Vue d’ensemble de la découverte d’appareils
S’applique à :
La protection de votre environnement nécessite de faire l’inventaire des appareils de votre réseau. Toutefois, le mappage des appareils d’un réseau peut souvent être coûteux, difficile et fastidieux.
Microsoft Defender pour point de terminaison fournit une fonctionnalité de découverte d’appareils qui vous permet de trouver des appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appliances supplémentaires ou de modifications de processus fastidieuses. La découverte d’appareils utilise des points de terminaison intégrés, dans votre réseau, pour collecter, sonder ou analyser votre réseau afin de découvrir des appareils non gérés. La fonctionnalité de découverte d’appareil vous permet de découvrir :
- Points de terminaison d’entreprise (stations de travail, serveurs et appareils mobiles) qui ne sont pas encore intégrés à Defender pour point de terminaison
- Périphériques réseau tels que les routeurs et les commutateurs
- Appareils IoT tels que les imprimantes et les caméras
Les appareils inconnus et non gérés présentent des risques importants pour votre réseau, qu’il s’agisse d’une imprimante non corrigée, de périphériques réseau avec des configurations de sécurité faibles ou d’un serveur sans contrôle de sécurité. Une fois les appareils découverts, vous pouvez :
- Intégrer des points de terminaison non gérés au service, ce qui augmente la visibilité de la sécurité sur ces derniers.
- Réduire la surface d’attaque en identifiant et en évaluant les vulnérabilités, et en détectant les lacunes de configuration.
Regardez cette vidéo pour obtenir une vue d’ensemble rapide de l’évaluation et de l’intégration des appareils non gérés découverts par Defender pour point de terminaison.
Avec cette fonctionnalité, une recommandation de sécurité pour intégrer des appareils à Defender pour point de terminaison est disponible dans le cadre de l’expérience de gestion des vulnérabilités Microsoft Defender existante.
Méthodes de détection
Vous pouvez choisir le mode de découverte à utiliser par vos appareils intégrés. Le mode contrôle le degré de visibilité que vous pouvez avoir pour les appareils non gérés dans votre réseau d’entreprise.
Deux modes de détection sont disponibles :
Découverte de base : dans ce mode, les points de terminaison collectent passivement les événements dans votre réseau et en extraient les informations sur les appareils. La découverte de base utilise le binaire SenseNDR.exe pour la collecte de données réseau passive et aucun trafic réseau n’est initié. Les points de terminaison extraient des données de tout le trafic réseau vu par un appareil intégré. Avec la découverte de base, vous bénéficiez uniquement d’une visibilité limitée des points de terminaison non managés dans votre réseau.
Découverte standard (recommandée) : ce mode permet aux points de terminaison de rechercher activement des appareils dans votre réseau pour enrichir les données collectées et découvrir d’autres appareils, ce qui vous aide à créer un inventaire des appareils fiable et cohérent. En plus des appareils qui ont été observés à l’aide de la méthode passive, le mode standard utilise également des protocoles de découverte courants qui utilisent des requêtes de multidiffusion dans le réseau pour trouver encore plus d’appareils. Le mode Standard utilise une détection active intelligente pour découvrir des informations supplémentaires sur les appareils observés afin d’enrichir les informations existantes sur les appareils. Lorsque le mode Standard est activé, l’activité réseau minimale et négligeable générée par le capteur de découverte peut être observée par les outils de surveillance réseau de votre organisation.
Vous pouvez modifier et personnaliser vos paramètres de découverte. Pour plus d’informations, consultez Configurer la découverte d’appareils.
Importante
La découverte standard est le mode par défaut pour tous les clients à partir du 19 juillet 2021. Vous pouvez choisir de modifier cette configuration en basic via la page des paramètres. Si vous sélectionnez le mode de base, vous n’avez qu’une visibilité limitée des points de terminaison non gérés dans votre réseau.
Le moteur de détection fait la distinction entre les événements réseau reçus dans le réseau d’entreprise et en dehors du réseau d’entreprise. Les appareils non connectés aux réseaux d’entreprise ne seront pas détectés ou répertoriés dans l’inventaire des appareils.
Inventaire des appareils
Les appareils qui ont été découverts, mais qui ne sont pas intégrés et sécurisés par Defender pour point de terminaison, sont répertoriés dans l’inventaire des appareils.
Pour évaluer ces appareils, vous pouvez utiliser un filtre dans la liste d’inventaire des appareils appelé État d’intégration, qui peut avoir l’une des valeurs suivantes :
- Intégré : le point de terminaison est intégré à Defender pour point de terminaison.
- Peut être intégré : le point de terminaison a été découvert dans le réseau et le système d’exploitation a été identifié comme étant pris en charge par Defender pour point de terminaison, mais il n’est pas actuellement intégré. Nous vous recommandons vivement d’intégrer ces appareils.
- Non pris en charge : le point de terminaison a été découvert dans le réseau, mais n’est pas pris en charge par Defender pour point de terminaison.
- Informations insuffisantes : le système n’a pas pu déterminer la prise en charge de l’appareil. L’activation du mode de détection standard sur davantage d’appareils du réseau peut enrichir les attributs détectés.
Conseil
Vous pouvez toujours appliquer des filtres pour exclure les appareils non gérés de la liste d’inventaire des appareils. Vous pouvez également utiliser la colonne d’état de l’intégration sur les requêtes d’API pour filtrer les appareils non gérés.
Pour plus d’informations, consultez Inventaire des appareils.
Détection de périphériques réseau
Le grand nombre d’appareils réseau non gérés déployés dans une organisation crée une grande surface d’attaque et représente un risque important pour l’ensemble de l’entreprise. Les fonctionnalités de découverte réseau de Defender pour point de terminaison vous permettent de vous assurer que les appareils réseau sont découverts, classifiés avec précision et ajoutés à l’inventaire des ressources.
Les appareils réseau ne sont pas gérés en tant que points de terminaison standard, car Defender pour point de terminaison n’a pas de capteur intégré aux appareils réseau eux-mêmes. Ces types d’appareils nécessitent une approche sans agent où une analyse à distance obtient les informations nécessaires auprès des appareils. Pour ce faire, un appareil Defender pour point de terminaison désigné est utilisé sur chaque segment réseau pour effectuer des analyses authentifiées périodiques d’appareils réseau préconfigurés. Les fonctionnalités de gestion des vulnérabilités de Defender pour point de terminaison fournissent des workflows intégrés pour sécuriser les commutateurs découverts, les routeurs, les contrôleurs WLAN, les pare-feu et les passerelles VPN.
Pour plus d’informations, consultez Périphériques réseau.
Intégration de la découverte d’appareils
Pour relever le défi que représente l’obtention d’une visibilité suffisante pour localiser, identifier et sécuriser votre inventaire de ressources OT/IOT complet, Defender pour point de terminaison prend désormais en charge l’intégration suivante :
Microsoft Defender pour IoT : cette intégration combine les fonctionnalités de découverte d’appareils de Defender pour point de terminaison avec Microsoft Defender pour IoT dans le portail Microsoft Defender (préversion) pour sécuriser :
- Les appareils OT, tels que les serveurs ou les systèmes d’empaquetage. Pour plus d’informations, consultez Intégrer Defender pour IoT dans le portail Defender.
- Appareils IoT d’entreprise connectés à un réseau informatique (par exemple, VoIP (Voice over Internet Protocol), imprimantes et téléviseurs intelligents). Pour plus d’informations, consultez Activer la sécurité IoT d’entreprise avec Defender pour point de terminaison.
Évaluation des vulnérabilités sur les appareils détectés
Les vulnérabilités et les risques sur vos appareils, ainsi que sur d’autres appareils non gérés découverts dans le réseau, font partie des flux actuels de gestion des vulnérabilités Defender sous « Recommandations de sécurité » et sont représentés dans les pages d’entité sur le portail. Recherchez les recommandations de sécurité liées à « SSH » pour rechercher les vulnérabilités SSH liées aux appareils non managés et gérés.
Utiliser le repérage avancé sur les appareils détectés
Vous pouvez utiliser des requêtes de repérage avancées pour gagner en visibilité sur les appareils découverts. Recherchez des détails sur les appareils découverts dans la table DeviceInfo, ou des informations relatives au réseau sur ces appareils, dans la table DeviceNetworkInfo.
Interroger les détails des appareils découverts
Exécutez cette requête sur la table DeviceInfo pour retourner tous les appareils découverts, ainsi que les détails les plus récents pour chaque appareil :
DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device Id
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"
En appelant la fonction SeenBy , dans votre requête de repérage avancée, vous pouvez obtenir des détails sur l’appareil intégré par lequel un appareil découvert a été vu. Ces informations peuvent aider à déterminer l’emplacement réseau de chaque appareil découvert et, par la suite, à l’identifier dans le réseau.
DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy
Pour plus d’informations, consultez la fonction SeenBy().
Interroger les informations relatives au réseau
La découverte d’appareils tire parti des appareils intégrés Defender pour point de terminaison comme source de données réseau pour attribuer des activités à des appareils non intégrés. Le capteur réseau sur l’appareil intégré Defender pour point de terminaison identifie deux nouveaux types de connexion :
- ConnectionAttempt : tentative d’établissement d’une connexion TCP (syn)
- ConnectionAcknowledged : accusé de réception qu’une connexion TCP a été acceptée (syn\ack)
Cela signifie que lorsqu’un appareil non intégré tente de communiquer avec un appareil Defender pour point de terminaison intégré, la tentative génère un DeviceNetworkEvent et les activités de l’appareil non intégré peuvent être affichées sur la chronologie de l’appareil intégré et via la table DeviceNetworkEvents de repérage avancé.
Vous pouvez essayer cet exemple de requête :
DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10
Étapes suivantes
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.