Konfigurer enhetsoppdagelse

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Søk kan konfigureres til å være i standard eller grunnleggende modus. Bruk standardalternativet til aktivt å finne enheter i nettverket, noe som bedre garanterer oppdagelse av endepunkter og gir rikere enhetsklassifisering.

Du kan tilpasse listen over enheter som brukes til å utføre standard søk. Du kan enten aktivere standard søk på alle de innebygde enhetene som også støtter denne funksjonen (for øyeblikket – bare Windows 10 eller nyere og Windows Server 2019 eller nyere enheter), eller velge et delsett eller delsett av enhetene dine ved å angi enhetskodene.

Konfigurer enhetsoppdagelse

Hvis du vil konfigurere enhetsoppdagelse, følger du følgende konfigurasjonstrinn i Microsoft Defender-portalen:

Naviger til Enhetsoppdagelse for innstillinger>

1. Hvis du vil konfigurere Grunnleggende som søkemodus som skal brukes på de innebygde enhetene, velger du Grunnleggende og deretter Lagre
2. Hvis du har valgt å bruke Standard oppdagelse, velger du hvilke enheter som skal brukes til aktiv sondering: alle enheter eller på et delsett ved å angi enhetskodene, og velg deretter Lagre

Obs!

Standardoppdagelse bruker ulike PowerShell-skript til aktivt å undersøke enheter i nettverket. Disse PowerShell-skriptene er Microsoft-signert og kjøres fra følgende plassering: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. For eksempel C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Utelat enheter fra å bli aktivt undersøkt i standardoppdagelse

Hvis det finnes enheter på nettverket som ikke skal skannes aktivt (for eksempel enheter som brukes som honningpotter for et annet sikkerhetsverktøy), kan du også definere en liste over utelatelser for å hindre at de skannes. Vær oppmerksom på at enheter fremdeles kan oppdages ved hjelp av grunnleggende søkemodus og kan også oppdages ved flere forsøk på å oppdage flere forsøk. Disse enhetene vil bli passivt oppdaget, men vil ikke bli aktivt undersøkt.

Du kan konfigurere enhetene slik at de utelates på utelatelsessiden .

Velg nettverk som skal overvåkes

Microsoft Defender for Endpoint analyserer et nettverk og fastslår om det er et bedriftsnettverk som må overvåkes eller et nettverk som ikke er bedriftsnettverk som kan ignoreres. For å identifisere et nettverk som firma korrelerer vi nettverksidentifikatorer på tvers av alle leierklienter, og hvis de fleste enhetene i organisasjonen rapporterer at de er koblet til samme nettverksnavn, med samme standard gateway- og DHCP-serveradresse, antar vi at dette er et bedriftsnettverk. Firmanettverk velges vanligvis for å overvåkes. Du kan imidlertid overstyre denne beslutningen ved å velge å overvåke ikke-bedriftsnettverk der det finnes innebygde enheter.

Du kan konfigurere hvor enhetssøk kan utføres ved å angi hvilke nettverk som skal overvåkes. Når et nettverk overvåkes, kan enhetsoppdagelse utføres på det.

En liste over nettverk der enhetssøk kan utføres, vises på siden Overvåkte nettverk .

Obs!

Listen viser nettverk som ble identifisert som firmanettverk. Hvis mindre enn 50 nettverk identifiseres som firmanettverk, vil listen vise opptil 50 nettverk med de mest innebygde enhetene.

Listen over overvåkede nettverk sorteres basert på det totale antallet enheter som er sett på nettverket de siste sju dagene.

Du kan bruke et filter for å vise hvilken som helst av følgende tilstander for nettverkssøk:

• Overvåkede nettverk – nettverk der enhetsgjenkjenning utføres.
• Ignorerte nettverk – dette nettverket ignoreres, og enhetsgjenkjenning utføres ikke på det.
• Alle – Både overvåkede og ignorerte nettverk vises.

Konfigurer statusen for nettverksovervåking

Du kontrollerer hvor enhetsoppdagelse finner sted. Overvåkede nettverk er der enhetsoppdagelse utføres og er vanligvis bedriftsnettverk. Du kan også velge å ignorere nettverk eller velge den første søkeklassifiseringen etter å ha endret en tilstand.

Å velge den første oppdagelsesklassifiseringen betyr å bruke standard systemdefinert nettverksovervåkingstilstand. Hvis du velger standard systembasert nettverksovervåkingstilstand, blir nettverk som ble identifisert som firma, overvåket, og de som identifiseres som ikke-bedriftsrelaterte, ignoreres automatisk.

1. Velg Enhetsoppdagelse for innstillinger>.

2. Velg Overvåkede nettverk.

3. Vis listen over nettverk.

4. Velg de tre prikkene ved siden av nettverksnavnet.

5. Velg om du vil overvåke, ignorere eller bruke den første oppdagelsesklassifiseringen.

   Advarsel

   • Hvis du velger å overvåke et nettverk som ikke ble identifisert av Microsoft Defender for Endpoint som et firmanettverk, kan det føre til enhetsoppdagelse utenfor firmanettverket, og kan derfor oppdage hjemmebruk eller andre enheter som ikke er bedriftsenheter.
   • Hvis du velger å ignorere et nettverk, stoppes overvåking og oppdagelse av enheter i nettverket. Enheter som allerede er oppdaget, vil ikke bli fjernet fra beholdningen, men vil ikke lenger bli oppdatert, og detaljene beholdes til dataoppbevaringsperioden for Defender for Endpoint utløper.
   • Før du velger å overvåke nettverk som ikke er bedriftsnettverk, må du sørge for at du har tillatelse til å gjøre det.
     

6. Bekreft at du vil gjøre endringen.

Utforsk enheter i nettverket

Du kan bruke følgende avanserte jaktspørring for å få mer kontekst om hvert nettverksnavn som er beskrevet i nettverkslisten. Spørringen viser alle de innebygde enhetene som var koblet til et bestemt nettverk i løpet av de siste sju dagene.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Få informasjon på enheten

Du kan bruke følgende avanserte jaktspørring for å få den nyeste fullstendige informasjonen på en bestemt enhet.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Se også

• Oversikt over enhetsoppdagelse
• Vanlige spørsmål om enhetsoppdagelse

Tips

Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.