Partilhar via


Configurar a deteção de dispositivos

Aplica-se a:

A deteção pode ser configurada para estar no modo padrão ou básico. Utilize a opção padrão para localizar ativamente dispositivos na sua rede, o que irá garantir melhor a deteção de pontos finais e fornecer uma classificação de dispositivos mais avançada.

Pode personalizar a lista de dispositivos que são utilizados para realizar a deteção padrão. Pode ativar a deteção padrão em todos os dispositivos integrados que também suportam esta capacidade (atualmente – Apenas windows 10 ou posterior e Windows Server 2019 ou posterior) ou selecionar um subconjunto ou subconjunto dos seus dispositivos ao especificar as respetivas etiquetas de dispositivo.

Configurar a deteção de dispositivos

Para configurar a deteção de dispositivos, siga os seguintes passos de configuração no portal do Microsoft Defender:

Navegue para Definições Deteçãode dispositivos>

  1. Se quiser configurar o Básico como o modo de deteção a utilizar nos seus dispositivos integrados, selecione Básico e, em seguida, selecione Guardar
  2. Se tiver selecionado utilizar a deteção Standard, selecione os dispositivos a utilizar para pesquisa ativa: todos os dispositivos ou num subconjunto ao especificar as etiquetas de dispositivo e, em seguida, selecione Guardar

Nota

A deteção padrão utiliza vários scripts do PowerShell para sondar ativamente dispositivos na rede. Esses scripts do PowerShell são assinados pela Microsoft e são executados a partir da seguinte localização: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por exemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Excluir dispositivos de serem sondados ativamente na deteção padrão

Se existirem dispositivos na sua rede que não devem ser analisados ativamente (por exemplo, dispositivos utilizados como potes de mel para outra ferramenta de segurança), também pode definir uma lista de exclusões para impedir que sejam analisados. Tenha em atenção que os dispositivos ainda podem ser detetados através do modo de deteção Básico e também podem ser detetados através de tentativas de deteção multicast. Esses dispositivos serão detetados passivamente, mas não serão sondados ativamente.

Pode configurar os dispositivos a excluir na página Exclusões .

Selecionar redes a monitorizar

O Microsoft Defender para Endpoint analisa uma rede e determina se é uma rede empresarial que precisa de ser monitorizada ou uma rede não empresarial que pode ser ignorada. Para identificar uma rede como empresarial, correlacionamos os identificadores de rede em todos os clientes do inquilino e, se a maioria dos dispositivos na organização comunicar que estão ligados ao mesmo nome de rede, com o mesmo gateway predefinido e endereço de servidor DHCP, partimos do princípio de que se trata de uma rede empresarial. Normalmente, as redes empresariais são escolhidas para serem monitorizadas. No entanto, pode substituir esta decisão ao optar por monitorizar redes não empresariais onde são encontrados dispositivos integrados.

Pode configurar onde a deteção de dispositivos pode ser efetuada ao especificar as redes a monitorizar. Quando uma rede é monitorizada, a deteção de dispositivos pode ser efetuada na mesma.

É apresentada uma lista de redes onde a deteção de dispositivos pode ser efetuada na página Redes monitorizadas .

Nota

A lista mostra as redes que foram identificadas como redes empresariais. Se menos de 50 redes forem identificadas como redes empresariais, a lista mostrará até 50 redes com os dispositivos mais integrados.

A lista de redes monitorizadas é ordenada com base no número total de dispositivos vistos na rede nos últimos sete dias.

Pode aplicar um filtro para ver qualquer um dos seguintes estados de deteção de rede:

  • Redes monitorizadas – redes onde a deteção de dispositivos é efetuada.
  • Redes ignoradas – esta rede é ignorada e a deteção de dispositivos não é efetuada na mesma.
  • Tudo – as redes monitorizadas e ignoradas são apresentadas.

Configurar o estado do monitor de rede

Controla onde ocorre a deteção de dispositivos. As redes monitorizadas são onde a deteção de dispositivos é efetuada e são normalmente redes empresariais. Também pode optar por ignorar redes ou selecionar a classificação de deteção inicial depois de modificar um estado.

Escolher a classificação de deteção inicial significa aplicar o estado predefinido do monitor de rede criado pelo sistema. Selecionar o estado predefinido do monitor de rede criado pelo sistema significa que as redes identificadas como empresariais, monitorizadas e identificadas como não empresariais são ignoradas automaticamente.

  1. Selecione Definições Deteção > de dispositivos.

  2. Selecione Redes monitorizadas.

  3. Veja a lista de redes.

  4. Selecione os três pontos junto ao nome da rede.

  5. Escolha se pretende monitorizar, ignorar ou utilizar a classificação de deteção inicial.

    Aviso

    • Optar por monitorizar uma rede que não foi identificada pelo Microsoft Defender para Endpoint como uma rede empresarial pode causar a deteção de dispositivos fora da sua rede empresarial e, por conseguinte, pode detetar dispositivos domésticos ou outros dispositivos não empresariais.
    • Optar por ignorar uma rede deixará de monitorizar e detetar dispositivos nessa rede. Os dispositivos que já foram detetados não serão removidos do inventário, mas deixarão de ser atualizados e os detalhes serão retidos até que o período de retenção de dados do Defender para Ponto Final expire.
    • Antes de optar por monitorizar redes não empresariais, tem de garantir que tem permissão para o fazer.
  6. Confirme que pretende fazer a alteração.

Explorar dispositivos na rede

Pode utilizar a seguinte consulta de investigação avançada para obter mais contexto sobre cada nome de rede descrito na lista de redes. A consulta lista todos os dispositivos integrados que foram ligados a uma determinada rede nos últimos sete dias.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Obter informações sobre o dispositivo

Pode utilizar a seguinte consulta avançada de investigação para obter as informações completas mais recentes num dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Consulte também

Sugestão

Quer saber mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.