Dela via

Konfigurera enhetsidentifiering

  • Artikel

Gäller för:

Identifiering kan konfigureras för att vara i standard- eller grundläggande läge. Använd standardalternativet för att aktivt hitta enheter i nätverket, vilket bättre garanterar identifieringen av slutpunkter och ger bättre enhetsklassificering.

Du kan anpassa listan över enheter som används för att utföra standardidentifiering. Du kan antingen aktivera standardidentifiering på alla registrerade enheter som också stöder den här funktionen (för närvarande – Endast Windows 10 eller senare och Windows Server 2019 eller senare enheter) eller välja en delmängd eller delmängd av dina enheter genom att ange deras enhetstaggar.

Konfigurera enhetsidentifiering

Konfigurera enhetsidentifiering genom att utföra följande konfigurationssteg i Microsoft Defender-portalen:

Gå till Inställningar>Enhetsidentifiering

  1. Om du vill konfigurera Basic som identifieringsläge att använda på dina registrerade enheter väljer du Basic och sedan Spara
  2. Om du har valt att använda standardidentifiering väljer du vilka enheter som ska användas för aktiv avsökning: alla enheter eller i en delmängd genom att ange deras enhetstaggar och välj sedan Spara

Obs!

Standardidentifiering använder olika PowerShell-skript för att aktivt avsöka enheter i nätverket. Dessa PowerShell-skript är Microsoft-signerade och körs från följande plats: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Till exempel C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Undanta enheter från att aktivt avsökas i standardidentifiering

Om det finns enheter i nätverket som inte ska genomsökas aktivt (till exempel enheter som används som honeypots för ett annat säkerhetsverktyg) kan du också definiera en lista över undantag som förhindrar att de genomsöks. Observera att enheter fortfarande kan identifieras med grundläggande identifieringsläge och även kan identifieras via multicast-identifieringsförsök. Dessa enheter identifieras passivt men avsöks inte aktivt.

Du kan konfigurera enheterna som ska undantas på sidan Undantag.

Välj nätverk att övervaka

Microsoft Defender för Endpoint analyserar ett nätverk och avgör om det är ett företagsnätverk som måste övervakas eller ett icke-företagsnätverk som kan ignoreras. För att identifiera ett nätverk som företag korrelerar vi nätverksidentifierare över alla klientorganisationens klienter och om de flesta enheter i organisationen rapporterar att de är anslutna till samma nätverksnamn, med samma standardgateway och DHCP-serveradress, antar vi att detta är ett företagsnätverk. Företagsnätverk väljs vanligtvis att övervakas. Du kan dock åsidosätta det här beslutet genom att välja att övervaka icke-företagsnätverk där registrerade enheter hittas.

Du kan konfigurera var enhetsidentifiering kan utföras genom att ange vilka nätverk som ska övervakas. När ett nätverk övervakas kan enhetsidentifiering utföras på det.

En lista över nätverk där enhetsidentifiering kan utföras visas på sidan Övervakade nätverk .

Obs!

Listan visar nätverk som har identifierats som företagsnätverk. Om färre än 50 nätverk identifieras som företagsnätverk visas upp till 50 nätverk med de mest registrerade enheterna.

Listan över övervakade nätverk sorteras baserat på det totala antalet enheter som setts i nätverket under de senaste sju dagarna.

Du kan använda ett filter för att visa något av följande nätverksidentifieringstillstånd:

  • Övervakade nätverk – Nätverk där enhetsidentifiering utförs.
  • Ignorerade nätverk – Det här nätverket ignoreras och enhetsidentifieringen utförs inte på det.
  • Alla – Både övervakade och ignorerade nätverk visas.

Konfigurera nätverksövervakarens tillstånd

Du styr var enhetsidentifieringen sker. Övervakade nätverk är där enhetsidentifiering utförs och vanligtvis är företagsnätverk. Du kan också välja att ignorera nätverk eller välja den första identifieringsklassificeringen när du har modifierat ett tillstånd.

Om du väljer den första identifieringsklassificeringen innebär det att standardtillståndet för den systemtillverkade nätverksövervakaren tillämpas. Om du väljer standardtillståndet för systemtillverkad nätverksövervakare innebär det att nätverk som har identifierats som företagsägda övervakas och de som identifieras som icke-företagsbaserade ignoreras automatiskt.

  1. Välj Inställningar > Enhetsidentifiering.

  2. Välj Övervakade nätverk.

  3. Visa listan över nätverk.

  4. Välj de tre punkterna bredvid nätverksnamnet.

  5. Välj om du vill övervaka, ignorera eller använda den första identifieringsklassificeringen.

    Varning

    • Om du väljer att övervaka ett nätverk som inte har identifierats av Microsoft Defender för Endpoint som ett företagsnätverk kan det orsaka enhetsidentifiering utanför företagets nätverk och kan därför identifiera hemenheter eller andra icke-företagsenheter.
    • Om du väljer att ignorera ett nätverk stoppas övervakningen och identifieringen av enheter i nätverket. Enheter som redan har identifierats tas inte bort från lagret, men de uppdateras inte längre och informationen behålls tills datakvarhållningsperioden för Defender för Endpoint upphör att gälla.
    • Innan du väljer att övervaka icke-företagsnätverk måste du se till att du har behörighet att göra det.

  6. Bekräfta att du vill göra ändringen.

Utforska enheter i nätverket

Du kan använda följande avancerade jaktfråga för att få mer kontext om varje nätverksnamn som beskrivs i listan över nätverk. Frågan visar en lista över alla registrerade enheter som varit anslutna till ett visst nätverk under de senaste sju dagarna.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Hämta information på enheten

Du kan använda följande avancerade jaktfråga för att få den senaste fullständiga informationen på en specifik enhet.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Se även

Tips

Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.