Aracılığıyla paylaş

Cihaz keşif ayarlarını yapılandırın

  • Makale

Şunlar için geçerlidir:

Bulma, standart veya temel modda olacak şekilde yapılandırılabilir. Ağınızdaki cihazları etkin bir şekilde bulmak için standart seçeneği kullanın. Bu seçenek uç noktaların bulunmasını daha iyi garanti eder ve daha zengin cihaz sınıflandırması sağlar.

Standart bulma gerçekleştirmek için kullanılan cihazların listesini özelleştirebilirsiniz. Bu özelliği de destekleyen tüm eklenen cihazlarda standart bulmayı etkinleştirebilirsiniz (şu anda - Yalnızca Windows 10 veya üzeri ve Windows Server 2019 veya üzeri cihazlar) ya da cihaz etiketlerini belirterek cihazlarınızın alt kümesini veya alt kümelerini seçebilirsiniz.

Cihaz bulmayı ayarlama

Cihaz bulmayı ayarlamak için Microsoft Defender portalında aşağıdaki yapılandırma adımlarını uygulayın:

Ayarlar>Cihaz bulma'ya gidin

  1. Temel'i eklenen cihazlarınızda kullanılacak bulma modu olarak yapılandırmak istiyorsanız Temel'i ve ardından Kaydet'i seçin
  2. Standart bulma'yı kullanmayı seçtiyseniz, etkin yoklama için hangi cihazların kullanılacağını seçin: tüm cihazlar veya cihaz etiketlerini belirterek bir alt kümede ve ardından Kaydet'i seçin

Not

Standart bulma, ağdaki cihazları etkin bir şekilde araştırmak için çeşitli PowerShell betikleri kullanır. Bu PowerShell betikleri Microsoft tarafından imzalanmıştır ve şu konumdan yürütülür: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Örneğin, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Cihazları standart bulmada etkin bir şekilde yoklamanın dışında tutma

Ağınızda etkin olarak taranmaması gereken cihazlar varsa (örneğin, başka bir güvenlik aracı için bal arısı olarak kullanılan cihazlar), taranmalarını önlemek için bir dışlama listesi de tanımlayabilirsiniz. Cihazların hala Temel bulma modu kullanılarak bulunabileceğini ve çok noktaya yayın bulma girişimleri aracılığıyla da bulunabileceğini unutmayın. Bu cihazlar pasif olarak bulunacaktır ancak etkin bir şekilde yoklamayacaktır.

Dışlamalar sayfasında cihazları dışlamak üzere yapılandırabilirsiniz.

İzlenecek ağları seçin

Uç Nokta için Microsoft Defender bir ağı analiz eder ve bunun izlenmesi gereken bir şirket ağı mı yoksa yoksa yoksayılabilir kurumsal olmayan bir ağ mı olduğunu belirler. Bir ağı şirket olarak tanımlamak için, ağ tanımlayıcılarını tüm kiracının istemcileri arasında ilişkilendiriyoruz ve kuruluştaki cihazların çoğu aynı ağ adına bağlı olduklarını bildiriyorsa, aynı varsayılan ağ geçidi ve DHCP sunucusu adresiyle bunun bir şirket ağı olduğunu varsayarız. Şirket ağları genellikle izlenmesi için seçilir. Ancak, eklenen cihazların bulunduğu şirket dışı ağları izlemeyi seçerek bu kararı geçersiz kılabilirsiniz.

Hangi ağların izleneceğini belirterek cihaz bulmanın nerede gerçekleştirilebileceğini yapılandırabilirsiniz. Bir ağ izlendiğinde, üzerinde cihaz bulma işlemi gerçekleştirilebilir.

cihaz bulma işleminin gerçekleştirilebileceği ağların listesi , İzlenen ağlar sayfasında gösterilir.

Not

Listede, şirket ağları olarak tanımlanan ağlar gösterilir. 50'den az ağ kurumsal ağ olarak tanımlanırsa, liste en çok eklenen cihazlara sahip en fazla 50 ağ gösterir.

İzlenen ağların listesi, ağda son yedi gün içinde görülen toplam cihaz sayısına göre sıralanır.

Aşağıdaki ağ bulma durumlarından herhangi birini görüntülemek için bir filtre uygulayabilirsiniz:

  • İzlenen ağlar - Cihaz bulma işleminin gerçekleştirildiği ağlar.
  • Yoksayılan ağlar - Bu ağ yoksayılır ve cihaz bulma işlemi gerçekleştirilmez.
  • Tümü - Hem izlenen hem de yoksayılan ağlar görüntülenir.

Ağ izleyici durumunu yapılandırma

Cihaz bulmanın nerede gerçekleşeceği sizin denetiminizdir. İzlenen ağlar, cihaz bulma işleminin gerçekleştirildiği yerdir ve genellikle kurumsal ağlardır. Ayrıca, bir durumu değiştirdikten sonra ağları yoksaymayı veya ilk bulma sınıflandırmasını seçebilirsiniz.

İlk bulma sınıflandırmasını seçmek, varsayılan sistem tarafından üretilen ağ izleyici durumunun uygulanması anlamına gelir. Varsayılan sistem tarafından yapılan ağ izleme durumunun seçilmesi, şirket olduğu belirlenen ağların izlendiği ve şirket dışı olarak tanımlanan ağların otomatik olarak yoksayılacağı anlamına gelir.

  1. Ayarlar > Cihaz bulma'ya tıklayın.

  2. İzlenen ağlar'ı seçin.

  3. Ağ listesini görüntüleyin.

  4. Ağ adının yanındaki üç noktayı seçin.

  5. İlk bulma sınıflandırmasını izlemek, yoksaymak veya kullanmak isteyip istemediğinizi seçin.

    Uyarı

    • Uç Nokta için Microsoft Defender tarafından şirket ağı olarak tanımlanmayan bir ağı izlemeyi seçmek, şirket ağınızın dışında cihaz bulma işlemine neden olabilir ve bu nedenle ev veya şirket dışı cihazları algılayabilir.
    • Bir ağı yoksaymayı seçmek, o ağdaki cihazları izlemeyi ve bulmayı durdurur. Önceden bulunan cihazlar envanterden kaldırılmaz, ancak artık güncelleştirilmez ve Uç Nokta için Defender'ın veri saklama süresi dolana kadar ayrıntılar korunur.
    • Şirket dışı ağları izlemeyi seçmeden önce, bunu yapmak için izniniz olduğundan emin olmanız gerekir.

  6. Değişikliği yapmak istediğinizi onaylayın.

Ağdaki cihazları keşfetme

Ağ listesinde açıklanan her ağ adı hakkında daha fazla bağlam elde etmek için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz. Sorgu, son yedi gün içinde belirli bir ağa bağlı olan tüm eklenen cihazları listeler.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Cihazla ilgili bilgi alma

Belirli bir cihazda en son eksiksiz bilgileri almak için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.