Configurare device discovery
Si applica a:
L'individuazione può essere configurata in modalità standard o di base. Usare l'opzione standard per trovare attivamente i dispositivi nella rete, garantendo in modo migliore l'individuazione degli endpoint e una classificazione più completa dei dispositivi.
È possibile personalizzare l'elenco dei dispositivi usati per eseguire l'individuazione standard. È possibile abilitare l'individuazione standard in tutti i dispositivi di cui è stato eseguito l'onboarding che supportano anche questa funzionalità (attualmente windows 10 o versioni successive e solo dispositivi Windows Server 2019 o versioni successive) oppure selezionare un subset o subset dei dispositivi specificando i tag del dispositivo.
Configurare l'individuazione dei dispositivi
Per configurare l'individuazione dei dispositivi, seguire questa procedura di configurazione nel portale di Microsoft Defender:
Passare a Impostazioni>Individuazione dispositivo
- Se si vuole configurare Basic come modalità di individuazione da usare nei dispositivi caricati, selezionare Basic e quindi selezionare Salva
- Se si è scelto di usare l'individuazione Standard, selezionare i dispositivi da usare per il probe attivo: tutti i dispositivi o in un subset specificando i tag del dispositivo e quindi selezionare Salva
Nota
L'individuazione standard usa vari script di PowerShell per eseguire attivamente il probe dei dispositivi nella rete. Gli script di PowerShell sono firmati da Microsoft e vengono eseguiti dal percorso seguente: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
. Ad esempio, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
.
Escludere i dispositivi dal probe attivo nell'individuazione standard
Se nella rete sono presenti dispositivi che non devono essere analizzati attivamente(ad esempio, i dispositivi usati come honeypot per un altro strumento di sicurezza), è anche possibile definire un elenco di esclusioni per impedirne l'analisi. Si noti che i dispositivi possono ancora essere individuati usando la modalità di individuazione Basic e possono essere individuati anche tramite tentativi di individuazione multicast. Questi dispositivi verranno individuati passivamente, ma non verranno sottoposti a probe attivi.
È possibile configurare i dispositivi da escludere nella pagina Esclusioni .
Selezionare le reti da monitorare
Microsoft Defender per endpoint analizza una rete e determina se è una rete aziendale che deve essere monitorata o una rete non aziendale che può essere ignorata. Per identificare una rete aziendale, vengono correlati gli identificatori di rete tra tutti i client del tenant e se la maggior parte dei dispositivi dell'organizzazione segnala che sono connessi allo stesso nome di rete, con lo stesso gateway predefinito e lo stesso indirizzo server DHCP, si presuppone che si tratti di una rete aziendale. Le reti aziendali vengono in genere scelte per essere monitorate. Tuttavia, è possibile eseguire l'override di questa decisione scegliendo di monitorare le reti non aziendali in cui si trovano i dispositivi di cui è stato eseguito l'onboarding.
È possibile configurare la posizione in cui è possibile eseguire l'individuazione dei dispositivi specificando le reti da monitorare. Quando viene monitorata una rete, è possibile eseguire l'individuazione dei dispositivi su di essa.
Un elenco di reti in cui è possibile eseguire l'individuazione dei dispositivi viene visualizzato nella paginaReti monitorate.
Nota
L'elenco mostra le reti identificate come reti aziendali. Se meno di 50 reti vengono identificate come reti aziendali, l'elenco visualizzerà fino a 50 reti con il maggior numero di dispositivi di cui è stato eseguito l'onboarding.
L'elenco delle reti monitorate viene ordinato in base al numero totale di dispositivi visualizzati nella rete negli ultimi sette giorni.
È possibile applicare un filtro per visualizzare uno degli stati di individuazione di rete seguenti:
- Reti monitorate : reti in cui viene eseguita l'individuazione dei dispositivi.
- Reti ignorate : questa rete viene ignorata e l'individuazione dei dispositivi non viene eseguita su di essa.
- Tutti : vengono visualizzate sia le reti monitorate che le reti ignorate.
Configurare lo stato del monitoraggio di rete
Si controlla dove viene eseguita l'individuazione del dispositivo. Le reti monitorate sono le aree in cui viene eseguita l'individuazione dei dispositivi e sono in genere reti aziendali. È anche possibile scegliere di ignorare le reti o selezionare la classificazione di individuazione iniziale dopo aver modificato uno stato.
Scegliere la classificazione di individuazione iniziale significa applicare lo stato predefinito del monitoraggio di rete creato dal sistema. Se si seleziona lo stato predefinito di monitoraggio di rete creato dal sistema, le reti identificate come aziendali vengono monitorate e quelle identificate come non aziendali vengono ignorate automaticamente.
Selezionare Impostazioni > Individuazione dispositivo.
Selezionare Reti monitorate.
Visualizzare l'elenco delle reti.
Selezionare i tre puntini accanto al nome della rete.
Scegliere se monitorare, ignorare o usare la classificazione di individuazione iniziale.
Avviso
- La scelta di monitorare una rete che non è stata identificata da Microsoft Defender per endpoint come rete aziendale può causare l'individuazione dei dispositivi all'esterno della rete aziendale e può quindi rilevare dispositivi domestici o altri dispositivi non aziendali.
- Se si sceglie di ignorare una rete, il monitoraggio e l'individuazione dei dispositivi in tale rete verranno arrestati. I dispositivi già individuati non verranno rimossi dall'inventario, ma non verranno più aggiornati e i dettagli verranno conservati fino alla scadenza del periodo di conservazione dei dati di Defender per endpoint.
- Prima di scegliere di monitorare le reti non aziendali, è necessario assicurarsi di disporre delle autorizzazioni necessarie.
Confermare che si desidera apportare la modifica.
Esplorare i dispositivi nella rete
È possibile usare la query di ricerca avanzata seguente per ottenere più contesto su ogni nome di rete descritto nell'elenco delle reti. La query elenca tutti i dispositivi caricati connessi a una determinata rete negli ultimi sette giorni.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Ottenere informazioni sul dispositivo
È possibile usare la query di ricerca avanzata seguente per ottenere le informazioni complete più recenti su un dispositivo specifico.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Vedere anche
Consiglio
Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.