Konfigurer enhedsregistrering i Defender for Endpoint

Gælder for:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Enhedsregistrering kan konfigureres til at være i standard- eller grundlæggende tilstand. Brug standardindstillingen til aktivt at finde enheder på dit netværk, hvilket hjælper med at forbedre registreringen af slutpunkter og give bedre enhedsklassificering.

Du kan tilpasse listen over enheder, der bruges til at udføre standardregistrering. Du kan enten aktivere standardregistrering på alle onboardede enheder, der også understøtter denne funktion (i øjeblikket for enheder, der kører Windows 10 og nyere, eller Windows Server 2019 og nyere). Du kan også vælge et undersæt af enheder ved at angive deres enhedskoder.

Konfigurer enhedsregistrering

Hvis du vil konfigurere enhedsregistrering, skal du udføre følgende konfigurationstrin på Microsoft Defender-portalen:

Naviger til Indstillinger>Enhedsregistrering

1. Hvis du vil konfigurere Basic som registreringstilstand til brug på dine onboardede enheder, skal du vælge Grundlæggende og derefter vælge Gem.

2. Hvis du har valgt at bruge Standard registrering, skal du vælge, hvilke enheder der skal bruges til aktiv undersøgelse: alle enheder eller på et undersæt ved at angive deres enhedskoder og derefter vælge Gem

Bemærk!

Standard registrering bruger forskellige PowerShell-scripts til aktivt at undersøge enheder i netværket. Disse PowerShell-scripts er signeret af Microsoft og udføres fra følgende placering: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Det kunne f.eks. være C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Udelad enheder fra aktivt at blive undersøgt i forbindelse med standardregistrering

Hvis der er enheder på dit netværk, som ikke skal scannes aktivt (f.eks. enheder, der bruges som honningpotter til et andet sikkerhedsværktøj), kan du også definere en liste over undtagelser for at forhindre, at de scannes. Enheder kan stadig registreres ved hjælp af grundlæggende registreringstilstand og kan også registreres via multicast-registreringsforsøg. Disse enheder registreres passivt, men undersøges ikke aktivt.

Du kan konfigurere enhederne til at udelade på siden Udeladelser .

Vælg netværk, der skal overvåges

Microsoft Defender for Endpoint analyserer et netværk og bestemmer, om det er et virksomhedsnetværk, der skal overvåges, eller et ikke-virksomhedsnetværk, der kan ignoreres. For at identificere et netværk som en virksomhed korrelerer vi netværks-id'er på tværs af alle lejerens klienter, og hvis de fleste enheder i organisationen rapporterer, at de har forbindelse til det samme netværksnavn, med den samme standardgateway og DHCP-serveradresse, antager vi, at dette er et virksomhedsnetværk. Virksomhedsnetværk er typisk valgt at blive overvåget. Du kan dog tilsidesætte denne beslutning ved at vælge at overvåge ikke-registrerede netværk, hvor onboardede enheder findes.

Du kan konfigurere, hvor enhedsregistrering kan udføres, ved at angive, hvilke netværk der skal overvåges. Når et netværk overvåges, kan enhedsregistreringen udføres på det.

En liste over netværk, hvor enhedsregistrering kan udføres, vises på siden Overvågede netværk .

Bemærk!

Listen viser de netværk, der blev identificeret som virksomhedsnetværk. Hvis færre end 50 netværk identificeres som virksomhedsnetværk, viser listen op til 50 netværk med de mest onboardede enheder.

Listen over overvågede netværk sorteres på baggrund af det samlede antal enheder, der er set på netværket i de seneste syv dage.

Du kan anvende et filter for at få vist en af følgende tilstande for netværksregistrering:

• Overvågede netværk – netværk, hvor enhedsregistreringen udføres.
• Ignorerede netværk – Dette netværk ignoreres, og enhedsregistreringen udføres ikke på det.
• Alle – Både overvågede og ignorerede netværk vises.

Konfigurer overvågningstilstanden for netværket

Du styrer, hvor enhedsregistreringen finder sted. Overvågede netværk er det sted, hvor enhedsregistreringen udføres, og det er typisk virksomhedsnetværk. Du kan også vælge at ignorere netværk eller vælge den første registreringsklassificering, når du har ændret en tilstand.

Hvis du vælger den første registreringsklassificering, skal du anvende standardtilstanden for systemopdaget netværksovervågning. Hvis du vælger standardtilstanden for systembaseret netværksovervågning, betyder det, at netværk, der blev identificeret til at være virksomhedsnetværk, overvåges, og dem, der er identificeret som ikke-selskaber, ignoreres automatisk.

1. Vælg Indstillinger > Enhedsregistrering.

2. Vælg Overvågede netværk.

3. Vis listen over netværk.

4. Vælg de tre prikker ud for netværksnavnet.

5. Vælg, om du vil overvåge, ignorere eller bruge den første registreringsklassificering.

   Advarsel

   • Hvis du vælger at overvåge et netværk, der ikke blev identificeret af Microsoft Defender for Endpoint som et virksomhedsnetværk, kan det medføre registrering af enheder uden for virksomhedens netværk og kan derfor registrere private enheder eller andre enheder, der ikke er registreret i virksomheden.
   • Hvis du vælger at ignorere et netværk, stopper overvågning og registrering af enheder i det pågældende netværk. Enheder, der allerede er registreret, fjernes ikke fra lageret, men opdateres ikke længere, og oplysningerne bevares, indtil dataopbevaringsperioden for Defender for Endpoint udløber.
   • Før du vælger at overvåge netværk, der ikke er virksomhedsnetværk, skal du sikre dig, at du har tilladelse til at gøre det.
     

6. Bekræft, at du vil foretage ændringen.

Udforsk enheder i netværket

Du kan bruge følgende avancerede jagtforespørgsel til at få mere kontekst om hvert netværksnavn, der er beskrevet på listen over netværk. Forespørgslen viser alle de onboardede enheder, der har været tilsluttet et bestemt netværk inden for de seneste syv dage.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Hent oplysninger på enhed

Du kan bruge følgende avancerede jagtforespørgsel til at få de nyeste komplette oplysninger på en bestemt enhed.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Se også

• Oversigt over enhedssøgning
• Ofte stillede spørgsmål om enhedsregistrering

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.