裝置探索概觀

保護您的環境需要清查網路中的裝置。 然而，在網路中對應裝置通常費用昂貴、具有挑戰性並非常耗時。

適用於端點的 Microsoft Defender 提供裝置探索功能，可協助您尋找連線到公司網路的非受控裝置，而不需要額外的設備或繁瑣的程式變更。 裝置探索會使用網路中的已上線端點來收集、探測或掃描您的網路，以探索未受控的裝置。 裝置探索功能可讓您探索：

• 企業端點 (尚未上線至適用於端點的 Defender 的工作站、伺服器和行動裝置)
• 路由器和交換器等網路設備
• 印表機和相機等物聯網裝置

未知和未受管的裝置會為您的網路帶來重大風險 - 無論是未修補的印表機、安全配置較弱的網路裝置，還是沒有安全控制的伺服器。 一旦發現裝置，您可以：

• 將非受控端點新增至服務中，提高它們的安全性可見性。
• 透過識別和評估弱點以及偵測設定缺口來减少受攻擊面。

觀看此影片，快速概觀如何評估和上線適用於端點的 Defender 所探索到的非受控裝置。

透過這項功能，將裝置上線至適用於端點的 Defender 的安全性建議可作為現有 Microsoft Defender 弱點管理體驗的一部分。

探索方法

您可以選擇要由已上線裝置使用的探索模式。 模式控制企業網路中非受控裝置的可見度層級。

提供兩種探索模式：

• 基本探索：在此模式下，端點會被動收集網路中的事件，並從中擷取裝置資訊。 基本探索使用 SenseNDR.exe 二進位檔進行被動網路資料收集，而且不會起始任何網路流量。 端點會從已上線裝置看到的所有網路流量中擷取資料。 透過基本探索，您只能獲得網路中非受管理端點的有限可見度。

• Standard探索 (建議的) ：此模式可讓端點主動尋找網路中的裝置，以擴充收集的資料並探索更多裝置，協助您建立可靠且連貫的裝置清查。 除了使用被動方法觀察到的裝置之外，標準模式還使用常見的發現協定，這些協定使用網路中的組播查詢來尋找更多裝置。 Standard 模式使用智慧主動探查來探索觀察到的裝置的其他資訊，以豐富現有的裝置資訊。 啟用 Standard 模式時，組織中的網路監視工具可能會觀察到探索感應器所產生的最小且可忽略的網路活動。

您可以變更和自訂探索設定，如需詳細資訊，請參閱 設定裝置探索。

探索引擎區分在公司網路内部與在公司網路外部接收到的事件。 不會探索未連線至公司網路的裝置或將其列在裝置清單中。

裝置庫存

已探索到但未上線並由適用於端點的 Defender 保護的裝置會列在裝置清查中。

若要評估這些裝置，您可以使用裝置清查清單中稱為 [ 上線狀態] 的篩選條件，該篩選條件可以具有下列任何值：

• 已上線：端點已上線至適用於端點的 Defender。
• 可以上線：在網路中探索到端點，且作業系統已識別為適用於端點的 Defender 所支援的作業系統，但目前尚未上線。 我們強烈建議將這些裝置上線。
• 不支援：端點是在網路中探索到，但適用於端點的 Defender 不支援。
• 資訊不足：系統無法判斷裝置的支援性。 在網路中的更多裝置上啟用標準探索可以豐富探索到的屬性。

如需詳細資訊，請參閱裝置庫存。

網路裝置探索

組織中部署的大量非託管網路裝置會造成較大的攻擊面，並對整個企業構成重大風險。 適用於端點的 Defender 網路探索功能可協助您確保探索網路裝置、準確分類，並新增至資產清查。

網路裝置不會作為標準端點進行管理，因為適用於端點的 Defender 沒有內建於網路裝置本身的感應器。 這些類型的裝置需要無代理程式方法，其中遠端掃描從裝置取得必要的資訊。 若要這樣做，會在每個網路區段上使用指定的適用於端點的 Defender 裝置，以執行預先設定的網路裝置的定期驗證掃描。 適用於端點的 Defender 的弱點管理功能提供整合式工作流程，以保護探索到的交換器、路由器、WLAN 控制器、防火牆和 VPN 閘道。

如需詳細資訊，請參閱網路裝置。

裝置探索整合

為了解決取得足夠可見度以尋找、識別及保護完整 OT/IOT 資產清查的挑戰，適用於端點的 Defender 現在支援下列整合：

• 適用於 IoT 的 Microsoft Defender：此整合會結合適用於端點的 Defender 的裝置探索功能，與 Microsoft Defender 入口網站中的適用於 IoT 的 Microsoft Defender 結合，以保護：

  • OT 裝置，例如伺服器或封裝系統。 如需詳細資訊，請參閱在 Defender 入口網站中將適用於 IoT 的 Defender 上線。
  • 連接到 IT 網路的企業物聯網設備 (例如網際網路協定語音 (VoIP) 、印表機和智慧電視) 。 如需詳細資訊，請參閱開始使用 企業 IoT 安全性。

發現的裝置之弱點評定

裝置上的弱點和風險，以及網路中其他探索到的未受控裝置，是目前 Defender 弱點管理流程的一部分，位於 [安全性建議] 底下，並呈現在入口網站的實體頁面中。 搜尋「SSH」相關的安全性建議，以尋找與非受管理裝置和受管理裝置相關的 SSH 弱點。

對發現的裝置使用進階搜捕

您可以使用進階搜捕查詢來取得探索到的裝置的可見度。 在 DeviceInfo 資料表中尋找探索到裝置的詳細資料，或在 DeviceNetworkInfo 資料表中尋找這些裝置的網路相關資訊。

查詢探索到的裝置詳細資料

在 DeviceInfo 資料表上執行此查詢，以傳回所有探索到的裝置，以及每個裝置的最新詳細數據：

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId  // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

藉由叫用 SeenBy 函式，在進階搜捕查詢中，您可以取得探索到的裝置所看到的上線裝置的詳細數據。 此資訊可協助判斷每個已探索到裝置的網路位置，並隨後協助在網路中識別它。

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId 
| where isempty(MergedToDeviceId) 
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

如需詳細資訊，請參閱 SeenBy () 函式。

査詢網路相關資訊

裝置探索會利用適用於端點的 Defender 上線裝置作為網路資料來源，將活動歸因於未上線的裝置。 適用於端點的 Defender 上線裝置上的網路感應器會識別兩種新的連線類型：

• ConnectionAttempt - 嘗試建立 TCP 連線 (syn)
• ConnectionAcknowledged - 確認已 (syn\ack) 接受 TCP 連線

這表示當未上線的裝置嘗試與已上線的適用於端點的 Defender 裝置通訊時，嘗試會產生 DeviceNetworkEvent，而且非上線的裝置活動可以在上線的裝置時程表上看到，並透過進階搜捕 DeviceNetworkEvents 數據表。

您可以嘗試此範例査詢：

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10

後續步驟

• 設定裝置探索
• 裝置探索常見問題集