Del via

Administrasjon av nettverksenhetsoppdagelse og -sårbarhet

  • Artikkel

Gjelder for:

Vil du oppleve Microsoft Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Obs!

Tech Community Blog: Oppdagelses- og sårbarhetsvurderinger for nettverksenheter (publisert 04-13-2021) gir innsikt i de nye oppdagelsesfunksjonene for nettverksenheter i Defender for Endpoint. Denne artikkelen gir en oversikt over utfordringen som nettverksenhetsoppdagelse er utformet for å håndtere, og detaljert informasjon om hvordan du kommer i gang ved hjelp av disse nye funksjonene.

Funksjoner for nettverkssøk er tilgjengelige i enhetslagerdelen i Microsoft Defender-portalen og Microsoft Defender XDR konsoller.

En angitt Microsoft Defender for endepunkt enhet brukes på hvert nettverkssegment til å utføre periodiske godkjente skanninger av forhåndskonfigurerte nettverksenheter. Når det er oppdaget, gir funksjoner for sårbarhetsbehandling i Defender for Endpoint integrerte arbeidsflyter for å sikre oppdagede brytere, rutere, WLAN-kontrollere, brannmurer og VPN-gatewayer.

Når nettverksenhetene er oppdaget og klassifisert, kan sikkerhetsadministratorer motta de nyeste sikkerhetsanbefalingene og se gjennom nylig oppdagede sårbarheter på nettverksenheter som er distribuert på tvers av organisasjonene.

Nærme seg

Nettverksenheter administreres ikke som standard endepunkter siden Defender for Endpoint ikke har en sensor innebygd i selve nettverksenhetene. Denne typen enheter krever en agentløs tilnærming der en ekstern skanning henter den nødvendige informasjonen fra enhetene. Avhengig av nettverkstopologien og egenskapene utfører én enkelt enhet eller noen få enheter som er koblet til Microsoft Defender for endepunkt godkjente skanninger av nettverksenheter ved hjelp av SNMP (skrivebeskyttet).

Obs!

Godkjente skanninger støtter SNMPv2 og SNMPv3.

Det finnes to typer enheter å huske på:

  • Skanneenhet: En enhet som allerede er pålastet, som du bruker til å skanne nettverksenhetene.
  • Nettverksenheter: Nettverksenhetene du planlegger å skanne og om bord.

Behandling av sikkerhetsproblemer for nettverksenheter

Når nettverksenhetene er oppdaget og klassifisert, kan sikkerhetsadministratorer motta de nyeste sikkerhetsanbefalingene og se gjennom nylig oppdagede sårbarheter på nettverksenheter som er distribuert på tvers av organisasjonene.

Operativsystemer som støttes

Følgende operativsystemer støttes for øyeblikket:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Flere nettverksleverandører og operativsystemer legges til over tid, basert på data som samles inn fra kundebruk. Derfor oppfordres du til å konfigurere alle nettverksenhetene dine, selv om de ikke er angitt i denne listen.

Slik kommer du i gang

Det første trinnet er å velge en enhet som utfører de godkjente nettverksskanningene.

  1. Bestem deg for en Defender for Endpoint-innebygd enhet (klient eller server) som har en nettverkstilkobling til administrasjonsporten for nettverksenhetene du planlegger å skanne.

  2. SNMP-trafikk mellom skanneenheten Defender for Endpoint og de målrettede nettverksenhetene må være tillatt (for eksempel av brannmuren).

  3. Bestem hvilke nettverksenheter som vurderes for sårbarheter (for eksempel en Cisco-bryter eller en Palo Alto Networks-brannmur).

  4. Kontroller at SNMP er skrivebeskyttet på alle konfigurerte nettverksenheter for å tillate at skanneenheten defender for endepunkt kan spørre de konfigurerte nettverksenhetene. SNMP-skriving er ikke nødvendig for den riktige funksjonaliteten til denne funksjonen.

  5. Hent IP-adressene til nettverksenhetene som skal skannes (eller delnettene der disse enhetene distribueres).

  6. Hent SNMP-legitimasjonen for nettverksenhetene (for eksempel: Community String, noAuthNoPriv, authNoPriv, authPriv). Du må oppgi legitimasjonen når du konfigurerer en ny skannejobb.

  7. Proxy-klientkonfigurasjon: Ingen ekstra konfigurasjon kreves annet enn proxykravene for Defender for Endpoint-enheten.

  8. Hvis du vil tillate at skanneren godkjennes og fungerer som den skal, er det viktig at du legger til følgende domener/nettadresser:

    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Obs!

    Ikke alle URL-adresser er angitt i den dokumenterte listen defender for endepunkt for tillatt datainnsamling.

Tillatelser

Hvis du vil konfigurere skannejobber, kreves følgende brukertillatelsesalternativ: Administrer sikkerhetsinnstillinger i Defender. Du kan finne tillatelsen ved å gå til Innstillinger-roller>. Hvis du vil ha mer informasjon, kan du se Opprette og behandle roller for rollebasert tilgangskontroll.

Forutsetninger for Windows-versjon for skanneren

Skanneren støttes på Windows 10, versjon 1903 og Windows Server, versjon 1903 og nyere. Hvis du vil ha mer informasjon, kan du se Windows 10, versjon 1903 og Windows Server, versjon 1903.

Obs!

Det er en grense på 40 skannerinstallasjoner per leier.

Installer skanneren

  1. Gå tilgodkjenningsskanninger forenhetsoppdagelse> for Microsoft 365-sikkerhetsinnstillinger>>.

  2. Last ned skanneren og installer den på den angitte skanneenheten for Defender for Endpoint.

    Skjermbilde av skjermen Legg til ny godkjent skanning.

Registrering av & for skannerinstallasjon

Påloggingsprosessen kan fullføres på den angitte skanneenheten eller en hvilken som helst annen enhet (for eksempel din personlige klientenhet).

Obs!

Både kontoen brukeren logger på med og enheten som brukes til å fullføre påloggingsprosessen, må være i samme leier der enheten er pålastet for å Microsoft Defender for endepunkt.

Slik fullfører du registreringsprosessen for skanneren:

  1. Kopier og følg nettadressen som vises på kommandolinjen, og bruk den angitte installasjonskoden til å fullføre registreringsprosessen.

    Obs!

    Du må kanskje endre innstillingene for ledetekst for å kunne kopiere nettadressen.

  2. Skriv inn koden, og logg på med en Microsoft-konto som har tillatelsen Defender for endepunkt kalt «Administrer sikkerhetsinnstillinger i Defender».

  3. Når du er ferdig, skal du se en melding som bekrefter at du er logget på.

Oppdateringer for skanner

Skanneren har en planlagt oppgave som som standard er konfigurert til å se etter oppdateringer regelmessig. Når oppgaven kjøres, sammenlignes skannerversjonen på klientenheten med versjonen av agenten på oppdateringsplasseringen. Oppdateringsplasseringen er der Windows ser etter oppdateringer, for eksempel på en delt nettverksressurs eller fra Internett.

Hvis det er en forskjell mellom de to versjonene, bestemmer oppdateringsprosessen hvilke filer som er forskjellige og må oppdateres på den lokale datamaskinen. Når de nødvendige oppdateringene er fastsatt, starter nedlastingen av oppdateringene.

Konfigurer en ny nettverksenhet godkjent skanning

  1. Gå til Godkjente>skanninger forenhetsoppdagelse> i Microsoft Defender-portalen.

  2. Velg Legg til ny skanning , og velg Skanning av nettverksenhet godkjent , og velg Neste.

    Skjermbilde av skanneskjermen legg til ny nettverksenhet godkjent.

  3. Velg om du vil aktivere skanning.

  4. Skriv inn et skannenavn.

  5. Velg skanneenheten: Den innebygde enheten du bruker til å skanne nettverksenhetene.

  6. Angi mål (område): IP-adresseområder eller vertsnavn du vil skanne. Du kan enten skrive inn adressene eller importere en CSV-fil. Når du importerer en fil, overstyres eventuelle adresser som er lagt til manuelt.

  7. Velg skanneintervallet: Skanningen kjøres som standard hver fjerde time. Du kan endre søkeintervallet eller få det bare til å kjøre én gang ved å velge Ikke gjenta.

  8. Velg godkjenningsmetode.

    Du kan velge å bruke Azure KeyVault for å oppgi legitimasjon: Hvis du administrerer legitimasjonen din i Azure KeyVault, kan du angi Azure KeyVault-nettadressen og Azure KeyVaults hemmelige navn som skanneenheten skal få tilgang til for å angi legitimasjon. Den hemmelige verdien er avhengig av den godkjente metoden du velger, som beskrevet i tabellen nedenfor:

    Godkjenningsmetode Azure KeyVaults hemmelige verdi
    AuthPriv Brukernavn; AuthPassword; PrivPassord
    AuthNoPriv Brukernavn; AuthPassword
    CommunityString CommunityString

  9. Velg Neste for å kjøre eller hoppe over testskanningen.

  10. Velg Neste for å se gjennom innstillingene, og velg Send for å opprette den nye nettverksenheten godkjent skanning.

Obs!

Hvis du vil hindre enhetsduplisering i lagerbeholdningen for nettverksenheten, må du kontrollere at hver IP-adresse bare er konfigurert én gang på tvers av flere skanneenheter.

Skanne og legge til nettverksenheter

Under konfigurasjonsprosessen kan du utføre en engangstestskanning for å bekrefte at:

  • Det er tilkobling mellom skanneenheten Defender for Endpoint og de konfigurerte målnettverksenhetene.
  • Den konfigurerte SNMP-legitimasjonen er riktig.

Hver skanneenhet kan støtte opptil 1500 vellykkede IP-adresser. Hvis du for eksempel skanner 10 forskjellige delnett der bare 100 IP-adresser returnerer vellykkede resultater, kan du skanne 1400 IP-adresser til fra andre delnett på samme skanneenhet.

Hvis det er flere IP-adresseområder/delnett å skanne, tar testskanningsresultatene flere minutter å dukke opp. En testskanning er tilgjengelig for opptil 1 024 adresser.

Når resultatene vises, kan du velge hvilke enheter som skal inkluderes i den periodiske skanningen. Hvis du hopper over visning av søkeresultatene, legges alle konfigurerte IP-adresser til i den godkjente skanningen av nettverksenheten (uavhengig av enhetens svar). Skanneresultatene kan også eksporteres.

Enhetsbeholdning

Nylig oppdagede enheter vises under den nye Nettverksenheter-fanenenhetslagersiden . Det kan ta opptil to timer etter at du har lagt til en skannejobb til enhetene er oppdatert.

Skjermbilde av nettverksenhetsfanen i enhetsbeholdningen.

Feilsøking

Installasjonen av skanneren mislyktes

Kontroller at de nødvendige URL-adressene er lagt til de tillatte domenene i brannmurinnstillingene. Kontroller også at proxy-innstillingene er konfigurert som beskrevet i konfigurer innstillinger for enhetsproxy og Internett-tilkobling.

Nettsiden Microsoft.com/devicelogin vises ikke

Kontroller at de nødvendige URL-adressene er lagt til i de tillatte domenene i brannmuren. Kontroller også at proxy-innstillingene er konfigurert som beskrevet i konfigurer innstillinger for enhetsproxy og Internett-tilkobling.

Nettverksenheter vises ikke i enhetsbeholdningen etter flere timer

Skanneresultatene bør oppdateres noen timer etter den første skanningen som fant sted etter å ha fullført konfigurasjonen av godkjent skanning på nettverksenheten.

Hvis enheter fremdeles ikke vises, må du kontrollere at tjenesten MdatpNetworkScanService kjører på enhetene dine som skannes, der du installerte skanneren, og utføre en «Kjør skanning» i den aktuelle konfigurasjonen for godkjent skanning på nettverksenheten.

Hvis du fortsatt ikke får resultater etter 5 minutter, starter du tjenesten på nytt.

Sist sett-tid for enheter er lengre enn 24 timer

Valider at skanneren kjører riktig. Gå deretter til skannedefinisjonen, og velg «Kjør test». Kontroller hvilke feilmeldinger som returneres fra de relevante IP-adressene.

Skanneren er konfigurert, men skanninger kjører ikke

Siden den godkjente skanneren for øyeblikket bruker en krypteringsalgoritme som ikke samsvarer med Federal Information Processing Standards (FIPS), kan ikke skanneren fungere når en organisasjon håndhever bruken av FIPS-kompatible algoritmer.

Hvis du vil tillate algoritmer som ikke samsvarer med FIPS, angir du følgende verdi i registeret for enhetene der skanneren kjører:

Datamaskin\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med en DWORD-verdi med navnet Enabled og verdien av 0x0.

FIPS-kompatible algoritmer brukes bare i forhold til avdelinger og etater i USA føderale regjeringen.

Nødvendig Defender Vulnerability Management brukertillatelse

Registreringen ble fullført med en feilmelding: «Det ser ut til at du ikke har tilstrekkelige tillatelser til å legge til en ny agent. Den nødvendige tillatelsen er «Administrer sikkerhetsinnstillinger i Defender».

Trykk en tast for å avslutte.

Be systemansvarlig om å tilordne deg de nødvendige tillatelsene. Du kan også be et annet relevant medlem om å hjelpe deg med påloggingsprosessen ved å gi dem påloggingskoden og koblingen.

Prøv en annen nettleser, eller kopier påloggingskoblingen og koden til en annen enhet.

Teksten er for liten eller kan ikke kopiere tekst fra kommandolinjen

Endre kommandolinjeinnstillingene på enheten for å tillate kopiering og endring av tekststørrelse.

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.