Konfigurera enhetsidentifiering
Gäller för:
Identifiering kan konfigureras att ske i standard- eller standardläge. Använd standardalternativet för att aktivt hitta enheter i nätverket, vilket bättre garanterar att slutpunkter upptäcks och ger bättre enhetsklassificering.
Du kan anpassa listan med enheter som används för standardidentifiering. Du kan antingen aktivera standardidentifiering för alla enheter som har stöd för den här funktionen (för närvarande - Windows 10 eller senare och Windows Server 2019 eller senare enheter) eller välja en delmängd eller delmängder av dina enheter genom att ange deras enhetstaggar.
Konfigurera enhetsidentifiering
Konfigurera enhetsidentifiering genom att följa konfigurationsstegen i Microsoft 365 Defender portalen:
Navigera till Inställningar > enhetsidentifiering
- Om du vill konfigurera Basic som det identifieringsläge som ska användas på dina onboarded-enheter väljer du Basic och sedan Spara
- Om du har valt att använda standardidentifiering väljer du vilka enheter som ska användas för aktiv sannolikhet: alla enheter eller en delmängd genom att ange deras enhetstaggar och sedan välja Spara
Anteckning
Standardidentifiering använder olika PowerShell-skript för att aktivt söka enheter i nätverket. Dessa PowerShell-skript är Microsoft signerade och körs från följande plats: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps . Till exempel C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.
Undanta enheter från aktivt sök efter standardidentifiering
Om det finns enheter i nätverket som inte ska genomsökas aktivt (till exempel enheter som används som honeybins för ett annat säkerhetsverktyg) kan du också ange en lista med undantag för att förhindra att de genomsöks. Observera att enheter fortfarande kan upptäckas med hjälp av Grundläggande identifieringsläge och kan också upptäckas genom multicast-identifieringsförsök. Dessa enheter kommer att upptäckas passivt men kommer inte att sökas aktivt.
Du kan konfigurera enheterna så att de exkluderas på sidan Undantag.
Välja nätverk att övervaka
Microsoft Defender för Slutpunkt analyserar ett nätverk och fastställer om det är ett företagsnätverk som behöver övervakas eller ett icke-företagsnätverk som kan ignoreras. Företagsnätverk övervakas vanligtvis. Du kan dock åsidosätta det här beslutet genom att välja att övervaka icke-företagsnätverk där enheter med registrering finns.
Du kan konfigurera var enhetsidentifiering kan utföras genom att ange vilka nätverk som ska övervakas. När ett nätverk övervakas kan enhetsidentifieringen utföras på det.
En lista över nätverk där enhetsidentifiering kan utföras visas på sidan Övervakade nätverk.
Anteckning
Listan visar nätverk som har identifierats som företagsnätverk. Om mindre än 50 nätverk identifieras som företagsnätverk visas upp till 50 nätverk med de mest onboarded-enheterna i listan.
Listan över övervakade nätverk sorteras baserat på det totala antalet enheter som har setts på nätverket under de senaste 7 dagarna.
Du kan använda ett filter för att visa följande nätverksidentifierings tillstånd:
- Övervakade nätverk – nätverk där enhetsidentifieringen utförs.
- Ignorerade nätverk – Det här nätverket ignoreras och enhetsidentifieringen utförs inte på det.
- Alla – Både övervakade och ignorerade nätverk visas.
Konfigurera nätverksövervakningstillståndet
Du styr var enhetsidentifiering sker. Övervakade nätverk är den plats där enhetsidentifiering utförs och vanligtvis är företagsnätverk. Du kan också välja att ignorera nätverk eller välja den första identifieringsklassificeringsklassificeringen när du har modifierat ett tillstånd.
När du väljer den första identifieringsklassificeringen innebär det att standardsystemets nätverksövervakningstillstånd tillämpas. Om du väljer standardsystemövervakningstillståndet övervakas nätverk som har identifierats som företagsbaserade och sådana som identifieras som icke-företagsbaserade ignoreras automatiskt.
Välj Inställningar > enhetsidentifiering.
Välj Övervakade nätverk.
Visa listan över nätverk.
Välj de tre punkterna bredvid nätverksnamnet.
Välj om du vill övervaka, ignorera eller använda den första identifieringsklassificeringsklassificeringen.
Varning
- Om du väljer att övervaka ett nätverk som inte identifierats av Microsoft Defender för Endpoint som ett företagsnätverk kan det orsaka enhetsidentifiering utanför företagsnätverket och kan därför identifiera hemenheter eller andra enheter som inte är företagsbaserade.
- Om du väljer att ignorera ett nätverk avbryts övervakning och identifiering av enheter i nätverket. Enheter som redan har identifierats tas inte bort från inventeringen men uppdateras inte längre, och informationen behålls tills Dess att Defender för slutpunktens datalagringsperiod upphör att gälla.
- Innan du väljer att övervaka nätverk utanför företaget måste du ha behörighet att göra det.
Bekräfta att du vill göra ändringen.
Utforska enheter i nätverket
Du kan använda följande avancerade fråga för sökning för att få mer kontext för varje nätverksnamn som beskrivs i listan över nätverk. I frågan visas alla onboarded-enheter som var anslutna till ett visst nätverk under de senaste 7 dagarna.
DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId
Få information om enheten
Du kan använda följande avancerade sökfråga för att få den senaste fullständiga informationen på en viss enhet.
DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId