Konfigurace zjišťování zařízení

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Zjišťování je možné nakonfigurovat tak, aby bylo ve standardním nebo základním režimu. Pokud chcete aktivně vyhledávat zařízení v síti, použijte standardní možnost, která lépe zajistí zjišťování koncových bodů a zajistí bohatší klasifikaci zařízení.

Seznam zařízení, která se používají k provádění standardního zjišťování, můžete přizpůsobit. Můžete buď povolit standardní zjišťování na všech nasazených zařízeních, která tuto funkci podporují (aktuálně Windows 10 nebo novějším a jenom zařízení s Windows Serverem 2019 nebo novějším), nebo můžete vybrat podmnožinu nebo podmnožinu zařízení zadáním značek zařízení.

Nastavení zjišťování zařízení

Pokud chcete nastavit zjišťování zařízení, proveďte na portálu Microsoft Defender následující kroky konfigurace:

Přejděte na Nastavení>Zjišťování zařízení.

1. Pokud chcete jako režim zjišťování nakonfigurovat Základní, který se má používat na nasazených zařízeních, vyberte Basic a pak vyberte Uložit.
2. Pokud jste se vybrali pro použití standardního zjišťování, vyberte zařízení, která chcete použít k aktivnímu zkoumání: všechna zařízení nebo podmnožinu zadáním jejich značek zařízení, a pak vyberte Uložit.

Poznámka

Standardní zjišťování používá k aktivnímu sondování zařízení v síti různé skripty PowerShellu. Tyto skripty PowerShellu jsou podepsané Microsoftem a spouští se z následujícího umístění: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Například: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Vyloučení zařízení z aktivního vyhledávání ve standardním zjišťování

Pokud ve vaší síti existují zařízení, která by se neměla aktivně kontrolovat (například zařízení používaná jako honeypoty pro jiný bezpečnostní nástroj), můžete také definovat seznam vyloučení, abyste zabránili jejich kontrole. Mějte na paměti, že zařízení je stále možné zjistit pomocí režimu základního zjišťování a je také možné je zjistit prostřednictvím pokusů o zjišťování vícesměrového vysílání. Tato zařízení budou zjištěna pasivně, ale nebudou se aktivně zkoumat.

Na stránce Vyloučení můžete nakonfigurovat vyloučení zařízení.

Výběr sítí, které chcete monitorovat

Microsoft Defender for Endpoint analyzuje síť a určí, jestli se jedná o podnikovou síť, kterou je potřeba monitorovat, nebo o síť mimo podnik, kterou je možné ignorovat. Abychom identifikovali síť jako podnikovou, korelujeme identifikátory sítě napříč všemi klienty tenanta, a pokud většina zařízení v organizaci hlásí, že jsou připojená ke stejnému názvu sítě, se stejnou výchozí bránou a adresou serveru DHCP, předpokládáme, že se jedná o podnikovou síť. K monitorování se obvykle volí podnikové sítě. Toto rozhodnutí ale můžete přepsat tak, že se rozhodnete monitorovat jiné než podnikové sítě, ve kterých se nacházejí nasazená zařízení.

Určením sítí, které se mají monitorovat, můžete nakonfigurovat, kde je možné zařízení zjišťovat. Když je síť monitorovaná, je možné v ní provést zjišťování zařízení.

Seznam sítí, ve kterých je možné provést zjišťování zařízení, se zobrazí na stránce Monitorované sítě .

Poznámka

Seznam obsahuje sítě, které byly identifikovány jako podnikové sítě. Pokud se jako podnikové sítě identifikuje méně než 50 sítí, zobrazí se v seznamu až 50 sítí s nejvíce nasazenými zařízeními.

Seznam monitorovaných sítí je seřazený podle celkového počtu zařízení zobrazených v síti za posledních 7 dnů.

Pomocí filtru můžete zobrazit kterýkoli z následujících stavů zjišťování sítě:

• Monitorované sítě – sítě, ve kterých se provádí zjišťování zařízení.
• Ignorované sítě – Tato síť se ignoruje a neprovádí se v ní zjišťování zařízení.
• Vše – Zobrazí se monitorované i ignorované sítě.

Konfigurace stavu monitorování sítě

Vy řídíte, kde probíhá zjišťování zařízení. V monitorovaných sítích se provádí zjišťování zařízení a obvykle se jedná o podnikové sítě. Po úpravě stavu můžete také ignorovat sítě nebo vybrat počáteční klasifikaci zjišťování.

Volba počáteční klasifikace zjišťování znamená použití výchozího systémového stavu monitorování sítě. Výběr výchozího systémového stavu monitorování sítě znamená, že sítě, které byly identifikovány jako podnikové, monitorované a sítě označené jako jiné než podnikové, se automaticky ignorují.

1. Vyberte Nastavení > Zjišťování zařízení.

2. Vyberte Monitorované sítě.

3. Zobrazte seznam sítí.

4. Vyberte tři tečky vedle názvu sítě.

5. Zvolte, jestli chcete monitorovat, ignorovat nebo používat počáteční klasifikaci zjišťování.

   Upozornění

   • Pokud zvolíte monitorování sítě, která nebyla identifikována Microsoft Defender for Endpoint jako podniková síť, může to způsobit zjišťování zařízení mimo vaši podnikovou síť, a proto může detekovat domácí nebo jiná zařízení, která nejsou firemní.
   • Pokud se rozhodnete síť ignorovat, přestanete monitorovat a zjišťovat zařízení v této síti. Zařízení, která už byla zjištěna, se z inventáře neodeberou, ale už se nebudou aktualizovat a podrobnosti se zachovají, dokud nevyprší doba uchovávání dat defenderu for Endpoint.
   • Než se rozhodnete monitorovat jiné než podnikové sítě, musíte se ujistit, že k tomu máte oprávnění.
     

6. Potvrďte, že chcete provést změnu.

Prozkoumání zařízení v síti

Pomocí následujícího rozšířeného dotazu proaktivního vyhledávání můžete získat další kontext o jednotlivých síťových názvech popsaných v seznamu sítí. Dotaz zobrazí seznam všech připojených zařízení, která byla připojena k určité síti během posledních sedmi dnů.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Získání informací o zařízení

K získání nejnovějších úplných informací o konkrétním zařízení můžete použít následující rozšířený dotaz proaktivního vyhledávání.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Viz také

• Přehled zjišťování zařízení
• Nejčastější dotazy ke zjišťování zařízení

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.