Konfigurer enhetsgjenkjenning i Defender for endepunkt

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Enhetssøk kan konfigureres til å være i standard eller grunnleggende modus. Bruk standardalternativet til aktivt å finne enheter i nettverket, noe som bidrar til å forbedre oppdagelsen av endepunkter og gi rikere enhetsklassifisering.

Du kan tilpasse listen over enheter som brukes til å utføre standard søk. Du kan enten aktivere standard søk på alle de innebygde enhetene som også støtter denne funksjonen (for øyeblikket for enheter som kjører Windows 10 og nyere, eller Windows Server 2019 og nyere). Du kan også velge et delsett av enheter ved å angi enhetskodene.

Konfigurer enhetsoppdagelse

Hvis du vil konfigurere enhetsoppdagelse, gjør du følgende konfigurasjonstrinn i Microsoft Defender-portalen:

Naviger til Enhetsoppdagelse for innstillinger>

1. Hvis du vil konfigurere Grunnleggende som søkemodus som skal brukes på de innebygde enhetene, velger du Grunnleggende og deretter Lagre.

2. Hvis du har valgt å bruke Standard oppdagelse, velger du hvilke enheter som skal brukes til aktiv sondering: alle enheter eller på et delsett ved å angi enhetskodene, og velg deretter Lagre

Obs!

Standard oppdagelse bruker ulike PowerShell-skript til aktivt å undersøke enheter i nettverket. Disse PowerShell-skriptene er Microsoft-signert og kjøres fra følgende plassering: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. For eksempel C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Utelat enheter fra å bli aktivt undersøkt i standardoppdagelse

Hvis det finnes enheter på nettverket som ikke skal skannes aktivt (for eksempel enheter som brukes som honningpotter for et annet sikkerhetsverktøy), kan du også definere en liste over utelatelser for å hindre at de skannes. Enheter kan fremdeles oppdages ved hjelp av grunnleggende søkemodus og kan også oppdages gjennom multikastingsforsøk. Disse enhetene er passivt oppdaget, men vil ikke bli aktivt undersøkt.

Du kan konfigurere enhetene slik at de utelates på utelatelsessiden .

Velg nettverk som skal overvåkes

Microsoft Defender for endepunkt analyserer et nettverk og fastslår om det er et bedriftsnettverk som må overvåkes eller et nettverk som ikke kan ignoreres. For å identifisere et nettverk som firma korrelerer vi nettverksidentifikatorer på tvers av alle leierklienter, og hvis de fleste enhetene i organisasjonen rapporterer at de er koblet til samme nettverksnavn, med samme standard gateway- og DHCP-serveradresse, antar vi at dette er et bedriftsnettverk. Firmanettverk velges vanligvis for å overvåkes. Du kan imidlertid overstyre denne beslutningen ved å velge å overvåke nettverk som ikke kan innlemmes, der det finnes innebygde enheter.

Du kan konfigurere hvor enhetssøk kan utføres ved å angi hvilke nettverk som skal overvåkes. Når et nettverk overvåkes, kan enhetsoppdagelse utføres på det.

En liste over nettverk der enhetssøk kan utføres, vises på siden Overvåkte nettverk .

Obs!

Listen viser nettverk som ble identifisert som firmanettverk. Hvis færre enn 50 nettverk identifiseres som bedriftsnettverk, viser listen opptil 50 nettverk med de mest innebygde enhetene.

Listen over overvåkede nettverk sorteres basert på det totale antallet enheter som er sett på nettverket de siste sju dagene.

Du kan bruke et filter for å vise hvilken som helst av følgende tilstander for nettverkssøk:

• Overvåkede nettverk – nettverk der enhetsgjenkjenning utføres.
• Ignorerte nettverk – dette nettverket ignoreres, og enhetsgjenkjenning utføres ikke på det.
• Alle – Både overvåkede og ignorerte nettverk vises.

Konfigurer statusen for nettverksovervåking

Du kontrollerer hvor enhetsoppdagelse finner sted. Overvåkede nettverk er der enhetsoppdagelse utføres og er vanligvis bedriftsnettverk. Du kan også velge å ignorere nettverk eller velge den første søkeklassifiseringen etter å ha endret en tilstand.

Hvis du velger den første oppdagelsesklassifiseringen, må du bruke standard systembasert nettverksovervåkingstilstand. Hvis du velger standard systembasert nettverksovervåkingstilstand, ignoreres nettverk som ble identifisert som firma, overvåkes, og de som identifiseres som ikke-skorpione, ignoreres automatisk.

1. Velg Enhetsoppdagelse for innstillinger>.

2. Velg Overvåkede nettverk.

3. Vis listen over nettverk.

4. Velg de tre prikkene ved siden av nettverksnavnet.

5. Velg om du vil overvåke, ignorere eller bruke den første oppdagelsesklassifiseringen.

   Advarsel

   • Hvis du velger å overvåke et nettverk som ikke ble identifisert av Microsoft Defender for endepunkt som et bedriftsnettverk, kan det føre til enhetsoppdagelse utenfor bedriftens nettverk, og kan derfor oppdage hjemmebruk eller andre enheter som ikke er skorpionert.
   • Hvis du velger å ignorere et nettverk, slutter du å overvåke og oppdage enheter i nettverket. Enheter som allerede er oppdaget, blir ikke fjernet fra beholdningen, men de oppdateres ikke lenger, og detaljene beholdes frem til dataoppbevaringsperioden for Defender for Endpoint utløper.
   • Før du velger å overvåke nettverk som ikke er bedriftsnettverk, må du sørge for at du har tillatelse til å gjøre det.
     

6. Bekreft at du vil gjøre endringen.

Utforsk enheter i nettverket

Du kan bruke følgende avanserte jaktspørring for å få mer kontekst om hvert nettverksnavn som er beskrevet i nettverkslisten. Spørringen viser alle de innebygde enhetene som var koblet til et bestemt nettverk i løpet av de siste sju dagene.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Få informasjon på enheten

Du kan bruke følgende avanserte jaktspørring for å få den nyeste fullstendige informasjonen på en bestemt enhet.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Se også

• Oversikt over enhetsoppdagelse
• Vanlige spørsmål om enhetsoppdagelse

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.