Az eszközészlelés konfigurálása

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

A felderítés konfigurálható standard vagy alapszintű módra. A standard beállítással aktívan kereshet eszközöket a hálózatban, ami jobban garantálja a végpontok felderítését és a gazdagabb eszközbesorolást.

Testre szabhatja a szabványos felderítés végrehajtásához használt eszközök listáját. Engedélyezheti a standard felderítést az összes olyan előkészített eszközön, amely szintén támogatja ezt a képességet (jelenleg – Windows 10 vagy újabb és csak Windows Server 2019 vagy újabb rendszerű eszközökön), vagy az eszközcímkék megadásával kiválaszthatja az eszközök egy részhalmazát vagy részhalmazát.

Eszközfelderítés beállítása

Az eszközfelderítés beállításához kövesse az alábbi konfigurációs lépéseket a Microsoft Defender portálon:

Lépjen a Beállítások>Eszközfelderítés területre

1. Ha az Alapszintű módot szeretné beállítani az előkészített eszközökön használandó felderítési módként, válassza az Alapszintű lehetőséget, majd a Mentés lehetőséget.
2. Ha a Standard felderítés használatát választotta, válassza ki az aktív felderítéshez használni kívánt eszközöket: az összes eszközt vagy egy részhalmazt az eszközcímkék megadásával, majd válassza a Mentés lehetőséget.

Megjegyzés:

A standard felderítés különböző PowerShell-szkripteket használ a hálózaton lévő eszközök aktív mintavételéhez. Ezek a PowerShell-szkriptek a Microsoft aláírásával vannak ellátva, és a következő helyről hajthatók végre: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Használja például a C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1 címet.

Eszközök kizárása a standard felderítésben való aktívan mintavételből

Ha a hálózaton vannak olyan eszközök, amelyeket nem szabad aktívan beolvasni (például egy másik biztonsági eszköz mézesmadzára használt eszközei), a kizárások listáját is megadhatja, hogy ne lehessen beolvasni őket. Vegye figyelembe, hogy az eszközök alapszintű felderítési módban továbbra is felderíthetők, és csoportos küldéses felderítési kísérleteken keresztül is felderíthetők. Ezek az eszközök passzívan lesznek felderítve, de aktívan nem lesznek megvizsgálva.

Az eszközöket a Kizárások lapon konfigurálhatja kizárásra.

Monitorozni kívánt hálózatok kiválasztása

A Végponthoz készült Microsoft Defender elemzi a hálózatot, és megállapítja, hogy egy figyelendő vállalati hálózatról vagy egy nem vállalati hálózatról van-e szó, amelyet figyelmen kívül lehet hagyni. A hálózat vállalatiként való azonosításához korreláljuk a hálózatazonosítókat az összes bérlő ügyfélprogramjában, és ha a szervezet legtöbb eszköze arról számol be, hogy ugyanahhoz a hálózatnévhez csatlakoznak, ugyanazzal az alapértelmezett átjáróval és DHCP-kiszolgálócímmel, feltételezzük, hogy ez egy vállalati hálózat. A vállalati hálózatokat általában monitorozásra választják. Ezt a döntést azonban felülbírálhatja, ha úgy dönt, hogy figyeli a nem vállalati hálózatokat, ahol az előkészített eszközök találhatók.

A monitorozni kívánt hálózatok megadásával megadhatja, hogy hol végezhető el az eszközfelderítés. Egy hálózat figyelésekor eszközfelderítés végezhető rajta.

Azoknak a hálózatoknak a listája, amelyeken eszközfelderítés végezhető, megjelenik a Figyelt hálózatok lapon.

Megjegyzés:

A listában a vállalati hálózatokként azonosított hálózatok láthatók. Ha a rendszer 50-nél kevesebb hálózatot azonosít vállalati hálózatként, akkor a lista legfeljebb 50 hálózatot fog megjeleníteni a leggyakrabban előkészített eszközökkel.

A figyelt hálózatok listája az elmúlt hét napban a hálózaton látható eszközök teljes száma alapján van rendezve.

Szűrő alkalmazásával a következő hálózatfelderítési állapotok bármelyikét megtekintheti:

• Figyelt hálózatok – Azok a hálózatok, amelyeken eszközfelderítés történik.
• Figyelmen kívül hagyott hálózatok – A rendszer figyelmen kívül hagyja ezt a hálózatot, és nem hajtja végre rajta az eszközfelderítést.
• Mind – A figyelt és a figyelmen kívül hagyott hálózatok is megjelennek.

A hálózatfigyelő állapotának konfigurálása

Ön határozhatja meg, hogy hol történjen az eszközfelderítés. A figyelt hálózatokban történik az eszközfelderítés, és általában vállalati hálózatok. Dönthet úgy is, hogy figyelmen kívül hagyja a hálózatokat, vagy kiválasztja a kezdeti felderítési besorolást az állapot módosítása után.

A kezdeti felderítési besorolás kiválasztása a rendszer által létrehozott alapértelmezett hálózatfigyelő állapot alkalmazását jelenti. A rendszer által létrehozott alapértelmezett hálózatfigyelő állapot kiválasztása azt jelenti, hogy a rendszer automatikusan figyelmen kívül hagyja a vállalatiként azonosított és nem vállalatiként azonosított hálózatokat.

1. Válassza a Beállítások > Eszközfelderítés lehetőséget.

2. Válassza a Figyelt hálózatok lehetőséget.

3. A hálózatok listájának megtekintése.

4. Kattintson a hálózat neve melletti három pontra.

5. Adja meg, hogy monitorozni, figyelmen kívül hagyni vagy használni szeretné-e a kezdeti felderítési besorolást.

   Figyelmeztetés

   • Ha egy olyan hálózatot figyel, amelyet a Végponthoz készült Microsoft Defender nem azonosított vállalati hálózatként, az eszközfelderítést okozhat a vállalati hálózaton kívül, ezért észlelheti az otthoni vagy más nem vállalati eszközöket.
   • Ha figyelmen kívül hagy egy hálózatot, azzal leállítja a hálózatban lévő eszközök figyelését és felderítését. A már felderített eszközök nem lesznek eltávolítva a leltárból, de a továbbiakban nem frissülnek, és a részletek mindaddig megmaradnak, amíg a Végponthoz készült Defender adatmegőrzési időszaka le nem jár.
   • A nem vállalati hálózatok figyelése előtt meg kell győződnie arról, hogy rendelkezik erre vonatkozó engedéllyel.
     

6. Ellenőrizze, hogy szeretné-e elvégezni a módosítást.

A hálózatban lévő eszközök megismerése

Az alábbi speciális veszélyforrás-keresési lekérdezéssel részletesebb információkat kaphat a hálózatok listájában ismertetett hálózatnevekről. A lekérdezés felsorolja az összes olyan előkészített eszközt, amely az elmúlt hét napban egy adott hálózathoz kapcsolódott.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Az eszköz adatainak lekérése

Az alábbi speciális veszélyforrás-keresési lekérdezéssel lekérheti egy adott eszköz legfrissebb teljes adatait.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Lásd még

• Eszközészlelés áttekintése
• Eszközfelderítéssel kapcsolatos gyakori kérdések

Tipp

Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.