Eszközfelderítés konfigurálása a Végponthoz készült Defenderben
Érintett szolgáltatás:
Az eszközfelderítés konfigurálható standard vagy alapszintű módra. A standard beállítással aktívan kereshet eszközöket a hálózatban, ami javítja a végpontok felderítését, és gazdagabb eszközbesorolást tesz lehetővé.
Testre szabhatja a szabványos felderítés végrehajtásához használt eszközök listáját. Engedélyezheti a standard felderítést az összes olyan előkészített eszközön, amely szintén támogatja ezt a képességet (jelenleg Windows 10 vagy újabb, illetve Windows Server 2019-Windows Server és újabb eszközökön). Vagy kiválaszthatja az eszközök egy részhalmazát az eszközcímkék megadásával.
Eszközfelderítés beállítása
Az eszközfelderítés beállításához hajtsa végre a következő konfigurációs lépéseket a Microsoft Defender portálon:
Lépjen a Beállítások>Eszközfelderítés területre
Ha az Alapszintű módot szeretné beállítani az előkészített eszközökön használni kívánt felderítési módként, válassza az Alapszintű lehetőséget, majd a Mentés lehetőséget.
Ha a Standard felderítés használatát választotta, válassza ki az aktív felderítéshez használni kívánt eszközöket: az összes eszközt vagy egy részhalmazt az eszközcímkék megadásával, majd válassza a Mentés lehetőséget.
Megjegyzés:
A standard felderítés különböző PowerShell-szkripteket használ a hálózaton lévő eszközök aktív mintavételéhez. Ezek a PowerShell-szkriptek a Microsoft aláírásával vannak ellátva, és a következő helyről hajthatók végre: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
. Használja például a C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
címet.
Eszközök kizárása a standard felderítésben való aktívan mintavételből
Ha a hálózaton vannak olyan eszközök, amelyeket nem szabad aktívan beolvasni (például egy másik biztonsági eszköz mézesmadzára használt eszközei), a kizárások listáját is megadhatja, hogy ne lehessen beolvasni őket. Az eszközök alapszintű felderítési módban továbbra is felderíthetők, és csoportos küldéses felderítési kísérleteken keresztül is felderíthetők. Ezek az eszközök passzívan felderíthetők, de nem lesznek aktívan mintavételezettek.
Az eszközöket a Kizárások lapon konfigurálhatja kizárásra.
Monitorozni kívánt hálózatok kiválasztása
Végponthoz készült Microsoft Defender elemzi a hálózatot, és megállapítja, hogy egy figyelendő vállalati hálózatról van-e szó, vagy egy nem jogi személyiséggel nem rendelkező hálózatról, amelyet figyelmen kívül lehet hagyni. A hálózat vállalatiként való azonosításához korreláljuk a hálózatazonosítókat az összes bérlő ügyfélprogramjában, és ha a szervezet legtöbb eszköze arról számol be, hogy ugyanahhoz a hálózatnévhez csatlakoznak, ugyanazzal az alapértelmezett átjáróval és DHCP-kiszolgálócímmel, feltételezzük, hogy ez egy vállalati hálózat. A vállalati hálózatokat általában monitorozásra választják. Ezt a döntést azonban felülbírálhatja, ha úgy dönt, hogy figyeli a nem jogi személyiséggel nem rendelkező hálózatokat, ahol az előkészített eszközök találhatók.
A monitorozni kívánt hálózatok megadásával megadhatja, hogy hol végezhető el az eszközfelderítés. Egy hálózat figyelésekor eszközfelderítés végezhető rajta.
Azoknak a hálózatoknak a listája, amelyeken eszközfelderítés végezhető, megjelenik a Figyelt hálózatok lapon.
Megjegyzés:
A listában a vállalati hálózatokként azonosított hálózatok láthatók. Ha a rendszer 50-nél kevesebb hálózatot azonosít vállalati hálózatként, akkor a lista legfeljebb 50 hálózatot jelenít meg a leggyakrabban előkészített eszközökkel.
A figyelt hálózatok listája az elmúlt hét napban a hálózaton látható eszközök teljes száma alapján van rendezve.
Szűrő alkalmazásával a következő hálózatfelderítési állapotok bármelyikét megtekintheti:
- Figyelt hálózatok – Azok a hálózatok, amelyeken eszközfelderítés történik.
- Figyelmen kívül hagyott hálózatok – A rendszer figyelmen kívül hagyja ezt a hálózatot, és nem hajtja végre rajta az eszközfelderítést.
- Mind – A figyelt és a figyelmen kívül hagyott hálózatok is megjelennek.
A hálózatfigyelő állapotának konfigurálása
Ön határozhatja meg, hogy hol történjen az eszközfelderítés. A figyelt hálózatokban történik az eszközfelderítés, és általában vállalati hálózatok. Dönthet úgy is, hogy figyelmen kívül hagyja a hálózatokat, vagy kiválasztja a kezdeti felderítési besorolást az állapot módosítása után.
A kezdeti felderítési besorolás kiválasztása azt jelenti, hogy a rendszer által létrehozott alapértelmezett hálózatfigyelő állapotot alkalmazza. Az alapértelmezett rendszer által létrehozott hálózatfigyelő állapot kiválasztása azt jelenti, hogy a rendszer automatikusan figyelmen kívül hagyja azokat a hálózatokat, amelyeket vállalatiként azonosítottak, és amelyeket nem jogi személyként azonosítottak.
Válassza a Beállítások > Eszközfelderítés lehetőséget.
Válassza a Figyelt hálózatok lehetőséget.
A hálózatok listájának megtekintése.
Kattintson a hálózat neve melletti három pontra.
Adja meg, hogy monitorozni, figyelmen kívül hagyni vagy használni szeretné-e a kezdeti felderítési besorolást.
Figyelmeztetés
- Ha egy olyan hálózatot figyel, amelyet a Végponthoz készült Microsoft Defender nem azonosított vállalati hálózatként, eszközfelderítést okozhat a vállalati hálózaton kívül, és így képes észlelni az otthoni vagy más, nem céges eszközöket.
- Ha figyelmen kívül hagy egy hálózatot, azzal leállítja az adott hálózatban lévő eszközök figyelését és felderítését. A már felderített eszközök nem lesznek eltávolítva a leltárból, de a továbbiakban nem frissülnek, és a részletek mindaddig megmaradnak, amíg a Végponthoz készült Defender adatmegőrzési időszaka le nem jár.
- A nem vállalati hálózatok figyelése előtt meg kell győződnie arról, hogy rendelkezik erre vonatkozó engedéllyel.
Ellenőrizze, hogy szeretné-e elvégezni a módosítást.
A hálózatban lévő eszközök megismerése
Az alábbi speciális veszélyforrás-keresési lekérdezéssel részletesebb információkat kaphat a hálózatok listájában ismertetett hálózatnevekről. A lekérdezés felsorolja az összes olyan előkészített eszközt, amely az elmúlt hét napban egy adott hálózathoz kapcsolódott.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Az eszköz adatainak lekérése
Az alábbi speciális veszélyforrás-keresési lekérdezéssel lekérheti egy adott eszköz legfrissebb teljes adatait.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
Lásd még
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.