Konfigurieren der Geräteermittlung

  • Artikel

Gilt für:

Die Ermittlung kann so konfiguriert werden, dass sie sich im Standard- oder Basic-Modus befindet. Verwenden Sie die Standardoption, um Geräte in Ihrem Netzwerk aktiv zu finden, die die Ermittlung von Endpunkten und eine umfassendere Geräteklassifizierung ermöglichen.

Sie können die Liste der Geräte anpassen, die für die Standardermittlung verwendet werden. Sie können entweder die Standardermittlung auf allen integrierten Geräten aktivieren, die diese Funktion ebenfalls unterstützen (derzeit : Windows 10 oder höher und nur Windows Server 2019 oder höher), oder sie können eine Oder Teilmenge Ihrer Geräte auswählen, indem Sie deren Gerätetags angeben.

Einrichten der Geräteermittlung

Führen Sie zum Einrichten der Geräteermittlung die folgenden Konfigurationsschritte im Microsoft Defender-Portal aus:

Navigieren Sie zu Einstellungen>Geräteermittlung.

  1. Wenn Sie Basic als Ermittlungsmodus für Ihre integrierten Geräte konfigurieren möchten, wählen Sie Basic und dann Speichern aus.
  2. Wenn Sie die Standardermittlung ausgewählt haben, wählen Sie die Geräte aus, die für die aktive Überprüfung verwendet werden sollen: alle Geräte oder eine Teilmenge, indem Sie deren Gerätetags angeben, und wählen Sie dann Speichern aus.

Hinweis

Bei der Standardermittlung werden verschiedene PowerShell-Skripts verwendet, um Geräte im Netzwerk aktiv zu testen. Diese PowerShell-Skripts sind von Microsoft signiert und werden am folgenden Speicherort ausgeführt: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Beispiel: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Ausschließen, dass Geräte bei der Standarderkennung aktiv überprüft werden

Wenn es Geräte in Ihrem Netzwerk gibt, die nicht aktiv gescannt werden sollten (z. B. Geräte, die als Honeypots für ein anderes Sicherheitstool verwendet werden), können Sie auch eine Liste von Ausschlüssen definieren, um zu verhindern, dass sie gescannt werden. Beachten Sie, dass Geräte weiterhin im Standardermittlungsmodus und auch durch Multicastermittlungsversuche ermittelt werden können. Diese Geräte werden passiv erkannt, aber nicht aktiv untersucht.

Sie können die auszuschließenden Geräte auf der Seite Ausschlüsse konfigurieren.

Zu überwachende Netzwerke auswählen

Microsoft Defender für Endpunkt analysiert ein Netzwerk und ermittelt, ob es sich um ein Unternehmensnetzwerk handelt, das überwacht werden muss, oder ein Nicht-Unternehmensnetzwerk, das ignoriert werden kann. Um ein Netzwerk als Unternehmen zu identifizieren, korrelieren wir Netzwerkbezeichner für alle Mandantenclients. Wenn die meisten Geräte in der Organisation berichten, dass sie mit demselben Netzwerknamen verbunden sind, mit demselben Standardgateway und der gleichen DHCP-Serveradresse, gehen wir davon aus, dass es sich um ein Unternehmensnetzwerk handelt. Unternehmensnetzwerke werden in der Regel für die Überwachung ausgewählt. Sie können diese Entscheidung jedoch außer Kraft setzen, indem Sie auswählen, dass Nicht-Unternehmensnetzwerke überwacht werden, in denen integrierte Geräte gefunden werden.

Sie können konfigurieren, wo die Geräteermittlung ausgeführt werden kann, indem Sie angeben, welche Netzwerke überwacht werden sollen. Wenn ein Netzwerk überwacht wird, kann die Geräteerkennung für das Netzwerk ausgeführt werden.

Eine Liste der Netzwerke, in denen die Geräteerkennung durchgeführt werden kann, wird auf der Seite Überwachte Netzwerke angezeigt.

Hinweis

Die Liste zeigt Netzwerke an, die als Unternehmensnetzwerke identifiziert wurden. Wenn weniger als 50 Netzwerke als Unternehmensnetzwerke identifiziert werden, werden bis zu 50 Netzwerke mit den am häufigsten integrierten Geräten angezeigt.

Die Liste der überwachten Netzwerke wird basierend auf der Gesamtzahl der Geräte sortiert, die in den letzten sieben Tagen im Netzwerk angezeigt wurden.

Sie können einen Filter anwenden, um einen der folgenden Netzwerkermittlungszustände anzuzeigen:

  • Überwachte Netzwerke : Netzwerke, in denen die Geräteermittlung durchgeführt wird.
  • Ignorierte Netzwerke : Dieses Netzwerk wird ignoriert, und die Geräteermittlung wird nicht durchgeführt.
  • Alle : Sowohl überwachte als auch ignorierte Netzwerke werden angezeigt.

Netzwerkmonitorstatus konfigurieren

Sie steuern, wo die Geräteermittlung stattfindet. In überwachten Netzwerken wird die Geräteermittlung durchgeführt, und in der Regel handelt es sich um Unternehmensnetzwerke. Sie können Netzwerke auch ignorieren oder die anfängliche Erkennungsklassifizierung auswählen, nachdem Sie einen Zustand geändert haben.

Die Auswahl der anfänglichen Ermittlungsklassifizierung bedeutet, dass der standardmäßige Systemmonitorstatus angewendet wird. Die Auswahl des standardmäßigen Systemzustands für den Netzwerkmonitor bedeutet, dass Netzwerke, die als Unternehmensnetzwerke identifiziert wurden, überwacht und als nicht unternehmenseigene Netzwerke identifiziert wurden, automatisch ignoriert werden.

  1. Wählen Sie Einstellungen > Geräteermittlung aus.

  2. Wählen Sie Überwachte Netzwerke aus.

  3. Zeigen Sie die Liste der Netzwerke an.

  4. Wählen Sie die drei Punkte neben dem Netzwerknamen aus.

  5. Wählen Sie aus, ob Sie die anfängliche Erkennungsklassifizierung überwachen, ignorieren oder verwenden möchten.

    Warnung

    • Wenn Sie ein Netzwerk überwachen, das von Microsoft Defender für Endpunkt nicht als Unternehmensnetzwerk identifiziert wurde, kann die Geräteermittlung außerhalb Ihres Unternehmensnetzwerks verursachen und daher heimeigen oder andere nicht unternehmenseigene Geräte erkennen.
    • Wenn Sie ein Netzwerk ignorieren, wird die Überwachung und Erkennung von Geräten in diesem Netzwerk beendet. Geräte, die bereits ermittelt wurden, werden nicht aus dem Bestand entfernt, sondern nicht mehr aktualisiert, und Details werden beibehalten, bis die Datenaufbewahrungsdauer von Defender für Endpunkt abläuft.
    • Bevor Sie sich für die Überwachung von Nicht-Unternehmensnetzwerken entscheiden, müssen Sie sicherstellen, dass Sie dazu berechtigt sind.

  6. Vergewissern Sie sich, dass Sie die Änderung vornehmen möchten.

Durchsuchen von Geräten im Netzwerk

Sie können die folgende erweiterte Huntingabfrage verwenden, um mehr Kontext zu den einzelnen Netzwerknamen abzurufen, die in der Netzwerkliste beschrieben werden. Die Abfrage listet alle integrierten Geräte auf, die innerhalb der letzten sieben Tage mit einem bestimmten Netzwerk verbunden waren.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Abrufen von Informationen zum Gerät

Sie können die folgende erweiterte Huntingabfrage verwenden, um die neuesten vollständigen Informationen auf einem bestimmten Gerät abzurufen.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.