Apparaatdetectie configureren
Van toepassing op:
Detectie kan worden geconfigureerd voor de standaard- of basismodus. Gebruik de standaardoptie om actief apparaten in uw netwerk te vinden, waardoor de detectie van eindpunten beter wordt gegarandeerd en de apparaatclassificatie uitgebreider is.
U kunt de lijst met apparaten aanpassen die worden gebruikt om standaarddetectie uit te voeren. U kunt standaarddetectie inschakelen op alle onboarded apparaten die ook deze mogelijkheid ondersteunen (momenteel alleen Windows 10 of hoger en Windows Server 2019 of hoger) of een subset of subsets van uw apparaten selecteren door hun apparaattags op te geven.
Apparaatdetectie instellen
Voer de volgende configuratiestappen uit in de Microsoft Defender-portal om apparaatdetectie in te stellen:
Ga naar Instellingen>Apparaatdetectie
- Als u Basic wilt configureren als de detectiemodus voor gebruik op uw onboardingsapparaten, selecteert u Basic en selecteert u vervolgens Opslaan
- Als u standaarddetectie hebt geselecteerd, selecteert u welke apparaten u wilt gebruiken voor actief testen: alle apparaten of op een subset door de apparaattags op te geven en vervolgens Opslaan te selecteren
Opmerking
Standaarddetectie maakt gebruik van verschillende PowerShell-scripts om apparaten in het netwerk actief te onderzoeken. Deze PowerShell-scripts zijn door Microsoft ondertekend en worden uitgevoerd vanaf de volgende locatie: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
. Bijvoorbeeld C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
.
Apparaten uitsluiten van actieve tests in standaarddetectie
Als er apparaten in uw netwerk zijn die niet actief moeten worden gescand (bijvoorbeeld apparaten die worden gebruikt als honeypots voor een ander beveiligingshulpprogramma), kunt u ook een lijst met uitsluitingen definiëren om te voorkomen dat ze worden gescand. Houd er rekening mee dat apparaten nog steeds kunnen worden gedetecteerd met de basisdetectiemodus en ook kunnen worden gedetecteerd via multicastdetectiepogingen. Deze apparaten worden passief gedetecteerd, maar worden niet actief getest.
U kunt de apparaten configureren om uit te sluiten op de pagina Uitsluitingen .
Netwerken selecteren om te bewaken
Microsoft Defender voor Eindpunt analyseert een netwerk en bepaalt of het een bedrijfsnetwerk is dat moet worden bewaakt of een niet-bedrijfsnetwerk dat kan worden genegeerd. Om een netwerk als bedrijfsnetwerk te identificeren, correleren we netwerk-id's van alle tenantclients. Als de meeste apparaten in de organisatie melden dat ze zijn verbonden met dezelfde netwerknaam, met dezelfde standaardgateway en hetzelfde DHCP-serveradres, gaan we ervan uit dat dit een bedrijfsnetwerk is. Bedrijfsnetwerken worden doorgaans gekozen om te worden bewaakt. U kunt deze beslissing echter negeren door ervoor te kiezen om niet-bedrijfsnetwerken te bewaken waar onboardingsapparaten worden gevonden.
U kunt configureren waar apparaatdetectie kan worden uitgevoerd door op te geven welke netwerken moeten worden bewaakt. Wanneer een netwerk wordt bewaakt, kan er apparaatdetectie op worden uitgevoerd.
Een lijst met netwerken waar apparaatdetectie kan worden uitgevoerd, wordt weergegeven op de pagina Bewaakte netwerken .
Opmerking
De lijst bevat netwerken die zijn geïdentificeerd als bedrijfsnetwerken. Als er minder dan 50 netwerken als bedrijfsnetwerken worden geïdentificeerd, worden er maximaal 50 netwerken weergegeven met de meest onboarded apparaten.
De lijst met bewaakte netwerken wordt gesorteerd op basis van het totale aantal apparaten dat in de afgelopen zeven dagen op het netwerk is gezien.
U kunt een filter toepassen om een van de volgende netwerkdetectiestatussen weer te geven:
- Bewaakte netwerken : netwerken waar apparaatdetectie wordt uitgevoerd.
- Genegeerde netwerken : dit netwerk wordt genegeerd en er wordt geen apparaatdetectie op uitgevoerd.
- Alle : zowel bewaakte als genegeerde netwerken worden weergegeven.
De status van de netwerkmonitor configureren
U bepaalt waar apparaatdetectie plaatsvindt. Bewaakte netwerken zijn waar apparaatdetectie wordt uitgevoerd en zijn doorgaans bedrijfsnetwerken. U kunt er ook voor kiezen om netwerken te negeren of de initiële detectieclassificatie te selecteren nadat u een status hebt gewijzigd.
Als u de initiële detectieclassificatie kiest, wordt de standaardstatus van de door het systeem gemaakte netwerkmonitor toegepast. Als u de standaardstatus van de door het systeem gemaakte netwerkmonitor selecteert, betekent dit dat netwerken die zijn geïdentificeerd als zakelijk, worden bewaakt en netwerken die als niet-zakelijk zijn geïdentificeerd, automatisch worden genegeerd.
Selecteer Instellingen > Apparaatdetectie.
Selecteer Bewaakte netwerken.
Bekijk de lijst met netwerken.
Selecteer de drie puntjes naast de netwerknaam.
Kies of u de initiële detectieclassificatie wilt bewaken, negeren of gebruiken.
Waarschuwing
- Als u ervoor kiest om een netwerk te bewaken dat niet door Microsoft Defender voor Eindpunt is geïdentificeerd als een bedrijfsnetwerk, kan dit leiden tot apparaatdetectie buiten uw bedrijfsnetwerk en kan daarom thuis- of andere niet-zakelijke apparaten worden gedetecteerd.
- Als u een netwerk negeert, wordt het bewaken en detecteren van apparaten in dat netwerk gestopt. Apparaten die al zijn gedetecteerd, worden niet verwijderd uit de inventaris, maar worden niet meer bijgewerkt en details worden bewaard totdat de bewaarperiode van de Defender voor Eindpunt is verstreken.
- Voordat u ervoor kiest om niet-bedrijfsnetwerken te bewaken, moet u ervoor zorgen dat u gemachtigd bent om dit te doen.
Bevestig dat u de wijziging wilt aanbrengen.
Apparaten in het netwerk verkennen
U kunt de volgende geavanceerde opsporingsquery gebruiken om meer context te krijgen over elke netwerknaam die wordt beschreven in de lijst met netwerken. De query bevat alle onboarded apparaten die in de afgelopen zeven dagen zijn verbonden met een bepaald netwerk.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Informatie op apparaat ophalen
U kunt de volgende geavanceerde opsporingsquery gebruiken om de meest recente volledige informatie op een specifiek apparaat op te halen.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Zie ook
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.