Udostępnij za pośrednictwem

Konfiguruj wykrywanie urządzeń

  • Artykuł

Dotyczy:

Odnajdywanie można skonfigurować tak, aby było w trybie standardowym lub podstawowym. Użyj standardowej opcji, aby aktywnie znajdować urządzenia w sieci, co pozwoli lepiej zagwarantować odnajdywanie punktów końcowych i zapewnić bogatszą klasyfikację urządzeń.

Możesz dostosować listę urządzeń, które są używane do wykonywania odnajdywania standardowego. Możesz włączyć odnajdywanie standardowe na wszystkich dołączonych urządzeniach, które również obsługują tę funkcję (obecnie — Windows 10 lub nowsze i tylko urządzenia z systemem Windows Server 2019 lub nowszym) albo wybrać podzestaw lub podzestaw urządzeń, określając tagi urządzeń.

Konfigurowanie odnajdywania urządzeń

Aby skonfigurować odnajdywanie urządzeń, wykonaj następujące kroki konfiguracji w portalu Microsoft Defender:

Przejdź do pozycji Ustawienia Odnajdywanie>urządzeń

  1. Jeśli chcesz skonfigurować opcję Podstawowa jako tryb odnajdywania do użycia na dołączonych urządzeniach, wybierz pozycję Podstawowa , a następnie wybierz pozycję Zapisz
  2. Jeśli wybrano opcję odnajdywania w warstwie Standardowa, wybierz urządzenia do użycia na potrzeby aktywnego sondowania: wszystkie urządzenia lub podzestaw, określając tagi urządzeń, a następnie wybierz pozycję Zapisz

Uwaga

Odnajdywanie standardowe używa różnych skryptów programu PowerShell do aktywnego sondowania urządzeń w sieci. Te skrypty programu PowerShell są podpisane przez firmę Microsoft i są wykonywane z następującej lokalizacji: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Na przykład C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Wykluczanie urządzeń z aktywnego sondowania w odnajdywaniem standardowym

Jeśli w sieci znajdują się urządzenia, które nie powinny być aktywnie skanowane (na przykład urządzenia używane jako honeypots dla innego narzędzia zabezpieczeń), możesz również zdefiniować listę wykluczeń, aby zapobiec ich skanowaniu. Należy pamiętać, że urządzenia nadal można odnaleźć przy użyciu trybu odnajdywania podstawowego, a także można je odnaleźć za pomocą prób odnajdywania multiemisji. Urządzenia te zostaną odnalezione pasywnie, ale nie będą aktywnie badane.

Urządzenia do wykluczenia można skonfigurować na stronie Wykluczenia .

Wybieranie sieci do monitorowania

Ochrona punktu końcowego w usłudze Microsoft Defender analizuje sieć i określa, czy jest to sieć firmowa, która musi być monitorowana, czy sieć nie firmowa, którą można zignorować. Aby zidentyfikować sieć jako firmową, skorelujemy identyfikatory sieci między wszystkimi klientami dzierżawy i jeśli większość urządzeń w organizacji zgłasza, że są one połączone z tą samą nazwą sieci, z tą samą bramą domyślną i adresem serwera DHCP, zakładamy, że jest to sieć firmowa. Sieci firmowe są zazwyczaj wybierane do monitorowania. Można jednak zastąpić tę decyzję, wybierając monitorowanie sieci innych niż firmowe, w których znajdują się dołączone urządzenia.

Możesz skonfigurować, gdzie można przeprowadzić odnajdywanie urządzeń, określając sieci do monitorowania. Gdy sieć jest monitorowana, można na niej przeprowadzić odnajdywanie urządzeń.

Lista sieci, w których można przeprowadzić odnajdywanie urządzeń, jest wyświetlana na stronie Monitorowane sieci .

Uwaga

Lista zawiera sieci, które zostały zidentyfikowane jako sieci firmowe. Jeśli mniej niż 50 sieci zostanie zidentyfikowanych jako sieci firmowe, lista będzie wyświetlać maksymalnie 50 sieci z najbardziej dołączonymi urządzeniami.

Lista monitorowanych sieci jest sortowana na podstawie całkowitej liczby urządzeń widocznych w sieci w ciągu ostatnich siedmiu dni.

Możesz zastosować filtr, aby wyświetlić dowolny z następujących stanów odnajdywania sieci:

  • Monitorowane sieci — sieci, w których odbywa się odnajdywanie urządzeń.
  • Ignorowane sieci — ta sieć jest ignorowana i odnajdywanie urządzeń nie jest na niej wykonywane.
  • Wszystkie — wyświetlane są zarówno monitorowane, jak i ignorowane sieci.

Konfigurowanie stanu monitora sieci

Określasz miejsce odnajdywania urządzeń. Monitorowane sieci to miejsca, w których odbywa się odnajdywanie urządzeń i zazwyczaj są sieciami firmowymi. Możesz również zignorować sieci lub wybrać początkową klasyfikację odnajdywania po zmodyfikowaniu stanu.

Wybranie początkowej klasyfikacji odnajdywania oznacza zastosowanie domyślnego stanu monitora sieci tworzonego przez system. Wybranie domyślnego stanu monitora sieci tworzonego przez system oznacza, że sieci, które zostały zidentyfikowane jako firmowe, są monitorowane, a te zidentyfikowane jako nie firmowe, są automatycznie ignorowane.

  1. Wybierz pozycję Ustawienia > Odnajdywanie urządzeń.

  2. Wybierz pozycję Monitorowane sieci.

  3. Wyświetl listę sieci.

  4. Wybierz trzy kropki obok nazwy sieci.

  5. Określ, czy chcesz monitorować, ignorować lub używać początkowej klasyfikacji odnajdywania.

    Ostrzeżenie

    • Wybranie monitorowania sieci, która nie została zidentyfikowana przez Ochrona punktu końcowego w usłudze Microsoft Defender jako sieć firmowa, może spowodować odnajdywanie urządzeń poza siecią firmową i w związku z tym może wykrywać urządzenia domowe lub inne urządzenia nie firmowe.
    • Wybranie opcji ignorowania sieci spowoduje zatrzymanie monitorowania i odnajdywania urządzeń w tej sieci. Urządzenia, które zostały już odnalezione, nie zostaną usunięte ze spisu, ale nie będą już aktualizowane, a szczegóły zostaną zachowane do czasu wygaśnięcia okresu przechowywania danych w usłudze Defender for Endpoint.
    • Przed wybraniem opcji monitorowania sieci innych niż firmowe należy upewnić się, że masz do tego uprawnienia.

  6. Upewnij się, że chcesz wprowadzić zmianę.

Eksplorowanie urządzeń w sieci

Poniższe zaawansowane zapytanie wyszukiwania zagrożeń umożliwia uzyskanie większego kontekstu dla każdej nazwy sieci opisanej na liście sieci. Zapytanie zawiera listę wszystkich dołączonych urządzeń, które zostały połączone z określoną siecią w ciągu ostatnich siedmiu dni.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Uzyskiwanie informacji na urządzeniu

Aby uzyskać najnowsze pełne informacje na określonym urządzeniu, możesz użyć następującego zaawansowanego zapytania wyszukiwania zagrożeń.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.