikáló összes eszköz felderíthető és szerepelhet a leltárban. Az eszközök csak az aktív mintavételből zárhatók ki.

Milyen gyakran történik az aktív mintavétel?

Az eszközök aktívan mintavételezésre kerülnek, ha az eszközjellemzők változásait figyelik meg, hogy a meglévő információk naprakészek legyenek (általában háromhetes időszakban legfeljebb egyszer mintavételezett eszközök).

A biztonsági eszközem riasztást adott ki UnicastScanner.ps1/PSScript_{GUID}.ps1 vagy az általa kezdeményezett portvizsgálati tevékenységről. Mit tegyek?

Az aktív próbaszkripteket a Microsoft írta alá, és biztonságosak. A kizárási listához a következő elérési utat adhatja meg:

C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps1

Mekkora forgalmat generál a standard felderítési aktív mintavétel?

Az aktív mintavétel akár 50 KB forgalmat is képes generálni az előkészített eszköz és a mintavételezett eszköz között, minden mintavételezési kísérlet során

Miért van eltérés az eszközleltárban található "regisztrálható" eszközök és az irányítópult csempéjén található "előkészítésre kerülendő eszközök" száma között?

Az eszközleltárban a "regisztrálható" listában szereplő eszközök száma, az "előkészítés Végponthoz készült Microsoft Defender" biztonsági javaslat és az irányítópult vezérlője között eltéréseket tapasztalhat.

A biztonsági javaslat és az irányítópult-vezérlő olyan eszközökre vonatkozik, amelyek stabilak a hálózaton; kivéve a rövid élettartamú eszközöket, a vendégeszközöket és más eszközöket. Az ötlet az állandó eszközökön való ajánlás, amely a szervezet általános biztonsági pontszámát is jelenti.

Regisztrálhatok nem felügyelt eszközöket, amelyek megtalálhatók?

Igen, A nem felügyelt eszközöket manuálisan is regisztrálhatja. A hálózat nem felügyelt végpontjai biztonsági réseket és kockázatokat jelentenek a hálózat számára. A szolgáltatásba való előkészítés növelheti a biztonsági láthatóságot.

Észrevettem, hogy a nem felügyelt eszközállapot mindig "Aktív". Miért van ez?

A nem felügyelt eszközállapot ideiglenesen "Aktív" állapotú az eszközleltár szokásos megőrzési időszakában, a tényleges állapotuktól függetlenül.

A standard felderítés kártékony hálózati tevékenységnek tűnik?

A Standard felderítés mérlegelésekor felmerülhet a kérdés, hogy milyen következményekkel jár a mintavétel, és hogy a biztonsági eszközök esetleg rosszindulatú tevékenységre gyanakodhatnak-e. Az alábbi alszakasz azt ismerteti, hogy a szervezeteknek szinte minden esetben miért nem kell foglalkozniuk a standard felderítés engedélyezésével.

A mintavétel a hálózaton lévő összes Windows-eszköz között el van osztva

A kártékony tevékenységekkel szemben, amelyek általában a teljes hálózatot ellenőrzik néhány feltört eszközről, Végponthoz készült Microsoft Defender standard felderítési mintavételét az összes előkészített Windows-eszköz kezdeményezi, így a tevékenység jóindulatú és nem rendellenes. A mintavétel központilag van felügyelve a felhőből, hogy egyensúlyba hozhassa a mintavételi kísérletet a hálózat összes támogatott előkészített eszköze között.

Az aktív mintavétel elhanyagolható mennyiségű extra forgalmat eredményez

A nem felügyelt eszközök mintavétele általában három hét alatt legfeljebb egyszer történne, és 50 KB-nál kevesebb forgalmat eredményezne. A rosszindulatú tevékenységek általában nagy számú ismétlődő mintavételi kísérletet és bizonyos esetekben olyan adatkiszivárgást tartalmaznak, amely jelentős mennyiségű hálózati forgalmat generál, amelyet a hálózatfigyelési eszközök anomáliaként azonosíthatnak.

A Windows-eszköz már futtatja az aktív felderítést

Az aktív felderítési képességek mindig be vannak ágyazva a Windows operációs rendszerbe, hogy megtalálják a közeli eszközöket, végpontokat és nyomtatókat a hálózati végpontok közötti egyszerűbb "plug and play" élmény és fájlmegosztás érdekében. Hasonló funkciókat implementálnak a mobileszközök, a hálózati berendezések és a leltáralkalmazások, hogy csak néhányat említsünk.

A standard felderítés ugyanezekkel a felderítési módszerekkel azonosítja az eszközöket, és egységes láthatóságot biztosít a hálózatban lévő összes eszköz számára az Microsoft Defender XDR Eszközleltárban. Például – A standard felderítés ugyanúgy azonosítja a hálózatban lévő közeli végpontokat, mint ahogyan a Windows a hálózaton elérhető nyomtatókat listázza.

A hálózati biztonsági és monitorozási eszközök közömbösek a hálózaton lévő eszközök által végzett ilyen tevékenységekhez.

Csak a nem felügyelt eszközök mintavétele történik

Az eszközfelderítési képességek úgy lettek kialakítva, hogy csak a hálózat nem felügyelt eszközeit derítsük fel és azonosítsuk. Ez azt jelenti, hogy az Végponthoz készült Microsoft Defender már előkészített, korábban felderített eszközök mintavétele nem fog sikerülni.

Kizárhatja a hálózati csalit az aktív mintavételből

A standard felderítés támogatja az eszközök vagy tartományok (alhálózatok) kizárását az aktív mintavételből. Ha hálózati csalik vannak üzembe helyezve, az Eszközfelderítés beállításaival definiálhat kizárásokat az IP-címek vagy alhálózatok (IP-címek tartománya) alapján. A kizárások meghatározása biztosítja, hogy ezek az eszközök ne legyenek aktívan mintavételezettek, és ne legyenek riasztások. Ezek az eszközök csak passzív módszerekkel vannak felderítve (az alapszintű felderítési módhoz hasonlóan).