Auf Englisch lesen

Freigeben über

Konfigurieren der Geräteermittlung in Defender für Endpunkt

  • Artikel

Gilt für:

Die Geräteermittlung kann so konfiguriert werden, dass sie sich im Standardmodus oder im Einfachen Modus befindet. Verwenden Sie die Standardoption, um Geräte in Ihrem Netzwerk aktiv zu finden, wodurch die Ermittlung von Endpunkten verbessert und eine umfassendere Geräteklassifizierung bereitgestellt wird.

Sie können die Liste der Geräte anpassen, die für die Standardermittlung verwendet werden. Sie können entweder die Standardermittlung auf allen integrierten Geräten aktivieren, die diese Funktion ebenfalls unterstützen (derzeit für Geräte mit Windows 10 und höher oder Windows Server 2019 und höher). Alternativ können Sie eine Teilmenge der Geräte auswählen, indem Sie deren Gerätetags angeben.

Einrichten der Geräteermittlung

Führen Sie zum Einrichten der Geräteermittlung die folgenden Konfigurationsschritte im Microsoft Defender-Portal aus:

Navigieren Sie zu Einstellungen>Geräteermittlung.

  1. Wenn Sie Basic als Ermittlungsmodus konfigurieren möchten, der auf Ihren integrierten Geräten verwendet werden soll, wählen Sie Basic und dann Speichern aus.

  2. Wenn Sie die Verwendung Standard Ermittlung ausgewählt haben, wählen Sie aus, welche Geräte für die aktive Überprüfung verwendet werden sollen: alle Geräte oder eine Teilmenge, indem Sie deren Gerätetags angeben, und wählen Sie dann Speichern aus.

Hinweis

Bei der Standardermittlung werden verschiedene PowerShell-Skripts verwendet, um Geräte im Netzwerk aktiv zu testen. Diese PowerShell-Skripts sind von Microsoft signiert und werden am folgenden Speicherort ausgeführt: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Beispiel: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Ausschließen, dass Geräte bei der Standarderkennung aktiv überprüft werden

Wenn es Geräte in Ihrem Netzwerk gibt, die nicht aktiv gescannt werden sollten (z. B. Geräte, die als Honeypots für ein anderes Sicherheitstool verwendet werden), können Sie auch eine Liste von Ausschlüssen definieren, um zu verhindern, dass sie gescannt werden. Geräte können weiterhin im Standardermittlungsmodus ermittelt und auch durch Multicastermittlungsversuche ermittelt werden. Diese Geräte werden passiv entdeckt, aber nicht aktiv überprüft.

Sie können die auszuschließenden Geräte auf der Seite Ausschlüsse konfigurieren.

Zu überwachende Netzwerke auswählen

Microsoft Defender for Endpoint analysiert ein Netzwerk und ermittelt, ob es sich um ein Unternehmensnetzwerk handelt, das überwacht werden muss, oder ein nicht unternehmenseigenes Netzwerk, das ignoriert werden kann. Um ein Netzwerk als Unternehmen zu identifizieren, korrelieren wir Netzwerkbezeichner für alle Mandantenclients. Wenn die meisten Geräte im organization berichten, dass sie mit demselben Netzwerknamen verbunden sind, mit demselben Standardgateway und der gleichen DHCP-Serveradresse, wird davon ausgegangen, dass es sich um ein Unternehmensnetzwerk handelt. Unternehmensnetzwerke werden in der Regel für die Überwachung ausgewählt. Sie können diese Entscheidung jedoch außer Kraft setzen, indem Sie netzwerke ohne Unternehmen überwachen, in denen integrierte Geräte gefunden werden.

Sie können konfigurieren, wo die Geräteermittlung ausgeführt werden kann, indem Sie angeben, welche Netzwerke überwacht werden sollen. Wenn ein Netzwerk überwacht wird, kann die Geräteerkennung für das Netzwerk ausgeführt werden.

Eine Liste der Netzwerke, in denen die Geräteerkennung durchgeführt werden kann, wird auf der Seite Überwachte Netzwerke angezeigt.

Hinweis

Die Liste zeigt Netzwerke an, die als Unternehmensnetzwerke identifiziert wurden. Wenn weniger als 50 Netzwerke als Unternehmensnetzwerke identifiziert werden, werden in der Liste bis zu 50 Netzwerke mit den meisten integrierten Geräten angezeigt.

Die Liste der überwachten Netzwerke wird basierend auf der Gesamtzahl der Geräte sortiert, die in den letzten sieben Tagen im Netzwerk angezeigt wurden.

Sie können einen Filter anwenden, um einen der folgenden Netzwerkermittlungszustände anzuzeigen:

  • Überwachte Netzwerke : Netzwerke, in denen die Geräteermittlung durchgeführt wird.
  • Ignorierte Netzwerke : Dieses Netzwerk wird ignoriert, und die Geräteermittlung wird nicht durchgeführt.
  • Alle : Sowohl überwachte als auch ignorierte Netzwerke werden angezeigt.

Netzwerkmonitorstatus konfigurieren

Sie steuern, wo die Geräteermittlung stattfindet. In überwachten Netzwerken wird die Geräteermittlung durchgeführt, und in der Regel handelt es sich um Unternehmensnetzwerke. Sie können Netzwerke auch ignorieren oder die anfängliche Erkennungsklassifizierung auswählen, nachdem Sie einen Zustand geändert haben.

Wenn Sie die anfängliche Ermittlungsklassifizierung auswählen, wird der standardmäßige Systemmonitorstatus angewendet. Die Auswahl des standardmäßigen Systemzustands für die Netzwerküberwachung bedeutet, dass Netzwerke, die als Unternehmensnetzwerk identifiziert wurden, überwacht und als nicht unternehmenseigene Netzwerke identifiziert wurden, automatisch ignoriert werden.

  1. Wählen Sie Einstellungen > Geräteermittlung aus.

  2. Wählen Sie Überwachte Netzwerke aus.

  3. Zeigen Sie die Liste der Netzwerke an.

  4. Wählen Sie die drei Punkte neben dem Netzwerknamen aus.

  5. Wählen Sie aus, ob Sie die anfängliche Erkennungsklassifizierung überwachen, ignorieren oder verwenden möchten.

    Warnung

    • Wenn Sie sich dafür entscheiden, ein Netzwerk zu überwachen, das nicht von Microsoft Defender for Endpoint als Unternehmensnetzwerk identifiziert wurde, kann die Geräteermittlung außerhalb Ihres Unternehmensnetzwerks verursachen und daher Heimgeräte oder andere nicht unternehmenseigene Geräte erkennen.
    • Wenn Sie ein Netzwerk ignorieren, wird die Überwachung und Ermittlung von Geräten in diesem Netzwerk beendet. Geräte, die bereits erkannt wurden, werden nicht aus dem Bestand entfernt, werden aber nicht mehr aktualisiert, und Details werden bis zum Ablauf der Datenaufbewahrungsdauer von Defender für Endpunkt beibehalten.
    • Bevor Sie sich für die Überwachung von Nicht-Unternehmensnetzwerken entscheiden, müssen Sie sicherstellen, dass Sie dazu berechtigt sind.

  6. Vergewissern Sie sich, dass Sie die Änderung vornehmen möchten.

Durchsuchen von Geräten im Netzwerk

Sie können die folgende erweiterte Huntingabfrage verwenden, um mehr Kontext zu den einzelnen Netzwerknamen abzurufen, die in der Netzwerkliste beschrieben werden. Die Abfrage listet alle integrierten Geräte auf, die innerhalb der letzten sieben Tage mit einem bestimmten Netzwerk verbunden waren.

Kusto 
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Abrufen von Informationen zum Gerät

Sie können die folgende erweiterte Huntingabfrage verwenden, um die neuesten vollständigen Informationen auf einem bestimmten Gerät abzurufen.

Kusto 
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.