Поделиться через


Настройка обнаружения устройств

Область применения:

Обнаружение можно настроить в стандартном или базовом режиме. Используйте стандартный параметр для активного поиска устройств в сети, что позволит лучше гарантировать обнаружение конечных точек и обеспечить более обширную классификацию устройств.

Вы можете настроить список устройств, которые используются для стандартного обнаружения. Вы можете включить стандартное обнаружение на всех подключенных устройствах, которые также поддерживают эту возможность (в настоящее время — Windows 10 или более поздних версий и только на устройствах с Windows Server 2019 или более поздних версий), либо выбрать подмножество или подмножество устройств, указав их теги устройств.

Настройка обнаружения устройств

Чтобы настроить обнаружение устройств, выполните следующие действия по настройке на портале Microsoft Defender:

Перейдите в раздел Параметры>Обнаружение устройств.

  1. Если вы хотите настроить базовый режим обнаружения для использования на подключенных устройствах, выберите Базовый , а затем нажмите кнопку Сохранить.
  2. Если вы выбрали стандартное обнаружение, выберите устройства, которые будут использоваться для активного зондирования: все устройства или в подмножестве, указав их теги устройств, а затем нажмите кнопку Сохранить.

Примечание.

При стандартном обнаружении используются различные сценарии PowerShell для активного зондирования устройств в сети. Эти скрипты PowerShell подписаны корпорацией Майкрософт и выполняются из следующего расположения: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Например, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Исключение устройств из активного зондирования при стандартном обнаружении

Если в вашей сети есть устройства, которые не должны активно сканироваться (например, устройства, используемые в качестве медпопов для другого средства безопасности), вы также можете определить список исключений, чтобы предотвратить их проверку. Обратите внимание, что устройства по-прежнему можно обнаружить в режиме базового обнаружения, а также с помощью попыток многоадресной рассылки. Эти устройства будут обнаруживаться пассивно, но не будут активно зондироваться.

Вы можете настроить исключение устройств на странице Исключения .

Выбор сетей для отслеживания

Microsoft Defender для конечной точки анализирует сеть и определяет, является ли она корпоративной сетью, которую необходимо отслеживать, или не корпоративной сетью, которую можно игнорировать. Чтобы определить сеть как корпоративную, мы сопоставляем сетевые идентификаторы для всех клиентов клиента, и если большинство устройств в организации сообщают о том, что они подключены к одному и тому же сетевому имени, с тем же шлюзом по умолчанию и адресом DHCP-сервера, мы предполагаем, что это корпоративная сеть. Для отслеживания обычно выбираются корпоративные сети. Однако вы можете отменить это решение, выбрав отслеживание некорпоративных сетей, в которых обнаруживаются подключенные устройства.

Вы можете настроить, где можно выполнять обнаружение устройств, указав, какие сети следует отслеживать. Если сеть отслеживается, в ней может выполняться обнаружение устройств.

Список сетей, в которых можно выполнять обнаружение устройств, отображается на странице Отслеживаемые сети.

Примечание.

В этом списке показаны сети, которые были определены как корпоративные. Если корпоративными признано менее 50 сетей, в списке будет отображено до 50 сетей с самым большим числом подключенных устройств.

Список отслеживаемых сетей сортируется на основе общего числа устройств, которые были видны в сети за последние семь дней.

Фильтр можно применить для просмотра любого из следующих состояний обнаружения сети:

  • Отслеживаемые сети — сети, в которых выполняется обнаружение устройств.
  • Игнорируемые сети . Эта сеть игнорируется и обнаружение устройств в ней не выполняется.
  • Все — отображаются как отслеживаемые, так и игнорируемые сети.

Настройка состояния сетевого монитора

Вы управляете местом обнаружения устройств. Отслеживаемые сети — это сети, в которых выполняется обнаружение устройств, и обычно это корпоративные сети. Также можно игнорировать сети или выбрать начальную классификацию обнаружения после изменения состояния.

Выбор начальной классификации обнаружения означает применение состояния сетевого монитора по умолчанию. Выбор состояния мониторинга сети по умолчанию означает, что сети, которые были определены как корпоративные, отслеживаются, а сети, определенные как не корпоративные, автоматически игнорируются.

  1. Выберите Параметры Обнаружение > устройств.

  2. Выберите Отслеживаемые сети.

  3. Просмотрите список сетей.

  4. Щелкните три точки рядом с именем сети.

  5. Выберите, следует ли отслеживать, игнорировать или использовать начальную классификацию обнаружения.

    Предупреждение

    • Выбор мониторинга сети, которая не была определена Microsoft Defender для конечной точки в качестве корпоративной сети, может привести к обнаружению устройств за пределами корпоративной сети и, следовательно, обнаружить домашние или другие не корпоративные устройства.
    • Если выбрать игнорирование сети, отслеживание и обнаружение устройств в этой сети будут остановлены. Устройства, которые уже были обнаружены, не будут удалены из инвентаризации, но больше не будут обновляться, а сведения будут храниться до истечения срока хранения данных Defender для конечной точки.
    • Прежде чем отслеживать некорпоративные сети, убедитесь, что у вас есть на это разрешение.
  6. Подтвердите, что вы хотите внести изменения.

Обзор устройств в сети

Для получения дополнительных сведений о каждом имени сети, описанного в списке сетей, можно использовать следующий расширенный запрос охоты. В запросе перечисляются все устройства, подключенные к определенной сети за последние семь дней.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Получение информации по устройству

Вы можете использовать следующий расширенный запрос охоты, чтобы получить последние полные сведения о конкретном устройстве.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

См. также

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.