Detetar dispositivos com a descoberta de dispositivos
Proteger seu ambiente requer fazer um inventário dos dispositivos que estão em sua rede. No entanto, os dispositivos de mapeamento em uma rede muitas vezes podem ser caros, desafiadores e demorados.
O Microsoft Defender for Endpoint fornece um recurso de descoberta de dispositivos que ajuda você a encontrar dispositivos não gerenciados conectados à sua rede corporativa sem a necessidade de dispositivos extras ou alterações de processo complicadas. A deteção de dispositivos utiliza pontos de extremidade integrados na sua rede para recolher, investigar ou analisar a sua rede para descobrir dispositivos não geridos. O recurso de descoberta de dispositivos permite que você descubra:
- Pontos de extremidade corporativos (estações de trabalho, servidores e dispositivos móveis) que ainda não estão integrados ao Microsoft Defender for Endpoint
- Dispositivos de rede, como roteadores e switches
- Dispositivos IoT, como impressoras e câmeras
Dispositivos desconhecidos e não geridos introduzem riscos significativos para a sua rede, quer se trate de uma impressora sem patches, de dispositivos de rede com configurações de segurança fracas ou de um servidor sem controlos de segurança. Depois que os dispositivos forem descobertos, você poderá:
- Integre endpoints não gerenciados ao serviço, aumentando a visibilidade de segurança neles.
- Reduza a superfície de ataque identificando e avaliando vulnerabilidades e detetando lacunas de configuração.
Para descobrir dispositivos, assista: Vídeo Descobrir dispositivos.
Para avaliar e integrar dispositivos não gerenciados:
Com esse recurso, uma recomendação de segurança para integrar dispositivos ao Microsoft Defender for Endpoint está disponível como parte da experiência existente de gerenciamento de ameaças e vulnerabilidades.
Métodos de descoberta Você pode escolher o modo de descoberta a ser usado por seus dispositivos integrados. O modo controla o nível de visibilidade que você pode obter para dispositivos não gerenciados em sua rede corporativa.
Há dois modos de descoberta disponíveis:
Descoberta básica: nesse modo, os pontos de extremidade coletam passivamente eventos em sua rede e extraem informações do dispositivo deles. A descoberta básica usa o binário SenseNDR.exe para coleta passiva de dados de rede e nenhum tráfego de rede será iniciado. Os endpoints extraem dados de cada tráfego de rede visto por um dispositivo integrado. Com a descoberta básica, você obterá visibilidade limitada de pontos de extremidade não gerenciados em sua rede.
Descoberta padrão (recomendado): esse modo permite que os pontos de extremidade encontrem ativamente dispositivos em sua rede para enriquecer os dados coletados e descobrir mais dispositivos, ajudando você a criar um inventário de dispositivos confiável e coerente. Além dos dispositivos que foram observados usando o método passivo, o modo padrão também usa protocolos de descoberta comuns que usam consultas multicast na rede para encontrar ainda mais dispositivos. O modo padrão usa sondagem inteligente e ativa para descobrir informações adicionais sobre dispositivos observados para enriquecer as informações existentes do dispositivo. Quando o modo padrão está ativado, a atividade de rede mínima e insignificante gerada pelo sensor de descoberta pode ser observada pelas ferramentas de monitoramento de rede em sua organização.
Os dispositivos que foram descobertos, mas ainda não foram integrados e protegidos pelo Microsoft Defender for Endpoint, serão listados no inventário de dispositivos na guia Computadores e dispositivos móveis.
Para avaliar esses dispositivos, você pode usar um filtro na lista de inventário de dispositivos chamado Status de integração, que pode ter qualquer um dos seguintes valores:
- Integrado: o ponto de extremidade é integrado ao Microsoft Defender for Endpoint.
- Pode ser integrado: o ponto de extremidade foi descoberto na rede e o sistema operacional foi identificado como um que é suportado pelo Microsoft Defender for Endpoint, mas não está atualmente integrado. É altamente recomendável integrar esses dispositivos.
- Sem suporte: o ponto de extremidade foi descoberto na rede, mas não é suportado pelo Microsoft Defender for Endpoint.
- Informações insuficientes: O sistema não conseguiu determinar a capacidade de suporte do dispositivo. Habilitar a descoberta padrão em mais dispositivos na rede pode enriquecer os atributos descobertos.