Gestire l'individuazione dei dispositivi e la valutazione delle vulnerabilità

  • 9 minuti

La protezione dell'ambiente richiede l'inventario dei dispositivi presenti nella rete. Tuttavia, il mapping dei dispositivi in una rete può spesso essere costoso, complesso e dispendioso in termini di tempo.

Microsoft Defender per endpoint offre una funzionalità di individuazione dei dispositivi che consente a un'organizzazione di trovare dispositivi non gestiti connessi alla propria rete aziendale. Completa questo processo di individuazione senza la necessità di appliance aggiuntive o di modifiche complesse del processo. L'individuazione dei dispositivi usa gli endpoint di cui è stato eseguito l'onboarding per raccogliere, eseguire il probe e analizzare la rete per individuare i dispositivi non gestiti. La funzionalità di individuazione dei dispositivi consente alle organizzazioni di individuare:

  • Endpoint aziendali (workstation, server e dispositivi mobili) che Microsoft Defender per endpoint deve ancora eseguire l'onboarding.
  • Dispositivi di rete come router e commutatori.
  • Dispositivi IoT come stampanti e fotocamere.

I dispositivi sconosciuti e non gestiti introducono rischi significativi per una rete. Non importa se si tratta di una stampante senza patch, di dispositivi di rete con configurazioni di sicurezza deboli o di un server senza controlli di sicurezza.

Dopo che il servizio di individuazione dei dispositivi Microsoft Defender per endpoint individua i dispositivi, un'organizzazione può:

  • eseguire l'onboarding degli endpoint non gestiti nel servizio, aumentando la visibilità della sicurezza su di essi;
  • ridurre la superficie di attacco identificando e valutando le vulnerabilità e rilevando i gap di configurazione.

Visualizzazione aggiuntiva. Selezionare il collegamento seguente per guardare un breve video che presenta l’individuazione dei dispositivi.

Un consiglio di sicurezza per l'onboarding dei dispositivi in Microsoft Defender per endpoint è disponibile anche come parte del modulo Gestione vulnerabilità.

Metodi di individuazione

Un'organizzazione può scegliere la modalità di individuazione che i dispositivi di cui è stato caricato devono usare. La modalità controlla il livello di visibilità che è possibile ottenere per i dispositivi non gestiti nella rete aziendale.

Sono disponibili due modalità di individuazione:

  • individuazione di base. In questa modalità, gli endpoint raccolgono passivamente gli eventi in una rete ed estraggono le informazioni sul dispositivo da essi. L'individuazione di base usa il file binarioSenseNDR.exe SenseNDR.exe per la raccolta passiva dei dati di rete. Questa modalità non avvia il traffico di rete. Gli endpoint estraggono semplicemente dati dal traffico di rete visualizzato da un dispositivo caricato. Con l'individuazione di base, si ottiene solo una visibilità limitata degli endpoint non gestiti nella rete.
  • Individuazione standard (scelta consigliata). Questa modalità consente agli endpoint di trovare attivamente i dispositivi in una rete per arricchire i dati raccolti e individuare altri dispositivi. Questo processo consente alle organizzazioni di creare un inventario dei dispositivi affidabile e coerente. Oltre ai dispositivi che usano il metodo passivo, la modalità standard applica anche protocolli di individuazione comuni che usano query multicast nella rete. Questo processo trova ancora più dispositivi. La modalità Standard usa il probe intelligente e attivo per individuare altre informazioni sui dispositivi osservati per arricchire le informazioni sui dispositivi esistenti. Quando un'organizzazione abilita la modalità Standard, gli strumenti di monitoraggio di rete possono osservare un'attività di rete minima e trascurabile generata dal sensore di individuazione.

L'individuazione standard è la modalità predefinita per tutti i clienti a partire da luglio 2021. È possibile scegliere di impostare questa configurazione come di base tramite la pagina Impostazioni. Se si sceglie la modalità di base, si ottiene solo una visibilità limitata degli endpoint non gestiti nella rete.

Le organizzazioni possono modificare e personalizzare le impostazioni di individuazione. Per altre informazioni, vedere Configurare l'individuazione dei dispositivi.

Il motore di individuazione distingue tra gli eventi di rete ricevuti nella rete aziendale rispetto all'esterno della rete aziendale. Il servizio di individuazione dei dispositivi Microsoft Defender per endpoint non è in grado di individuare i dispositivi o di elencarli nell'inventario dei dispositivi se i dispositivi non si connettono alle reti aziendali.

Inventario dei dispositivi

L'interfaccia di amministrazione Microsoft Intune elenca i dispositivi nell'inventario dei dispositivi. Lo fa anche se il servizio di individuazione dei dispositivi Microsoft Defender per endpoint ha individuato i dispositivi, ma Microsoft Defender per endpoint deve ancora eseguirne l'onboarding e proteggerli.

Per valutare questi dispositivi, è possibile usare un filtro nell'elenco di inventario dei dispositivi denominato Stato di onboarding. Questo filtro può avere uno dei valori seguenti:

  • Onboarding eseguito. Microsoft Defender per endpoint esegue l'onboarding dell'endpoint.
  • Può essere caricata. Microsoft Defender per endpoint individuato l'endpoint nella rete. Il sistema operativo è stato identificato come uno supportato da Microsoft Defender per endpoint. Tuttavia, Microsoft Defender per endpoint deve ancora eseguire l'onboarding del dispositivo. Microsoft consiglia alle organizzazioni di eseguire l'onboarding di questi dispositivi il prima possibile.
  • Non supportato. Microsoft Defender per endpoint individuato l'endpoint nella rete, ma non supporta l'endpoint.
  • Le informazioni sono insufficienti. Il sistema non è riuscito a determinare il supporto del dispositivo. L'abilitazione dell'individuazione standard in più dispositivi della rete può arricchire gli attributi individuati.

È sempre possibile applicare filtri per escludere i dispositivi non gestiti dall'elenco di inventario dei dispositivi. È anche possibile usare la colonna relativa allo stato di onboarding nelle query API per filtrare i dispositivi non gestiti.

Letture aggiuntive. Per altre informazioni sullo sfondo, vedi Inventario dei dispositivi.

Individuazione dei dispositivi di rete

L'elevato numero di dispositivi di rete non gestiti distribuiti in un'organizzazione crea una grande superficie di attacco. Rappresentano anche un rischio significativo per l'intera azienda. la funzionalità di individuazione di rete di Microsoft Defender per endpoint aiuta le organizzazioni:

  • Individuare i dispositivi di rete.
  • Classificare i dispositivi in modo accurato.
  • Aggiungere i dispositivi all'inventario degli asset.

Microsoft Defender per endpoint non gestisce i dispositivi di rete come endpoint standard. Perché? Perché Microsoft Defender per endpoint non dispone di un sensore integrato nei dispositivi di rete. Questi tipi di dispositivi richiedono invece un approccio senza agente in cui un'analisi remota ottiene le informazioni necessarie dai dispositivi. Per raccogliere queste informazioni, ogni segmento di rete usa un dispositivo Microsoft Defender per endpoint designato per eseguire analisi periodiche autenticate dei dispositivi di rete preconfigurati. La funzionalità Gestione vulnerabilità di Microsoft Defender per endpoint fornisce quindi flussi di lavoro integrati per proteggere le informazioni individuate seguenti:

  • Interruttori
  • Router
  • Controller WLAN
  • Firewall
  • Gateway VPN

Letture aggiuntive. Per ulteriori informazioni, vedere Dispositivi di rete.

Integrazioni di individuazione dei dispositivi

Microsoft Defender per endpoint risolve la sfida di ottenere una visibilità sufficiente per consentire alle organizzazioni di individuare, identificare e proteggere l'inventario completo degli asset OT/IOT. A tale scopo, supporta le integrazioni seguenti:

  • Corelight. Microsoft ha collaborato con Corelight per ricevere dati dalle appliance di rete Corelight. Questa progettazione offre Microsoft Defender XDR con una maggiore visibilità sulle attività di rete dei dispositivi non gestiti. Questa visibilità include la comunicazione con altri dispositivi non gestiti o reti esterne. Per altre informazioni, vedere Abilitare l'integrazione dei dati corelight.
  • Microsoft Defender per IoT. Questa integrazione combina le funzionalità di individuazione dei dispositivi all'interno di Microsoft Defender per endpoint con le funzionalità di monitoraggio senza agente di Microsoft Defender per IoT. Questa integrazione protegge i dispositivi IoT aziendali connessi a una rete IT. Ad esempio, VoIP (Voice over Internet Protocol), stampanti e smart TV. Per altre informazioni, vedere Abilitare l'integrazione di Microsoft Defender per IoT.

Configurare device discovery

Come indicato in precedenza, le organizzazioni possono configurare l'individuazione dei dispositivi in una delle due modalità standard o di base. Le organizzazioni devono usare l'opzione standard per trovare attivamente i dispositivi nelle proprie reti. Questa opzione garantisce l'individuazione degli endpoint e offre una classificazione dei dispositivi più completa.

Un'organizzazione può personalizzare l'elenco di dispositivi usati per eseguire l'individuazione standard. Può:

  • Abilitare l'individuazione standard in tutti i dispositivi di cui è stato eseguito l'onboarding che supportano anche questa funzionalità (attualmente , Windows 10 o versioni successive e solo Windows Server dispositivi 2019 o versioni successive).
  • Selezionare un subset o subset dei dispositivi specificando i tag del dispositivo.

Completare i passaggi seguenti per configurare l'individuazione dei dispositivi:

  1. Passare al portale di Microsoft Defender.

  2. Nel riquadro di spostamento nel portale di Microsoft Defender selezionare Impostazioni e quindi Individuazione dispositivo.

  3. Se si vuole configurare Basic come modalità di individuazione da usare nei dispositivi di cui è stato eseguito l'onboarding, selezionare Basic e quindi salva.

  4. Se è stata selezionata l'opzione per usare l'individuazione Standard, selezionare una delle opzioni seguenti per determinare quali dispositivi usare per il probe attivo:

    • Tutti i dispositivi
    • Subset di dispositivi specificando i tag del dispositivo

  5. Seleziona Salva.

Nota

L'individuazione standard usa vari script di PowerShell per eseguire attivamente il probe dei dispositivi nella rete. Questi script di PowerShell sono firmati da Microsoft e il sistema li esegue dal percorso seguente:

C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\\*.ps.

Ad esempio, C:\\ProgramData\\Microsoft\\Windows Defender Advanced Threat Protection\\Downloads\\UnicastScannerV1.1.0.ps1.

Escludere i dispositivi dall'analisi attiva nell'individuazione standard

Alcune organizzazioni hanno dispositivi nella rete che il servizio di individuazione dei dispositivi di Microsoft Defender per endpoint non deve analizzare attivamente. Ad esempio, i dispositivi usati come honeypot per un altro strumento di sicurezza. In questi casi, un'organizzazione può definire un elenco di esclusioni per impedire l'analisi di questi dispositivi. È possibile configurare i dispositivi da escludere nella pagina Esclusioni.

Nota

il servizio di individuazione dei dispositivi di Microsoft Defender per endpoint può comunque usare la modalità di individuazione di base per individuare i dispositivi. Può anche individuare i dispositivi tramite tentativi di individuazione multicast. Il servizio di individuazione dispositivi individua passivamente tali dispositivi, ma non li analizza attivamente.

Selezionare le reti da monitorare

Quando Microsoft Defender per endpoint analizza una rete, determina se la rete è:

  • Una rete aziendale che deve monitorare.
  • Una rete non aziendale che può ignorare.

Per identificare una rete aziendale, Microsoft Defender per endpoint correla gli identificatori di rete tra tutti i client del tenant. Presuppone che la rete sia una rete aziendale se la maggior parte dei dispositivi dell'organizzazione si connette allo stesso:

  • Nome di rete
  • Gateway predefinito
  • Indirizzo server DHCP

Le organizzazioni scelgono in genere di monitorare le reti aziendali. Tuttavia, è possibile ignorare questa decisione scegliendo di monitorare le reti non aziendali contenenti dispositivi caricati.

Un'organizzazione può configurare la posizione in cui eseguire l'individuazione dei dispositivi. A tale scopo, specifica le reti da monitorare. Microsoft Defender per endpoint può eseguire l'individuazione dei dispositivi in una rete monitorata.

Nella pagina Reti monitorate viene visualizzato un elenco di reti in cui Microsoft Defender per endpoint possono eseguire l'individuazione dei dispositivi. L'elenco mostra le reti identificate come reti aziendali. Se sono presenti più di 50 reti identificate come reti aziendali, l'elenco mostra fino a 50 reti con i dispositivi più caricati.

La pagina Reti monitorate ordina l'elenco delle reti monitorate in base al numero totale di dispositivi visualizzati nella rete negli ultimi sette giorni.

È possibile applicare un filtro per visualizzare uno degli stati di individuazione di rete seguenti:

  • Reti monitorate. Reti in cui Microsoft Defender per endpoint esegue l'individuazione dei dispositivi.
  • Reti ignorate. Microsoft Defender per endpoint ignora questa rete e non esegue l'individuazione dei dispositivi.
  • Tutti. Microsoft Defender per endpoint visualizza sia le reti monitorate che le reti ignorate.

Configurare lo stato del monitoraggio di rete

Le organizzazioni possono controllare dove avviene l'individuazione dei dispositivi. Le reti monitorate sono dove Microsoft Defender per endpoint esegue l'individuazione dei dispositivi. Queste reti sono in genere reti aziendali. È anche possibile scegliere di ignorare le reti o selezionare la classificazione di individuazione iniziale dopo aver modificato uno stato.

  • La selezione della classificazione di individuazione iniziale indica l'applicazione dello stato predefinito del monitoraggio di rete creato dal sistema.

  • Se si seleziona lo stato predefinito del monitoraggio di rete creato dal sistema, l'individuazione del dispositivo è:

    • Monitora le reti identificate come aziendali.
    • Ignora le reti identificate come non aziendali.

Completare la procedura seguente per configurare lo stato del monitoraggio di rete:

  1. Passare al portale di Microsoft Defender.

  2. Nel riquadro di spostamento nel portale di Microsoft Defender selezionare Impostazioni e quindi Individuazione dispositivo.

  3. Nella pagina Individuazione dispositivi selezionare Reti monitorate.

  4. Visualizzare l'elenco delle reti. Selezionare l'icona con i puntini di sospensione (tre puntini) accanto al nome della rete da monitorare.

  5. Scegliere se monitorare, ignorare o usare la classificazione di individuazione iniziale. Tenere presente quanto segue:

    • La scelta di monitorare una rete che Microsoft Defender per endpoint non si è identità come rete aziendale può causare l'individuazione dei dispositivi all'esterno della rete aziendale. Di conseguenza, potrebbe rilevare dispositivi domestici o altri dispositivi noncorporati.
    • La scelta di ignorare una rete interrompe il monitoraggio e l'individuazione dei dispositivi in tale rete. Microsoft Defender per endpoint non rimuove i dispositivi individuati dall'inventario. Tuttavia, non può più aggiornarli e il sistema conserva i dettagli fino alla scadenza del periodo di conservazione dei dati del Microsoft Defender per endpoint.
    • Prima di scegliere di monitorare le reti non aziendali, è necessario assicurarsi di avere l'autorizzazione per eseguire questa operazione.

  6. Confermare che si desidera apportare la modifica.

Esplorare i dispositivi nella rete

È possibile usare la query di ricerca avanzata (Kusto) seguente per ottenere più contesto su ogni nome di rete descritto nell'elenco delle reti. La query elenca tutti i dispositivi di cui è stato eseguito l'onboarding connessi a una determinata rete negli ultimi sette giorni.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Ottenere informazioni sul dispositivo

È possibile usare la query di ricerca avanzata (Kusto) seguente per ottenere le informazioni complete più recenti su un dispositivo specifico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Valutazione della vulnerabilità nei dispositivi individuati

Le vulnerabilità e i rischi nei dispositivi e in altri dispositivi non gestiti individuati nella rete fanno parte dei flussi di gestione delle minacce e delle vulnerabilità correnti in "Raccomandazioni per la sicurezza". Le pagine delle entità nel portale rappresentano queste vulnerabilità e rischi.

Ad esempio, cercare raccomandazioni di sicurezza correlate a "SSH" (SSH è l'acronimo di Secure Shell, un protocollo ampiamente adottato per le comunicazioni sicure su una rete non attendibile). Lo scopo della ricerca è individuare le vulnerabilità SSH correlate ai dispositivi non gestiti e gestiti.

Usare la ricerca avanzata nei dispositivi individuati

Le organizzazioni possono usare le query di ricerca avanzate per ottenere visibilità sui dispositivi individuati. Trovare informazioni dettagliate sui dispositivi individuati nella tabella DeviceInfo o informazioni correlate alla rete su tali dispositivi nella tabella DeviceNetworkInfo.

Eseguire la query seguente nella tabella DeviceInfo per restituire tutti i dispositivi individuati. I risultati visualizzano anche i dettagli più recenti per ogni dispositivo.

DeviceInfo
| summarize arg_max(Timestamp, *) by DeviceId // Get latest known good per device ID
| where isempty(MergedToDeviceId) // Remove invalidated/merged devices
| where OnboardingStatus != "Onboarded"

Richiamando la funzione SeenBy nella query di ricerca avanzata, è possibile ottenere i dettagli su quale dispositivo caricato ha visto un dispositivo individuato. Queste informazioni consentono di determinare il percorso di rete di ogni dispositivo individuato. Può quindi essere utile per identificarlo nella rete.

DeviceInfo
| where OnboardingStatus != "Onboarded"
| summarize arg_max(Timestamp, *) by DeviceId
| where isempty(MergedToDeviceId)
| limit 100
| invoke SeenBy()
| project DeviceId, DeviceName, DeviceType, SeenBy

L'individuazione dei dispositivi usa Microsoft Defender per endpoint dispositivi caricati come origine dati di rete per attribuire le attività ai dispositivi non inboarding. Il sensore di rete nel dispositivo di cui è stato eseguito l'onboarding di Microsoft Defender per endpoint identifica due nuovi tipi di connessione:

  • ConnectionAttempt. Tentativo di stabilire una connessione TCP.
  • ConnectionAcknowledged. Un riconoscimento della rete ha accettato una connessione TCP.

Quando un dispositivo non inboarding tenta di comunicare con un dispositivo Microsoft Defender per endpoint di onboarding, il tentativo:

  • Generare un DeviceNetworkEvent.
  • Visualizzare le attività del dispositivo non inboarding nella sequenza temporale del dispositivo su cui è stato eseguito l'onboarding e tramite la tabella DeviceNetworkEvents di ricerca avanzata.

È possibile provare questa query di esempio:

DeviceNetworkEvents
| where ActionType == "ConnectionAcknowledged" or ActionType == "ConnectionAttempt"
| take 10