Partager via

Configurer la découverte d’appareils dans Defender pour point de terminaison

  • Article

S’applique à :

La découverte d’appareils peut être configurée pour être en mode standard ou de base. Utilisez l’option standard pour rechercher activement des appareils dans votre réseau, ce qui permet d’améliorer la découverte des points de terminaison et de fournir une classification des appareils plus riche.

Vous pouvez personnaliser la liste des appareils utilisés pour effectuer une découverte standard. Vous pouvez activer la découverte standard sur tous les appareils intégrés qui prennent également en charge cette fonctionnalité (actuellement pour les appareils exécutant Windows 10 et versions ultérieures, ou Windows Server 2019 et versions ultérieures). Vous pouvez également sélectionner un sous-ensemble d’appareils en spécifiant leurs étiquettes d’appareil.

Configurer la découverte d’appareils

Pour configurer la découverte d’appareils, effectuez les étapes de configuration suivantes dans le portail Microsoft Defender :

Accédez à Paramètres Découverte>de l’appareil

  1. Si vous souhaitez configurer De base comme mode de découverte à utiliser sur vos appareils intégrés, sélectionnez De base , puis Enregistrer.

  2. Si vous avez choisi d’utiliser Standard découverte, sélectionnez les appareils à utiliser pour la détection active : tous les appareils ou sur un sous-ensemble en spécifiant leurs étiquettes d’appareil, puis sélectionnez Enregistrer

Remarque

Le mode de détection standard utilise différents scripts PowerShell pour détecter activement les appareils du réseau. Ces scripts PowerShell sont signés par Microsoft et sont exécutés à partir de l’emplacement suivant : C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Par exemple : C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Exclure les appareils de la détection active en mode standard.

S’il existe des appareils sur votre réseau qui ne doivent pas être activement analysés (par exemple, des appareils utilisés comme honeypots pour un autre outil de sécurité), vous pouvez également définir une liste d’exclusions pour les empêcher d’être analysés. Les appareils peuvent toujours être découverts à l’aide du mode de découverte de base et peuvent également être découverts via des tentatives de découverte de multidiffusion. Ces appareils sont découverts passivement, mais ne seront pas activement sondés.

Vous pouvez configurer les appareils à exclure dans la page Exclusions .

Sélectionner les réseaux à surveiller

Microsoft Defender pour point de terminaison analyse un réseau et détermine s’il s’agit d’un réseau d’entreprise qui doit être surveillé ou d’un réseau non corporatif qui peut être ignoré. Pour identifier un réseau en tant qu’entreprise, nous mettons en corrélation les identificateurs réseau entre tous les clients du locataire et, si la plupart des appareils du organization signalent qu’ils sont connectés au même nom réseau, avec la même passerelle par défaut et la même adresse de serveur DHCP, nous supposons qu’il s’agit d’un réseau d’entreprise. Les réseaux d’entreprise sont généralement sélectionnés pour être surveillés. Toutefois, vous pouvez ignorer cette décision en choisissant de surveiller les réseaux non professionnels où se trouvent les appareils intégrés.

Vous pouvez configurer l’emplacement où la découverte des appareils peut être effectuée en spécifiant les réseaux à surveiller. Lorsqu’un réseau est surveillé, la détection d’appareils peut être effectuée sur celui-ci.

La liste des réseaux sur lesquels la détection d’appareils peut être effectuée s’affiche sur la page Réseaux surveillés .

Remarque

La liste répertorie les réseaux identifiés comme réseaux d’entreprise. Si moins de 50 réseaux sont identifiés en tant que réseaux d’entreprise, la liste affiche jusqu’à 50 réseaux avec les appareils les plus intégrés.

La liste des réseaux surveillés est triée en fonction du nombre total d’appareils affichés sur le réseau au cours des sept derniers jours.

Vous pouvez appliquer un filtre pour afficher l’un des états de découverte de réseau suivants :

  • Réseaux surveillés : réseaux où la découverte des appareils est effectuée.
  • Réseaux ignorés : ce réseau est ignoré et la découverte des appareils n’est pas effectuée sur celui-ci.
  • Tous : les réseaux surveillés et ignorés sont affichés.

Configurer l’état du moniteur réseau

Vous contrôlez l’endroit où la découverte d’appareils a lieu. Les réseaux surveillés sont l’endroit où la découverte des appareils est effectuée et sont généralement des réseaux d’entreprise. Vous pouvez également choisir d’ignorer des réseaux ou de sélectionner la classification de détection initiale après avoir modifié un état.

Le choix de la classification de découverte initiale signifie appliquer l’état du moniteur réseau par défaut créé par le système. La sélection de l’état par défaut du moniteur réseau créé par le système signifie que les réseaux identifiés comme étant d’entreprise, qui sont surveillés et ceux identifiés comme non corporatifs, sont ignorés automatiquement.

  1. Sélectionnez Paramètres Découverte > de l’appareil.

  2. Sélectionnez Réseaux supervisés.

  3. Passez en revue la liste des réseaux.

  4. Sélectionnez les trois points en regard du nom du réseau.

  5. Indiquez si vous souhaitez surveiller, ignorer ou utiliser la classification de détection initiale.

    Avertissement

    • Choisir de surveiller un réseau qui n’a pas été identifié par Microsoft Defender pour point de terminaison en tant que réseau d’entreprise peut entraîner la détection d’appareils en dehors de votre réseau d’entreprise et peut donc détecter les appareils domestiques ou non.
    • Le fait de choisir d’ignorer un réseau arrête la surveillance et la découverte des appareils dans ce réseau. Les appareils qui ont déjà été découverts ne sont pas supprimés de l’inventaire, mais ne sont plus mis à jour et les détails sont conservés jusqu’à l’expiration de la période de conservation des données de Defender pour point de terminaison.
    • Avant de choisir de surveiller les réseaux autres que les réseaux d’entreprise, vous devez vous assurer que vous êtes autorisé à le faire.

  6. Confirmez que vous souhaitez apporter cette modification.

Explorer les appareils du réseau

Vous pouvez utiliser la requête de repérage avancée suivante pour obtenir plus de contexte sur chaque nom de réseau décrit dans la liste des réseaux. La requête répertorie tous les appareils intégrés qui ont été connectés à un certain réseau au cours des sept derniers jours.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Obtenir des informations sur un appareil

Vous pouvez utiliser la requête de repérage avancée suivante pour obtenir les dernières informations complètes sur un appareil spécifique.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.