Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Negli ambienti IT dinamici di oggi, molte organizzazioni faticano a ottenere la visibilità completa di tutti i dispositivi e gli asset. La diversità dei dispositivi, l'it shadow, il lavoro remoto e la rapida modifica creano lacune che espongono le organizzazioni ai rischi per la sicurezza.
Microsoft Defender per endpoint'individuazione dei dispositivi offre informazioni dirette sui dispositivi non gestiti nella rete. È possibile identificare i rischi e agire rapidamente, senza appliance aggiuntive o configurazioni complesse.
L'individuazione dei dispositivi è progettata per ridurre i punti ciechi nell'ambiente, semplificando l'identificazione, la valutazione e la protezione dei dispositivi che altrimenti potrebbero introdurre rischi. La funzionalità funziona come funzionalità predefinita di Defender per endpoint, con una configurazione avanzata disponibile per approfondimenti e scenari personalizzati.
Questo articolo illustra il funzionamento dell'individuazione dei dispositivi, descrive le funzionalità supportate e fornisce informazioni sull'analisi e sugli asset individuati.
Funzionamento dell'individuazione dei dispositivi
Defender per endpoint usa endpoint di onboarding per osservare passivamente il traffico di rete e analizzare attivamente l'ambiente per identificare endpoint, dispositivi di rete e asset IoT che potrebbero non essere gestiti o protetti.
Ecco un flusso di alto livello che descrive il funzionamento dell'individuazione dei dispositivi:
- Defender per endpoint analizza l'ambiente e identifica i dispositivi non gestiti analizzando il traffico di rete e usando tecniche di sondaggio attive.
- Defender per endpoint classifica i dispositivi individuati e li aggiunge all'inventario dei dispositivi, che fornisce visibilità per i dispositivi non caricati.
- È possibile visualizzare i dispositivi non caricati nell'inventario dei dispositivi ed eseguire l'onboarding di questi dispositivi per aumentare il comportamento di sicurezza e ridurre i rischi.
- È anche possibile configurare la funzionalità di individuazione dei dispositivi: modificare la modalità di analisi, aggiungere esclusioni e reti attendibili, abilitare le analisi di rete e altro ancora. Per altre informazioni, vedere Configurare l'individuazione dei dispositivi.
Guardare questo video per una rapida panoramica di come valutare ed eseguire l'onboarding di dispositivi non gestiti individuati da Defender per endpoint.
Asset individuati
I dispositivi sconosciuti e non gestiti comportano rischi significativi per la rete, che si tratti di una stampante senza patch, di dispositivi di rete con configurazioni di sicurezza deboli o di un server senza controlli di sicurezza.
Defender per endpoint individua:
- Endpoint aziendali (workstation, server e dispositivi mobili) non ancora caricati in Defender per endpoint
- Dispositivi di rete come router e commutatori
- Dispositivi IoT come stampanti e fotocamere
Dispositivi IoT e OT individuati
Defender per endpoint può individuare una vasta gamma di dispositivi Internet delle cose (IoT) e ot (Operational Technology) nella rete, tra cui stampanti, fotocamere, dispositivi medici, sistemi di controllo industriale (ICS) e altro ancora. Questi dispositivi hanno spesso caratteristiche uniche e potrebbero non supportare gli agenti di sicurezza tradizionali, rendendoli difficili da monitorare e proteggere. Per rilevare questi dispositivi, è necessario eseguire l'onboarding di Defender per IoT nel portale di Defender.
Modalità di individuazione e analisi
L'individuazione dei dispositivi usa due modalità di individuazione principali. La modalità controlla il livello di visibilità che è possibile ottenere per i dispositivi non gestiti nella rete aziendale.
Selezionare la modalità di individuazione del dispositivo nella sezioneImpostazioni>di sistema>Modalità individuazione>dispositivi. Per altre informazioni, vedere Configurare l'individuazione dei dispositivi.
| Modalità | Descrizione | Come funziona | Considerazioni e azioni | Casi d'uso e raccomandazioni |
|---|---|---|---|---|
| analisi Standard (impostazione predefinita) | Analisi attiva che arricchisce i dati dei dispositivi e individua altri dispositivi usando protocolli di rete e analisi attiva. | - Usa protocolli di individuazione comuni e query multicast per trovare i dispositivi. - Analizza attivamente i dispositivi osservati per altre informazioni. - Analizza i dispositivi quando le caratteristiche cambiano, in genere non più di una volta ogni tre settimane. |
- L'analisi attiva può generare fino a 50 KB di traffico tra il dispositivo caricato e il dispositivo analizzato per ogni tentativo. - Standard'individuazione usa vari script di PowerShell per analizzare attivamente i dispositivi in rete. Questi script di PowerShell sono firmati da Microsoft e vengono eseguiti dal percorso seguente: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Ad esempio, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.- Per personalizzare i dispositivi che eseguono l'individuazione standard, vedere Controllare quali dispositivi eseguono l'individuazione standard. - Per escludere le destinazioni dall'individuazione standard, vedere Escludere i dispositivi. |
- Altamente consigliato per la creazione di un inventario dei dispositivi affidabile e coerente. - In quasi tutti i casi, le organizzazioni non devono avere problemi di sicurezza sull'abilitazione dell'individuazione standard. Per altre informazioni, vedere Considerazioni sulla sicurezza per l'individuazione standard. |
| Analisi di base | Analisi passiva che raccoglie eventi di rete e informazioni sul dispositivo senza inviare probe. | - Raccoglie passivamente eventi ed estrae le informazioni sul dispositivo da tutto il traffico di rete visualizzato dai dispositivi di cui è stato eseguito l'onboarding. - Usa il file binarioSenseNDR.exeper la raccolta di dati di rete passiva. - Nessun traffico di rete avviato dall'analisi. |
Poiché l'individuazione dei dispositivi usa metodi passivi per individuare i dispositivi nella rete, qualsiasi dispositivo che comunica con i dispositivi caricati nella rete aziendale può essere individuato ed elencato nell'inventario. È possibile escludere i dispositivi solo dalle analisi standard (attive). | - Consigliato per le reti sensibili/legacy. - Offre visibilità limitata degli endpoint non gestiti. |
Considerazioni sulla sicurezza per l'individuazione standard
Quando si considera l'individuazione standard, ci si potrebbe chiedere quali sono le implicazioni del probe e, in particolare, se gli strumenti di sicurezza potrebbero sospettare attività come dannose. In quasi tutti i casi, le organizzazioni non dovrebbero avere preoccupazioni sull'abilitazione dell'individuazione standard.
Il probe dei dispositivi non gestiti è poco frequente e leggero: ogni dispositivo non gestito viene in genere analizzato non più di una volta ogni tre settimane, generando meno di 50 KB di traffico per tentativo. Al contrario, l'attività dannosa produce traffico di rete molto più frequente e voluminoso, facilmente rilevabile dagli strumenti di monitoraggio.
L'individuazione attiva è una funzionalità standard di Windows: Windows e molte altre piattaforme includono da tempo l'individuazione attiva per trovare dispositivi nelle vicinanze per funzioni come la condivisione di file e l'individuazione della stampante. Defender per endpoint usa questi stessi metodi, quindi gli strumenti di monitoraggio di rete trattano questa attività come di consueto.
Sono destinati solo i dispositivi non gestiti: l'individuazione dei dispositivi evita intenzionalmente l'analisi dei dispositivi già caricati con Defender per endpoint. Solo i dispositivi non gestiti o sconosciuti sono soggetti all'analisi attiva.
È possibile escludere dispositivi o subnet specifici: se si dispone di esche di rete o dispositivi sensibili, è possibile configurare le esclusioni nelle impostazioni di Individuazione dispositivi. I dispositivi esclusi non vengono analizzati attivamente e vengono individuati solo passivamente, in modo simile alla modalità di individuazione di base.
Analisi di rete autenticate
Le analisi di rete autenticate offrono un modo senza agente per individuare e valutare i dispositivi dell'infrastruttura di rete, ad esempio commutatori, router, controller WLAN, firewall e gateway VPN. I dispositivi di onboarding designati nell'ambiente analizzano periodicamente i dispositivi di rete preconfigurati usando protocolli supportati, offrendo una visibilità più approfondita nella rete oltre a quanto possono fornire i sensori di endpoint standard.
Poiché i dispositivi di rete in genere non supportano i sensori caricati, Defender per endpoint si basa su analisi remote autenticate per raccogliere informazioni. In ogni segmento di rete, uno o più dispositivi Windows di cui è stato eseguito l'onboarding fungono da dispositivi di analisi, eseguendo queste analisi a intervalli regolari. Una volta individuati e classificati, i dispositivi di rete vengono integrati nei flussi di lavoro di gestione delle vulnerabilità di Defender per endpoint, consentendo agli amministratori della sicurezza di ricevere raccomandazioni ed esaminare le vulnerabilità.
Le analisi autenticate usano SNMP (sola lettura) e supportano sia SNMPv2 che SNMPv3. Il processo richiede di designare quali dispositivi di onboarding fungeranno da scanner e di specificare i dispositivi di rete da analizzare. Questo approccio garantisce che anche l'infrastruttura senza agente sia inclusa nella strategia di gestione della sicurezza e delle vulnerabilità.
Dopo aver individuato e classificato i dispositivi di rete, gli amministratori della sicurezza possono ricevere le raccomandazioni di sicurezza più recenti ed esaminare le vulnerabilità individuate di recente nei dispositivi di rete distribuiti nelle organizzazioni.
Nota
L'analisi autenticata di Windows è deprecata dal 18 dicembre 2025. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'analisi autenticata di Windows.
Per informazioni su come avviare le analisi di rete, vedere Configurare le analisi di rete autenticate.
Reti monitorate
Microsoft Defender per endpoint analizza una rete e determina se è una rete aziendale che deve essere monitorata o una rete non aziendale che può essere ignorata. I dispositivi non connessi alle reti aziendali non vengono individuati o elencati nell'inventario dei dispositivi.
Per identificare una rete come aziendale, Defender per endpoint correla gli identificatori di rete tra tutti i client del tenant. Se la maggior parte dei dispositivi dell'organizzazione segnala che sono connessi allo stesso nome di rete, con lo stesso gateway predefinito e lo stesso indirizzo del server DHCP, Defender per endpoint presuppone che la rete sia una rete aziendale.
I dispositivi di rete privati non sono elencati nell'inventario e non vengono analizzati attivamente.
Per ignorare questa impostazione, è possibile aggiungere reti all'elenco monitorato. Per altre informazioni, vedere Selezionare le reti da monitorare.
Sistemi operativi e protocolli supportati
Per affrontare la sfida di ottenere visibilità sufficiente per individuare, identificare e proteggere l'inventario completo degli asset OT/IOT Defender per endpoint supporta l'integrazione seguente:
Sistemi operativi supportati
- Windows 10 versione 1809 o successiva
- Windows 11
- Windows Server 2019 e versioni successive
- Azure Stack HCI OS, versione 23H2 e successive
Protocolli supportati
Nella tabella seguente vengono illustrati i protocolli supportati da ogni modalità di individuazione:
| Protocollo | Individuazione di base | Individuazione standard |
|---|---|---|
| AFP | No | Sì |
| ARP | Sì | Sì |
| CDP | Sì | No |
| DHCP | Sì | Sì |
| DHCPv6 | Sì | No |
| FTP | No | Sì |
| HTTP | No | Sì |
| HTTPS | No | Sì |
| ICMP | No | Sì |
| IP (intestazioni) | Sì | No |
| IphoneSync | No | Sì |
| IPP | No | Sì |
| LDAP | No | Sì |
| LLDP | Sì | No |
| LLMNR | Sì | Sì |
| Mdns | Sì | Sì |
| MNDP | Sì | No |
| MSSQL | Sì | No |
| NBNS | Sì | Sì |
| NBSS | No | Sì |
| PJL | No | Sì |
| RDP | No | Sì |
| RPC | No | Sì |
| SIP | No | Sì |
| SLP | No | Sì |
| SMB | No | Sì |
| SMTP | No | Sì |
| SNMP | No | Sì |
| SSDP | Sì | No |
| SSH | No | Sì |
| TCP (intestazioni SYN) | Sì | No |
| Telnet | No | Sì |
| UDP (intestazioni) | Sì | No |
| UPNP | No | Sì |
| VNC | No | Sì |
| Winrm | No | Sì |
| WSD | Sì | Sì |
L'individuazione dei dispositivi potrebbe anche analizzare altre porte di uso comune per migliorare l'accuratezza e la copertura della classificazione.
Funzionalità e opzioni di configurazione
La maggior parte delle organizzazioni trae vantaggio dall'individuazione attiva predefinita, dall'integrazione dell'inventario dei dispositivi e dalla gestione automatica della rete. È possibile usare opzioni di configurazione aggiuntive per il controllo più granulare, la destinazione e le esclusioni in base alle esigenze dell'ambiente.
Questa tabella riepiloga le funzionalità disponibili per l'individuazione dei dispositivi, le funzionalità abilitate per ogni opzione di configurazione aggiuntiva e la posizione in cui è possibile modificare le opzioni configurabili nel portale di Defender.
Per gestire le opzioni di individuazione dei dispositivi, vedere Gestire l'individuazione dei dispositivi. Per analisi avanzate, valutazione della vulnerabilità e query di ricerca, vedere Esaminare e valutare i dispositivi.
| Funzionalità/opzione | Predefinita | Cosa include o abilita | Dove configurare nel portale di Defender | Ulteriori informazioni |
|---|---|---|---|---|
| Individuazione di base | No | Rileva endpoint non gestiti, dispositivi di rete, asset IoT tramite traffico. Può essere usato per le reti sensibili/legacy. | Sistema>Impostazioni>>Individuazione del dispositivoModalità> di individuazioneBase | Modalità di individuazione e analisi |
| Individuazione standard | Sì | Aggiunge analisi basate su protocollo per un'identificazione più approfondita del dispositivo e un inventario più completo. Può essere disabilitato (passare alla modalità Basic ). | Sistema>Impostazioni>>Individuazione del dispositivoModalità> di individuazioneindividuazione Standard (scelta consigliata) | Modalità di individuazione e analisi |
| Integrazione dell'inventario dei dispositivi | Sì | Visualizzazione unificata dei dispositivi caricati e individuati. Filtrare, valutare ed eseguire azioni nell'inventario. | Asset>Dispositivi | Esaminare i dispositivi non caricati |
| Gestione degli elenchi di rete | Sì | Monitora le reti aziendali, ignora per impostazione predefinita non aziendali. Può monitorare o ignorare reti specifiche. | Sistema>Impostazioni>>Individuazione del dispositivoReti monitorate | Gestione degli elenchi di rete |
| Esclusioni | No | Escludere indirizzi IP o gruppi di dispositivi dalle analisi. | Sistema>Impostazioni>>Individuazione del dispositivoEsclusioni | Escludi dispositivi |
| Analisi di rete autenticate | No | - Individuare e classificare i dispositivi dell'infrastruttura di rete che non possono essere caricati. - Pianificare le analisi e definire destinazioni di analisi oltre la subnet predefinita. |
Sistema>Impostazioni>>Individuazione del dispositivo>Individuazione del dispositivoAnalisi autenticate | Configurare le analisi di rete autenticate |
| Individuazione di dispositivi OT/IoT | No | Eseguire l'integrazione con Defender per IoT per individuare i dispositivi IoT ot e aziendali. | Sistema>Impostazioni>>Individuazione del dispositivoEnterprise IoT | Eseguire l'onboarding di Defender per IoT nel portale di Defender |
| Valutazione delle vulnerabilità | Sì | Valutare le vulnerabilità nei dispositivi individuati e ottenere indicazioni per la correzione. Ad esempio, cercare SSH per trovare raccomandazioni sulle vulnerabilità SSH correlate ai dispositivi non gestiti. | Raccomandazioni sulla gestione > dell'esposizione | Panoramica sulla gestione delle vulnerabilità |
| Ricerca avanzata nei dispositivi individuati | Sì | Usare query di ricerca avanzate per analizzare i dispositivi individuati, le relative attività e le minacce correlate. | Rilevazione avanzata | Usare la ricerca avanzata nei dispositivi individuati |
Funzionalità e disponibilità dell'individuazione dei dispositivi
L'individuazione dei dispositivi consente alle organizzazioni di identificare i dispositivi gestiti e non gestiti nella rete, inclusi endpoint, dispositivi di rete e dispositivi IoT/OT. Tutti i dispositivi individuati vengono visualizzati nell'inventario dei dispositivi, indipendentemente dal tipo di dispositivo.
L'esperienza di individuazione di base, inclusa la visibilità dei dispositivi e le analisi autenticate dalla rete, è coerente negli ambienti Defender per endpoint supportati. La valutazione della vulnerabilità e le raccomandazioni sulla sicurezza vengono fornite per i dispositivi endpoint come parte delle funzionalità di valutazione della vulnerabilità di Defender.
Quando la licenza di Enterprise IoT Security è abilitata (tramite Microsoft 365 E5 o una licenza IoT aziendale autonoma), la valutazione della vulnerabilità è disponibile per i dispositivi IoT individuati, offrendo una visibilità dei rischi più approfondita oltre l'inventario di base.
Per informazioni sulla disponibilità delle funzionalità e sulle licenze, vedere la descrizione del servizio Microsoft Defender.