Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In den heutigen dynamischen IT-Umgebungen haben viele Organisationen Schwierigkeiten, vollständigen Einblick in alle ihre Geräte und Ressourcen zu erhalten. Gerätevielfalt, Schatten-IT, Remotearbeit und schnelle Veränderungen schaffen Lücken, die Organisationen Sicherheitsrisiken aussetzen.
Microsoft Defender for Endpoint Geräteermittlung bietet Ihnen direkten Einblick in nicht verwaltete Geräte in Ihrem Netzwerk. Sie können Risiken erkennen und schnell handeln, ohne zusätzliche Appliances oder komplexe Einrichtung.
Die Geräteermittlung wurde entwickelt, um blinde Flecken in Ihrer Umgebung zu reduzieren, sodass Sie Geräte leichter identifizieren, bewerten und schützen können, die andernfalls Risiken darstellen könnten. Das Feature funktioniert als sofort einsatzbereite Defender für Endpunkt-Funktion mit erweiterter Konfiguration für tiefere Einblicke und benutzerdefinierte Szenarien.
In diesem Artikel wird erläutert, wie die Geräteermittlung funktioniert, die unterstützten Funktionen beschrieben und Informationen zum Scannen und ermittelten Ressourcen bereitgestellt.
Funktionsweise der Geräteermittlung
Defender für Endpunkt verwendet integrierte Endpunkte, um den Netzwerkdatenverkehr passiv zu beobachten und die Umgebung aktiv zu testen, um Endpunkte, Netzwerkgeräte und IoT-Ressourcen zu identifizieren, die möglicherweise nicht verwaltet oder geschützt werden.
Hier ist ein allgemeiner Ablauf, der die Funktionsweise der Geräteermittlung beschreibt:
- Defender für Endpunkt überprüft Ihre Umgebung und identifiziert nicht verwaltete Geräte, indem der Netzwerkdatenverkehr analysiert und aktive Testtechniken verwendet wird.
- Defender für Endpunkt klassifiziert die ermittelten Geräte und fügt sie dem Gerätebestand hinzu, was Sichtbarkeit für Geräte bietet, die nicht integriert sind.
- Sie können Geräte anzeigen, die nicht in den Gerätebestand integriert sind, und diese Geräte integrieren, um Ihren Sicherheitsstatus zu erhöhen und risiken zu reduzieren.
- Sie können auch die Geräteermittlungsfunktion konfigurieren: Ändern Sie den Scanmodus, fügen Sie Ausschlüsse und vertrauenswürdige Netzwerke hinzu, aktivieren Sie Netzwerkscans und vieles mehr. Weitere Informationen finden Sie unter Geräteerkennung konfigurieren.
Sehen Sie sich dieses Video an, um einen schnellen Überblick darüber zu erhalten, wie Sie nicht verwaltete Geräte bewerten und integrieren, die Defender für Endpunkt ermittelt hat.
Ermittelte Ressourcen
Unbekannte und nicht verwaltete Geräte stellen erhebliche Risiken für Ihr Netzwerk dar – unabhängig davon, ob es sich um einen nicht gepatchten Drucker, Netzwerkgeräte mit schwachen Sicherheitskonfigurationen oder um einen Server ohne Sicherheitskontrollen handelt.
Defender für Endpunkt ermittelt:
- Unternehmensendpunkte (Arbeitsstationen, Server und mobile Geräte), die noch nicht in Defender für Endpunkt integriert sind
- Netzwerkgeräte wie Router und Switches
- IoT-Geräte wie Drucker und Kameras
Ermittelte IoT- und OT-Geräte
Defender für Endpunkt kann in Ihrem Netzwerk eine Vielzahl von IoT- (Internet of Things) und OT-Geräten (Operational Technology) entdecken, darunter Drucker, Kameras, medizinische Geräte, industrielle Steuerungssysteme (Industrial Control Systems, ICS) und vieles mehr. Diese Geräte weisen häufig einzigartige Merkmale auf und unterstützen möglicherweise keine herkömmlichen Sicherheits-Agents, sodass sie schwierig zu überwachen und zu schützen sind. Um diese Geräte zu erkennen, müssen Sie Defender für IoT im Defender-Portal integrieren.
Ermittlungsmodi und Überprüfungen
Bei der Geräteermittlung werden zwei Hauptermittlungsmodi verwendet. Der Modus steuert den Grad der Sichtbarkeit, den Sie für nicht verwaltete Geräte in Ihrem Unternehmensnetzwerk erhalten können.
Sie wählen den Geräteermittlungsmodus im AbschnittSystemeinstellungen>>Geräteermittlungsmodus>aus. Weitere Informationen finden Sie unter Einrichten der Geräteermittlung.
| Modus | Beschreibung | So funktioniert es | Überlegungen und Aktionen | Anwendungsfälle und Empfehlungen |
|---|---|---|---|---|
| Standard-Überprüfung (Standard) | Aktive Überprüfung, die Gerätedaten anreichert und weitere Geräte mithilfe von Netzwerkprotokollen und aktiver Überprüfung ermittelt. | – Verwendet gängige Ermittlungsprotokolle und Multicastabfragen, um Geräte zu finden. – Überprüft aktiv beobachtete Geräte, um weitere Informationen zu erhalten. - Scannt Geräte, wenn sich die Merkmale ändern, in der Regel nicht mehr als einmal alle drei Wochen. |
- Die aktive Überprüfung kann pro Versuch bis zu 50 KB Datenverkehr zwischen dem integrierten Gerät und dem gescannten Gerät generieren. – Standard Ermittlung verwendet verschiedene PowerShell-Skripts, um Geräte im Netzwerk aktiv zu überprüfen. Diese PowerShell-Skripts werden von Microsoft signiert und am folgenden Speicherort ausgeführt: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Beispiel: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.– Informationen zum Anpassen der Geräte, die die Standardermittlung durchführen, finden Sie unter Steuern, welche Geräte die Standardermittlung durchführen. - Informationen zum Ausschließen von Zielen von der Standardermittlung finden Sie unter Ausschließen von Geräten. |
- Dringend empfohlen, um eine zuverlässige und kohärente Geräteinventur zu erstellen. - In fast allen Fällen sollten Organisationen keine Sicherheitsbedenken hinsichtlich der Aktivierung der Standardermittlung haben. Weitere Informationen finden Sie unter Sicherheitsüberlegungen für die Standardermittlung. |
| Grundlegende Überprüfung | Passiver Scan, der Netzwerkereignisse und Geräteinformationen sammelt, ohne Tests zu senden. | – Sammelt passiv Ereignisse und extrahiert Geräteinformationen aus dem gesamten Netzwerkdatenverkehr, der von integrierten Geräten erkannt wird. – Verwendet die SenseNDR.exe Binärdatei für die passive Netzwerkdatensammlung. – Durch die Überprüfung wird kein Netzwerkdatenverkehr initiiert. |
Da die Geräteermittlung passive Methoden verwendet, um Geräte im Netzwerk zu ermitteln, kann jedes Gerät, das mit Ihren integrierten Geräten im Unternehmensnetzwerk kommuniziert, ermittelt und im Bestand aufgeführt werden. Sie können Geräte nur von standardmäßigen (aktiven) Überprüfungen ausschließen. | – Empfohlen für vertrauliche/Legacynetzwerke. – Bietet eingeschränkte Sichtbarkeit von nicht verwalteten Endpunkten. |
Sicherheitsüberlegungen bei der Standardermittlung
Wenn Sie die Standardermittlung in Betracht ziehen, fragen Sie sich möglicherweise, welche Auswirkungen das Testen hat, und insbesondere, ob Sicherheitstools eine solche Aktivität als bösartig vermuten könnten. In fast allen Fällen sollten Organisationen keine Bedenken hinsichtlich der Aktivierung der Standardermittlung haben.
Das Testen nicht verwalteter Geräte ist selten und einfach: Jedes nicht verwaltete Gerät wird in der Regel nicht mehr als einmal alle drei Wochen überprüft, wodurch weniger als 50 KB Datenverkehr pro Versuch generiert wird. Im Gegensatz dazu erzeugen böswillige Aktivitäten viel häufigeren und umfangreicheren Netzwerkdatenverkehr, der von Überwachungstools leicht erkannt wird.
Die aktive Ermittlung ist ein Standardmäßiges Windows-Feature: Windows und viele andere Plattformen enthalten seit langem die aktive Ermittlung, um Geräte in der Nähe für Funktionen wie Dateifreigabe und Druckerermittlung zu finden. Defender für Endpunkt nutzt dieselben Methoden, sodass Netzwerküberwachungstools diese Aktivität normal behandeln.
Nur nicht verwaltete Geräte werden als Ziel verwendet: Die Geräteermittlung vermeidet absichtlich das Scannen von Geräten, die bereits in Defender für Endpunkt integriert sind. Nur nicht verwaltete oder unbekannte Geräte unterliegen einer aktiven Überprüfung.
Sie können bestimmte Geräte oder Subnetze ausschließen: Wenn Sie Über Netzwerk-Köder oder sensible Geräte verfügen, können Sie Ausschlüsse in den Einstellungen für die Geräteermittlung konfigurieren. Ausgeschlossene Geräte werden nicht aktiv gescannt und nur passiv erkannt, ähnlich wie der grundlegende Ermittlungsmodus.
Authentifizierte Netzwerkscans
Authentifizierte Netzwerkscans bieten eine Möglichkeit ohne Agent, Netzwerkinfrastrukturgeräte wie Switches, Router, WLAN-Controller, Firewalls und VPN-Gateways zu ermitteln und zu bewerten. Bestimmte integrierte Geräte in Ihrer Umgebung scannen in regelmäßigen Abständen vorkonfigurierte Netzwerkgeräte mithilfe unterstützter Protokolle und bieten so einen tieferen Einblick in Ihr Netzwerk, der über die Standardendpunktsensoren hinausgeht.
Da Netzwerkgeräte in der Regel keine integrierten Sensoren unterstützen, setzt Defender für Endpunkt auf authentifizierte Remotescans, um Informationen zu sammeln. Auf jedem Netzwerksegment fungieren mindestens ein integriertes Windows-Gerät als Scangeräte, die diese Überprüfungen in regelmäßigen Abständen durchführen. Sobald sie ermittelt und klassifiziert wurden, werden Netzwerkgeräte in die Workflows zur Verwaltung von Sicherheitsrisiken von Defender für Endpunkt integriert, sodass Sicherheitsadministratoren Empfehlungen erhalten und Sicherheitsrisiken überprüfen können.
Authentifizierte Überprüfungen verwenden SNMP (schreibgeschützt) und unterstützen sowohl SNMPv2 als auch SNMPv3. Bei diesem Prozess müssen Sie festlegen, welche integrierten Geräte als Scanner fungieren sollen, und die Netzwerkgeräte angeben, die Sie überprüfen möchten. Dieser Ansatz stellt sicher, dass auch die Infrastruktur ohne Agent in Ihre Sicherheits- und Sicherheitsrisikomanagementstrategie einbezogen wird.
Sobald die Netzwerkgeräte ermittelt und klassifiziert wurden, können Sicherheitsadministratoren die neuesten Sicherheitsempfehlungen erhalten und kürzlich entdeckte Sicherheitsrisiken auf Netzwerkgeräten überprüfen, die in ihrer Organisation bereitgestellt wurden.
Hinweis
Der windows-authentifizierte Scan ist ab dem 18. Dezember 2025 veraltet. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der veralteten Windows-Überprüfung.
Informationen zum Initiieren von Netzwerkscans finden Sie unter Einrichten authentifizierter Netzwerkscans.
Überwachte Netzwerke
Microsoft Defender for Endpoint analysiert ein Netzwerk und ermittelt, ob es sich um ein Unternehmensnetzwerk handelt, das überwacht werden muss, oder ein Nicht-Unternehmensnetzwerk, das ignoriert werden kann. Geräte, die nicht mit Unternehmensnetzwerken verbunden sind, werden nicht ermittelt oder im Gerätebestand aufgeführt.
Um ein Netzwerk als Unternehmen zu identifizieren, korreliert Defender für Endpunkt Netzwerkbezeichner für alle Clients des Mandanten. Wenn die meisten Geräte in der organization melden, dass sie mit demselben Netzwerknamen verbunden sind, mit demselben Standardgateway und der gleichen DHCP-Serveradresse, geht Defender für Endpunkt davon aus, dass es sich bei dem Netzwerk um ein Unternehmensnetzwerk handelt.
Private Netzwerkgeräte sind nicht im Bestand aufgeführt und werden nicht aktiv gescannt.
Um diese Einstellung außer Kraft zu setzen, können Sie der überwachten Liste Netzwerke hinzufügen. Weitere Informationen finden Sie unter Auswählen der zu überwachenden Netzwerke.
Unterstützte Betriebssysteme und Protokolle
Defender für Endpunkt unterstützt die folgende Integration, um die Herausforderung zu bewältigen, genügend Transparenz zu erhalten, um Ihren vollständigen OT/IOT-Ressourcenbestand zu finden, zu identifizieren und zu schützen:
Unterstützte Betriebssysteme
- Windows 10 Version 1809 oder höher
- Windows 11
- Windows Server 2019 und höher
- Azure Stack HCI-Betriebssystem, Version 23H2 und höher
Unterstützte Protokolle
Die folgende Tabelle zeigt, welche Protokolle von jedem Ermittlungsmodus unterstützt werden:
| Protokoll | Einfache Erkennung | Standarderkennung |
|---|---|---|
| AFP | Nein | Ja |
| ARP | Ja | Ja |
| CDP | Ja | Nein |
| DHCP | Ja | Ja |
| DHCPv6 | Ja | Nein |
| FTP | Nein | Ja |
| HTTP | Nein | Ja |
| HTTPS | Nein | Ja |
| ICMP | Nein | Ja |
| IP (Header) | Ja | Nein |
| IphoneSync | Nein | Ja |
| IPP | Nein | Ja |
| LDAP | Nein | Ja |
| LLDP | Ja | Nein |
| LLMNR | Ja | Ja |
| Mdns | Ja | Ja |
| MNDP | Ja | Nein |
| MSSQL | Ja | Nein |
| NBNS | Ja | Ja |
| NBSS | Nein | Ja |
| PJL | Nein | Ja |
| RDP | Nein | Ja |
| RPC | Nein | Ja |
| SIP | Nein | Ja |
| SLP | Nein | Ja |
| SMB | Nein | Ja |
| SMTP | Nein | Ja |
| SNMP | Nein | Ja |
| SSDP | Ja | Nein |
| SSH | Nein | Ja |
| TCP (SYN-Header) | Ja | Nein |
| Telnet | Nein | Ja |
| UDP (Header) | Ja | Nein |
| UPnP | Nein | Ja |
| VNC | Nein | Ja |
| Winrm | Nein | Ja |
| WSD | Ja | Ja |
Die Geräteermittlung kann auch andere häufig verwendete Ports überprüfen, um die Klassifizierungsgenauigkeit und -abdeckung zu verbessern.
Funktionen und Konfigurationsoptionen
Die meisten Organisationen profitieren von der sofort einsatzbereiten aktiven Ermittlung, der Integration des Gerätebestands und der automatischen Netzwerkverarbeitung. Sie können zusätzliche Konfigurationsoptionen für eine präzisere Steuerung, Zielbestimmung und Ausschlüsse verwenden, je nach Bedarf für Ihre Umgebung.
In dieser Tabelle wird zusammengefasst, welche Funktionen die Geräteermittlung standardmäßig bereitstellt, was jede zusätzliche Konfigurationsoption ermöglicht und wo Sie konfigurierbare Optionen im Defender-Portal ändern können.
Informationen zum Verwalten von Optionen für die Geräteermittlung finden Sie unter Verwalten der Geräteermittlung. Informationen zu erweiterten Analysen, Sicherheitsrisikobewertungen und Hunting-Abfragen finden Sie unter Überprüfen und Bewerten von Geräten.
| Feature/Option | Default | Was es enthält oder ermöglicht | Konfigurieren im Defender-Portal | Weitere Informationen |
|---|---|---|---|---|
| Einfache Erkennung | Nein | Erkennt nicht verwaltete Endpunkte, Netzwerkgeräte und IoT-Ressourcen über Datenverkehr. Kann für sensible/Legacynetzwerke verwendet werden. | System>Einstellungen>Geräteermittlung>Ermittlungsmodus>Basic | Ermittlungsmodi und Überprüfungen |
| Standarderkennung | Ja | Fügt protokollbasierte Scans für eine tiefere Geräteidentifikation und einen umfangreicheren Bestand hinzu. Kann deaktiviert werden (wechseln Sie in den Standardmodus ). | System>Einstellungen>Geräteermittlung>Ermittlungsmodus>Standard Ermittlung (empfohlen) | Ermittlungsmodi und Überprüfungen |
| Integration des Gerätebestands | Ja | Einheitliche Ansicht der integrierten und ermittelten Geräte. Filtern, Bewerten und Ergreifen von Maßnahmen im Bestand. | Vermögenswerte>Geräte | Überprüfen von Geräten, die nicht integriert sind |
| Netzwerklistenverwaltung | Ja | Überwacht Unternehmensnetzwerke, ignoriert standardmäßig Nicht-Unternehmensnetzwerke. Kann bestimmte Netzwerke überwachen/ignorieren. | System>Einstellungen>Geräteermittlung>Überwachte Netzwerke | Netzwerklistenverwaltung |
| Ausschlüsse | Nein | Schließen Sie IP-Adressen oder Gerätegruppen von Überprüfungen aus. | System>Einstellungen>Geräteermittlung>Ausschlüsse | Geräte ausschließen |
| Authentifizierte Netzwerkscans | Nein | – Ermitteln und Klassifizieren von Netzwerkinfrastrukturgeräten, die nicht integriert werden können. – Planen Sie Überprüfungen, und definieren Sie Überprüfungsziele, die über das Standardsubnetz hinausgehen. |
System>Einstellungen>Geräteermittlung>Geräteermittlung>Authentifizierte Überprüfungen | Einrichten authentifizierter Netzwerküberprüfungen |
| OT/IoT-Geräteermittlung | Nein | Integration in Defender für IoT, um OT- und Enterprise IoT-Geräte zu ermitteln. | System>Einstellungen>Geräteermittlung>Enterprise IoT | Integrieren von Defender für IoT im Defender-Portal |
| Schwachstellenanalyse | Ja | Bewerten Sie Sicherheitsrisiken auf ermittelten Geräten, und erhalten Sie Anleitungen zur Behebung. Suchen Sie beispielsweise nach SSH , um Empfehlungen zu SSH-Sicherheitsrisiken im Zusammenhang mit nicht verwalteten Geräten zu finden. | Empfehlungen für das Expositionsmanagement > | Bedrohungs- und Sicherheitsrisikomanagement (Übersicht) |
| Erweiterte Suche auf ermittelten Geräten | Ja | Verwenden Sie erweiterte Huntingabfragen, um ermittelte Geräte, deren Aktivitäten und verwandte Bedrohungen zu untersuchen. | Erweiterte Suche | Verwenden der erweiterten Bedrohungssuche auf erkannten Geräten |
Funktionen und Verfügbarkeit der Geräteermittlung
Die Geräteermittlung ermöglicht Es Organisationen, verwaltete und nicht verwaltete Geräte in ihrem Netzwerk zu identifizieren, einschließlich Endpunkten, Netzwerkgeräten und IoT/OT-Geräten. Alle ermittelten Geräte werden unabhängig vom Gerätetyp im Gerätebestand angezeigt.
Die kernige Ermittlungserfahrung, einschließlich Gerätesichtbarkeit und netzwerkauthentifizierungsbasierter Überprüfungen, ist in den unterstützten Defender für Endpunkt-Umgebungen konsistent. Sicherheitsrisikobewertung und Sicherheitsempfehlungen werden für Endpunktgeräte im Rahmen der Defender-Funktionen zur Sicherheitsrisikobewertung bereitgestellt.
Wenn die Enterprise IoT Security-Lizenz aktiviert ist (entweder über Microsoft 365 E5 oder über eine eigenständige Enterprise IoT-Lizenz), ist die Sicherheitsrisikobewertung für ermittelte IoT-Geräte verfügbar und bietet eine tiefere Risikosicht über den grundlegenden Bestand hinaus.
Informationen zur Verfügbarkeit und Lizenzierung von Features finden Sie in der Microsoft Defender-Dienstbeschreibung.