Como configurar a detecção de dispositivos

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR

A descoberta pode ser configurada para estar no modo padrão ou básico. Use a opção padrão para localizar ativamente dispositivos em sua rede, o que garantirá melhor a descoberta de pontos de extremidade e fornecerá uma classificação de dispositivo mais avançada.

Você pode personalizar a lista de dispositivos usados para executar a descoberta padrão. Você pode habilitar a descoberta padrão em todos os dispositivos integrados que também dão suporte a essa funcionalidade (atualmente - Windows 10 ou posterior e somente dispositivos Windows Server 2019 ou posterior) ou selecionar um subconjunto ou subconjunto de seus dispositivos especificando suas marcas de dispositivo.

Configurar a descoberta do dispositivo

Para configurar a descoberta do dispositivo, siga as seguintes etapas de configuração no portal Microsoft Defender:

Navegar até Configurações>Descoberta de dispositivo

1. Se você quiser configurar o Basic como o modo de descoberta a ser usado em seus dispositivos integrados, selecione Básico e, em seguida, selecione Salvar
2. Se você tiver selecionado usar a descoberta Padrão, selecione quais dispositivos usar para sondagem ativa: todos os dispositivos ou em um subconjunto especificando suas marcas de dispositivo e selecione Salvar

Observação

A detecção Padrão utiliza vários scripts do PowerShell para investigar os dispositivos da rede ativamente. Esses scripts do PowerShell são assinados pela Microsoft e são executados no seguinte local: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por exemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Exclusão de dispositivos da investigação ativa da detecção Padrão

Se houver dispositivos em sua rede que não devem ser examinados ativamente (por exemplo, dispositivos usados como honeypots para outra ferramenta de segurança), você também pode definir uma lista de exclusões para evitar que eles sejam verificados. Observe que os dispositivos ainda podem ser descobertos usando o modo básico de descoberta e também podem ser descobertos por meio de tentativas de descoberta multicast. Esses dispositivos serão detectados passivamente, mas não serão investigados ativamente.

Você pode configurar os dispositivos a serem excluídos na página Exclusões .

Seleção das redes a serem monitoradas

Microsoft Defender para Ponto de Extremidade analisa uma rede e determina se é uma rede corporativa que precisa ser monitorada ou uma rede não corporativa que pode ser ignorada. Para identificar uma rede como corporativa, correlacionamos os identificadores de rede entre todos os clientes do locatário e, se a maioria dos dispositivos na organização relatar que eles estão conectados ao mesmo nome de rede, com o mesmo gateway padrão e o endereço do servidor DHCP, assumimos que essa é uma rede corporativa. As redes corporativas costumam ser selecionadas para serem monitoradas. No entanto, você pode ignorar essa decisão optando por monitorar redes não corporativas sempre que dispositivos integrados forem encontrados.

Você pode configurar onde a descoberta do dispositivo pode ser executada especificando quais redes monitorar. Quando uma rede é monitorada, a detecção de dispositivos pode ser executada.

Uma lista das redes nas quais a detecção de dispositivos pode ser executada é mostrada na página Redes monitoradas.

Observação

Essa lista mostra as redes que foram identificadas como redes corporativas. Se menos de 50 redes forem identificadas como redes corporativas, a lista mostrará até 50 redes contendo a maioria dos dispositivos integrados.

A lista de redes monitoradas é classificada com base no número total de dispositivos observados na rede nos últimos sete dias.

Você pode aplicar um filtro para exibir qualquer um dos seguintes estados de descoberta de rede:

• Redes monitoradas – Redes em que a descoberta do dispositivo é executada.
• Redes ignoradas – essa rede é ignorada e a descoberta do dispositivo não é executada nela.
• Tudo – Redes monitoradas e ignoradas são exibidas.

Configuração do estado do monitor de rede

Você controla onde a descoberta do dispositivo ocorre. Redes monitoradas são onde a descoberta de dispositivos é executada e normalmente são redes corporativas. Você também pode optar por ignorar redes ou selecionar a classificação de detecção inicial após modificar um estado.

Escolher a classificação inicial da descoberta significa aplicar o estado padrão do monitor de rede feito pelo sistema. Selecionar o estado padrão do monitor de rede feito pelo sistema significa que as redes que foram identificadas como corporativas, são monitoradas e as identificadas como não corporativas são ignoradas automaticamente.

1. Selecione Configurações > Descoberta de dispositivo.

2. Selecione Redes monitoradas.

3. Confira a lista de redes.

4. Selecione os três pontos ao lado do nome da rede.

5. Escolha se deseja monitorar, ignorar ou usar a classificação de detecção inicial.

   Aviso

   • Optar por monitorar uma rede que não foi identificada por Microsoft Defender para Ponto de Extremidade como uma rede corporativa pode causar a descoberta de dispositivo fora de sua rede corporativa e, portanto, pode detectar dispositivos domésticos ou outros dispositivos não corporativos.
   • Optar por ignorar uma rede interromperá o monitoramento e a detecção de dispositivos nessa rede. Os dispositivos que já foram descobertos não serão removidos do inventário, mas não serão mais atualizados e os detalhes serão mantidos até que o período de retenção de dados do Defender para Ponto de Extremidade expire.
   • Antes de optar por monitorar redes não corporativas, você deve se certificar de que tem permissão para fazê-lo.
     

6. Confirme que você deseja fazer a alteração.

Como explorar os dispositivos na rede

Você pode usar a consulta de caça avançada a seguir para obter mais contexto sobre cada nome de rede descrito na lista de redes. A consulta lista todos os dispositivos integrados que foram conectados a uma determinada rede nos últimos sete dias.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Como obter informações sobre o dispositivo

Você pode usar a consulta de caça avançada a seguir para obter as informações completas mais recentes em um dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Confira também

• Visão geral sobre descoberta de dispositivo
• Perguntas frequentes sobre descoberta de dispositivos

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.