Configurer la découverte d’appareils
S’applique à :
La découverte peut être configurée pour être en mode standard ou de base. Utilisez l’option standard pour rechercher activement des appareils dans votre réseau, ce qui garantit mieux la découverte des points de terminaison et fournit une classification des appareils plus riche.
Vous pouvez personnaliser la liste des appareils utilisés pour effectuer une découverte standard. Vous pouvez activer la découverte standard sur tous les appareils intégrés qui prennent également en charge cette fonctionnalité (actuellement, Windows 10 ou version ultérieure et Windows Server 2019 ou version ultérieure uniquement) ou sélectionner un sous-ensemble ou des sous-ensembles de vos appareils en spécifiant leurs étiquettes d’appareil.
Configurer la découverte d’appareils
Pour configurer la découverte d’appareils, effectuez les étapes de configuration suivantes dans le portail Microsoft Defender :
Accédez à Paramètres Découverte>de l’appareil
- Si vous souhaitez configurer Le mode De base comme mode de découverte à utiliser sur vos appareils intégrés, sélectionnez De base , puis Enregistrer.
- Si vous avez choisi d’utiliser la découverte Standard, sélectionnez les appareils à utiliser pour la détection active : tous les appareils ou sur un sous-ensemble en spécifiant leurs étiquettes d’appareil, puis sélectionnez Enregistrer
Remarque
Le mode de détection standard utilise différents scripts PowerShell pour détecter activement les appareils du réseau. Ces scripts PowerShell sont signés par Microsoft et sont exécutés à partir de l’emplacement suivant : C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
. Par exemple : C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
.
Exclure les appareils de la détection active en mode standard.
S’il existe des appareils sur votre réseau qui ne doivent pas être activement analysés (par exemple, des appareils utilisés comme honeypots pour un autre outil de sécurité), vous pouvez également définir une liste d’exclusions pour les empêcher d’être analysés. Notez que les appareils peuvent toujours être découverts à l’aide du mode de découverte de base et peuvent également être découverts via des tentatives de découverte de multidiffusion. Ces appareils seront détectés passivement, mais ne seront pas sondés activement.
Vous pouvez configurer les appareils à exclure dans la page Exclusions .
Sélectionner les réseaux à surveiller
Microsoft Defender pour point de terminaison analyse un réseau et détermine s’il s’agit d’un réseau d’entreprise qui doit être surveillé ou d’un réseau non-entreprise qui peut être ignoré. Pour identifier un réseau en tant qu’entreprise, nous mettons en corrélation les identificateurs réseau entre tous les clients du locataire et, si la plupart des appareils de l’organisation signalent qu’ils sont connectés au même nom de réseau, avec la même passerelle par défaut et la même adresse de serveur DHCP, nous supposons qu’il s’agit d’un réseau d’entreprise. Les réseaux d’entreprise sont généralement sélectionnés pour être surveillés. Toutefois, vous pouvez remplacer cette décision en choisissant de surveiller les réseaux autres que les réseaux d’entreprise où des appareils intégrés sont détectés.
Vous pouvez configurer l’emplacement où la découverte des appareils peut être effectuée en spécifiant les réseaux à surveiller. Lorsqu’un réseau est surveillé, la détection d’appareils peut être effectuée sur celui-ci.
La liste des réseaux sur lesquels la détection d’appareils peut être effectuée s’affiche sur la page Réseaux surveillés .
Remarque
La liste répertorie les réseaux identifiés comme réseaux d’entreprise. Si moins de 50 réseaux sont identifiés comme réseaux d’entreprise, la liste affichera jusqu’à 50 réseaux avec le plus d’appareils intégrés.
La liste des réseaux surveillés est triée en fonction du nombre total d’appareils affichés sur le réseau au cours des sept derniers jours.
Vous pouvez appliquer un filtre pour afficher l’un des états de découverte de réseau suivants :
- Réseaux surveillés : réseaux où la découverte des appareils est effectuée.
- Réseaux ignorés : ce réseau est ignoré et la découverte des appareils n’est pas effectuée sur celui-ci.
- Tous : les réseaux surveillés et ignorés sont affichés.
Configurer l’état du moniteur réseau
Vous contrôlez l’endroit où la découverte d’appareils a lieu. Les réseaux surveillés sont l’endroit où la découverte des appareils est effectuée et sont généralement des réseaux d’entreprise. Vous pouvez également choisir d’ignorer des réseaux ou de sélectionner la classification de détection initiale après avoir modifié un état.
Choisir la classification de découverte initiale signifie appliquer l’état du moniteur réseau par défaut créé par le système. La sélection de l’état par défaut du moniteur réseau créé par le système signifie que les réseaux identifiés comme étant d’entreprise, sont surveillés et ceux identifiés comme non d’entreprise, sont ignorés automatiquement.
Sélectionnez Paramètres Découverte > de l’appareil.
Sélectionnez Réseaux supervisés.
Passez en revue la liste des réseaux.
Sélectionnez les trois points en regard du nom du réseau.
Indiquez si vous souhaitez surveiller, ignorer ou utiliser la classification de détection initiale.
Avertissement
- Choisir de surveiller un réseau qui n’a pas été identifié par Microsoft Defender pour point de terminaison en tant que réseau d’entreprise peut entraîner la détection d’appareils en dehors de votre réseau d’entreprise, et peut donc détecter les appareils domestiques ou autres.
- Si vous choisissez d’ignorer un réseau, vous interrompez la surveillance et la détection des appareils de ce réseau. Les appareils qui ont déjà été découverts ne seront pas supprimés de l’inventaire, mais ne seront plus mis à jour et les détails seront conservés jusqu’à l’expiration de la période de conservation des données de Defender pour point de terminaison.
- Avant de choisir de surveiller les réseaux autres que les réseaux d’entreprise, vous devez vous assurer que vous êtes autorisé à le faire.
Confirmez que vous souhaitez apporter cette modification.
Explorer les appareils du réseau
Vous pouvez utiliser la requête de repérage avancée suivante pour obtenir plus de contexte sur chaque nom de réseau décrit dans la liste des réseaux. La requête répertorie tous les appareils intégrés qui ont été connectés à un certain réseau au cours des sept derniers jours.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Obtenir des informations sur un appareil
Vous pouvez utiliser la requête de repérage avancée suivante pour obtenir les dernières informations complètes sur un appareil spécifique.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Voir aussi
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.