配置设备发现
适用于:
可将发现配置为使用标准模式或基本模式。 使用标准选项在网络中主动查找设备,这将更好地保证终结点的发现并提供更丰富的设备分类。
可以自定义用于执行标准发现的设备列表。 可以在同时支持此功能的所有载入设备上启用标准发现 (当前 - Windows 10 或更高版本和 Windows Server 2019 或更高版本的设备仅) 或通过指定设备标记来选择设备的子集或子集。
设置设备发现
若要设置设备发现,请在 Microsoft Defender 门户中执行以下配置步骤:
导航到“设置”“设备发现”>
- 如果要将“基本”配置为在载入的设备上使用的发现模式,请选择“ 基本 ”,然后选择“ 保存”
- 如果已选择使用标准发现,请通过指定设备标记来选择要用于活动探测的设备:所有设备或子集上的设备,然后选择“ 保存”
注意
标准发现使用各种 PowerShell 脚本来主动探测网络中的设备。 这些 PowerShell 脚本Microsoft签名,并从以下位置执行: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
。 例如,C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
。
排除在标准发现中主动探测的设备
如果网络上有些设备不应主动扫描 (例如,用作另一个安全工具) 的蜜罐的设备,则还可以定义排除项列表以防止扫描它们。 请注意,仍然可以使用基本发现模式发现设备,也可以通过多播发现尝试发现设备。 系统会被动发现这些设备,但不会主动探测它们。
可以在 “排除 项”页中配置要排除的设备。
选择要监视的网络
Microsoft Defender for Endpoint 分析网络,并确定它是需要监视的公司网络还是可以忽略的非企业网络。 为了将网络标识为企业网络,我们会关联所有租户客户端的网络标识符,如果组织中的大多数设备报告它们连接到同一网络名称,并且具有相同的默认网关和 DHCP 服务器地址,则假定这是一个企业网络。 通常会选择监视公司网络。 但是,你可以通过选择监视在其中找到已载入设备的非公司网络来覆盖此决策。
可以通过指定要监视的网络来配置可以执行设备发现的位置。 当网络受监视时,可以对其执行设备发现。
“受监视的网络”页面中显示了可执行设备发现的网络列表。
注意
该列表显示被标识为公司网络的网络。 如果不到 50 个网络被标识为公司网络,则列表将最多显示包含最多已载入设备的 50 个网络。
受监视的网络列表根据过去七天内在网络上看到的设备总数进行排序。
可以应用筛选器来查看以下任何网络发现状态:
- 受监视的网络 - 执行设备发现的网络。
- 忽略的网络 - 忽略此网络,并且不会对它执行设备发现。
- 全部 - 显示受监视和忽略的网络。
配置网络监视器状态
你可以控制设备发现发生的位置。 受监视的网络是执行设备发现的位置,通常是公司网络。 你还可以选择忽略网络,或在修改状态后选择初始发现分类。
选择初始发现分类意味着应用系统创建的默认网络监视器状态。 选择系统创建的默认网络监视器状态意味着自动忽略标识为公司网络、受监视的网络和标识为非公司网络的网络。
选择 “设置” > “设备发现”。
选择“ 监视的网络”。
查看网络列表。
选择网络名称旁边的三个点。
选择是要监视、忽略还是使用初始发现分类。
警告
- 选择监视Microsoft Defender for Endpoint 未标识为企业网络的网络可能会导致设备在公司网络之外发现,因此可能会检测家庭设备或其他非公司设备。
- 选择忽略网络将停止监视和发现该网络中的设备。 已发现的设备不会从清单中删除,但将不再更新,详细信息将保留到 Defender for Endpoint 的数据保留期到期。
- 在选择监视非公司网络之前,必须确保你有权执行此操作。
确认要进行更改。
探索网络中的设备
可以使用以下高级搜寻查询获取有关网络列表中描述的每个网络名称的更多上下文。 该查询会列出过去七天内连接到特定网络的所有已载入设备。
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
获取设备相关信息
可以使用以下高级搜寻查询来获取特定设备的最新完整信息。
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
另请参阅
提示
想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区。