共用方式為


設定裝置探索

適用於:

探索可以設定為標準或基本模式。 使用標準選項主動在您的網路中尋找裝置,這可更有效地保證端點的探索,並提供更豐富的裝置分類。

您可以自定義用來執行標準探索的裝置清單。 您可以在目前也支援此功能的所有已上線裝置上啟用標準探索 (-Windows 10 或更新版本,以及僅) Windows Server 2019 或更新版本裝置,或藉由指定裝置捲標來選取裝置的子集或子集。

設定裝置探索

若要設定裝置探索,請在 Microsoft Defender 入口網站中採取下列設定步驟:

流覽至 [設定>裝置探索]

  1. 如果您想要將 Basic 設定為在上線裝置上使用的探索模式,請選取 [ 基本 ],然後選取 [ 儲存]
  2. 如果您已選取使用標準探索,請選取要用於主動探查的裝置:所有裝置或子集上的裝置,方法是指定其裝置標籤,然後選取 [儲存 ]

注意事項

標準探索使用各種 PowerShell 指令碼來主動探查網路中的裝置。 這些 PowerShell 腳本會Microsoft簽署,並從下列位置執行: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 例如,C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1

排除裝置,使其不在標準探索中被主動探查

如果您的網路上有不應主動掃描的裝置 (例如,作為另一個安全性工具) 之 Honeypots 的裝置,您也可以定義排除清單,以防止掃描它們。 請注意,您仍然可以使用基本探索模式來探索裝置,也可以透過多播探索嘗試來探索裝置。 這些裝置將會被被動探索,但不會被主動探查。

您可以在 [排除] 頁面中設定要排除 裝置。

選取要監視的網路

Microsoft適用於端點的 Defender 會分析網路,並判斷它是需要監視的公司網路,還是可忽略的非公司網路。 若要將網路識別為公司,我們會將所有租使用者用戶端的網路標識碼相互關聯,如果組織中的大部分裝置都回報它們已連線到相同的網路名稱,且具有相同的默認網關和 DHCP 伺服器地址,我們假設這是公司網路。 通常會選擇對公司網路進行監視。 但是,您可以選擇監視在其中發現已上線裝置的非公司網路來覆寫這一決定。

您可以藉由指定要監視的網路,來設定裝置探索的執行位置。 監視網路時,可以在其上執行裝置探索。

可執行裝置探索的網路清單顯示在 [監視的網路] 頁中。

注意事項

清單顯示了已識別為公司網路的網路。 若識別為公司網絡的網路少於 50 個,則清單將最多顯示具有上線裝置最多的 50 個網路。

監視的網路清單依過去七天內網路上看到的裝置總數進行排序。

您可以套用篩選來檢視下列任何網路探索狀態:

  • 受監視的網路 - 執行裝置探索的網路。
  • 忽略的網路 - 系統會忽略此網路,而且不會對其執行裝置探索。
  • 全部 - 會顯示受監視和忽略的網路。

設定網路監視器狀態

您可以控制裝置探索的發生位置。 受監視的網路是執行裝置探索的位置,通常是公司網路。 您還可以選擇忽略網路或在修改狀態後選取初始探索分類。

選擇初始探索分類表示套用預設系統建立的網路監視器狀態。 選取預設的系統建立網路監視器狀態表示已識別為公司、受到監視的網路,以及識別為非公司網路的網路會自動被忽略。

  1. 取 > [設定裝置探索]

  2. 取 [受監視的網络]

  3. 檢視網路清單。

  4. 選取網路名稱旁邊的三個點。

  5. 選擇是要監視、忽略還是使用初始探索分類。

    警告

    • 選擇監視 Microsoft Defender for Endpoint 未識別為公司網路的網路,可能會導致公司網路外部的裝置探索,因此可能會偵測到住家或其他非公司裝置。
    • 選擇忽略網路將停止監視和探索該網路中的裝置。 已探索到的裝置將不會從清查中移除,但將不再更新,而且詳細數據將會保留,直到適用於端點的 Defender 的數據保留期間到期為止。
    • 在選擇監視非公司網路之前,您必須確保您有這麽做的權限。
  6. 確認您要進行變更。

探索網路中的裝置

您可以使用下列進階搜捕查詢,取得網路清單中所述每個網路名稱的詳細內容。 査詢列出了過去七天內連線至特定網路的所有已上線裝置。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

取得裝置資訊

您可以使用下列進階搜捕查詢來取得特定裝置上的最新完整資訊。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

另請參閱

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。