Administration af netværksenhedsregistrering og sårbarhed

  • Artikel

Gælder for:

Vil du opleve Microsoft Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Bemærk!

Bloggen Network device discovery and vulnerability assessments (publiceret 04-13-2021) giver indsigt i de nye netværksenhedsregistreringsfunktioner i Defender for Endpoint. Denne artikel indeholder en oversigt over den udfordring, som Netværksenhedsregistrering er designet til at løse, og detaljerede oplysninger om, hvordan du kommer i gang med at bruge disse nye funktioner.

Funktionerne til netværksregistrering er tilgængelige i afsnittet Enhedsoversigtportalen Microsoft Defender og Microsoft Defender XDR konsoller.

En angivet Microsoft Defender for Endpoint enhed bruges på hvert netværkssegment til at udføre periodiske godkendte scanninger af forudkonfigurerede netværksenheder. Når funktionaliteten til administration af sårbarheder er fundet i Defender for Endpoint, får du integrerede arbejdsprocesser, der sikrer fundne parametre, routere, WLAN-controllere, firewalls og VPN-gateways.

Når netværksenhederne er fundet og klassificeret, kan sikkerhedsadministratorer modtage de nyeste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici på netværksenheder, der er installeret på tværs af deres organisationer.

Tilgang

Netværksenheder administreres ikke som standardslutpunkter, da Defender for Endpoint ikke har en sensor indbygget i selve netværksenhederne. Disse typer enheder kræver en agentløs tilgang, hvor en fjernscanning henter de nødvendige oplysninger fra enhederne. Afhængigt af netværkstopologien og -egenskaberne udfører en enkelt enhed eller nogle få enheder, der er onboardet til Microsoft Defender for Endpoint godkendte scanninger af netværksenheder ved hjælp af SNMP (skrivebeskyttet).

Der er to typer enheder, du skal være opmærksom på:

  • Scanningsenhed: En enhed, der allerede er onboardet, og som du bruger til at scanne netværksenhederne.
  • Netværksenheder: De netværksenheder, du planlægger at scanne og onboarde.

Administration af sårbarheder for netværksenheder

Når netværksenhederne er fundet og klassificeret, kan sikkerhedsadministratorer modtage de nyeste sikkerhedsanbefalinger og gennemse de senest registrerede sikkerhedsrisici på netværksenheder, der er installeret på tværs af deres organisationer.

Understøttede operativsystemer

Følgende operativsystemer understøttes i øjeblikket:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, software til forløbsskift
  • Palo Alto Networks PAN-OS

Flere netværksleverandører og os vil blive tilføjet over tid baseret på data indsamlet fra kundeforbrug. Derfor opfordres du til at konfigurere alle dine netværksenheder, selvom de ikke er angivet på denne liste.

Sådan kommer du i gang

Dit første trin er at vælge en enhed, der udfører de godkendte netværksscanninger.

  1. Beslut en onboardet Defender for Endpoint-enhed (klient eller server), der har en netværksforbindelse til administrationsporten for de netværksenheder, du planlægger at scanne på.

  2. SNMP-trafik mellem Defender for Endpoint-scanningsenheden og de målrettede netværksenheder skal være tilladt (f.eks. af firewallen).

  3. Beslut, hvilke netværksenheder der skal vurderes for sårbarheder (f.eks. en Cisco-switch eller en Palo Alto Networks-firewall).

  4. Sørg for, at SNMP er skrivebeskyttet er aktiveret på alle konfigurerede netværksenheder for at tillade, at Defender for Endpoint-scanningsenheden forespørger de konfigurerede netværksenheder. 'SNMP-skrivning' er ikke nødvendig for at få denne funktion til at fungere korrekt.

  5. Hent IP-adresserne på de netværksenheder, der skal scannes (eller de undernet, hvor disse enheder er installeret).

  6. Hent SNMP-legitimationsoplysningerne for netværksenhederne (f.eks. Community String, noAuthNoPriv, authNoPriv, authPriv). Du skal angive legitimationsoplysningerne, når du konfigurerer et nyt scanningsjob.

  7. Konfiguration af proxyklient: Der kræves ingen ekstra konfiguration ud over kravene til Defender for Endpoint-enhedsproxyen.

  8. Hvis du vil tillade, at scanneren godkendes og fungerer korrekt, er det vigtigt, at du tilføjer følgende domæner/URL-adresser:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Bemærk!

    Det er ikke alle URL-adresser, der er angivet på den dokumenterede Defender for Endpoint-liste over tilladt dataindsamling.

Tilladelser

Hvis du vil konfigurere scanningsjob, kræves følgende indstilling for brugertilladelser: Administrer sikkerhedsindstillinger i Defender. Du kan finde tilladelsen ved at gå tilIndstillingsroller>. Du kan få flere oplysninger under Create og administrere roller for rollebaseret adgangskontrol.

Forudsætning for Windows-version til scanneren

Scanneren understøttes på Windows 10, version 1903 og Windows Server, version 1903 og nyere. Du kan få flere oplysninger under Windows 10, version 1903 og Windows Server, version 1903.

Bemærk!

Der er en grænse på 40 scannerinstallationer pr. lejer.

Installér scanneren

  1. Gå tilSikkerhedsindstillinger for>Microsoft 365>Enhedsregistrering>Godkendte scanninger.

  2. Download scanneren, og installér den på den angivne Defender for Endpoint-scanningsenhed.

    Skærmbillede af skærmen Tilføj ny godkendt scanning

& registrering af scannerinstallation

Logonprocessen kan fuldføres på selve den angivne scanningsenhed eller en hvilken som helst anden enhed (f.eks. din personlige klientenhed).

Bemærk!

Både den konto, som brugeren logger på med, og den enhed, der bruges til at fuldføre logonprocessen, skal være i den samme lejer, hvor enheden er onboardet til Microsoft Defender for Endpoint.

Sådan fuldfører du registreringsprocessen for scanneren:

  1. Kopiér og følg den URL-adresse, der vises på kommandolinjen, og brug den angivne installationskode til at fuldføre registreringsprocessen.

    Bemærk!

    Du skal muligvis ændre indstillingerne for kommandoprompten for at kunne kopiere URL-adressen.

  2. Angiv koden, og log på med en Microsoft-konto, der har tilladelsen Defender for Endpoint med navnet "Administrer sikkerhedsindstillinger i Defender".

  3. Når du er færdig, får du vist en meddelelse, der bekræfter, at du er logget på.

Opdateringer til scanner

Scanneren har en planlagt opgave, der som standard er konfigureret til at søge efter opdateringer regelmæssigt. Når opgaven kører, sammenlignes versionen af scanneren på klientenheden med versionen af agenten på opdateringsplaceringen. Opdateringsplaceringen er det sted, hvor Windows søger efter opdateringer, f.eks. på et netværksshare eller fra internettet.

Hvis der er forskel på de to versioner, bestemmer opdateringsprocessen, hvilke filer der er forskellige og skal opdateres på den lokale computer. Når de nødvendige opdateringer er fastlagt, starter download af opdateringerne.

Konfigurer en ny netværksenheds godkendt scanning

  1. Gå til Indstillinger>Enhedsregistrering>Godkendte scanningerMicrosoft Defender-portalen.

  2. Vælg Tilføj ny scanning , og vælg Netværksenheds godkendt scanning , og vælg Næste.

    Skærmbillede af skærmen Tilføj ny netværksenheds godkendt scanning

  3. Vælg, om scanningen skal aktiveres.

  4. Angiv et scanningsnavn.

  5. Vælg scanningsenheden: Den onboardede enhed, du bruger til at scanne netværksenhederne.

  6. Angiv destinationen (området): De IP-adresseområder eller værtsnavne, du vil scanne. Du kan enten angive adresserne eller importere en CSV-fil. Import af en fil tilsidesætter alle manuelt tilføjede adresser.

  7. Vælg scanningsintervallet: Som standard køres scanningen hver fjerde time. Du kan ændre scanningsintervallet eller kun få det kørt én gang ved at vælge Gentag ikke.

  8. Vælg godkendelsesmetoden.

    Du kan vælge at bruge azure KeyVault til at angive legitimationsoplysninger: Hvis du administrerer dine legitimationsoplysninger i Azure KeyVault, kan du angive URL-adressen til Azure KeyVault og azure KeyVault-hemmelighedsnavnet, som scanningsenheden skal have adgang til for at angive legitimationsoplysninger. Værdien for hemmeligheden afhænger af den godkendte metode, du vælger, som beskrevet i følgende tabel:

    Godkendelsesmetode Værdi for Azure KeyVault-hemmelighed
    AuthPriv Brugernavn; AuthPassword; PrivPassword
    AuthNoPriv Brugernavn; AuthPassword
    CommunityString CommunityString

  9. Vælg Næste for at køre eller springe testscanningen over.

  10. Vælg Næste for at gennemse indstillingerne og vælge Send for at oprette den nye netværksenheds godkendte scanning.

Bemærk!

Hvis du vil forhindre duplikering af enheder i netværksenhedsoversigten, skal du sørge for, at hver IP-adresse kun er konfigureret én gang på tværs af flere scanningsenheder.

Scan og tilføj netværksenheder

Under konfigurationsprocessen kan du udføre en testscanning én gang for at bekræfte, at:

  • Der er forbindelse mellem Defender for Endpoint-scanningsenheden og de konfigurerede destinationsnetværksenheder.
  • De konfigurerede SNMP-legitimationsoplysninger er korrekte.

Hver scanningsenhed kan understøtte op til 1.500 vellykkede SCANNINGer af IP-adresser. Hvis du f.eks. scanner 10 forskellige undernet, hvor kun 100 IP-adresser returnerer vellykkede resultater, kan du scanne yderligere 1.400 IP-adresser fra andre undernet på den samme scanningsenhed.

Hvis der er flere IP-adresseområder/undernet, der skal scannes, tager det flere minutter at vise resultaterne af testscanningen. En testscanning er tilgængelig for op til 1.024 adresser.

Når resultaterne vises, kan du vælge, hvilke enheder der skal medtages i den periodiske scanning. Hvis du springer visning af scanningsresultaterne over, føjes alle konfigurerede IP-adresser til den netværksenheds godkendte scanning (uanset enhedens svar). Scanningsresultaterne kan også eksporteres.

Enhedslager

Nyopdagede enheder vises under fanen Nye netværksenheder på siden Enhedsoversigt . Det kan tage op til to timer efter tilføjelse af et scanningsjob, indtil enhederne er opdateret.

Skærmbillede af fanen Netværksenhed på enhedens lager

Fejlfinding

Installationen af scanneren mislykkedes

Kontrollér, at de påkrævede URL-adresser er føjet til de tilladte domæner i firewallindstillingerne. Sørg også for, at proxyindstillingerne er konfigureret som beskrevet i Konfigurer enhedsproxy og indstillinger for internetforbindelse.

Den Microsoft.com/devicelogin webside blev ikke vist

Kontrollér, at de påkrævede URL-adresser er føjet til de tilladte domæner i firewallen. Sørg også for, at proxyindstillingerne er konfigureret som beskrevet i Konfigurer enhedsproxy og indstillinger for internetforbindelse.

Netværksenheder vises ikke i enhedslageret efter flere timer

Scanningsresultaterne skal opdateres et par timer efter den indledende scanning, der fandt sted, efter at netværksenhedens godkendte scanningskonfiguration var fuldført.

Hvis enheder stadig ikke vises, skal du kontrollere, at tjenesten 'MdatpNetworkScanService' kører på de enheder, der scannes, hvor du har installeret scanneren, og udføre en "Kør scanning" i den relevante netværksenheds godkendte scanningskonfiguration.

Hvis du stadig ikke får resultater efter 5 minutter, skal du genstarte tjenesten.

Det tidspunkt, hvor enheder sidst blev set, er længere end 24 timer

Kontrollér, at scanneren kører korrekt. Gå derefter til scanningsdefinitionen, og vælg "Kør test". Kontrollér, hvilke fejlmeddelelser der returneres fra de relevante IP-adresser.

Min scanner er konfigureret, men scanningerne kører ikke

Da den godkendte scanner i øjeblikket bruger en krypteringsalgoritme, der ikke er kompatibel med FIPS (Federal Information Processing Standards), kan scanneren ikke fungere, når en organisation gennemtvinger brugen af FIPS-kompatible algoritmer.

Hvis du vil tillade algoritmer, der ikke er kompatible med FIPS, skal du angive følgende værdi i registreringsdatabasen for de enheder, hvor scanneren skal køre:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med en DWORD-værdi med navnet Enabled og værdien for 0x0

FIPS-kompatible algoritmer bruges kun i forbindelse med afdelinger og agenturer i den USA føderale regering.

Påkrævet brugertilladelse til administration af sårbarheder i Defender

Registreringen blev afsluttet med en fejl: "Det ser ud til, at du ikke har tilstrækkelige tilladelser til at tilføje en ny agent. Den påkrævede tilladelse er "Administrer sikkerhedsindstillinger i Defender"."

Tryk på en vilkårlig tast for at afslutte.

Bed systemadministratoren om at tildele dig de nødvendige tilladelser. Alternativt kan du bede et andet relevant medlem om at hjælpe dig med logonprocessen ved at angive logonkoden og linket.

Prøv en anden browser, eller kopiér logonlinket og -koden til en anden enhed.

Teksten er for lille eller kan ikke kopieres fra kommandolinjen

Skift kommandolinjeindstillinger på enheden for at tillade kopiering og ændre tekststørrelse.

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.