Määritä laitteiden etsintä

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Etsintä voidaan määrittää vakio- tai perustilassa. Vakiovaihtoehdon avulla voit etsiä aktiivisesti laitteita verkostasi, mikä takaa entistä paremmin päätepisteiden löytämisen ja tarjoaa monipuolisemman laiteluokituksen.

Voit mukauttaa vakioetsinnän suorittamiseen käytettävien laitteiden luetteloa. Voit joko ottaa vakioetsinnän käyttöön kaikissa tätä ominaisuutta tukevissa laitteissa (tällä hetkellä – Windows 10 tai uudempi ja Windows Server 2019 tai uudemmat laitteet) tai valita laitteidesi alijoukon tai alijoukot määrittämällä niiden laitetunnisteet.

Laitteen etsinnän määrittäminen

Voit määrittää laitteiden etsinnän seuraavasti Microsoft Defender -portaalissa:

Siirry kohtaan Asetukset>Laitteen etsintä

1. Jos haluat määrittää perustiedot etsintätilaksi, jota käytetään perehdytetyissä laitteissasi, valitse Perus ja valitse sitten Tallenna
2. Jos olet valinnut vakioetsinnän käyttöön, valitse aktiiviseen tutkimiseen käytettävät laitteet: kaikki laitteet tai alijoukko määrittämällä niiden laitetunnisteet, ja valitse sitten Tallenna

Huomautus

Vakioetsintä käyttää erilaisia PowerShell-komentosarjoja laitteiden aktiiviseen tutkimiseen verkossa. Nämä PowerShell-komentosarjat ovat Microsoftin allekirjoittamia, ja ne suoritetaan seuraavasta sijainnista: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Esimerkiksi C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Laitteiden pois jättäminen vakioetsinnän aktiivisesta tutkimisesta

Jos verkossasi on laitteita, joita ei tule aktiivisesti skannata (esimerkiksi laitteita, joita käytetään toisen suojaustyökalun hunajapurkkeina), voit myös määrittää poissulkemisten luettelon estääksesi niiden skannaamisen. Huomaa, että laitteita voidaan edelleen löytää perusetsintätilassa, ja ne voidaan löytää myös monilähetysten etsintäyritysten avulla. Nämä laitteet löydetään passiivisesti, mutta niitä ei tutkita aktiivisesti.

Voit määrittää laitteet pois jätettäviksi Poissulkemiset-sivulla .

Valitse valvottava verkko

Microsoft Defender for Endpoint analysoi verkon ja määrittää, onko kyseessä yritysverkko, jota on valvottava, vai muu kuin yrityksen verkko, joka voidaan ohittaa. Jos haluat tunnistaa verkon yritykseksi, korreloimme verkon tunnisteet kaikkien vuokraajan asiakkaisiin ja jos useimmat organisaation laitteet ilmoittavat, että ne on yhdistetty samaan verkkonimeen, samalla oletusyhdyskäytävällä ja DHCP-palvelimen osoitteella, oletamme, että kyseessä on yritysverkko. Yritysverkot valitaan yleensä valvottavaksi. Voit kuitenkin ohittaa tämän päätöksen valitsemalla valvoa muita kuin yritysverkkoja, joissa on otettu laitteita.

Voit määrittää, missä laitteen etsintä voidaan suorittaa, määrittämällä, mitä verkkoja valvotaan. Kun verkkoa valvotaan, sille voidaan tehdä laiteetsintä.

Luettelo verkoista, joissa laite voidaan löytää, näytetään Valvotut verkot -sivulla.

Huomautus

Luettelossa näkyvät verkot, jotka on tunnistettu yritysverkoiksi. Jos yritysverkoiksi tunnistetaan alle 50 verkkoa, luettelossa näkyy jopa 50 verkkoa, joissa on eniten otettuja laitteita.

Valvottavien verkkojen luettelo lajitellaan sen mukaan, kuinka monta laitetta verkossa on nähty yhteensä seitsemän viime päivän aikana.

Voit käyttää suodatinta, jos haluat tarkastella mitä tahansa seuraavista verkon etsintätiloista:

• Valvotut verkot – Verkot, joissa laitteen etsintä suoritetaan.
• Ohitetut verkot – Tämä verkko ohitetaan ja laitteen etsintää ei suoriteta siinä.
• Kaikki – Sekä valvotut että ohitetut verkot näytetään.

Verkon seurannan tilan määrittäminen

Voit hallita, missä laitteen etsintä tapahtuu. Valvotut verkot ovat paikka, jossa laitteen etsintä suoritetaan, ja ne ovat yleensä yritysverkkoja. Voit myös ohittaa verkot tai valita ensimmäisen etsinnän luokituksen, kun olet muokannut tilaa.

Ensimmäisen etsinnän luokituksen valitseminen tarkoittaa järjestelmän tekemän verkon valvontatilan käyttämistä. Järjestelmän tekemän oletusverkon valvontatilan valitseminen tarkoittaa sitä, että verkot, jotka on tunnistettu yrityksenä, valvotaan ja että ne, jotka on tunnistettu muuksi kuin yritykseksi, ohitetaan automaattisesti.

1. Valitse Asetukset > Laitteen etsintä.

2. Valitse Valvotut verkot.

3. Näytä verkkojen luettelo.

4. Valitse kolme pisteestä verkon nimen vierestä.

5. Valitse, haluatko valvoa, ohittaa vai käyttää ensimmäistä etsinnän luokitusta.

   Varoitus

   • Jos päätät valvoa verkkoa, jota Microsoft Defender ei tunnistanut päätepisteeksi yritysverkkona, voi aiheuttaa laitteen etsinnän yritysverkon ulkopuolella, ja näin ollen se voi havaita kotilaitteet tai muut kuin yrityksen laitteet.
   • Jos valitset verkon ohittamisen, kyseisen verkon laitteiden valvonta ja löytäminen lopetetaan. Laitteita, jotka on jo löydetty, ei poisteta varastosta, mutta niitä ei enää päivitetä, ja tiedot säilytetään, kunnes Defender for Endpointin tietojen säilytysaika päättyy.
   • Ennen kuin päätät valvoa muita kuin yritysverkkoja, sinun on varmistettava, että sinulla on siihen käyttöoikeus.
     

6. Vahvista, että haluat tehdä muutoksen.

Tutustu verkon laitteisiin

Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi lisää kontekstia kustakin verkkonimestä, joka on kuvattu verkkoluettelossa. Kyselyssä luetellaan kaikki käyttöön otetut laitteet, jotka on yhdistetty tiettyyn verkkoon viimeisten seitsemän päivän aikana.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Hae tietoja laitteesta

Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi uusimmat täydelliset tiedot tietystä laitteesta.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Tutustu myös seuraaviin ohjeartikkeleihin:

• Laitteiden etsinnän yleiskatsaus
• Laitteiden etsinnän usein kysytyt kysymykset

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.