在適用於端點的Defender中設定裝置探索
適用於:
裝置探索可以設定為標準或基本模式。 使用標準選項主動尋找您網路中的裝置,這有助於改善端點的探索,並提供更豐富的裝置分類。
您可以自定義用來執行標準探索的裝置清單。 您可以在目前針對執行 Windows 10 和更新版本之裝置支援此功能 (的所有已上線裝置上啟用標準探索,或在 2019 Windows Server 及更新版本) 。 或者,您可以藉由指定裝置捲標來選取裝置的子集。
設定裝置探索
若要設定裝置探索,請在 Microsoft Defender 入口網站中採取下列設定步驟:
流覽至 [設定>裝置探索]
如果您想要將 [基本] 設定為要在上線裝置上使用的探索模式,請選取 [ 基本 ],然後選取 [ 儲存]。
如果您已選取要使用 Standard 探索,請選取要用於主動探查的裝置:所有裝置或子集上指定其裝置標籤,然後選取 [儲存]
注意事項
標準探索使用各種 PowerShell 指令碼來主動探查網路中的裝置。 這些 PowerShell 腳本會Microsoft簽署,並從下列位置執行: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps
。 例如,C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1
。
排除裝置,使其不在標準探索中被主動探查
如果您的網路上有不應主動掃描的裝置 (例如,作為另一個安全性工具) 之 Honeypots 的裝置,您也可以定義排除清單,以防止掃描它們。 您仍然可以使用基本探索模式來探索裝置,也可以透過多播探索嘗試來探索裝置。 這些裝置會被動探索,但不會主動探查。
您可以在 [排除] 頁面中設定要排除 的 裝置。
選取要監視的網路
適用於端點的 Microsoft Defender 分析網路,並判斷它是需要監視的公司網路,還是可忽略的非公司網路。 若要將網路識別為公司,我們會將所有租使用者用戶端的網路標識碼相互關聯,如果組織中的大部分裝置都回報它們已連線到相同的網路名稱,且具有相同的默認網關和 DHCP 伺服器地址,我們假設這是公司網路。 通常會選擇對公司網路進行監視。 不過,您可以選擇監視找到已上線裝置的非公司網路,以覆寫此決策。
您可以藉由指定要監視的網路,來設定裝置探索的執行位置。 監視網路時,可以在其上執行裝置探索。
可執行裝置探索的網路清單顯示在 [監視的網路] 頁中。
注意事項
清單顯示了已識別為公司網路的網路。 如果將少於 50 個網路識別為公司網路,則清單會顯示最多 50 個具有最多上線裝置的網路。
監視的網路清單依過去七天內網路上看到的裝置總數進行排序。
您可以套用篩選來檢視下列任何網路探索狀態:
- 受監視的網路 - 執行裝置探索的網路。
- 忽略的網路 - 系統會忽略此網路,而且不會對其執行裝置探索。
- 全部 - 會顯示受監視和忽略的網路。
設定網路監視器狀態
您可以控制裝置探索的發生位置。 受監視的網路是執行裝置探索的位置,通常是公司網路。 您還可以選擇忽略網路或在修改狀態後選取初始探索分類。
選擇初始探索分類表示套用預設的系統建立網路監視器狀態。 選取預設系統建立的網路監視器狀態,表示已識別為公司、受監視的網路,以及識別為非公司網路的網路會自動被忽略。
選 取 > [設定裝置探索]。
選 取 [受監視的網络]。
檢視網路清單。
選取網路名稱旁邊的三個點。
選擇是要監視、忽略還是使用初始探索分類。
警告
- 選擇監視未由 適用於端點的 Microsoft Defender 識別為公司網路的網路,可能會導致公司網路外部的裝置探索,因此可以偵測住家或其他非公司裝置。
- 選擇忽略網路會停止監視和探索該網路中的裝置。 已探索到的裝置將不會從清查中移除,但不會再更新,而且詳細數據會保留,直到適用於端點的 Defender 的數據保留期間到期為止。
- 在選擇監視非公司網路之前,您必須確保您有這麽做的權限。
確認您要進行變更。
探索網路中的裝置
您可以使用下列進階搜捕查詢,取得網路清單中所述每個網路名稱的詳細內容。 査詢列出了過去七天內連線至特定網路的所有已上線裝置。
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
取得裝置資訊
您可以使用下列進階搜捕查詢來取得特定裝置上的最新完整資訊。
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId
另請參閱
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。