Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nos ambientes de TI dinâmicos de hoje, muitas organizações lutam para obter visibilidade total de todos os seus dispositivos e recursos. A diversidade de dispositivos, a ti sombra, o trabalho remoto e a alteração rápida criam lacunas que expõem as organizações a riscos de segurança.
Microsoft Defender para Endpoint deteção de dispositivos fornece-lhe informações diretas sobre dispositivos não geridos na sua rede. Pode identificar riscos e agir rapidamente, sem aplicações adicionais ou configuração complexa.
A deteção de dispositivos foi concebida para reduzir pontos cegos no seu ambiente, tornando mais fácil identificar, avaliar e proteger dispositivos que, de outra forma, poderiam introduzir riscos. A funcionalidade funciona como uma capacidade inicial do Defender para Ponto Final, com configuração avançada disponível para informações mais aprofundadas e cenários personalizados.
Este artigo explica como funciona a deteção de dispositivos, descreve as capacidades suportadas e fornece informações sobre a análise e deteção de recursos.
Como funciona a deteção de dispositivos
O Defender para Endpoint utiliza pontos finais integrados para observar passivamente o tráfego de rede e sondar ativamente o ambiente para identificar pontos finais, dispositivos de rede e recursos IoT que podem não ser geridos ou protegidos.
Eis um fluxo de alto nível que descreve como funciona a deteção de dispositivos:
- O Defender para Endpoint analisa o seu ambiente e identifica dispositivos não geridos através da análise do tráfego de rede e da utilização de técnicas de pesquisa ativas.
- O Defender para Endpoint classifica os dispositivos detetados e adiciona-os ao inventário de dispositivos, que fornece visibilidade para dispositivos que não estão integrados.
- Pode ver dispositivos que não estão integrados no inventário de dispositivos e integrar estes dispositivos para aumentar a sua postura de segurança e reduzir o risco.
- Também pode configurar a capacidade de deteção de dispositivos: alterar o modo de análise, adicionar exclusões e redes fidedignas, ativar análises de rede e muito mais. Para obter mais informações, veja Configurar a deteção de dispositivos.
Veja este vídeo para obter uma descrição geral rápida de como avaliar e integrar dispositivos não geridos que o Defender para Endpoint detetou.
Recursos detetados
Os dispositivos desconhecidos e não geridos apresentam riscos significativos para a sua rede, quer se trate de uma impressora não recortado, de dispositivos de rede com configurações de segurança fracas ou de um servidor sem controlos de segurança.
O Defender para Endpoint deteta:
- Pontos finais empresariais (estações de trabalho, servidores e dispositivos móveis) que ainda não estão integrados no Defender para Endpoint
- Dispositivos de rede como routers e comutadores
- Dispositivos IoT como impressoras e câmaras
Dispositivos IoT e OT detetados
O Defender para Ponto Final pode detetar uma vasta gama de dispositivos de Internet das Coisas (IoT) e Tecnologia Operacional (OT) na sua rede, incluindo impressoras, câmaras, dispositivos médicos, sistemas de controlo industrial (ICS) e muito mais. Estes dispositivos têm muitas vezes características exclusivas e podem não suportar agentes de segurança tradicionais, o que os torna difíceis de monitorizar e proteger. Para detetar estes dispositivos, tem de integrar o Defender para IoT no portal do Defender.
Modos e análises de deteção
A deteção de dispositivos utiliza dois modos de deteção principais. O modo controla o nível de visibilidade que pode obter para dispositivos não geridos na sua rede empresarial.
Selecione o modo de deteção de dispositivos na secçãoDefiniçõesdo Sistema>Modo de deteção dedispositivos>>. Para obter mais informações, consulte Configurar a deteção de dispositivos.
| Modo | Descrição | Como funciona | Considerações e ações | Casos de utilização e recomendações |
|---|---|---|---|---|
| Análise padrão (predefinição) | Análise ativa que melhora os dados do dispositivo e deteta mais dispositivos através de protocolos de rede e análise ativa. | - Utiliza protocolos de deteção comuns e consultas multicast para localizar dispositivos. - Analisa ativamente os dispositivos observados para obter mais informações. - Analisa dispositivos quando as características mudam, normalmente não mais do que uma vez a cada três semanas. |
- A análise ativa pode gerar até 50 KB de tráfego entre o dispositivo integrado e o dispositivo analisado por tentativa. - A deteção padrão utiliza vários scripts do PowerShell para analisar ativamente os dispositivos na rede. Estes scripts do PowerShell são assinados pela Microsoft e executados a partir da seguinte localização: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por exemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.- Para personalizar os dispositivos que efetuam a deteção padrão, veja Controlar os dispositivos que efetuam a deteção padrão. - Para excluir destinos da deteção padrão, veja Excluir dispositivos. |
- Altamente recomendado para criar um inventário de dispositivos fiável e coerente. - Em quase todos os casos, as organizações não devem ter preocupações de segurança relativamente à ativação da deteção padrão. Para obter mais informações, veja Considerações de segurança para deteção padrão. |
| Análise básica | Análise passiva que recolhe eventos de rede e informações do dispositivo sem enviar sondas. | - Recolhe passivamente eventos e extrai informações do dispositivo de todo o tráfego de rede visto por dispositivos integrados. - Utiliza o binárioSenseNDR.exe para a recolha passiva de dados de rede. - O tráfego de rede não é iniciado pela análise. |
Uma vez que a deteção de dispositivos utiliza métodos passivos para detetar dispositivos na rede, qualquer dispositivo que comunique com os seus dispositivos integrados na rede empresarial pode ser detetado e listado no inventário. Só pode excluir dispositivos de análises padrão (ativas). | - Recomendado para redes confidenciais/legadas. - Fornece visibilidade limitada dos pontos finais não geridos. |
Considerações de segurança para deteção padrão
Ao considerar a deteção padrão, pode estar a questionar-se sobre as implicações da pesquisa e, especificamente, se as ferramentas de segurança podem suspeitar de atividades como maliciosas. Em quase todos os casos, as organizações não devem ter qualquer preocupação em permitir a deteção padrão.
A pesquisa de dispositivos não geridos é pouco frequente e leve: normalmente, cada dispositivo não gerido não é analisado mais do que uma vez a cada três semanas, gerando menos de 50 KB de tráfego por tentativa. Por outro lado, a atividade maliciosa produz tráfego de rede muito mais frequente e volumoso, que é facilmente detetado pelas ferramentas de monitorização.
A deteção ativa é uma funcionalidade padrão do Windows: há muito que o Windows e muitas outras plataformas incluem a deteção ativa para encontrar dispositivos próximos para funções como a partilha de ficheiros e a deteção de impressoras. O Defender para Endpoint tira partido destes mesmos métodos, pelo que as ferramentas de monitorização de rede tratam esta atividade normalmente.
Apenas os dispositivos não geridos são direcionados: a deteção de dispositivos evita intencionalmente a análise de dispositivos que já estão integrados com o Defender para Endpoint. Apenas dispositivos não geridos ou desconhecidos estão sujeitos a análise ativa.
Pode excluir dispositivos ou sub-redes específicos: se tiver atrações de rede ou dispositivos confidenciais, pode configurar exclusões nas definições de Deteção de Dispositivos. Os dispositivos excluídos não são analisados ativamente e só são detetados passivamente, de forma semelhante ao modo de deteção básico.
Análises de rede autenticadas
As análises de rede autenticadas fornecem uma forma sem agente de detetar e avaliar dispositivos de infraestrutura de rede, tais como comutadores, routers, controladores WLAN, firewalls e gateways de VPN. Os dispositivos integrados designados no seu ambiente analisam periodicamente os dispositivos de rede pré-configurados através de protocolos suportados, oferecendo uma visibilidade mais profunda sobre a sua rede para além do que os sensores de pontos finais padrão podem fornecer.
Uma vez que os dispositivos de rede normalmente não suportam sensores integrados, o Defender para Endpoint baseia-se em análises remotas e autenticadas para recolher informações. Em cada segmento de rede, um ou mais dispositivos Windows integrados atuam como dispositivos de análise, efetuando estas análises em intervalos regulares. Depois de detetados e classificados, os dispositivos de rede são integrados nos fluxos de trabalho de gestão de vulnerabilidades do Defender para Endpoint, permitindo que os administradores de segurança recebam recomendações e revejam vulnerabilidades.
As análises autenticadas utilizam SNMP (só de leitura) e suportam SNMPv2 e SNMPv3. O processo requer que designe os dispositivos integrados que irão atuar como scanners e para especificar os dispositivos de rede que pretende analisar. Esta abordagem garante que até a infraestrutura sem agente está incluída na sua estratégia de gestão de vulnerabilidades e segurança.
Assim que os dispositivos de rede forem detetados e classificados, os administradores de segurança podem receber as recomendações de segurança mais recentes e rever as vulnerabilidades detetadas recentemente em dispositivos de rede implementados nas respetivas organizações.
Nota
A análise autenticada do Windows foi preterida a partir de 18 de dezembro de 2025. Para obter mais informações, veja FAQs sobre a descontinuação da análise autenticada do Windows.
Para obter informações sobre como iniciar análises de rede, veja Configurar análises de rede autenticadas.
Redes monitorizadas
Microsoft Defender para Endpoint analisa uma rede e determina se é uma rede empresarial que precisa de ser monitorizada ou uma rede não empresarial que pode ser ignorada. Os dispositivos que não estão ligados a redes empresariais não são detetados ou listados no inventário de dispositivos.
Para identificar uma rede como empresarial, o Defender para Ponto Final correlaciona os identificadores de rede em todos os clientes do inquilino. Se a maioria dos dispositivos na organização comunicar que estão ligados ao mesmo nome de rede, com o mesmo gateway predefinido e endereço de servidor DHCP, o Defender para Endpoint pressupõe que a rede é uma rede empresarial.
Os dispositivos de rede privada não estão listados no inventário e não são analisados ativamente.
Para substituir esta definição, pode adicionar redes à lista monitorizada. Para obter mais informações, veja Select networks to monitor (Selecionar redes a monitorizar).
Sistemas operativos e protocolos suportados
Para resolver o desafio de obter visibilidade suficiente para localizar, identificar e proteger o inventário de ativos OT/IOT completo, o Defender para Endpoint suporta a seguinte integração:
Sistemas operativos suportados
- Windows 10 versão 1809 ou posterior
- Windows 11
- Windows Server 2019 e posterior
- Azure STACK HCI OS, versão 23H2 e posterior
Protocolos suportados
A tabela seguinte mostra que protocolos são suportados por cada modo de deteção:
| Protocol | Deteção básica | Deteção padrão |
|---|---|---|
| AFP | Não | Sim |
| ARP | Sim | Sim |
| CDP | Sim | Não |
| DHCP | Sim | Sim |
| DHCPv6 | Sim | Não |
| FTP | Não | Sim |
| HTTP | Não | Sim |
| HTTPS | Não | Sim |
| ICMP | Não | Sim |
| IP (cabeçalhos) | Sim | Não |
| IphoneSync | Não | Sim |
| IPP | Não | Sim |
| LDAP | Não | Sim |
| LLDP | Sim | Não |
| LLMNR | Sim | Sim |
| mDNS | Sim | Sim |
| MNDP | Sim | Não |
| MSSQL | Sim | Não |
| NBNS | Sim | Sim |
| NBSS | Não | Sim |
| PJL | Não | Sim |
| RDP | Não | Sim |
| RPC | Não | Sim |
| SIP | Não | Sim |
| SLP | Não | Sim |
| SMB | Não | Sim |
| SMTP | Não | Sim |
| SNMP | Não | Sim |
| SSDP | Sim | Não |
| SSH | Não | Sim |
| TCP (cabeçalhos SYN) | Sim | Não |
| Telnet | Não | Sim |
| UDP (cabeçalhos) | Sim | Não |
| UPNP | Não | Sim |
| VNC | Não | Sim |
| WinRM | Não | Sim |
| WSD | Sim | Sim |
A deteção de dispositivos também pode analisar outras portas frequentemente utilizadas para melhorar a precisão e a cobertura da classificação.
Capacidades e opções de configuração
A maioria das organizações beneficia da deteção ativa inicial, da integração do inventário de dispositivos e do processamento automático de rede. Pode utilizar opções de configuração adicionais para controlo, filtragem e exclusões mais granulares, conforme necessário para o seu ambiente.
Esta tabela resume as capacidades que a deteção de dispositivos fornece desativada, o que cada opção de configuração adicional ativa e onde pode alterar as opções configuráveis no portal do Defender.
Para gerir as opções de deteção de dispositivos, veja Gerir a deteção de dispositivos. Para análise avançada, avaliação de vulnerabilidades e consultas de investigação, veja Rever e avaliar dispositivos.
| Funcionalidade/opção | Predefinição | O que inclui ou ativa | Onde configurar no portal do Defender | Mais informações |
|---|---|---|---|---|
| Deteção básica | Não | Deteta pontos finais não geridos, dispositivos de rede, recursos IoT através do tráfego. Pode ser utilizado para redes confidenciais/legadas. | Sistema>Configurações>Deteção de dispositivos>Modo de deteção>Básico | Modos e análises de deteção |
| Deteção padrão | Sim | Adiciona análises baseadas em protocolos para obter uma identificação mais profunda do dispositivo e um inventário mais avançado. Pode ser desativado (mude para o modo Básico ). | Sistema>Configurações>Deteção de dispositivos>Modo de deteção>Deteção padrão (recomendado) | Modos e análises de deteção |
| Integração do inventário de dispositivos | Sim | Vista unificada de dispositivos integrados e detetados. Filtre, avalie e tome medidas no inventário. | > RecursosDispositivos | Rever dispositivos que não estão integrados |
| Gestão de listas de rede | Sim | Monitoriza as redes empresariais, ignora as redes não empresariais por predefinição. Pode monitorizar/ignorar redes específicas. | Sistema>Configurações>Deteção de dispositivos>Redes monitorizadas | Gestão de listas de rede |
| Exclusões | Não | Exclua IPs ou grupos de dispositivos das análises. | Sistema>Configurações>Deteção de dispositivos>Exclusões | Excluir dispositivos |
| Análises de rede autenticadas | Não | - Detetar e classificar dispositivos de infraestrutura de rede que não podem ser integrados. - Agende análises e defina destinos de análise para além da sub-rede predefinida. |
Sistema>Configurações>Deteção de dispositivos>Deteção de dispositivos>Análises autenticadas | Configurar análises de rede autenticadas |
| Deteção de dispositivos OT/IoT | Não | Integre com o Defender para IoT para detetar dispositivos OT e IoT empresariais. | Sistema>Configurações>Deteção de dispositivos>Enterprise IoT | Integrar o Defender para IoT no portal do Defender |
| Avaliação de vulnerabilidades | Sim | Avalie vulnerabilidades em dispositivos detetados e obtenha orientações de remediação. Por exemplo, procure SSH para encontrar recomendações sobre vulnerabilidades SSH relacionadas com dispositivos não geridos. | Recomendações de gestão da exposição > | Descrição geral da gestão de vulnerabilidades |
| Investigação avançada em dispositivos detetados | Sim | Utilize consultas de investigação avançadas para investigar dispositivos detetados, as respetivas atividades e ameaças relacionadas. | Investigação avançada | Utilizar a investigação avançada em dispositivos detetados |
Capacidades e disponibilidade da deteção de dispositivos
A deteção de dispositivos permite que as organizações identifiquem dispositivos geridos e não geridos em toda a rede, incluindo pontos finais, dispositivos de rede e dispositivos IoT/OT. Todos os dispositivos detetados aparecem no inventário de dispositivos, independentemente do tipo de dispositivo.
A experiência de deteção principal, incluindo a visibilidade do dispositivo e as análises autenticadas na rede, é consistente em ambientes suportados do Defender para Ponto Final. As recomendações de avaliação de vulnerabilidades e segurança são fornecidas para dispositivos de ponto final como parte das capacidades de avaliação de vulnerabilidades do Defender.
Quando a licença de Segurança IoT Enterprise está ativada (através de Microsoft 365 E5 ou através de uma licença autónoma do Enterprise IoT), a avaliação de vulnerabilidades está disponível para dispositivos IoT detetados, proporcionando uma visibilidade de risco mais profunda para além do inventário básico.
Para obter informações sobre a disponibilidade de funcionalidades e o licenciamento, veja a descrição do serviço Microsoft Defender.