Laitteen etsinnän määrittäminen Defender for Endpointissa

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Laitteiden etsintä voidaan määrittää vakio- tai perustilassa. Vakiovaihtoehdon avulla voit etsiä aktiivisesti laitteita verkostasi, mikä auttaa parantamaan päätepisteiden etsimistä ja tarjoamaan monipuolisemman laiteluokituksen.

Voit mukauttaa vakioetsinnän suorittamiseen käytettävien laitteiden luetteloa. Voit joko ottaa käyttöön vakioetsinnän kaikissa käytössä oleville laitteille, jotka tukevat tätä ominaisuutta (tällä hetkellä laitteet, joiden käyttöjärjestelmä on Windows 10 tai uudempi, tai Windows Server 2019 ja uudemmat). Voit myös valita laitteiden alijoukon määrittämällä niiden laitetunnisteet.

Laitteen etsinnän määrittäminen

Voit määrittää laitteiden etsinnän seuraavien määritysvaiheiden avulla Microsoft Defender-portaalissa:

Siirry kohtaan Asetukset>Laitteen etsintä

1. Jos haluat määrittää perustiedot etsintätilaksi, jota käytetään perehdytetyissä laitteissa, valitse Perus ja valitse sitten Tallenna.

2. Jos olet valinnut Standard resurssienetsinnän käyttöön, valitse aktiiviseen tutkimiseen käytettävät laitteet: kaikki laitteet tai alijoukko määrittämällä niiden laitetunnisteet, ja valitse sitten Tallenna

Huomautus

Standard resurssienetsintä käyttää erilaisia PowerShell-komentosarjoja laitteiden aktiiviseen tutkimiseen verkossa. Nämä PowerShell-komentosarjat ovat Microsoftin allekirjoittamia, ja ne suoritetaan seuraavasta sijainnista: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Esimerkiksi C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Laitteiden pois jättäminen vakioetsinnän aktiivisesta tutkimisesta

Jos verkossasi on laitteita, joita ei tule aktiivisesti skannata (esimerkiksi laitteita, joita käytetään toisen suojaustyökalun hunajapurkkeina), voit myös määrittää poissulkemisten luettelon estääksesi niiden skannaamisen. Laitteita voidaan edelleen löytää perusetsintätilassa, ja ne voidaan myös löytää monilähetysten etsintäyrityksillä. Nämä laitteet löydetään passiivisesti, mutta niitä ei tutkita aktiivisesti.

Voit määrittää laitteet pois jätettäviksi Poissulkemiset-sivulla .

Valitse valvottava verkko

Microsoft Defender for Endpoint analysoi verkon ja määrittää, onko kyseessä yritysverkko, jota on valvottava, vai ei-yritysverkko, joka voidaan ohittaa. Jos haluat tunnistaa verkon yritykseksi, korreloimme verkon tunnisteet kaikkien vuokraajan asiakkaisiin ja jos useimmat organisaation laitteet ilmoittavat, että ne on yhdistetty samaan verkkonimeen, samalla oletusyhdyskäytävällä ja DHCP-palvelimen osoitteella, oletamme, että kyseessä on yritysverkko. Yritysverkot valitaan yleensä valvottavaksi. Voit kuitenkin ohittaa tämän päätöksen valitsemalla valvoa ei-yritysverkkoja, joissa on otettu laitteita.

Voit määrittää, missä laitteen etsintä voidaan suorittaa, määrittämällä, mitä verkkoja valvotaan. Kun verkkoa valvotaan, sille voidaan tehdä laiteetsintä.

Luettelo verkoista, joissa laite voidaan löytää, näytetään Valvotut verkot -sivulla.

Huomautus

Luettelossa näkyvät verkot, jotka on tunnistettu yritysverkoiksi. Jos yritysverkoiksi tunnistetaan alle 50 verkkoa, luettelossa näkyy jopa 50 verkkoa, joissa on eniten perehdyttyjä laitteita.

Valvottavien verkkojen luettelo lajitellaan sen mukaan, kuinka monta laitetta verkossa on nähty yhteensä seitsemän viime päivän aikana.

Voit käyttää suodatinta, jos haluat tarkastella mitä tahansa seuraavista verkon etsintätiloista:

• Valvotut verkot – Verkot, joissa laitteen etsintä suoritetaan.
• Ohitetut verkot – Tämä verkko ohitetaan ja laitteen etsintää ei suoriteta siinä.
• Kaikki – Sekä valvotut että ohitetut verkot näytetään.

Verkon seurannan tilan määrittäminen

Voit hallita, missä laitteen etsintä tapahtuu. Valvotut verkot ovat paikka, jossa laitteen etsintä suoritetaan, ja ne ovat yleensä yritysverkkoja. Voit myös ohittaa verkot tai valita ensimmäisen etsinnän luokituksen, kun olet muokannut tilaa.

Ensimmäisen etsinnän luokituksen valitseminen tarkoittaa järjestelmän tekemän verkon oletusvalvontatilan soveltamista. Järjestelmän oletusverkon valvontatilan valitseminen tarkoittaa sitä, että verkot, jotka on tunnistettu yritykseksi, valvotaan ja että ne, jotka on määritetty ei-yhtiöiksi, ohitetaan automaattisesti.

1. Valitse Asetukset > Laitteen etsintä.

2. Valitse Valvotut verkot.

3. Näytä verkkojen luettelo.

4. Valitse kolme pisteestä verkon nimen vierestä.

5. Valitse, haluatko valvoa, ohittaa vai käyttää ensimmäistä etsinnän luokitusta.

   Varoitus

   • Jos päätät valvoa verkkoa, jota Microsoft Defender for Endpoint ei tunnista yritysverkoksi, laitteen etsintä yritysverkon ulkopuolella voi aiheuttaa laitteen löytämisen ja näin ollen tunnistaa kotilaitteet tai muut ei-yhtiölliset laitteet.
   • Verkon ohittaminen lopettaa laitteiden seurannan ja löytämisen kyseisessä verkossa. Jo löydettyjä laitteita ei poisteta varastosta, mutta niitä ei enää päivitetä, ja tiedot säilytetään, kunnes Defender for Endpointin tietojen säilytysaika päättyy.
   • Ennen kuin päätät valvoa muita kuin yritysverkkoja, sinun on varmistettava, että sinulla on siihen käyttöoikeus.
     

6. Vahvista, että haluat tehdä muutoksen.

Tutustu verkon laitteisiin

Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi lisää kontekstia kustakin verkkonimestä, joka on kuvattu verkkoluettelossa. Kyselyssä luetellaan kaikki käyttöön otetut laitteet, jotka on yhdistetty tiettyyn verkkoon viimeisten seitsemän päivän aikana.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Hae tietoja laitteesta

Voit käyttää seuraavaa kehittynyttä metsästyskyselyä saadaksesi uusimmat täydelliset tiedot tietystä laitteesta.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Tutustu myös seuraaviin ohjeartikkeleihin:

• Laitteiden etsinnän yleiskatsaus
• Laitteiden etsinnän usein kysytyt kysymykset

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.