Condividi tramite

Configurare l'individuazione dei dispositivi in Defender per endpoint

  • Articolo

Si applica a:

L'individuazione dei dispositivi può essere configurata in modalità standard o di base. Usare l'opzione standard per trovare attivamente i dispositivi nella rete, che consente di migliorare l'individuazione degli endpoint e fornire una classificazione più completa dei dispositivi.

È possibile personalizzare l'elenco dei dispositivi usati per eseguire l'individuazione standard. È possibile abilitare l'individuazione standard in tutti i dispositivi caricati che supportano anche questa funzionalità (attualmente per i dispositivi che eseguono Windows 10 e versioni successive o Windows Server 2019 e versioni successive). In alternativa, è possibile selezionare un subset di dispositivi specificandone i tag.

Configurare l'individuazione dei dispositivi

Per configurare l'individuazione dei dispositivi, seguire questa procedura di configurazione nel portale di Microsoft Defender:

Passare a Impostazioni>Individuazione dispositivo

  1. Se si vuole configurare Basic come modalità di individuazione da usare nei dispositivi di cui è stato eseguito l'onboarding, selezionare Basic e quindi Salva.

  2. Se si è scelto di usare Standard individuazione, selezionare i dispositivi da usare per il probe attivo: tutti i dispositivi o in un subset specificando i tag del dispositivo e quindi selezionare Salva

Nota

L'individuazione standard usa vari script di PowerShell per eseguire attivamente il probe dei dispositivi nella rete. Gli script di PowerShell sono firmati da Microsoft e vengono eseguiti dal percorso seguente: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Ad esempio, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Escludere i dispositivi dal probe attivo nell'individuazione standard

Se nella rete sono presenti dispositivi che non devono essere analizzati attivamente(ad esempio, i dispositivi usati come honeypot per un altro strumento di sicurezza), è anche possibile definire un elenco di esclusioni per impedirne l'analisi. I dispositivi possono comunque essere individuati usando la modalità di individuazione Basic e possono essere individuati anche tramite tentativi di individuazione multicast. Questi dispositivi vengono individuati passivamente, ma non verranno attivamente sottoposti a probe.

È possibile configurare i dispositivi da escludere nella pagina Esclusioni .

Selezionare le reti da monitorare

Microsoft Defender per endpoint analizza una rete e determina se è una rete aziendale che deve essere monitorata o una rete non aziendale che può essere ignorata. Per identificare una rete aziendale, vengono correlati gli identificatori di rete tra tutti i client del tenant e se la maggior parte dei dispositivi dell'organizzazione segnala che sono connessi allo stesso nome di rete, con lo stesso gateway predefinito e lo stesso indirizzo server DHCP, si presuppone che si tratti di una rete aziendale. Le reti aziendali vengono in genere scelte per essere monitorate. Tuttavia, è possibile ignorare questa decisione scegliendo di monitorare le reti non aziendali in cui si trovano i dispositivi caricati.

È possibile configurare la posizione in cui è possibile eseguire l'individuazione dei dispositivi specificando le reti da monitorare. Quando viene monitorata una rete, è possibile eseguire l'individuazione dei dispositivi su di essa.

Un elenco di reti in cui è possibile eseguire l'individuazione dei dispositivi viene visualizzato nella paginaReti monitorate.

Nota

L'elenco mostra le reti identificate come reti aziendali. Se meno di 50 reti vengono identificate come reti aziendali, l'elenco mostra fino a 50 reti con i dispositivi con il maggior numero di onboarding.

L'elenco delle reti monitorate viene ordinato in base al numero totale di dispositivi visualizzati nella rete negli ultimi sette giorni.

È possibile applicare un filtro per visualizzare uno degli stati di individuazione di rete seguenti:

  • Reti monitorate : reti in cui viene eseguita l'individuazione dei dispositivi.
  • Reti ignorate : questa rete viene ignorata e l'individuazione dei dispositivi non viene eseguita su di essa.
  • Tutti : vengono visualizzate sia le reti monitorate che le reti ignorate.

Configurare lo stato del monitoraggio di rete

Si controlla dove viene eseguita l'individuazione del dispositivo. Le reti monitorate sono le aree in cui viene eseguita l'individuazione dei dispositivi e sono in genere reti aziendali. È anche possibile scegliere di ignorare le reti o selezionare la classificazione di individuazione iniziale dopo aver modificato uno stato.

La scelta della classificazione di individuazione iniziale significa applicare lo stato predefinito del monitoraggio di rete creato dal sistema. Se si seleziona lo stato predefinito di monitoraggio di rete creato dal sistema, le reti identificate come aziendali vengono monitorate e quelle identificate come non aziendali vengono ignorate automaticamente.

  1. Selezionare Impostazioni > Individuazione dispositivo.

  2. Selezionare Reti monitorate.

  3. Visualizzare l'elenco delle reti.

  4. Selezionare i tre puntini accanto al nome della rete.

  5. Scegliere se monitorare, ignorare o usare la classificazione di individuazione iniziale.

    Avviso

    • La scelta di monitorare una rete che non è stata identificata da Microsoft Defender per endpoint come rete aziendale può causare l'individuazione dei dispositivi all'esterno della rete aziendale e può quindi rilevare dispositivi domestici o altri dispositivi non aziendali.
    • La scelta di ignorare una rete interrompe il monitoraggio e l'individuazione dei dispositivi in tale rete. I dispositivi già individuati non verranno rimossi dall'inventario, ma non verranno più aggiornati e i dettagli verranno conservati fino alla scadenza del periodo di conservazione dei dati di Defender per endpoint.
    • Prima di scegliere di monitorare le reti non aziendali, è necessario assicurarsi di disporre delle autorizzazioni necessarie.

  6. Confermare che si desidera apportare la modifica.

Esplorare i dispositivi nella rete

È possibile usare la query di ricerca avanzata seguente per ottenere più contesto su ogni nome di rete descritto nell'elenco delle reti. La query elenca tutti i dispositivi caricati connessi a una determinata rete negli ultimi sette giorni.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Ottenere informazioni sul dispositivo

È possibile usare la query di ricerca avanzata seguente per ottenere le informazioni complete più recenti su un dispositivo specifico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.