在 Defender for Endpoint 中配置设备发现

适用于:

可将设备发现配置为采用标准模式或基本模式。 使用标准选项在网络中主动查找设备,这有助于改进终结点的发现并提供更丰富的设备分类。

可以自定义用于执行标准发现的设备列表。 对于运行 Windows 10 及更高版本的设备,可以在当前也支持此功能的所有已载入设备上启用标准发现 (,或者Windows Server 2019 及更高版本) 。 或者,可以通过指定设备标记来选择设备的子集。

设置设备发现

若要设置设备发现,请在 Microsoft Defender 门户中执行以下配置步骤:

导航到“设置”“设备发现”>

  1. 如果要将“基本”配置为在载入的设备上使用的发现模式,请选择“ 基本 ”,然后选择“ 保存”。

  2. 如果选择使用Standard发现,请通过指定设备标记来选择要用于活动探测的设备:所有设备或子集上的设备,然后选择“保存”

注意

标准发现使用各种 PowerShell 脚本来主动探测网络中的设备。 这些 PowerShell 脚本Microsoft签名,并从以下位置执行: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 例如,C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1

排除在标准发现中主动探测的设备

如果网络上有些设备不应主动扫描 (例如,用作另一个安全工具) 的蜜罐的设备,则还可以定义排除项列表以防止扫描它们。 仍然可以使用基本发现模式发现设备,也可以通过多播发现尝试发现设备。 这些设备是被动发现的,但不会主动探测。

可以在 “排除 项”页中配置要排除的设备。

选择要监视的网络

Microsoft Defender for Endpoint分析网络,并确定它是需要监视的公司网络还是可以忽略的非公司网络。 为了将网络标识为企业网络,我们会关联所有租户客户端的网络标识符,如果组织中的大多数设备报告它们连接到同一网络名称,并且具有相同的默认网关和 DHCP 服务器地址,则假定这是一个企业网络。 通常会选择监视公司网络。 但是,可以通过选择监视已载入设备所在的非公司网络来替代此决策。

可以通过指定要监视的网络来配置可以执行设备发现的位置。 当网络受监视时,可以对其执行设备发现。

受监视的网络”页面中显示了可执行设备发现的网络列表。

注意

该列表显示被标识为公司网络的网络。 如果标识为企业网络的网络少于 50 个,则列表最多会显示 50 个网络,其中载入的设备最多。

受监视的网络列表根据过去七天内在网络上看到的设备总数进行排序。

可以应用筛选器来查看以下任何网络发现状态:

  • 受监视的网络 - 执行设备发现的网络。
  • 忽略的网络 - 忽略此网络,并且不会对它执行设备发现。
  • 全部 - 显示受监视和忽略的网络。

配置网络监视器状态

你可以控制设备发现发生的位置。 受监视的网络是执行设备发现的位置,通常是公司网络。 你还可以选择忽略网络,或在修改状态后选择初始发现分类。

选择初始发现分类意味着应用系统创建的默认网络监视器状态。 选择默认的系统制造网络监视器状态意味着会自动忽略标识为公司网络、受监视的网络以及标识为非公司的网络。

  1. 选择 “设置” > “设备发现”。

  2. 选择“ 监视的网络”。

  3. 查看网络列表。

  4. 选择网络名称旁边的三个点。

  5. 选择是要监视、忽略还是使用初始发现分类。

    警告

    • 选择监视未由Microsoft Defender for Endpoint标识为公司网络的网络可能会导致设备在公司网络外部发现,因此可以检测家庭设备或其他非公司设备。
    • 选择忽略某个网络会停止监视和发现该网络中的设备。 已发现的设备不会从清单中删除,但不再更新,详细信息将保留到 Defender for Endpoint 的数据保留期到期。
    • 在选择监视非公司网络之前,必须确保你有权执行此操作。
  6. 确认要进行更改。

探索网络中的设备

可以使用以下高级搜寻查询获取有关网络列表中描述的每个网络名称的更多上下文。 该查询会列出过去七天内连接到特定网络的所有已载入设备。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

获取设备相关信息

可以使用以下高级搜寻查询来获取特定设备的最新完整信息。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

另请参阅

提示

想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区