Administration af netværksenhedsregistrering og sårbarhed
Gælder for:
- Microsoft Defender for Endpoint Plan 1 og Plan 2
- Håndtering af sikkerhedsrisici i Defender
- Microsoft Defender XDR
Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Bemærk!
Tech Community-bloggen: Vurderinger af netværksenhedsregistrering og sårbarheder (udgivet 04-13-2021) giver indsigt i de nye funktioner til registrering af netværksenheder i Defender for Endpoint. Denne artikel indeholder en oversigt over den udfordring, som Netværksenhedsregistrering er designet til at løse, og detaljerede oplysninger om, hvordan du kommer i gang med at bruge disse nye funktioner.
Funktionerne til netværksregistrering er tilgængelige i afsnittet Enhedsoversigt på portalen Microsoft Defender og Microsoft Defender XDR konsoller.
En angivet Microsoft Defender for Endpoint enhed bruges på hvert netværkssegment til at udføre periodiske godkendte scanninger af forudkonfigurerede netværksenheder. Når funktionaliteten til administration af sårbarheder er fundet i Defender for Endpoint, får du integrerede arbejdsprocesser, der sikrer fundne parametre, routere, WLAN-controllere, firewalls og VPN-gateways.
Når netværksenhederne er fundet og klassificeret, kan sikkerhedsadministratorer modtage de nyeste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici på netværksenheder, der er installeret på tværs af deres organisationer.
Nærme sig
Netværksenheder administreres ikke som standardslutpunkter, da Defender for Endpoint ikke har en sensor indbygget i selve netværksenhederne. Disse typer enheder kræver en agentløs tilgang, hvor en fjernscanning henter de nødvendige oplysninger fra enhederne. Afhængigt af netværkstopologien og -egenskaberne udfører en enkelt enhed eller nogle få enheder, der er onboardet til Microsoft Defender for Endpoint godkendte scanninger af netværksenheder ved hjælp af SNMP (skrivebeskyttet).
Bemærk!
Understøttelse af godkendte scanninger SNMPv2
og SNMPv3
.
Der er to typer enheder, du skal være opmærksom på:
- Scanningsenhed: En enhed, der allerede er onboardet, og som du bruger til at scanne netværksenhederne.
- Netværksenheder: De netværksenheder, du planlægger at scanne og onboarde.
Administration af sårbarheder for netværksenheder
Når netværksenhederne er fundet og klassificeret, kan sikkerhedsadministratorer modtage de nyeste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici på netværksenheder, der er installeret på tværs af deres organisationer.
Understøttede operativsystemer
Følgende operativsystemer understøttes i øjeblikket:
- Cisco IOS, IOS-XE, NX-OS
- Fortinet FortiOS
- Juniper JUNOS
- HPE Aruba Networking ArubaOS, AOS-CX
- HPE ArubaOS, software til forløbsskift
- Palo Alto Networks PAN-OS
Flere netværksleverandører og os vil blive tilføjet over tid baseret på data indsamlet fra kundeforbrug. Derfor opfordres du til at konfigurere alle dine netværksenheder, selvom de ikke er angivet på denne liste.
Sådan kommer du i gang
Dit første trin er at vælge en enhed, der udfører de godkendte netværksscanninger.
Beslut en onboardet Defender for Endpoint-enhed (klient eller server), der har en netværksforbindelse til administrationsporten for de netværksenheder, du planlægger at scanne på.
SNMP-trafik mellem Defender for Endpoint-scanningsenheden og de målrettede netværksenheder skal være tilladt (f.eks. af firewallen).
Beslut, hvilke netværksenheder der skal vurderes for sårbarheder (f.eks. en Cisco-switch eller en Palo Alto Networks-firewall).
Sørg for, at SNMP er skrivebeskyttet er aktiveret på alle konfigurerede netværksenheder for at tillade, at Defender for Endpoint-scanningsenheden forespørger de konfigurerede netværksenheder. 'SNMP-skrivning' er ikke nødvendig for at få denne funktion til at fungere korrekt.
Hent IP-adresserne på de netværksenheder, der skal scannes (eller de undernet, hvor disse enheder er installeret).
Hent SNMP-legitimationsoplysningerne for netværksenhederne (f.eks. Community String, noAuthNoPriv, authNoPriv, authPriv). Du skal angive legitimationsoplysningerne, når du konfigurerer et nyt scanningsjob.
Konfiguration af proxyklient: Der kræves ingen ekstra konfiguration ud over kravene til Defender for Endpoint-enhedsproxyen.
Hvis du vil tillade, at scanneren godkendes og fungerer korrekt, er det vigtigt, at du tilføjer følgende domæner/URL-adresser:
*.security.microsoft.com
login.microsoftonline.com
*.blob.core.windows.net/networkscannerstable/*
Bemærk!
Det er ikke alle URL-adresser, der er angivet på den dokumenterede Defender for Endpoint-liste over tilladt dataindsamling.
Tilladelser
Hvis du vil konfigurere scanningsjob, kræves følgende indstilling for brugertilladelser: Administrer sikkerhedsindstillinger i Defender. Du kan finde tilladelsen ved at gå tilIndstillingsroller>. Du kan få flere oplysninger under Opret og administrer roller for rollebaseret adgangskontrol.
Forudsætning for Windows-version for scanneren
Scanneren understøttes på Windows 10, version 1903 og Windows Server, version 1903 og nyere. Du kan få flere oplysninger under Windows 10, version 1903 og Windows Server, version 1903.
Bemærk!
Der er en grænse på 40 scannerinstallationer pr. lejer.
Installér scanneren
Gå tilSikkerhedsindstillinger for>Microsoft 365>Enhedsregistrering>Godkendte scanninger.
Download scanneren, og installér den på den angivne Defender for Endpoint-scanningsenhed.
& registrering af scannerinstallation
Logonprocessen kan fuldføres på selve den angivne scanningsenhed eller en hvilken som helst anden enhed (f.eks. din personlige klientenhed).
Bemærk!
Både den konto, som brugeren logger på med, og den enhed, der bruges til at fuldføre logonprocessen, skal være i den samme lejer, hvor enheden er onboardet til Microsoft Defender for Endpoint.
Sådan fuldfører du registreringsprocessen for scanneren:
Kopiér og følg den URL-adresse, der vises på kommandolinjen, og brug den angivne installationskode til at fuldføre registreringsprocessen.
Bemærk!
Du skal muligvis ændre indstillingerne for kommandoprompten for at kunne kopiere URL-adressen.
Angiv koden, og log på med en Microsoft-konto, der har tilladelsen Defender for Endpoint med navnet "Administrer sikkerhedsindstillinger i Defender".
Når du er færdig, får du vist en meddelelse, der bekræfter, at du er logget på.
Opdateringer til scanner
Scanneren har en planlagt opgave, der som standard er konfigureret til at søge efter opdateringer regelmæssigt. Når opgaven kører, sammenlignes versionen af scanneren på klientenheden med versionen af agenten på opdateringsplaceringen. Opdateringsplaceringen er det sted, hvor Windows søger efter opdateringer, f.eks. på et netværksshare eller fra internettet.
Hvis der er forskel på de to versioner, bestemmer opdateringsprocessen, hvilke filer der er forskellige og skal opdateres på den lokale computer. Når de nødvendige opdateringer er fastlagt, starter download af opdateringerne.
Konfigurer en ny netværksenheds godkendt scanning
Gå til Indstillinger>Enhedsregistrering>Godkendte scanninger på Microsoft Defender-portalen.
Vælg Tilføj ny scanning , og vælg Netværksenheds godkendt scanning , og vælg Næste.
Vælg, om scanningen skal aktiveres.
Angiv et scanningsnavn.
Vælg scanningsenheden: Den onboardede enhed, du bruger til at scanne netværksenhederne.
Angiv destinationen (området): De IP-adresseområder eller værtsnavne, du vil scanne. Du kan enten angive adresserne eller importere en CSV-fil. Import af en fil tilsidesætter alle manuelt tilføjede adresser.
Vælg scanningsintervallet: Scanningen kører som standard hver fjerde time. Du kan ændre scanningsintervallet eller kun køre det én gang ved at vælge Gentag ikke.
Vælg godkendelsesmetoden.
Du kan vælge at bruge azure KeyVault til at angive legitimationsoplysninger: Hvis du administrerer dine legitimationsoplysninger i Azure KeyVault, kan du angive URL-adressen til Azure KeyVault og azure KeyVault-hemmelighedsnavnet, som scanningsenheden skal have adgang til for at angive legitimationsoplysninger. Værdien for hemmeligheden afhænger af den godkendte metode, du vælger, som beskrevet i følgende tabel:
Godkendelsesmetode Værdi for Azure KeyVault-hemmelighed AuthPriv
Brugernavn; AuthPassword; PrivPassword AuthNoPriv
Brugernavn; AuthPassword CommunityString
CommunityString Vælg Næste for at køre eller springe testscanningen over.
Vælg Næste for at gennemse indstillingerne og vælge Send for at oprette den nye netværksenheds godkendte scanning.
Bemærk!
Hvis du vil forhindre duplikering af enheder i netværksenhedsoversigten, skal du sørge for, at hver IP-adresse kun er konfigureret én gang på tværs af flere scanningsenheder.
Scan og tilføj netværksenheder
Under konfigurationsprocessen kan du udføre en testscanning én gang for at bekræfte, at:
- Der er forbindelse mellem Defender for Endpoint-scanningsenheden og de konfigurerede destinationsnetværksenheder.
- De konfigurerede SNMP-legitimationsoplysninger er korrekte.
Hver scanningsenhed kan understøtte op til 1.500 vellykkede SCANNINGer af IP-adresser. Hvis du f.eks. scanner 10 forskellige undernet, hvor kun 100 IP-adresser returnerer vellykkede resultater, kan du scanne 1.400 IP-adresser mere fra andre undernet på den samme scanningsenhed.
Hvis der er flere IP-adresseområder/undernet, der skal scannes, tager det flere minutter at vise resultaterne af testscanningen. En testscanning er tilgængelig for op til 1.024 adresser.
Når resultaterne vises, kan du vælge, hvilke enheder der skal medtages i den periodiske scanning. Hvis du springer visning af scanningsresultaterne over, føjes alle konfigurerede IP-adresser til den netværksenheds godkendte scanning (uanset enhedens svar). Scanningsresultaterne kan også eksporteres.
Enhedslager
Nyopdagede enheder vises under fanen Nye netværksenheder på siden Enhedsoversigt . Det kan tage op til to timer, efter at du har tilføjet et scanningsjob, indtil enhederne er opdateret.
Fejlfinding
Installationen af scanneren mislykkedes
Kontrollér, at de påkrævede URL-adresser er føjet til de tilladte domæner i firewallindstillingerne. Sørg også for, at proxyindstillingerne er konfigureret som beskrevet i Konfigurer enhedsproxy og indstillinger for internetforbindelse.
Den Microsoft.com/devicelogin webside blev ikke vist
Kontrollér, at de påkrævede URL-adresser er føjet til de tilladte domæner i firewallen. Sørg også for, at proxyindstillingerne er konfigureret som beskrevet i Konfigurer enhedsproxy og indstillinger for internetforbindelse.
Netværksenheder vises ikke på enhedens lager efter flere timer
Scanningsresultaterne skal opdateres et par timer efter den indledende scanning, der fandt sted, efter at netværksenhedens godkendte scanningskonfiguration var fuldført.
Hvis enheder stadig ikke vises, skal du kontrollere, at tjenesten MdatpNetworkScanService
kører på de enheder, der scannes, hvor du har installeret scanneren, og udføre en "Kør scanning" i den relevante scanningskonfiguration for netværksenheden.
Hvis du stadig ikke får resultater efter 5 minutter, skal du genstarte tjenesten.
Det tidspunkt, hvor enheder sidst blev set, er længere end 24 timer
Kontrollér, at scanneren kører korrekt. Gå derefter til scanningsdefinitionen, og vælg "Kør test". Kontrollér, hvilke fejlmeddelelser der returneres fra de relevante IP-adresser.
Min scanner er konfigureret, men scanningerne kører ikke
Da den godkendte scanner i øjeblikket bruger en krypteringsalgoritme, der ikke er kompatibel med FIPS (Federal Information Processing Standards), kan scanneren ikke fungere, når en organisation gennemtvinger brugen af FIPS-kompatible algoritmer.
Hvis du vil tillade algoritmer, der ikke er kompatible med FIPS, skal du angive følgende værdi i registreringsdatabasen for de enheder, hvor scanneren kører:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
med en DWORD-værdi med navnet Enabled
og værdien for 0x0
.
FIPS-kompatible algoritmer bruges kun i forbindelse med afdelinger og agenturer i den USA føderale regering.
Påkrævet Administration af håndtering af sikkerhedsrisici til Defender brugertilladelse
Registreringen blev afsluttet med en fejl: "Det ser ud til, at du ikke har tilstrækkelige tilladelser til at tilføje en ny agent. Den påkrævede tilladelse er "Administrer sikkerhedsindstillinger i Defender"."
Tryk på en vilkårlig tast for at afslutte.
Bed systemadministratoren om at tildele dig de nødvendige tilladelser. Alternativt kan du bede et andet relevant medlem om at hjælpe dig med logonprocessen ved at angive logonkoden og linket.
Registreringsprocessen mislykkes ved hjælp af det angivne link i kommandolinjen i registreringsprocessen
Prøv en anden browser, eller kopiér logonlinket og -koden til en anden enhed.
Teksten er for lille eller kan ikke kopieres fra kommandolinjen
Skift kommandolinjeindstillinger på enheden for at tillade kopiering og ændre tekststørrelse.
Relaterede artikler
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.