Настройка обнаружения устройств в Defender для конечной точки

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Обнаружение устройств можно настроить в стандартном или базовом режиме. Используйте стандартный параметр для активного поиска устройств в сети, что помогает улучшить обнаружение конечных точек и обеспечить более обширную классификацию устройств.

Вы можете настроить список устройств, которые используются для стандартного обнаружения. Вы можете включить стандартное обнаружение на всех подключенных устройствах, которые также поддерживают эту возможность (в настоящее время для устройств под управлением Windows 10 и более поздних версий или Windows Server 2019 и более поздних версий). Вы также можете выбрать подмножество устройств, указав их теги устройств.

Настройка обнаружения устройств

Чтобы настроить обнаружение устройств, выполните следующие действия по настройке на портале Microsoft Defender.

Перейдите в раздел Параметры>Обнаружение устройств.

1. Если вы хотите настроить базовый режим обнаружения для использования на подключенных устройствах, выберите Базовый , а затем нажмите кнопку Сохранить.

2. Если вы решили использовать обнаружение Standard, выберите устройства, которые следует использовать для активного зондирования: все устройства или в подмножестве, указав теги устройств, а затем нажмите кнопку Сохранить.

Примечание.

При стандартном обнаружении используются различные сценарии PowerShell для активного зондирования устройств в сети. Эти скрипты PowerShell подписаны корпорацией Майкрософт и выполняются из следующего расположения: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Например, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Исключение устройств из активного зондирования при стандартном обнаружении

Если в вашей сети есть устройства, которые не должны активно сканироваться (например, устройства, используемые в качестве медпопов для другого средства безопасности), вы также можете определить список исключений, чтобы предотвратить их проверку. Устройства по-прежнему можно обнаружить в режиме базового обнаружения, а также с помощью попыток многоадресной рассылки. Эти устройства обнаруживаются пассивно, но не будут активно проверяться.

Вы можете настроить исключение устройств на странице Исключения .

Выбор сетей для отслеживания

Microsoft Defender для конечной точки анализирует сеть и определяет, требуется ли мониторинг корпоративной сети или некорпоративная сеть, которую можно игнорировать. Чтобы определить сеть как корпоративную, мы сопоставляем сетевые идентификаторы для всех клиентов клиента, и если большинство устройств в организации сообщают о том, что они подключены к одному и тому же сетевому имени, с тем же шлюзом по умолчанию и адресом DHCP-сервера, мы предполагаем, что это корпоративная сеть. Для отслеживания обычно выбираются корпоративные сети. Однако это решение можно переопределить, выбрав мониторинг некорпоратных сетей, в которых находятся подключенные устройства.

Вы можете настроить, где можно выполнять обнаружение устройств, указав, какие сети следует отслеживать. Если сеть отслеживается, в ней может выполняться обнаружение устройств.

Список сетей, в которых можно выполнять обнаружение устройств, отображается на странице Отслеживаемые сети.

Примечание.

В этом списке показаны сети, которые были определены как корпоративные. Если менее 50 сетей определены как корпоративные сети, в списке отображается до 50 сетей с самыми подключенными устройствами.

Список отслеживаемых сетей сортируется на основе общего числа устройств, которые были видны в сети за последние семь дней.

Фильтр можно применить для просмотра любого из следующих состояний обнаружения сети:

• Отслеживаемые сети — сети, в которых выполняется обнаружение устройств.
• Игнорируемые сети . Эта сеть игнорируется и обнаружение устройств в ней не выполняется.
• Все — отображаются как отслеживаемые, так и игнорируемые сети.

Настройка состояния сетевого монитора

Вы управляете местом обнаружения устройств. Отслеживаемые сети — это сети, в которых выполняется обнаружение устройств, и обычно это корпоративные сети. Также можно игнорировать сети или выбрать начальную классификацию обнаружения после изменения состояния.

Выбор начальной классификации обнаружения означает применение состояния сетевого монитора по умолчанию. Выбор состояния системного монитора сети по умолчанию означает, что сети, которые были определены как корпоративные, отслеживаются, а те, которые определены как некорпоратные, автоматически игнорируются.

1. Выберите Параметры Обнаружение > устройств.

2. Выберите Отслеживаемые сети.

3. Просмотрите список сетей.

4. Щелкните три точки рядом с именем сети.

5. Выберите, следует ли отслеживать, игнорировать или использовать начальную классификацию обнаружения.

   Предупреждение

   • Выбор отслеживания сети, которая не была определена Microsoft Defender для конечной точки в качестве корпоративной сети, может привести к обнаружению устройств за пределами корпоративной сети и, следовательно, обнаружить домашние или другие некорпоративные устройства.
   • Если игнорировать сеть, мониторинг и обнаружение устройств в этой сети прекращается. Устройства, которые уже были обнаружены, не будут удалены из инвентаризации, но больше не обновляются, а сведения сохраняются до истечения срока хранения данных Defender для конечной точки.
   • Прежде чем отслеживать некорпоративные сети, убедитесь, что у вас есть на это разрешение.
     

6. Подтвердите, что вы хотите внести изменения.

Обзор устройств в сети

Для получения дополнительных сведений о каждом имени сети, описанного в списке сетей, можно использовать следующий расширенный запрос охоты. В запросе перечисляются все устройства, подключенные к определенной сети за последние семь дней.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Получение информации по устройству

Вы можете использовать следующий расширенный запрос охоты, чтобы получить последние полные сведения о конкретном устройстве.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

См. также

• Обзор обнаружения устройств
• Часто задаваемые вопросы об обнаружении устройств

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.