Обнаружение сетевых устройств и управление уязвимостями

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Управление уязвимостями Defender
• Microsoft Defender XDR

Хотите попробовать Microsoft Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Примечание.

Блог об обнаружении сетевых устройств и оценках уязвимостей (опубликован 13.04.2021) содержит аналитические сведения о новых возможностях обнаружения сетевых устройств в Defender для конечной точки. В этой статье приводятся общие сведения о проблеме, которую призвано решить обнаружение сетевых устройств , и подробные сведения о том, как приступить к использованию этих новых возможностей.

Возможности обнаружения сети доступны в разделе Инвентаризация устройствна портале Microsoft Defender и Microsoft Defender XDR консолей.

Указанное Microsoft Defender для конечной точки устройство используется в каждом сегменте сети для периодического проверки подлинности предварительно настроенных сетевых устройств. После обнаружения возможности управления уязвимостями в Defender для конечной точки предоставляют интегрированные рабочие процессы для защиты обнаруженных коммутаторов, маршрутизаторов, контроллеров WLAN, брандмауэров и VPN-шлюзов.

После обнаружения и классификации сетевых устройств администраторы безопасности смогут получать последние рекомендации по безопасности и просматривать недавно обнаруженные уязвимости на сетевых устройствах, развернутых в их организациях.

Способ

Сетевые устройства не управляются как стандартные конечные точки, так как Defender для конечной точки не имеет датчика, встроенного в сами сетевые устройства. Для таких типов устройств требуется подход без агента, при котором удаленное сканирование получает необходимую информацию от устройств. В зависимости от топологии сети и характеристик одно устройство или несколько устройств, подключенных к Microsoft Defender для конечной точки выполняет проверку подлинности сетевых устройств с помощью SNMP (только для чтения).

Следует помнить о двух типах устройств:

• Сканирующие устройства. Устройство, которое уже подключено, и используется для сканирования сетевых устройств.
• Сетевые устройства. Сетевые устройства, которые вы планируете сканировать и подключить.

Управление уязвимостями для сетевых устройств

После обнаружения и классификации сетевых устройств администраторы безопасности смогут получать последние рекомендации по безопасности и просматривать недавно обнаруженные уязвимости на сетевых устройствах, развернутых в их организациях.

Поддерживаемые операционные системы

В настоящее время поддерживаются следующие операционные системы:

• Cisco IOS, IOS-XE, NX-OS
• Fortinet FortiOS
• Juniper JUNOS
• HPE Aruba Networking ArubaOS, AOS-CX
• HPE ArubaOS, Приобретение программного обеспечения коммутатора
• Palo Alto Networks PAN-OS

Со временем будет добавлено больше сетевых поставщиков и ОС на основе данных, собранных из использования клиентами. Поэтому рекомендуется настроить все сетевые устройства, даже если они не указаны в этом списке.

Начало работы

Сначала нужно выбрать устройство, которое выполняет проверку подлинности сети.

1. Выберите подключенное устройство Defender для конечной точки (клиент или сервер), которое имеет сетевое подключение к порту управления для сетевых устройств, которые вы планируете сканировать.

2. Трафик SNMP между устройством сканирования Defender для конечной точки и целевыми сетевыми устройствами должен быть разрешен (например, брандмауэром).

3. Определите, какие сетевые устройства оцениваются на наличие уязвимостей (например, коммутатор Cisco или брандмауэр Palo Alto Networks).

4. Убедитесь, что протокол SNMP включен только для чтения на всех настроенных сетевых устройствах, чтобы разрешить устройству сканирования Defender для конечной точки запрашивать настроенные сетевые устройства. "Запись SNMP" не требуется для правильной функциональности этой функции.

5. Получите IP-адреса проверяемых сетевых устройств (или подсетей, в которых развернуты эти устройства).

6. Получите учетные данные SNMP сетевых устройств (например, Community String, noAuthNoPriv, authNoPriv, authPriv). При настройке нового задания проверки необходимо указать учетные данные.

7. Конфигурация прокси-клиента. Дополнительная настройка не требуется, кроме требований к прокси-серверу устройства Defender для конечной точки.

8. Чтобы средство проверки подлинности и работало правильно, необходимо добавить следующие домены и URL-адреса:

   • login.windows.net
   • *.security.microsoft.com
   • login.microsoftonline.com
   • *.blob.core.windows.net/networkscannerstable/*

   Примечание.

   Не все URL-адреса указаны в задокументированном списке разрешенного сбора данных в Defender для конечной точки.

Разрешения

Для настройки заданий проверки требуется следующий параметр разрешения пользователя: Управление параметрами безопасности в Defender. Чтобы найти разрешение, перейдите в раздел Параметры Роли>. Дополнительные сведения см. в статье Создание ролей для управления доступом на основе ролей и управление ими.

Предварительные требования к версии Windows для сканера

Сканер поддерживается в Windows 10 версии 1903 и Windows Server версии 1903 и более поздних. Дополнительные сведения см. в разделах Windows 10 версии 1903 и Windows Server версии 1903.

Примечание.

Существует ограничение в 40 установок сканера для каждого клиента.

Установка сканера

1. Перейдите враздел Параметрыбезопасности> Microsoft 365Обнаружение> устройств >Проверка подлинности.

2. Скачайте сканер и установите его на назначенное устройство проверки Defender для конечной точки.

   

Установка сканера & регистрации

Процесс входа можно выполнить на самом указанном устройстве сканирования или на любом другом устройстве (например, на вашем личном клиентском устройстве).

Примечание.

Учетная запись, с помощью которой выполняется вход пользователя, и устройство, используемое для завершения процесса входа, должны находиться в том же клиенте, где устройство подключено к Microsoft Defender для конечной точки.

Чтобы завершить процесс регистрации сканера, выполните следующие действия.

1. Скопируйте и следуйте URL-адресу, который отображается в командной строке, и используйте предоставленный код установки для завершения процесса регистрации.

   Примечание.

   Чтобы скопировать URL-адрес, может потребоваться изменить параметры командной строки.

2. Введите код и войдите с помощью учетной записи Майкрософт с разрешением Defender для конечной точки под названием "Управление параметрами безопасности в Defender".

3. По завершении вы увидите сообщение о том, что вы вошли в систему.

Обновления для сканера

Средство проверки имеет запланированную задачу, которая по умолчанию настроена для регулярного поиска обновлений. При выполнении задачи она сравнивает версию сканера на клиентском устройстве с версией агента в расположении обновления. Расположение обновления — это место, где Windows ищет обновления, например в общей сетевой папке или из Интернета.

Если между двумя версиями есть разница, процесс обновления определяет, какие файлы отличаются и которые необходимо обновить на локальном компьютере. После определения необходимых обновлений начнется скачивание обновлений.

Настройка проверки нового сетевого устройства с проверкой подлинности

1. Перейдите в раздел Параметры>Обнаружение> устройствПроверка подлинности проверки на портале Microsoft Defender.

2. Выберите Добавить новое сканирование , выберите Проверка подлинности сетевого устройства и нажмите кнопку Далее.

   

3. Выберите, следует ли активировать сканирование.

4. Введите имя сканирования.

5. Выберите устройство сканирования: подключенное устройство, используемое для сканирования сетевых устройств.

6. Введите целевой (диапазон): диапазоны IP-адресов или имена узлов, которые нужно проверить. Можно либо ввести адреса, либо импортировать CSV-файл. Импорт файла переопределяет все адреса, добавленные вручную.

7. Выберите интервал сканирования. По умолчанию сканирование выполняется каждые четыре часа. Вы можете изменить интервал сканирования или запустить его только один раз, выбрав Не повторяться.

8. Выберите метод проверки подлинности.

   Вы можете выбрать использовать azure KeyVault для предоставления учетных данных. Если вы управляете учетными данными в Azure KeyVault, вы можете ввести URL-адрес Azure KeyVault и имя секрета Azure KeyVault, к которым устройство сканирования будет обращаться для предоставления учетных данных. Значение секрета зависит от выбранного метода проверки подлинности, как описано в следующей таблице:

   Метод проверки подлинности	Значение секрета Azure KeyVault
   AuthPriv	Пользователя; AuthPassword; PrivPassword
   AuthNoPriv	Пользователя; AuthPassword
   CommunityString	CommunityString

9. Нажмите кнопку Далее , чтобы запустить или пропустить тестовую проверку.

10. Нажмите кнопку Далее , чтобы просмотреть параметры, и выберите Отправить , чтобы создать проверку подлинности сетевого устройства.

Примечание.

Чтобы предотвратить дублирование устройств в инвентаризации сетевых устройств, убедитесь, что каждый IP-адрес настроен только один раз на нескольких устройствах сканирования.

Сканирование и добавление сетевых устройств

В процессе настройки можно выполнить однократное тестовое сканирование, чтобы убедиться в том, что:

• Существует подключение между устройством сканирования Defender для конечной точки и настроенными целевыми сетевыми устройствами.
• Настроенные учетные данные SNMP верны.

Каждое устройство сканирования может поддерживать до 1500 успешных ip-адресов. Например, если вы сканируете 10 разных подсетей, где только 100 IP-адресов возвращают успешные результаты, вы сможете сканировать 1400 дополнительных IP-адресов из других подсетей на том же устройстве сканирования.

При наличии нескольких диапазонов IP-адресов или подсетей для сканирования результаты проверки отображаются в течение нескольких минут. Тестовая проверка доступна для 1024 адресов.

После отображения результатов можно выбрать устройства, которые будут включены в периодическую проверку. Если пропустить просмотр результатов проверки, все настроенные IP-адреса добавляются в проверку подлинности сетевого устройства (независимо от ответа устройства). Результаты сканирования также можно экспортировать.

Инвентаризация устройств

Новые обнаруженные устройства отображаются на новой вкладке Сетевые устройства на странице Инвентаризация устройств . После добавления задания сканирования может потребоваться до двух часов, пока устройства не будут обновлены.

Устранение неполадок

Сбой установки сканера

Убедитесь, что необходимые URL-адреса добавлены в разрешенные домены в параметрах брандмауэра. Кроме того, убедитесь, что параметры прокси-сервера настроены, как описано в разделе Настройка параметров прокси-сервера устройства и подключения к Интернету.

Веб-страница Microsoft.com/devicelogin не отображается

Убедитесь, что необходимые URL-адреса добавлены в разрешенные домены в брандмауэре. Кроме того, убедитесь, что параметры прокси-сервера настроены, как описано в разделе Настройка параметров прокси-сервера устройства и подключения к Интернету.

Сетевые устройства не отображаются в инвентаризации устройств через несколько часов

Результаты проверки должны быть обновлены через несколько часов после первоначального сканирования, которое было выполнено после завершения настройки проверки с проверкой подлинности сетевого устройства.

Если устройства по-прежнему не отображаются, убедитесь, что служба MdatpNetworkScanService запущена на проверяемых устройствах, на которых установлен сканер, и выполните команду "Выполнить сканирование" в соответствующей конфигурации проверки сетевого устройства с проверкой подлинности.

Если вы по-прежнему не получите результаты через 5 минут, перезапустите службу.

Время последнего просмотра устройств превышает 24 часа

Проверьте правильность работы сканера. Затем перейдите к определению сканирования и выберите "Выполнить тест". Проверьте, какие сообщения об ошибках возвращаются с соответствующих IP-адресов.

Мой сканер настроен, но сканирование не выполняется

Так как проверка подлинности в настоящее время использует алгоритм шифрования, который не соответствует федеральным стандартам обработки информации (FIPS), сканер не может работать, когда организация принудительно применяет алгоритмы, совместимые с FIPS.

Чтобы разрешить алгоритмы, которые не соответствуют FIPS, задайте в реестре следующее значение для устройств, на которых будет выполняться сканер:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy со значением DWORD с именем Enabled и значением 0x0

Алгоритмы, соответствующие FIPS, используются только в отношении департаментов и учреждений США федерального правительства.

Необходимое разрешение пользователя Для управления уязвимостями Defender

Регистрация завершилась ошибкой: "Похоже, у вас нет достаточных разрешений для добавления нового агента. Необходимое разрешение — "Управление параметрами безопасности в Defender".

Нажмите любую клавишу, чтобы выйти из нее.

Попросите системного администратора назначить вам необходимые разрешения. Кроме того, попросите другого соответствующего участника помочь вам в процессе входа, предоставив ему код входа и ссылку.

Сбой процесса регистрации с использованием предоставленной ссылки в командной строке в процессе регистрации

Попробуйте использовать другой браузер или скопируйте ссылку для входа и код на другое устройство.

Текст слишком мал или не удается скопировать текст из командной строки

Измените параметры командной строки на устройстве, чтобы разрешить копирование и изменение размера текста.

Связанные статьи

• Инвентаризация устройств
• Проверка с проверкой подлинности Windows

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.