Como configurar a detecção de dispositivos

Aplica-se a:

A deteção pode ser configurada para estar no modo padrão ou básico. Utilize a opção padrão para localizar ativamente dispositivos na sua rede, o que irá garantir melhor a deteção de pontos finais e fornecer uma classificação de dispositivos mais avançada.

Pode personalizar a lista de dispositivos que são utilizados para realizar a deteção padrão. Pode ativar a deteção padrão em todos os dispositivos integrados que também suportam esta capacidade (atualmente – Apenas windows 10 ou posterior e Windows Server 2019 ou posterior) ou selecionar um subconjunto ou subconjunto dos seus dispositivos ao especificar as respetivas etiquetas de dispositivo.

Configurar a deteção de dispositivos

Para configurar a deteção de dispositivos, siga os seguintes passos de configuração no portal do Microsoft Defender:

Navegue para Definições Deteçãode dispositivos>

  1. Se quiser configurar o Básico como o modo de deteção a utilizar nos seus dispositivos integrados, selecione Básico e, em seguida, selecione Guardar
  2. Se tiver selecionado utilizar a deteção Standard, selecione os dispositivos a utilizar para pesquisa ativa: todos os dispositivos ou num subconjunto ao especificar as etiquetas de dispositivo e, em seguida, selecione Guardar

Observação

A detecção Padrão utiliza vários scripts do PowerShell para investigar os dispositivos da rede ativamente. Esses scripts do PowerShell são assinados pela Microsoft e são executados a partir da seguinte localização: C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\*.ps. Por exemplo, C:\ProgramData\Microsoft\Windows Defender Advanced Threat Protection\Downloads\UnicastScannerV1.1.0.ps1.

Exclusão de dispositivos da investigação ativa da detecção Padrão

Se existirem dispositivos na sua rede que não devem ser analisados ativamente (por exemplo, dispositivos utilizados como potes de mel para outra ferramenta de segurança), também pode definir uma lista de exclusões para impedir que sejam analisados. Tenha em atenção que os dispositivos ainda podem ser detetados através do modo de deteção Básico e também podem ser detetados através de tentativas de deteção multicast. Esses dispositivos serão detectados passivamente, mas não serão investigados ativamente.

Pode configurar os dispositivos a excluir na página Exclusões .

Seleção das redes a serem monitoradas

O Microsoft Defender para Endpoint analisa uma rede e determina se é uma rede empresarial que precisa de ser monitorizada ou uma rede não empresarial que pode ser ignorada. Para identificar uma rede como empresarial, correlacionamos os identificadores de rede em todos os clientes do inquilino e, se a maioria dos dispositivos na organização comunicar que estão ligados ao mesmo nome de rede, com o mesmo gateway predefinido e endereço de servidor DHCP, partimos do princípio de que se trata de uma rede empresarial. As redes corporativas costumam ser selecionadas para serem monitoradas. No entanto, você pode ignorar essa decisão optando por monitorar redes não corporativas sempre que dispositivos integrados forem encontrados.

Pode configurar onde a deteção de dispositivos pode ser efetuada ao especificar as redes a monitorizar. Quando uma rede é monitorada, a detecção de dispositivos pode ser executada.

Uma lista das redes nas quais a detecção de dispositivos pode ser executada é mostrada na página Redes monitoradas.

Observação

Essa lista mostra as redes que foram identificadas como redes corporativas. Se menos de 50 redes forem identificadas como redes corporativas, a lista mostrará até 50 redes contendo a maioria dos dispositivos integrados.

A lista de redes monitoradas é classificada com base no número total de dispositivos observados na rede nos últimos sete dias.

Pode aplicar um filtro para ver qualquer um dos seguintes estados de deteção de rede:

  • Redes monitorizadas – redes onde a deteção de dispositivos é efetuada.
  • Redes ignoradas – esta rede é ignorada e a deteção de dispositivos não é efetuada na mesma.
  • Tudo – as redes monitorizadas e ignoradas são apresentadas.

Configuração do estado do monitor de rede

Controla onde ocorre a deteção de dispositivos. As redes monitorizadas são onde a deteção de dispositivos é efetuada e são normalmente redes empresariais. Você também pode optar por ignorar redes ou selecionar a classificação de detecção inicial após modificar um estado.

Escolher a classificação de deteção inicial significa aplicar o estado predefinido do monitor de rede criado pelo sistema. Selecionar o estado predefinido do monitor de rede criado pelo sistema significa que as redes identificadas como empresariais, monitorizadas e identificadas como não empresariais são ignoradas automaticamente.

  1. Selecione Definições Deteção > de dispositivos.

  2. Selecione Redes monitorizadas.

  3. Confira a lista de redes.

  4. Selecione os três pontos junto ao nome da rede.

  5. Escolha se deseja monitorar, ignorar ou usar a classificação de detecção inicial.

    Aviso

    • Optar por monitorizar uma rede que não foi identificada pelo Microsoft Defender para Endpoint como uma rede empresarial pode causar a deteção de dispositivos fora da sua rede empresarial e, por conseguinte, pode detetar dispositivos domésticos ou outros dispositivos não empresariais.
    • Optar por ignorar uma rede interromperá o monitoramento e a detecção de dispositivos nessa rede. Os dispositivos que já foram detetados não serão removidos do inventário, mas deixarão de ser atualizados e os detalhes serão retidos até que o período de retenção de dados do Defender para Ponto Final expire.
    • Antes de optar por monitorar redes não corporativas, você deve se certificar de que tem permissão para fazê-lo.
  6. Confirme que você deseja fazer a alteração.

Como explorar os dispositivos na rede

Pode utilizar a seguinte consulta de investigação avançada para obter mais contexto sobre cada nome de rede descrito na lista de redes. A consulta lista todos os dispositivos integrados que foram conectados a uma determinada rede nos últimos sete dias.

DeviceNetworkInfo
| where Timestamp > ago(7d)
| where ConnectedNetworks  != ""
| extend ConnectedNetworksExp = parse_json(ConnectedNetworks)
| mv-expand bagexpansion = array ConnectedNetworks=ConnectedNetworksExp
| extend NetworkName = tostring(ConnectedNetworks ["Name"]), Description = tostring(ConnectedNetworks ["Description"]), NetworkCategory = tostring(ConnectedNetworks ["Category"])
| where NetworkName == "<your network name here>"
| summarize arg_max(Timestamp, *) by DeviceId

Como obter informações sobre o dispositivo

Pode utilizar a seguinte consulta avançada de investigação para obter as informações completas mais recentes num dispositivo específico.

DeviceInfo
| where DeviceName == "<device name here>" and isnotempty(OSPlatform)
| summarize arg_max(Timestamp, *) by DeviceId

Confira também

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.