Delen via


Detectie van netwerkapparaten en beheer van beveiligingsproblemen

Van toepassing op:

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Opmerking

De blog Netwerkapparaatdetectie en evaluatie van beveiligingsproblemen (gepubliceerd op 13-04-2021) biedt inzicht in de nieuwe mogelijkheden voor het detecteren van netwerkapparaten in Defender voor Eindpunt. Dit artikel bevat een overzicht van de uitdaging waarmee netwerkapparaatdetectie is ontworpen en gedetailleerde informatie over hoe u aan de slag gaat met deze nieuwe mogelijkheden.

Mogelijkheden voor netwerkdetectie zijn beschikbaar in de sectie Apparaatinventarisatie van de Microsoft Defender portal en Microsoft Defender XDR consoles.

Een aangewezen Microsoft Defender voor Eindpunt apparaat wordt gebruikt op elk netwerksegment om periodieke geverifieerde scans van vooraf geconfigureerde netwerkapparaten uit te voeren. Zodra deze zijn gedetecteerd, bieden de mogelijkheden voor het beheer van beveiligingsproblemen in Defender voor Eindpunt geïntegreerde werkstromen om gedetecteerde switches, routers, WLAN-controllers, firewalls en VPN-gateways te beveiligen.

Zodra de netwerkapparaten zijn gedetecteerd en geclassificeerd, kunnen beveiligingsbeheerders de meest recente beveiligingsaanbeveling ontvangen en onlangs gedetecteerde beveiligingsproblemen bekijken op netwerkapparaten die in hun organisatie zijn geïmplementeerd.

Aanpak

Netwerkapparaten worden niet beheerd als standaard-eindpunten, omdat Defender voor Eindpunt geen sensor heeft die is ingebouwd in de netwerkapparaten zelf. Voor deze typen apparaten is een agentloze benadering vereist, waarbij een externe scan de benodigde informatie van de apparaten ophaalt. Afhankelijk van de netwerktopologie en kenmerken voert een enkel apparaat of enkele apparaten die zijn onboarden voor Microsoft Defender voor Eindpunt geverifieerde scans van netwerkapparaten uit met behulp van SNMP (alleen-lezen).

Er zijn twee typen apparaten om rekening mee te houden:

  • Apparaat scannen: een apparaat dat al is voorbereid en dat u gebruikt om de netwerkapparaten te scannen.
  • Netwerkapparaten: de netwerkapparaten die u wilt scannen en onboarden.

Beheer van beveiligingsproblemen voor netwerkapparaten

Zodra de netwerkapparaten zijn gedetecteerd en geclassificeerd, kunnen beveiligingsbeheerders de meest recente beveiligingsaanbeveling ontvangen en onlangs gedetecteerde beveiligingsproblemen bekijken op netwerkapparaten die in hun organisatie zijn geïmplementeerd.

Ondersteunde besturingssystemen

De volgende besturingssystemen worden momenteel ondersteund:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

In de loop van de tijd worden er meer netwerkleveranciers en het besturingssysteem toegevoegd op basis van gegevens die zijn verzameld op basis van klantgebruik. Daarom wordt u aangeraden om al uw netwerkapparaten te configureren, zelfs als ze niet in deze lijst zijn opgegeven.

Aan de slag

De eerste stap is het selecteren van een apparaat dat de geverifieerde netwerkscans uitvoert.

  1. Kies een onboarded Defender for Endpoint-apparaat (client of server) met een netwerkverbinding met de beheerpoort voor de netwerkapparaten die u wilt scannen.

  2. SNMP-verkeer tussen het Defender voor Eindpunt-scanapparaat en de doelnetwerkapparaten moet worden toegestaan (bijvoorbeeld door de firewall).

  3. Bepaal welke netwerkapparaten worden beoordeeld op beveiligingsproblemen (bijvoorbeeld een Cisco-switch of een Palo Alto Networks-firewall).

  4. Zorg ervoor dat SNMP alleen-lezen is ingeschakeld op alle geconfigureerde netwerkapparaten, zodat het Defender for Endpoint-scanapparaat een query kan uitvoeren op de geconfigureerde netwerkapparaten. 'SNMP write' is niet nodig voor de juiste functionaliteit van deze functie.

  5. Haal de IP-adressen op van de netwerkapparaten die moeten worden gescand (of de subnetten waar deze apparaten worden geïmplementeerd).

  6. Haal de SNMP-referenties van de netwerkapparaten op (bijvoorbeeld: Community-tekenreeks, noAuthNoPriv, authNoPriv, authPriv). U moet de referenties opgeven bij het configureren van een nieuwe scantaak.

  7. Proxyclientconfiguratie: er is geen extra configuratie vereist behalve de proxyvereisten voor Defender voor Eindpunt-apparaten.

  8. Als u wilt dat de scanner wordt geverifieerd en correct werkt, is het essentieel dat u de volgende domeinen/URL's toevoegt:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Opmerking

    Niet alle URL's worden opgegeven in de gedocumenteerde lijst met toegestane gegevensverzameling in Defender voor Eindpunt.

Machtigingen

Voor het configureren van scantaken is de volgende optie voor gebruikersmachtigingen vereist: Beveiligingsinstellingen beheren in Defender. U kunt de machtiging vinden door naar Instellingenrollen> te gaan. Zie rollen Creatie en beheren voor op rollen gebaseerd toegangsbeheer voor meer informatie.

Vereiste Windows-versie voor de scanner

De scanner wordt ondersteund op Windows 10, versie 1903 en Windows Server, versie 1903 en hoger. Zie Windows 10 versie 1903 en Windows Server versie 1903 voor meer informatie.

Opmerking

Er is een limiet van 40 scannerinstallaties per tenant.

De scanner installeren

  1. Ga naar Microsoft 365-beveiligingsinstellingen>>Apparaatdetectie>Geverifieerde scans.

  2. Download de scanner en installeer deze op het aangewezen scanapparaat voor Defender for Endpoint.

    Schermopname van het scherm Nieuwe geverifieerde scan toevoegen

Scannerinstallatie & registratie

Het aanmeldingsproces kan worden voltooid op het aangewezen scanapparaat zelf of op een ander apparaat (bijvoorbeeld uw persoonlijke clientapparaat).

Opmerking

Zowel het account waarmee de gebruiker zich aanmeldt als het apparaat dat wordt gebruikt om het aanmeldingsproces te voltooien, moeten zich in dezelfde tenant bevinden als waar het apparaat wordt onboardd naar Microsoft Defender voor Eindpunt.

Ga als volgende te werk om het registratieproces van de scanner te voltooien:

  1. Kopieer en volg de URL die wordt weergegeven op de opdrachtregel en gebruik de opgegeven installatiecode om het registratieproces te voltooien.

    Opmerking

    Mogelijk moet u de instellingen voor de opdrachtprompt wijzigen om de URL te kunnen kopiëren.

  2. Voer de code in en meld u aan met een Microsoft-account met de machtiging Defender voor Eindpunt met de naam 'Beveiligingsinstellingen beheren in Defender'.

  3. Wanneer u klaar bent, ziet u een bericht waarin wordt bevestigd dat u zich hebt aangemeld.

Updates voor scanner

De scanner heeft een geplande taak die standaard is geconfigureerd om regelmatig naar updates te zoeken. Wanneer de taak wordt uitgevoerd, wordt de versie van de scanner op het clientapparaat vergeleken met de versie van de agent op de updatelocatie. Op de locatie van de update zoekt Windows naar updates, zoals op een netwerkshare of via internet.

Als er een verschil is tussen de twee versies, bepaalt het updateproces welke bestanden verschillen en moeten worden bijgewerkt op de lokale computer. Zodra de vereiste updates zijn bepaald, wordt het downloaden van de updates gestart.

Een nieuwe geverifieerde scan voor netwerkapparaten configureren

  1. Ga naar Instellingen>Apparaatdetectie>Geverifieerde scans in de Microsoft Defender-portal.

  2. Selecteer Nieuwe scan toevoegen , kies Geverifieerde scan van netwerkapparaat en selecteer Volgende.

    Schermopname van het scherm Nieuw geverifieerde netwerkapparaat toevoegen

  3. Kies of u de scan wilt activeren.

  4. Voer een scannaam in.

  5. Selecteer het scanapparaat: het onboarded apparaat dat u gebruikt om de netwerkapparaten te scannen.

  6. Voer het doel (bereik) in: de IP-adresbereiken of hostnamen die u wilt scannen. U kunt de adressen invoeren of een CSV-bestand importeren. Als u een bestand importeert, worden handmatig toegevoegde adressen overschreven.

  7. Selecteer het scaninterval: standaard wordt de scan elke vier uur uitgevoerd. U kunt het scaninterval wijzigen of slechts één keer laten uitvoeren door Niet herhalen te selecteren.

  8. Kies uw verificatiemethode.

    U kunt azure KeyVault gebruiken voor het opgeven van referenties selecteren: als u uw referenties beheert in Azure KeyVault, kunt u de Azure KeyVault-URL en de naam van het Azure KeyVault-geheim invoeren die door het scanapparaat moeten worden geopend om referenties op te geven. De geheime waarde is afhankelijk van de geverifieerde methode die u kiest, zoals beschreven in de volgende tabel:

    Verificatiemethode Waarde van Azure KeyVault-geheim
    AuthPriv Gebruikersnaam; AuthPassword; PrivPassword
    AuthNoPriv Gebruikersnaam; AuthPassword
    CommunityString CommunityString
  9. Selecteer Volgende om de testscan uit te voeren of over te slaan.

  10. Selecteer Volgende om de instellingen te controleren en selecteer Verzenden om uw nieuwe netwerkapparaat geverifieerde scan te maken.

Opmerking

Als u duplicatie van apparaten in de inventaris van netwerkapparaten wilt voorkomen, moet u ervoor zorgen dat elk IP-adres slechts één keer wordt geconfigureerd op meerdere scanapparaten.

Netwerkapparaten scannen en toevoegen

Tijdens het installatieproces kunt u een eenmalige testscan uitvoeren om te controleren of:

  • Er is verbinding tussen het scanapparaat van Defender voor Eindpunt en de geconfigureerde doelnetwerkapparaten.
  • De geconfigureerde SNMP-referenties zijn juist.

Elk scanapparaat kan maximaal 1500 geslaagde IP-adressen scannen ondersteunen. Als u bijvoorbeeld 10 verschillende subnetten scant waarbij slechts 100 IP-adressen resultaten opleveren, kunt u 1400 extra IP-adressen van andere subnetten scannen op hetzelfde scanapparaat.

Als er meerdere IP-adresbereiken/subnetten zijn om te scannen, duurt het enkele minuten voordat de testscanresultaten worden weergegeven. Er is een testscan beschikbaar voor maximaal 1024 adressen.

Zodra de resultaten worden weergegeven, kunt u kiezen welke apparaten worden opgenomen in de periodieke scan. Als u het weergeven van de scanresultaten overslaat, worden alle geconfigureerde IP-adressen toegevoegd aan de geverifieerde scan van het netwerkapparaat (ongeacht het antwoord van het apparaat). De scanresultaten kunnen ook worden geëxporteerd.

Apparaatinventaris

Nieuw gedetecteerde apparaten worden weergegeven op het tabblad Nieuwe netwerkapparaten op de pagina Apparaatinventaris . Het kan tot twee uur duren na het toevoegen van een scantaak totdat de apparaten zijn bijgewerkt.

Schermopname van het tabblad Netwerkapparaat in de apparaatinventaris

Probleemoplossing

De installatie van de scanner is mislukt

Controleer of de vereiste URL's zijn toegevoegd aan de toegestane domeinen in uw firewallinstellingen. Zorg er ook voor dat proxy-instellingen zijn geconfigureerd zoals beschreven in Instellingen voor apparaatproxy en internetverbinding configureren.

De Microsoft.com/devicelogin webpagina wordt niet weergegeven

Controleer of de vereiste URL's zijn toegevoegd aan de toegestane domeinen in uw firewall. Zorg er ook voor dat proxy-instellingen zijn geconfigureerd zoals beschreven in Instellingen voor apparaatproxy en internetverbinding configureren.

Netwerkapparaten worden na enkele uren niet weergegeven in de apparaatinventaris

De scanresultaten moeten enkele uren na de eerste scan worden bijgewerkt na het voltooien van de configuratie van de geverifieerde scan van het netwerkapparaat.

Als apparaten nog steeds niet worden weergegeven, controleert u of de service 'MdatpNetworkScanService' wordt uitgevoerd op uw apparaten die worden gescand, waarop u de scanner hebt geïnstalleerd, en voert u een 'Scan uitvoeren' uit in de configuratie van de relevante netwerkapparaatverificatie.

Als u na vijf minuten nog steeds geen resultaten krijgt, start u de service opnieuw.

De tijd van de laatst geziene apparaten is langer dan 24 uur

Controleer of de scanner goed werkt. Ga vervolgens naar de scandefinitie en selecteer Test uitvoeren. Controleer welke foutberichten worden geretourneerd van de relevante IP-adressen.

Mijn scanner is geconfigureerd, maar scans worden niet uitgevoerd

Omdat de geverifieerde scanner momenteel gebruikmaakt van een versleutelingsalgoritme dat niet compatibel is met FIPS (Federal Information Processing Standards), kan de scanner niet werken wanneer een organisatie het gebruik van FIPS-compatibele algoritmen afdwingt.

Als u algoritmen wilt toestaan die niet compatibel zijn met FIPS, stelt u de volgende waarde in het register in voor de apparaten waarop de scanner wordt uitgevoerd:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy met een DWORD-waarde met de naam Ingeschakeld en de waarde van 0x0

FIPS-compatibele algoritmen worden alleen gebruikt met betrekking tot afdelingen en instanties van de Verenigde Staten federale overheid.

Vereiste gebruikersmachtiging voor Defender Vulnerability Management

De registratie is voltooid met een fout: 'Het lijkt erop dat u niet voldoende machtigingen hebt om een nieuwe agent toe te voegen. De vereiste machtiging is 'Beveiligingsinstellingen beheren in Defender'.

Druk op een willekeurige toets om af te sluiten.

Vraag uw systeembeheerder om u de vereiste machtigingen toe te wijzen. U kunt ook een ander relevant lid vragen om u te helpen bij het aanmeldingsproces door hen de aanmeldingscode en koppeling te geven.

Probeer een andere browser of kopieer de aanmeldingskoppeling en code naar een ander apparaat.

Tekst is te klein of kan geen tekst van de opdrachtregel kopiëren

Wijzig de opdrachtregelinstellingen op uw apparaat om kopiëren toe te staan en de tekstgrootte te wijzigen.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.