共用方式為

網路裝置探索和弱點管理

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

注意事項

網路 裝置探索和弱點評量 部落格 (04-13-2021) 提供適用於端點的 Defender 中新 網路裝置探索 功能的深入解析。 本文提供 網路裝置探索 設計來解決之挑戰的概觀,以及如何開始使用這些新功能的詳細資訊。

網路探索功能可在 Microsoft Defender 入口網站和 Microsoft Defender 全面偵測回應 主控台的 [裝置清查] 區段中取得。

每個網路區段上都會使用指定的 適用於端點的 Microsoft Defender 裝置,對預先設定的網路裝置執行定期驗證掃描。 一旦探索到,適用於端點的Defender中的弱點管理功能會提供整合式工作流程,以保護探索到的交換器、路由器、WLAN 控制器、防火牆和 VPN 閘道。

一旦探索並分類網路裝置,安全性系統管理員就能夠收到最新的安全性建議,並檢閱最近在其組織中部署的網路裝置上發現的弱點。

方法

網路裝置不會以標準端點身分管理,因為適用於端點的 Defender 本身沒有內建感測器。 這些類型的裝置需要無代理程式方法,遠端掃描會從裝置取得必要的資訊。 根據網路拓撲和特性,單一裝置或上線以 適用於端點的 Microsoft Defender的一些裝置,會使用SNMP (唯讀) 來執行網路裝置的驗證掃描。

請記住兩種類型的裝置:

  • 掃描裝置:您用來掃描網路裝置的已上線裝置。
  • 網路裝置:您打算掃描並上線的網路裝置。

網路裝置的弱點管理

一旦探索並分類網路裝置,安全性系統管理員就能夠收到最新的安全性建議,並檢閱最近在其組織中部署的網路裝置上發現的弱點。

支援的作業系統

目前支援下列作業系統:

  • Cisco IOS、IOS-XE、NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS、Procurve 交換器軟體
  • Palo Alto Networks PAN-OS

根據從客戶使用量收集的數據,將會隨著時間新增更多網路廠商和OS。 因此,建議您設定所有網路裝置,即使未在此清單中指定它們也一樣。

如何開始使用

您的第一個步驟是選取執行已驗證網路掃描的裝置。

  1. 決定適用於端點的 Defender 上線裝置 (具有網路連線的用戶端或伺服器) ,以連線到您打算掃描之網路裝置的管理埠。

  2. 適用於端點的 Defender 掃描裝置與目標網路裝置之間的 SNMP 流量必須允許 (例如防火牆) 。

  3. 決定要評估哪些網路裝置是否有弱點 (例如:Cisco 交換器或Palo Alto網路防火牆) 。

  4. 請確定已在所有已設定的網路裝置上啟用 SNMP 只讀功能,以允許適用於端點的 Defender 掃描裝置查詢已設定的網路裝置。 此功能的適當功能不需要「SNMP 寫入」。

  5. 取得要掃描的網路裝置IP位址 (或部署這些裝置的子網) 。

  6. 取得網路裝置的SNMP 認證 (例如:Community String、noAuthNoPriv、authNoPriv、authPriv) 。 設定新的掃描作業時,您必須提供認證。

  7. Proxy 用戶端設定:除了適用於端點的 Defender 裝置 Proxy 需求之外,不需要額外的設定。

  8. 若要允許掃描器進行驗證並正常運作,請務必新增下列網域/URL:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    注意事項

    並非所有 URL 都是在適用於端點的 Defender 所記載的允許資料收集清單中指定。

權限

若要設定掃描作業,需要下列用戶權力選項: 在 Defender 中管理安全性設定。 您可以移至 [設定>角色] 來尋找權。 如需詳細資訊,請參閱 建立和管理角色型存取控制的角色

掃描器的 Windows 版本必要條件

Windows 10 版本 1903 和 Windows Server 版本 1903 和更新版本支援掃描器。 如需詳細資訊,請參閱 Windows 10 1903 版和 Windows Server 版本 1903

注意事項

每個租使用者只能安裝 40 個掃描器。

安裝掃描器

  1. 移至 Microsoft 365 安全>>設定裝置探索>已驗證掃描

  2. 下載掃描器,並將其安裝在指定的適用於端點的 Defender 掃描裝置上。

    新增已驗證掃描畫面的螢幕快照

掃描器安裝 & 註冊

您可以在指定的掃描裝置本身或任何其他裝置上完成登入程式 (例如,您的個人用戶端裝置) 。

注意事項

用戶用來登入的帳戶和用來完成登入程式的裝置,都必須位於裝置上線以 適用於端點的 Microsoft Defender的相同租使用者中。

若要完成掃描器註冊程式:

  1. 複製並遵循出現在命令行上的 URL,並使用提供的安裝程式代碼來完成註冊程式。

    注意事項

    您可能需要變更命令提示字元設定,才能複製URL。

  2. 輸入程序代碼,並使用具有適用於端點的 Defender 許可權的 Microsoft 帳戶登入,稱為「在 Defender 中管理安全性設定」。

  3. 完成時,您應該會看到確認您已登入的訊息。

掃描器的 匯報

掃描器有排程的工作,預設會設定為定期尋找更新。 當工作執行時,它會比較用戶端裝置上的掃描儀版本與更新位置上的代理程式版本。 更新位置是 Windows 尋找更新的位置,例如在網路共用或因特網上。

如果兩個版本之間有差異,更新程序會判斷哪些檔案不同且必須在本機電腦上更新。 一旦決定必要的更新之後,就會開始下載更新。

設定新的網路裝置驗證掃描

  1. 移至 Microsoft Defender 入口網站中的 [設定>裝置探索>已驗證掃描]

  2. 取 [新增掃描] ,然後選擇 [網络裝置驗證掃描] ,然後選取 [ 下一步]

    新增網路裝置驗證掃描畫面的螢幕快照

  3. 選擇是否要 啟用掃描

  4. 輸入 掃描名稱

  5. 選取 掃描裝置: 您用來掃描網路裝置的上線裝置。

  6. 輸入 目標 (範圍) : 您要掃描的IP位址範圍或主機名。 您可以輸入位址或匯入 CSV 檔案。 匯入檔案會覆寫任何手動新增的位址。

  7. 選取 [掃描間隔]: 根據默認,掃描會每四小時執行一次,您可以選取 [ 不要重複],變更掃描間隔或只執行一次。

  8. 選擇您的 驗證方法

    您可以選取 [使用 azure KeyVault 提供認證]: 如果您在 Azure KeyVault 中管理認證,您可以輸入要由掃描裝置存取的 Azure KeyVault URL 和 Azure KeyVault 秘密名稱來提供認證。 秘密值取決於您選擇的 Authenticated 方法,如下表所述:

    驗證方法 Azure KeyVault 秘密值
    AuthPriv 使用者;AuthPassword;PrivPassword
    AuthNoPriv 使用者;AuthPassword
    CommunityString CommunityString

  9. 取 [下一步 ] 以執行或略過測試掃描。

  10. 取 [下一步 ] 以檢閱設定,然後選取 [ 提交 ] 以建立新的網络裝置驗證掃描。

注意事項

若要防止網路裝置清查中的裝置重複,請確定每個IP位址只在多個掃描裝置上設定一次。

掃描和新增網路裝置

在設定程式期間,您可以執行一次測試掃描,以確認:

  • 適用於端點的 Defender 掃描裝置與設定的目標網路裝置之間有連線能力。
  • 設定的SNMP 認證正確無誤。

每個掃描裝置最多可支援 1,500 個成功的 IP 地址掃描。 例如,如果您掃描 10 個不同的子網,其中只有 100 個 IP 位址傳回成功的結果,您將能夠從相同掃描裝置上的其他子網掃描 1,400 個 IP 額外位址。

如果有多個IP位址範圍/子網要掃描,測試掃描結果需要幾分鐘才會顯示。 測試掃描最多可提供1,024個位址。

結果顯示后,您可以選擇要在定期掃描中包含哪些裝置。 如果您略過檢視掃描結果,所有設定的IP位址都會新增至網路裝置已驗證的掃描 (不論裝置的回應) 。 掃描結果也可以匯出。

裝置庫存

新探索到的裝置會顯示在 [裝置清查] 頁面的新 [網络裝置] 索引卷標底下。 新增掃描作業後最多可能需要兩個小時,直到裝置更新為止。

裝置清查中網路裝置索引標籤的螢幕快照

疑難排解

掃描器安裝失敗

確認所需的 URL 已新增至防火牆設定中允許的網域。 此外,請確定已設定 Proxy 設定,如設定 裝置 Proxy 和因特網連線設定中所述。

Microsoft.com/devicelogin 網頁未顯示

確認所需的 URL 已新增至防火牆中允許的網域。 此外,請確定已設定 Proxy 設定,如設定 裝置 Proxy 和因特網連線設定中所述。

數小時後,裝置清查中不會顯示網路裝置

掃描結果應該會在完成網路裝置驗證掃描設定之後的幾個小時後更新。

如果裝置仍未顯示,請確認正在掃描的裝置上執行服務 『MdatpNetworkScanService』,您已安裝掃描器,並在相關的網路裝置驗證掃描設定中執行「執行掃描」。

如果您在 5 分鐘後仍未取得結果,請重新啟動服務。

裝置上次看到的時間超過24小時

驗證掃描器是否正常執行。 然後移至掃描定義,然後選取 [執行測試]。檢查哪些錯誤訊息是從相關的IP位址傳回。

我的掃描器已設定,但掃描未執行

由於已驗證的掃描器目前使用的加密演算法不符合 美國聯邦資訊處理標準 (FIPS) ,因此當組織強制使用符合 FIPS 規範的演算法時,掃描器將無法運作。

若要允許不符合 FIPS 規範的演算法,請在執行掃描器之裝置的登錄中設定下列值:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy 的 DWORD 值為 Enabled 且值 為 0x0

FIPS 相容演算法僅用於與 美國 聯邦機關相關。

必要的 Defender 弱點管理用戶權力

註冊完成時發生錯誤:「您似乎沒有足夠的許可權可新增代理程式。 必要的許可權是「在 Defender 中管理安全性設定」。

按任意鍵結束。

要求系統管理員為您指派必要的許可權。 或者,請要求另一個相關成員提供登入程式代碼和連結,以協助您進行登入程式。

嘗試不同的瀏覽器,或將登入連結和程式代碼複製到不同的裝置。

文字太小或無法從命令行複製文字

變更裝置上的命令行設定,以允許複製和變更文字大小。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。