קבע תצורה של גילוי מכשירים
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
ניתן לקבוע את תצורת הגילוי למצב רגיל או בסיסי. השתמש באפשרות הרגילה כדי למצוא באופן פעיל מכשירים ברשת שלך, אשר יבטיחו טוב יותר את גילוי נקודות הקצה ויספקו סיווג מכשיר עשיר יותר.
באפשרותך להתאים אישית את רשימת המכשירים המשמשים לביצוע גילוי רגיל. באפשרותך להפוך גילוי רגיל לזמין בכל המכשירים המחוברים גם התומכים ביכולת זו (בשלב זה - Windows 10 ואילך ובמכשירים Windows Server 2019 ואילך בלבד) או לבחור קבוצת משנה או ערכות משנה של המכשירים שלך על-ידי ציון תגי המכשיר שלהם.
הגדרת גילוי מכשירים
כדי להגדיר גילוי מכשירים, בצע את שלבי התצורה הבאים בפורטל Microsoft Defender הבא:
נווט אל הגדרות>גילוי מכשירים
- אם ברצונך לקבוע את התצורה של 'בסיסי' כמצב גילוי לשימוש במכשירים מחוברים, בחר בסיסי ולאחר מכן בחר שמור
- אם בחרת להשתמש בגילוי רגיל, בחר באיזו מכשירים להשתמש לתגיות פעילות: כל המכשירים או קבוצת משנה על-ידי ציון תגי המכשיר שלהם ולאחר מכן בחר שמור
הערה
גילוי רגיל משתמש בקבצי Script שונים של PowerShell כדי לבדוק באופן פעיל מכשירים ברשת. קבצי Script אלה של PowerShell חתומים על-ידי Microsoft ובוצעו מהמיקום הבא: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. לדוגמה: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
אל תכלול מכשירים בגישת בדיקה פעילה בגילוי רגיל
אם יש ברשת מכשירים שאין לסרוק אותם באופן פעיל (לדוגמה, התקנים המשמשים כנקפות דבש עבור כלי אבטחה אחר), באפשרותך גם להגדיר רשימה של פריטים שאינם נכללים כדי למנוע את סריקתם. שים לב שניתן עדיין לגלות מכשירים באמצעות מצב גילוי בסיסי, וניתן גם לגלות אותם באמצעות ניסיונות גילוי של שידור לקבוצה. מכשירים אלה יתגלה באופן פאסיבי אך לא ייחקרו באופן פעיל.
באפשרותך לקבוע את התצורה של המכשירים כך שלא ייכללו בדף 'פריטים שאינם נכללים '.
בחר רשתות לניטור
Microsoft Defender עבור נקודת קצה מנתח רשת וקובע אם יש לנטר אותה ברשת ארגונית או רשת שאינה ארגונית שניתן להתעלם ממנה. כדי לזהות רשת כרשת ארגונית, אנו מתאם מזהי רשת בכל לקוחות הדייר ואם רוב המכשירים בארגון מדווחים שהם מחוברים לאותו שם רשת, עם אותו שער ברירת מחדל וכתובת שרת DHCP, אנו מניחים שזו רשת ארגונית. רשתות ארגוניות נבחרות בדרך כלל לניטור. עם זאת, באפשרותך לעקוף החלטה זו על-ידי בחירה לנטר רשתות שאינן ארגוניות שבהן נמצאים מכשירים מחוברים.
באפשרותך לקבוע את תצורת המקום שבו ניתן לבצע גילוי מכשירים על-ידי ציון הרשתות שיש לנטר. בעת ניטור רשת, ניתן לבצע בה גילוי מכשירים.
רשימת רשתות שבהן ניתן לבצע גילוי מכשיר מוצגת בדף ' רשתות תחת פיקוח '.
הערה
הרשימה מציגה רשתות שזוהו כרשתות ארגוניות. אם פחות מ- 50 רשתות מזוהות כרשתות ארגוניות, הרשימה תופיע עד 50 רשתות עם ההתקנים המחוברים ביותר.
רשימת הרשתות המנוהמות ממוינות בהתבסס על המספר הכולל של מכשירים שנראתה ברשת בשבעת הימים האחרונים.
באפשרותך להחיל מסנן כדי להציג את כל אחד מצבי גילוי הרשת הבאים:
- רשתות תחת פיקוח - רשתות שבהן מתבצעת גילוי מכשירים.
- רשתות שהמערכת מתעלמת מהן - הפונקציה מתעלמת מרשת זו וגילוי המכשירים אינו מבוצע בה.
- הכל - הן רשתות שנטרו והן רשתות שהמערכת התעלמה מהן מוצגות.
קביעת התצורה של מצב צג הרשת
אתה שולט במקום שבו גילוי המכשיר מתבצע. רשתות תחת פיקוח הן המקום שבו מתבצע גילוי מכשיר ובדרך כלל רשתות ארגוניות. באפשרותך גם לבחור להתעלם מרשתות או לבחור את סיווג הגילוי הראשוני לאחר שינוי מצב.
בחירת סיווג הגילוי הראשוני פירושה החלת מצב צג הרשת המוגדר כברירת מחדל במערכת. בחירת מצב צג הרשת המוגדר כברירת מחדל שנוצר על-ידי המערכת פירושה שרשתות שזוהו כרשתות ארגוניות, נמצאות תחת פיקוח, והרשתות המזוהות כלא ארגוניות, מתעלמות באופן אוטומטי.
בחר הגדרות > גילוי מכשיר.
בחר רשתות תחת פיקוח.
הצג את רשימת הרשתות.
בחר את שלוש הנקודות לצד שם הרשת.
בחר אם ברצונך לנטר את סיווג הגילוי הראשוני, להתעלם ממנו או להשתמש בו.
אזהרה
- בחירה בניטור רשת שלא זוהתה על-ידי Microsoft Defender עבור נקודת קצה כרשת ארגונית עלולה לגרום לגילוי מכשירים מחוץ לרשת החברה שלך, ולכן עשויה לזהות מכשירים ביתיים או התקנים אחרים שאינם ארגוניים.
- בחירה להתעלם מרשת תפסיק את הניטור והגילוי של מכשירים ברשת זו. מכשירים שכבר התגלו לא יוסרו מהמלאי, אך לא יעודכנו עוד, והפרטים יישמרו עד שתוקף תקופת שמירת הנתונים של נקודת הקצה של Defender for יפוג.
- לפני שתבחר לנטר רשתות שאינן ארגוניות, עליך לוודא שיש לך הרשאה לעשות זאת.
אשר שברצונך לבצע את השינוי.
גלה מכשירים ברשת
באפשרותך להשתמש בשאילתת הציד המתקדמות הבאה כדי לקבל הקשר נוסף אודות כל שם רשת המתואר ברשימת הרשתות. השאילתה מפרטת את כל ההתקנים הצירוף שהיו מחוברים לרשת מסוימת בשבעת הימים האחרונים.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
קבל מידע במכשיר
באפשרותך להשתמש בשאילתת הציד המתקדם הבאה כדי לקבל את המידע המלא העדכני ביותר במכשיר ספציפי.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור