Rilevare i dispositivi con l'individuazione dei dispositivi
La protezione dell'ambiente richiede l'inventario dei dispositivi presenti nella rete. Tuttavia, il mapping dei dispositivi in una rete può spesso risultare costoso, complesso e dispendioso in termini di tempo.
Microsoft Defender per endpoint offre una funzionalità di individuazione dei dispositivi che consente di trovare dispositivi non gestiti connessi alla rete aziendale senza la necessità di appliance aggiuntive o modifiche complesse al processo. L'individuazione dei dispositivi usa gli endpoint di cui è stato eseguito l'onboarding, nella rete per raccogliere, probe o analizzare la rete per individuare i dispositivi non gestiti. La funzionalità di individuazione dei dispositivi consente di individuare:
- Endpoint aziendali (workstation, server e dispositivi mobili) che non sono ancora stati onboarding in Microsoft Defender per endpoint
- Dispositivi di rete come router e commutatori
- Dispositivi IoT come stampanti e fotocamere
I dispositivi sconosciuti e non gestiti introducono rischi significativi per la rete, sia che si tratti di una stampante senza patch, di dispositivi di rete con configurazioni di sicurezza deboli o di un server senza controlli di sicurezza. Dopo aver individuato i dispositivi, è possibile:
- Eseguire l'onboarding degli endpoint non gestiti nel servizio, aumentando la visibilità della sicurezza su di essi.
- Ridurre la superficie di attacco identificando e valutando le vulnerabilità e rilevando gap di configurazione.
Per individuare i dispositivi, guardare il video: Individua dispositivi.
Per valutare ed eseguire l'onboarding di dispositivi non gestiti:
Con questa funzionalità, un consiglio di sicurezza per eseguire l'onboarding dei dispositivi in Microsoft Defender per endpoint è disponibile come parte dell'esperienza di gestione delle minacce e delle vulnerabilità esistente.
Metodi di individuazione È possibile scegliere la modalità di individuazione da usare dai dispositivi di cui è stato eseguito l'onboarding. La modalità controlla il livello di visibilità che è possibile ottenere per i dispositivi non gestiti nella rete aziendale.
Sono disponibili due modalità di individuazione:
Individuazione di base: in questa modalità, gli endpoint raccoglieranno passivamente gli eventi nella rete ed estraggono le informazioni sul dispositivo da essi. L'individuazione di base usa il file binario SenseNDR.exe per la raccolta di dati di rete passiva e non verrà avviato alcun traffico di rete. Gli endpoint estraggono i dati da ogni traffico di rete visualizzato da un dispositivo di cui è stato eseguito l'onboarding. Con l'individuazione di base, si otterrà solo una visibilità limitata degli endpoint non gestiti nella rete.
Individuazione standard (scelta consigliata): questa modalità consente agli endpoint di trovare attivamente i dispositivi nella rete per arricchire i dati raccolti e individuare altri dispositivi, consentendo di creare un inventario dei dispositivi affidabile e coerente. Oltre ai dispositivi osservati usando il metodo passivo, la modalità standard usa anche protocolli di individuazione comuni che usano query multicast nella rete per trovare ancora più dispositivi. La modalità Standard usa il probe intelligente e attivo per individuare informazioni aggiuntive sui dispositivi osservati per arricchire le informazioni esistenti sul dispositivo. Quando la modalità Standard è abilitata, minima e trascurabile attività di rete generata dal sensore di individuazione potrebbe essere osservata dagli strumenti di monitoraggio della rete nell'organizzazione.
I dispositivi individuati ma non ancora caricati e protetti da Microsoft Defender per endpoint verranno elencati nell'inventario dei dispositivi all'interno della scheda Computer e dispositivi mobili.
Per valutare questi dispositivi, è possibile usare un filtro nell'elenco di inventario dei dispositivi denominato Stato onboarding, che può avere uno dei valori seguenti:
- Onboarding: l'endpoint viene caricato in Microsoft Defender per endpoint.
- Può essere eseguito l'onboarding: l'endpoint è stato individuato nella rete e il sistema operativo è stato identificato come uno supportato da Microsoft Defender per endpoint, ma attualmente non è stato eseguito l'onboarding. È consigliabile eseguire l'onboarding di questi dispositivi.
- Non supportato: l'endpoint è stato individuato nella rete, ma non è supportato da Microsoft Defender per endpoint.
- Informazioni insufficienti: il sistema non è riuscito a determinare la supportabilità del dispositivo. L'abilitazione dell'individuazione standard in più dispositivi nella rete può arricchire gli attributi individuati.