在適用於端點的Defender中設定裝置探索

適用於：

• 適用於端點的 Microsoft Defender 方案 2
• Microsoft Defender XDR

裝置探索可以設定為標準或基本模式。 使用標準選項主動尋找您網路中的裝置，這有助於改善端點的探索，並提供更豐富的裝置分類。

您可以自定義用來執行標準探索的裝置清單。 您可以在目前針對執行 Windows 10 和更新版本之裝置支援此功能 (的所有已上線裝置上啟用標準探索，或在 2019 Windows Server 及更新版本) 。 或者，您可以藉由指定裝置捲標來選取裝置的子集。

設定裝置探索

若要設定裝置探索，請在 Microsoft Defender 入口網站中採取下列設定步驟：

流覽至 [設定>裝置探索]

1. 如果您想要將 [基本] 設定為要在上線裝置上使用的探索模式，請選取 [ 基本 ]，然後選取 [ 儲存]。

2. 如果您已選取要使用 Standard 探索，請選取要用於主動探查的裝置：所有裝置或子集上指定其裝置標籤，然後選取 [儲存]

注意事項

標準探索使用各種 PowerShell 指令碼來主動探查網路中的裝置。 這些 PowerShell 腳本會Microsoft簽署，並從下列位置執行： C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 例如，C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1。

排除裝置，使其不在標準探索中被主動探查

如果您的網路上有不應主動掃描的裝置 (例如，作為另一個安全性工具) 之 Honeypots 的裝置，您也可以定義排除清單，以防止掃描它們。 您仍然可以使用基本探索模式來探索裝置，也可以透過多播探索嘗試來探索裝置。 這些裝置會被動探索，但不會主動探查。

您可以在 [排除] 頁面中設定要排除 的 裝置。

選取要監視的網路

適用於端點的 Microsoft Defender 分析網路，並判斷它是需要監視的公司網路，還是可忽略的非公司網路。 若要將網路識別為公司，我們會將所有租使用者用戶端的網路標識碼相互關聯，如果組織中的大部分裝置都回報它們已連線到相同的網路名稱，且具有相同的默認網關和 DHCP 伺服器地址，我們假設這是公司網路。 通常會選擇對公司網路進行監視。 不過，您可以選擇監視找到已上線裝置的非公司網路，以覆寫此決策。

您可以藉由指定要監視的網路，來設定裝置探索的執行位置。 監視網路時，可以在其上執行裝置探索。

可執行裝置探索的網路清單顯示在 [監視的網路] 頁中。

注意事項

清單顯示了已識別為公司網路的網路。 如果將少於 50 個網路識別為公司網路，則清單會顯示最多 50 個具有最多上線裝置的網路。

監視的網路清單依過去七天內網路上看到的裝置總數進行排序。

您可以套用篩選來檢視下列任何網路探索狀態：

• 受監視的網路 - 執行裝置探索的網路。
• 忽略的網路 - 系統會忽略此網路，而且不會對其執行裝置探索。
• 全部 - 會顯示受監視和忽略的網路。

設定網路監視器狀態

您可以控制裝置探索的發生位置。 受監視的網路是執行裝置探索的位置，通常是公司網路。 您還可以選擇忽略網路或在修改狀態後選取初始探索分類。

選擇初始探索分類表示套用預設的系統建立網路監視器狀態。 選取預設系統建立的網路監視器狀態，表示已識別為公司、受監視的網路，以及識別為非公司網路的網路會自動被忽略。

1. 選 取 > [設定裝置探索]。

2. 選 取 [受監視的網络]。

3. 檢視網路清單。

4. 選取網路名稱旁邊的三個點。

5. 選擇是要監視、忽略還是使用初始探索分類。

   警告

   • 選擇監視未由 適用於端點的 Microsoft Defender 識別為公司網路的網路，可能會導致公司網路外部的裝置探索，因此可以偵測住家或其他非公司裝置。
   • 選擇忽略網路會停止監視和探索該網路中的裝置。 已探索到的裝置將不會從清查中移除，但不會再更新，而且詳細數據會保留，直到適用於端點的 Defender 的數據保留期間到期為止。
   • 在選擇監視非公司網路之前，您必須確保您有這麽做的權限。
     

6. 確認您要進行變更。

探索網路中的裝置

您可以使用下列進階搜捕查詢，取得網路清單中所述每個網路名稱的詳細內容。 査詢列出了過去七天內連線至特定網路的所有已上線裝置。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

取得裝置資訊

您可以使用下列進階搜捕查詢來取得特定裝置上的最新完整資訊。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

另請參閱

• 裝置探索概觀
• 裝置探索常見問題

提示

想要深入了解? Engage 技術社群中的Microsoft安全性社群：適用於端點的 Microsoft Defender 技術社群。