Konfigurace zjišťování zařízení v Defenderu for Endpoint
Platí pro:
Zjišťování zařízení je možné nakonfigurovat tak, aby bylo ve standardním nebo základním režimu. Pomocí standardní možnosti můžete aktivně vyhledávat zařízení v síti, což pomáhá zlepšit zjišťování koncových bodů a zajistit bohatší klasifikaci zařízení.
Seznam zařízení, která se používají k provádění standardního zjišťování, můžete přizpůsobit. Standardní zjišťování můžete povolit na všech nasazených zařízeních, která tuto funkci také podporují (aktuálně pro zařízení se systémem Windows 10 a novějším nebo Windows Server 2019 a novějším). Nebo můžete vybrat podmnožinu zařízení zadáním jejich značek.
Nastavení zjišťování zařízení
Pokud chcete nastavit zjišťování zařízení, proveďte na portálu Microsoft Defender následující kroky konfigurace:
Přejděte na Nastavení>Zjišťování zařízení.
Pokud chcete nakonfigurovat Základní jako režim zjišťování, který se má používat na nasazených zařízeních, vyberte Basic a pak vyberte Uložit.
Pokud jste se vybrali pro použití standardního zjišťování, vyberte zařízení, která chcete použít k aktivnímu zkoumání: všechna zařízení nebo podmnožinu zadáním jejich značek zařízení, a pak vyberte Uložit.
Poznámka
Standardní zjišťování používá k aktivnímu sondování zařízení v síti různé skripty PowerShellu. Tyto skripty PowerShellu jsou podepsané Microsoftem a spouští se z následujícího umístění: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
. Například: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
.
Vyloučení zařízení z aktivního vyhledávání ve standardním zjišťování
Pokud ve vaší síti existují zařízení, která by se neměla aktivně kontrolovat (například zařízení používaná jako honeypoty pro jiný bezpečnostní nástroj), můžete také definovat seznam vyloučení, abyste zabránili jejich kontrole. Zařízení je stále možné zjistit pomocí režimu základního zjišťování a také prostřednictvím pokusů o zjišťování vícesměrového vysílání. Tato zařízení se zjišťují pasivně, ale nebudou se aktivně zkoumat.
Na stránce Vyloučení můžete nakonfigurovat vyloučení zařízení.
Výběr sítí, které chcete monitorovat
Microsoft Defender for Endpoint síť analyzuje a určí, jestli se jedná o podnikovou síť, kterou je potřeba monitorovat, nebo o síť, která se nedá ignorovat. Abychom identifikovali síť jako podnikovou, korelujeme identifikátory sítě napříč všemi klienty tenanta, a pokud většina zařízení v organizaci hlásí, že jsou připojená ke stejnému názvu sítě, se stejnou výchozí bránou a adresou serveru DHCP, předpokládáme, že se jedná o podnikovou síť. K monitorování se obvykle volí podnikové sítě. Toto rozhodnutí ale můžete přepsat tím, že zvolíte monitorování neregistrovaných sítí, kde se nacházejí nasazená zařízení.
Určením sítí, které se mají monitorovat, můžete nakonfigurovat, kde je možné zařízení zjišťovat. Když je síť monitorovaná, je možné v ní provést zjišťování zařízení.
Seznam sítí, ve kterých je možné provést zjišťování zařízení, se zobrazí na stránce Monitorované sítě .
Poznámka
Seznam obsahuje sítě, které byly identifikovány jako podnikové sítě. Pokud se jako podnikové sítě identifikuje méně než 50 sítí, zobrazí se v seznamu až 50 sítí s nejvíce nasazenými zařízeními.
Seznam monitorovaných sítí je seřazený podle celkového počtu zařízení zobrazených v síti za posledních 7 dnů.
Pomocí filtru můžete zobrazit kterýkoli z následujících stavů zjišťování sítě:
- Monitorované sítě – sítě, ve kterých se provádí zjišťování zařízení.
- Ignorované sítě – Tato síť se ignoruje a neprovádí se v ní zjišťování zařízení.
- Vše – Zobrazí se monitorované i ignorované sítě.
Konfigurace stavu monitorování sítě
Vy řídíte, kde probíhá zjišťování zařízení. V monitorovaných sítích se provádí zjišťování zařízení a obvykle se jedná o podnikové sítě. Po úpravě stavu můžete také ignorovat sítě nebo vybrat počáteční klasifikaci zjišťování.
Volba počáteční klasifikace zjišťování znamená použití výchozího systémového stavu monitorování sítě. Výběr výchozího stavu monitorování sítě vytvořeného systémem znamená, že sítě, které byly identifikovány jako podnikové, monitorované a sítě, které jsou označené jako necorporate, se automaticky ignorují.
Vyberte Nastavení > Zjišťování zařízení.
Vyberte Monitorované sítě.
Zobrazte seznam sítí.
Vyberte tři tečky vedle názvu sítě.
Zvolte, jestli chcete monitorovat, ignorovat nebo používat počáteční klasifikaci zjišťování.
Upozornění
- Pokud zvolíte monitorování sítě, která nebyla identifikovaná Microsoft Defender for Endpoint jako podniková síť, může to způsobit zjišťování zařízení mimo vaši podnikovou síť, a může tak detekovat domácí nebo jiná zařízení, která nejsou podniková.
- Pokud se rozhodnete ignorovat síť, přestanete monitorovat a zjišťovat zařízení v této síti. Zjištěná zařízení se z inventáře neodeberou, ale už se nebudou aktualizovat a podrobnosti se zachovají, dokud nevyprší doba uchovávání dat defenderu for Endpoint.
- Než se rozhodnete monitorovat jiné než podnikové sítě, musíte se ujistit, že k tomu máte oprávnění.
Potvrďte, že chcete provést změnu.
Prozkoumání zařízení v síti
Pomocí následujícího rozšířeného dotazu proaktivního vyhledávání můžete získat další kontext o jednotlivých síťových názvech popsaných v seznamu sítí. Dotaz zobrazí seznam všech připojených zařízení, která byla připojena k určité síti během posledních sedmi dnů.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Získání informací o zařízení
K získání nejnovějších úplných informací o konkrétním zařízení můžete použít následující rozšířený dotaz proaktivního vyhledávání.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Viz také
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.