Aracılığıyla paylaş

Uç Nokta için Defender'da cihaz bulmayı yapılandırma

  • Makale

Şunlar için geçerlidir:

Cihaz bulma, standart veya temel modda olacak şekilde yapılandırılabilir. Ağınızdaki cihazları etkin bir şekilde bulmak için standart seçeneği kullanın. Bu seçenek uç noktaların keşfini iyileştirmeye yardımcı olur ve daha zengin cihaz sınıflandırması sağlar.

Standart bulma gerçekleştirmek için kullanılan cihazların listesini özelleştirebilirsiniz. Bu özelliği de destekleyen tüm eklenen cihazlarda standart bulmayı etkinleştirebilirsiniz (şu anda Windows 10 ve üzerini çalıştıran cihazlar için veya Windows Server 2019 ve üzeri). Ya da cihaz etiketlerini belirterek cihazların bir alt kümesini seçebilirsiniz.

Cihaz bulmayı ayarlama

Cihaz bulmayı ayarlamak için Microsoft Defender portalında aşağıdaki yapılandırma adımlarını uygulayın:

Ayarlar>Cihaz bulma'ya gidin

  1. Temel'i eklenen cihazlarınızda kullanılacak bulma modu olarak yapılandırmak istiyorsanız Temel'i ve ardından Kaydet'i seçin.

  2. Standart bulma'yı kullanmayı seçtiyseniz, etkin yoklama için hangi cihazların kullanılacağını seçin: tüm cihazlar veya cihaz etiketlerini belirterek bir alt kümede ve ardından Kaydet'i seçin

Not

Standart bulma, ağdaki cihazları etkin bir şekilde araştırmak için çeşitli PowerShell betikleri kullanır. Bu PowerShell betikleri Microsoft tarafından imzalanmıştır ve şu konumdan yürütülür: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Örneğin, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Cihazları standart bulmada etkin bir şekilde yoklamanın dışında tutma

Ağınızda etkin olarak taranmaması gereken cihazlar varsa (örneğin, başka bir güvenlik aracı için bal arısı olarak kullanılan cihazlar), taranmalarını önlemek için bir dışlama listesi de tanımlayabilirsiniz. Cihazlar hala Temel bulma modu kullanılarak bulunabilir ve çok noktaya yayın bulma denemeleri aracılığıyla da bulunabilir. Bu cihazlar pasif olarak bulunur ancak etkin bir şekilde yoklamaz.

Dışlamalar sayfasında cihazları dışlamak üzere yapılandırabilirsiniz.

İzlenecek ağları seçin

Uç Nokta için Microsoft Defender bir ağı analiz eder ve bunun izlenmesi gereken bir şirket ağı mı yoksa yoksa yoksayılabilir bir şirket dışı ağ mı olduğunu belirler. Bir ağı şirket olarak tanımlamak için, ağ tanımlayıcılarını tüm kiracının istemcileri arasında ilişkilendiriyoruz ve kuruluştaki cihazların çoğu aynı ağ adına bağlı olduklarını bildiriyorsa, aynı varsayılan ağ geçidi ve DHCP sunucusu adresiyle bunun bir şirket ağı olduğunu varsayarız. Şirket ağları genellikle izlenmesi için seçilir. Ancak, eklenen cihazların bulunduğu akrep olmayan ağları izlemeyi seçerek bu kararı geçersiz kılabilirsiniz.

Hangi ağların izleneceğini belirterek cihaz bulmanın nerede gerçekleştirilebileceğini yapılandırabilirsiniz. Bir ağ izlendiğinde, üzerinde cihaz bulma işlemi gerçekleştirilebilir.

cihaz bulma işleminin gerçekleştirilebileceği ağların listesi , İzlenen ağlar sayfasında gösterilir.

Not

Listede, şirket ağları olarak tanımlanan ağlar gösterilir. 50'den az ağ kurumsal ağ olarak tanımlanırsa, liste en çok eklenen cihazlara sahip en fazla 50 ağ gösterir.

İzlenen ağların listesi, ağda son yedi gün içinde görülen toplam cihaz sayısına göre sıralanır.

Aşağıdaki ağ bulma durumlarından herhangi birini görüntülemek için bir filtre uygulayabilirsiniz:

  • İzlenen ağlar - Cihaz bulma işleminin gerçekleştirildiği ağlar.
  • Yoksayılan ağlar - Bu ağ yoksayılır ve cihaz bulma işlemi gerçekleştirilmez.
  • Tümü - Hem izlenen hem de yoksayılan ağlar görüntülenir.

Ağ izleyici durumunu yapılandırma

Cihaz bulmanın nerede gerçekleşeceği sizin denetiminizdir. İzlenen ağlar, cihaz bulma işleminin gerçekleştirildiği yerdir ve genellikle kurumsal ağlardır. Ayrıca, bir durumu değiştirdikten sonra ağları yoksaymayı veya ilk bulma sınıflandırmasını seçebilirsiniz.

İlk bulma sınıflandırmasını seçmek, varsayılan sistem tarafından üretilen ağ izleyici durumunun uygulanması anlamına gelir. Varsayılan sistem tarafından yapılan ağ izleme durumunun seçilmesi, şirket olduğu belirlenen, izlenen ve akrep olmayan olarak tanımlanan ağların otomatik olarak yoksayılacağı anlamına gelir.

  1. Ayarlar > Cihaz bulma'ya tıklayın.

  2. İzlenen ağlar'ı seçin.

  3. Ağ listesini görüntüleyin.

  4. Ağ adının yanındaki üç noktayı seçin.

  5. İlk bulma sınıflandırmasını izlemek, yoksaymak veya kullanmak isteyip istemediğinizi seçin.

    Uyarı

    • Uç Nokta için Microsoft Defender tarafından şirket ağı olarak tanımlanmayan bir ağı izlemeyi seçmek, şirket ağınızın dışında cihaz bulma işlemine neden olabilir ve bu nedenle ev veya diğer şirket dışı cihazları algılayabilir.
    • Bir ağı yoksaymak seçildiğinde, bu ağdaki cihazların izlenmesi ve bulunması durdurulur. Önceden bulunan cihazlar envanterden kaldırılmaz, ancak artık güncelleştirilmez ve Uç Nokta için Defender'ın veri saklama süresi dolana kadar ayrıntılar korunur.
    • Şirket dışı ağları izlemeyi seçmeden önce, bunu yapmak için izniniz olduğundan emin olmanız gerekir.

  6. Değişikliği yapmak istediğinizi onaylayın.

Ağdaki cihazları keşfetme

Ağ listesinde açıklanan her ağ adı hakkında daha fazla bağlam elde etmek için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz. Sorgu, son yedi gün içinde belirli bir ağa bağlı olan tüm eklenen cihazları listeler.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Cihazla ilgili bilgi alma

Belirli bir cihazda en son eksiksiz bilgileri almak için aşağıdaki gelişmiş tehdit avcılığı sorgusunu kullanabilirsiniz.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.