Konfigurera enhetsidentifiering i Defender för Endpoint

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Enhetsidentifiering kan konfigureras att vara i standard- eller grundläggande läge. Använd standardalternativet för att aktivt hitta enheter i nätverket, vilket förbättrar identifieringen av slutpunkter och ger bättre enhetsklassificering.

Du kan anpassa listan över enheter som används för att utföra standardidentifiering. Du kan antingen aktivera standardidentifiering på alla registrerade enheter som också stöder den här funktionen (för närvarande för enheter som kör Windows 10 och senare eller Windows Server 2019 och senare). Eller så kan du välja en delmängd av enheter genom att ange deras enhetstaggar.

Konfigurera enhetsidentifiering

Konfigurera enhetsidentifiering genom att utföra följande konfigurationssteg i Microsoft Defender-portalen:

Gå till Inställningar>Enhetsidentifiering

1. Om du vill konfigurera Basic som identifieringsläge att använda på dina registrerade enheter väljer du Basic och sedan Spara.

2. Om du har valt att använda standardidentifiering väljer du vilka enheter som ska användas för aktiv avsökning: alla enheter eller i en delmängd genom att ange deras enhetstaggar och välj sedan Spara

Obs!

Standardidentifiering använder olika PowerShell-skript för att aktivt avsöka enheter i nätverket. Dessa PowerShell-skript är Microsoft-signerade och körs från följande plats: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Till exempel C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Undanta enheter från att aktivt avsökas i standardidentifiering

Om det finns enheter i nätverket som inte ska genomsökas aktivt (till exempel enheter som används som honeypots för ett annat säkerhetsverktyg) kan du också definiera en lista över undantag som förhindrar att de genomsöks. Enheter kan fortfarande identifieras med grundläggande identifieringsläge och kan också identifieras via multicast-identifieringsförsök. Dessa enheter identifieras passivt men avsöks inte aktivt.

Du kan konfigurera enheterna som ska undantas på sidan Undantag.

Välj nätverk att övervaka

Microsoft Defender för Endpoint analyserar ett nätverk och avgör om det är ett företagsnätverk som måste övervakas eller ett icke-företagsnätverk som kan ignoreras. För att identifiera ett nätverk som företag korrelerar vi nätverksidentifierare över alla klientorganisationens klienter och om de flesta enheter i organisationen rapporterar att de är anslutna till samma nätverksnamn, med samma standardgateway och DHCP-serveradress, antar vi att detta är ett företagsnätverk. Företagsnätverk väljs vanligtvis att övervakas. Du kan dock åsidosätta det här beslutet genom att välja att övervaka icke-företagsnätverk där registrerade enheter hittas.

Du kan konfigurera var enhetsidentifiering kan utföras genom att ange vilka nätverk som ska övervakas. När ett nätverk övervakas kan enhetsidentifiering utföras på det.

En lista över nätverk där enhetsidentifiering kan utföras visas på sidan Övervakade nätverk .

Obs!

Listan visar nätverk som har identifierats som företagsnätverk. Om färre än 50 nätverk identifieras som företagsnätverk visas upp till 50 nätverk med de mest registrerade enheterna.

Listan över övervakade nätverk sorteras baserat på det totala antalet enheter som setts i nätverket under de senaste sju dagarna.

Du kan använda ett filter för att visa något av följande nätverksidentifieringstillstånd:

• Övervakade nätverk – Nätverk där enhetsidentifiering utförs.
• Ignorerade nätverk – Det här nätverket ignoreras och enhetsidentifieringen utförs inte på det.
• Alla – Både övervakade och ignorerade nätverk visas.

Konfigurera nätverksövervakarens tillstånd

Du styr var enhetsidentifieringen sker. Övervakade nätverk är där enhetsidentifiering utförs och vanligtvis är företagsnätverk. Du kan också välja att ignorera nätverk eller välja den första identifieringsklassificeringen när du har modifierat ett tillstånd.

Att välja den första identifieringsklassificeringen innebär att tillämpa standardtillståndet för systemtillverkade nätverksövervakare. Om du väljer standardtillståndet för systemtillverkad nätverksövervakare innebär det att nätverk som har identifierats som företagsägda övervakas och de som identifieras som icke-företagande ignoreras automatiskt.

1. Välj Inställningar > Enhetsidentifiering.

2. Välj Övervakade nätverk.

3. Visa listan över nätverk.

4. Välj de tre punkterna bredvid nätverksnamnet.

5. Välj om du vill övervaka, ignorera eller använda den första identifieringsklassificeringen.

   Varning

   • Att välja att övervaka ett nätverk som inte har identifierats av Microsoft Defender för Endpoint som ett företagsnätverk kan orsaka enhetsidentifiering utanför företagets nätverk och kan därför identifiera hemenheter eller andra icke-företagsenheter.
   • Om du väljer att ignorera ett nätverk stoppas övervakning och identifiering av enheter i nätverket. Enheter som redan har identifierats tas inte bort från lagret, men uppdateras inte längre, och informationen behålls tills datakvarhållningsperioden för Defender för Endpoint upphör att gälla.
   • Innan du väljer att övervaka icke-företagsnätverk måste du se till att du har behörighet att göra det.
     

6. Bekräfta att du vill göra ändringen.

Utforska enheter i nätverket

Du kan använda följande avancerade jaktfråga för att få mer kontext om varje nätverksnamn som beskrivs i listan över nätverk. Frågan visar en lista över alla registrerade enheter som varit anslutna till ett visst nätverk under de senaste sju dagarna.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Hämta information på enheten

Du kan använda följande avancerade jaktfråga för att få den senaste fullständiga informationen på en specifik enhet.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Se även

• Översikt över enhetsidentifiering
• Vanliga frågor och svar om enhetsidentifiering

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.