共用方式為

在適用於端點的 Defender 中設定裝置探索

  • 適用於: Microsoft Defender for Endpoint Plan 2

裝置探索可以設定為標準或基本模式。 使用標準選項主動尋找網路中的裝置,這有助於改善端點的探索並提供更豐富的裝置分類。

您可以自訂用來執行標準探索的裝置清單。 您可以在所有也支援此功能的已上線裝置上啟用標準探索,也可以指定裝置標籤來選取裝置子集。

必要條件

支援的作業系統

  • Windows 10 和更新版本
  • Windows Server 2019 和更新版本。

設定裝置探索

若要設定裝置探索,請在 Microsoft Defender 入口網站中採取下列設定步驟:

導覽至「設定」>「裝置探索

  1. 如果您想要將基本設定為要在上線裝置上使用的探索模式,請選取 [基本],然後選取 [儲存]。

  2. 如果您已選取使用 Standard 探索,請選取要用於作用中探查的裝置:所有裝置或指定其裝置標籤的子集,然後選取 [儲存]

注意事項

標準探索使用各種 PowerShell 指令碼來主動探查網路中的裝置。 這些 PowerShell 腳本是 Microsoft 簽署的,並從下列位置執行: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps。 例如,C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1

排除裝置,使其不在標準探索中被主動探查

如果您的網路上有不應主動掃描的裝置,例如 (用作其他安全工具) 蜜罐的裝置,您也可以定義排除清單以防止它們被掃描。 仍然可以使用基本探索模式探索裝置,也可以透過多點傳送探索嘗試來探索。 這些裝置會被動探索,但不會主動探測。

您可以在 排除頁面 中設定要排除的裝置。

選取要監視的網路

適用於端點的 Microsoft Defender 會分析網路,並判斷它是需要監視的公司網路,還是可以忽略的非公司網路。 為了將網路識別為公司,我們會在所有租用戶的用戶端之間相互關聯網路識別碼,如果組織中的大部分裝置報告它們連線到相同的網路名稱,並具有相同的預設閘道和 DHCP 伺服器位址,我們會假設這是公司網路。 通常會選擇對公司網路進行監視。 不過,您可以選擇監視找到已上線裝置的非公司網路,以覆寫此決定。

您可以指定要監視的網路,以設定可以執行裝置探索的位置。 監視網路時,可以在其上執行裝置探索。

可執行裝置探索的網路清單顯示在 [監視的網路] 頁中。

注意事項

清單顯示了已識別為公司網路的網路。 如果識別為公司網路的網路少於 50 個,則清單最多會顯示 50 個網路,其上線裝置最多。

監視的網路清單依過去七天內網路上看到的裝置總數進行排序。

您可以套用篩選器來檢視下列任何網路探索狀態:

  • 受監控的網路 - 執行裝置探索的網路。
  • 忽略的網路 - 會忽略此網路,而且不會在其上執行裝置探索。
  • 全部 - 顯示受監控和忽略的網路。

設定網路監視器狀態

您可以控制裝置探索的發生位置。 受監控的網路是執行裝置探索的地方,通常是公司網路。 您還可以選擇忽略網路或在修改狀態後選取初始探索分類。

選擇初始探索分類表示套用預設系統製作的網路監視器狀態。 選取預設的系統製作網路監視器狀態表示會自動忽略識別為公司、受監視的網路,以及識別為非公司的網路。

  1. 選取 [ 設定] > [裝置探索]。

  2. 選取 [受監視的網路]。

  3. 檢視網路清單。

  4. 選取網路名稱旁邊的三個點。

  5. 選擇是要監視、忽略還是使用初始探索分類。

    警告

    • 選擇監視未由適用於端點的 適用於端點的 Microsoft Defender 識別為公司網路的網路,可能會導致公司網路外部的裝置探索,因此可以偵測家用或其他非公司裝置。
    • 選擇忽略網路會停止監視和探索該網路中的裝置。 已探索到的裝置不會從清查中移除,但不再更新,而且詳細數據會保留,直到適用於端點的 Defender 的資料保留期間到期為止。
    • 在選擇監視非公司網路之前,您必須確保您有這麽做的權限。

  6. 確認您要進行變更。

探索網路中的裝置

您可以使用下列進階搜捕查詢,以取得網路清單中所述之每個網路名稱的更多內容。 査詢列出了過去七天內連線至特定網路的所有已上線裝置。

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

取得裝置資訊

您可以使用下列進階搜捕查詢來取得特定裝置上的最新完整資訊。

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

另請參閱

提示

想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區

  • Last updated on