Détecter des appareils avec la découverte d’appareil

Effectué

La protection de votre environnement nécessite l’inventaire des appareils qui se trouvent dans votre réseau. Toutefois, la cartographie des appareils d’un réseau peut souvent être coûteuse, difficile et fastidieuse.

Microsoft Defender pour point de terminaison fournit une fonctionnalité de découverte d’appareils qui vous permet de trouver les appareils non gérés connectés à votre réseau d’entreprise sans avoir besoin d’appliances supplémentaires ou d’effectuer de fastidieuses modifications de processus. La découverte d’appareils utilise des points de terminaison intégrés dans votre réseau pour collecter, sonder ou analyser votre réseau afin de découvrir les appareils non gérés. La fonctionnalité de découverte d’appareils vous permet de découvrir :

  • Les points de terminaison d’entreprise (stations de travail, serveurs et appareils mobiles) qui ne sont pas encore intégrés à Microsoft Defender pour point de terminaison.
  • Les appareils réseau tels que les routeurs et les commutateurs.
  • Les appareils IoT tels que les imprimantes et les caméras.

Les appareils inconnus et non gérés présentent des risques importants pour votre réseau, qu’il s’agisse d’une imprimante non corrigé, d’appareils réseau avec des configurations de sécurité faibles ou d’un serveur sans contrôles de sécurité. Une fois les appareils découverts, vous pouvez :

  • Intégrer des points de terminaison non gérés au service, augmentant ainsi la visibilité de la sécurité sur ces points de terminaison.
  • Réduire la surface d’attaque en identifiant et en évaluant les vulnérabilités, et en détectant les lacunes de configuration.

Pour découvrir les appareils, regardez cette vidéo sur la découverte d’appareils.

Pour évaluer et intégrer des appareils non gérés :

Avec cette fonctionnalité, une recommandation de sécurité pour intégrer des appareils à Microsoft Defender pour point de terminaison est disponible dans le cadre de l’expérience existante de Gestion des menaces et des vulnérabilités.

Méthodes de découverte Vous pouvez choisir le mode de découverte devant être utilisé par vos appareils intégrés. Le mode contrôle le niveau de visibilité que vous pouvez obtenir pour les appareils non gérés dans votre réseau d’entreprise.

Deux modes de découverte sont disponibles :

  • Découverte de base : dans ce mode, les points de terminaison collectent passivement les événements de votre réseau, et extraient les informations sur les appareils à partir de ces derniers. La découverte de base utilise le fichier binaire SenseNDR.exe pour la collecte passive des données réseau, et aucun trafic réseau n’a lieu. Les points de terminaison extraient les données à partir de chaque trafic réseau visible par un appareil intégré. Avec la découverte de base, vous bénéficiez uniquement d’une visibilité limitée des points de terminaison non gérés dans votre réseau.

  • Découverte standard (recommandée) : ce mode permet aux points de terminaison de rechercher activement des appareils dans votre réseau afin d’enrichir les données collectées et de découvrir d’autres appareils, ce qui vous permet de créer un inventaire des appareils fiable et cohérent. Outre les appareils qui ont été observés à l’aide de la méthode passive, le mode standard utilise également des protocoles de découverte courants qui utilisent des requêtes de multidiffusion dans le réseau pour trouver encore plus d’appareils. Le mode standard utilise un sondage intelligent et actif pour découvrir des informations supplémentaires sur les appareils observés, afin d’enrichir les informations existantes sur les appareils. Lorsque le mode standard est activé, une activité réseau minimale et négligeable générée par le capteur de découverte peut être observée par les outils de monitoring réseau de votre organisation.

Les appareils qui ont été découverts mais n’ont pas encore été intégrés et sécurisés par Microsoft Defender pour point de terminaison sont listés dans l’inventaire des appareils sous l’onglet Ordinateurs et appareils mobiles.

Pour évaluer ces appareils, vous pouvez utiliser un filtre dans la liste d’inventaire des appareils nommé État d’intégration, qui peut avoir l’une des valeurs suivantes :

  • Intégré : le point de terminaison est intégré à Microsoft Defender pour point de terminaison.
  • Peut être intégré : le point de terminaison a été découvert dans le réseau et le système d’exploitation a été identifié comme étant pris en charge par Microsoft Defender pour point de terminaison, mais il n’est pas intégré actuellement. Nous vous recommandons vivement d’intégrer ces appareils.
  • Non pris en charge : le point de terminaison a été découvert dans le réseau, mais n’est pas pris en charge par Microsoft Defender pour point de terminaison.
  • Informations insuffisantes : le système n’a pas pu déterminer la prise en charge de l’appareil. L’activation de la découverte standard sur d’autres appareils du réseau peut enrichir les attributs découverts.