اكتشاف جهاز الشبكة وإدارة الثغرات الأمنية
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- إدارة الثغرات الأمنية في Defender
- Microsoft Defender XDR
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
ملاحظة
توفر مدونة اكتشاف جهاز الشبكة وتقييمات الثغرات الأمنية (المنشورة 04-13-2021) رؤى حول قدرات اكتشاف جهاز الشبكة الجديدة في Defender لنقطة النهاية. توفر هذه المقالة نظرة عامة على التحدي الذي تم تصميم اكتشاف جهاز الشبكة لمواجهته، ومعلومات مفصلة حول كيفية البدء في استخدام هذه الإمكانات الجديدة.
تتوفر إمكانات اكتشاف الشبكة في قسم مخزون الجهاز في مدخل Microsoft Defender ووحدات التحكم Microsoft Defender XDR.
يتم استخدام جهاز Microsoft Defender لنقطة النهاية معين على كل مقطع شبكة لإجراء عمليات فحص دورية مصادق عليها لأجهزة الشبكة التي تم تكوينها مسبقا. بمجرد اكتشافها، توفر قدرات إدارة الثغرات الأمنية في Defender لنقطة النهاية مهام سير عمل متكاملة لتأمين المفاتيح المكتشفة وأجهزة التوجيه ووحدات تحكم WLAN وجدران الحماية وبوابات VPN.
بمجرد اكتشاف أجهزة الشبكة وتصنيفها، سيتمكن مسؤولو الأمان من تلقي أحدث توصيات الأمان ومراجعة الثغرات الأمنية المكتشفة مؤخرا على أجهزة الشبكة المنشورة عبر مؤسساتهم.
لا تتم إدارة أجهزة الشبكة كنقاط نهاية قياسية نظرا لأن Defender لنقطة النهاية لا يحتوي على أداة استشعار مضمنة في أجهزة الشبكة نفسها. تتطلب هذه الأنواع من الأجهزة نهجا بدون عامل حيث يحصل الفحص عن بعد على المعلومات الضرورية من الأجهزة. اعتمادا على طبولوجيا الشبكة وخصائصها، يقوم جهاز واحد أو عدد قليل من الأجهزة التي تم إلحاقها Microsoft Defender لنقطة النهاية بإجراء عمليات فحص مصادق عليها لأجهزة الشبكة باستخدام SNMP (للقراءة فقط).
هناك نوعان من الأجهزة يجب مراعاتها:
- جهاز الفحص: جهاز تم إلحاقه بالفعل تستخدمه لمسح أجهزة الشبكة ضوئيا.
- أجهزة الشبكة: أجهزة الشبكة التي تخطط لمسحها ضوئيا وإلحاقها.
بمجرد اكتشاف أجهزة الشبكة وتصنيفها، سيتمكن مسؤولو الأمان من تلقي أحدث توصيات الأمان ومراجعة الثغرات الأمنية المكتشفة مؤخرا على أجهزة الشبكة المنشورة عبر مؤسساتهم.
أنظمة التشغيل التالية مدعومة حاليا:
- Cisco IOS وIOS-XE وNX-OS
- Fortinet FortiOS
- Juniper JUNOS
- شبكة HPE Aruba ArubaOS، AOS-CX
- HPE ArubaOS, Procurve Switch Software
- Palo Alto Networks PAN-OS
ستتم إضافة المزيد من موردي الشبكات ونظام التشغيل بمرور الوقت، استنادا إلى البيانات التي تم جمعها من استخدام العملاء. لذلك، يتم تشجيعك على تكوين جميع أجهزة الشبكة، حتى إذا لم يتم تحديدها في هذه القائمة.
خطوتك الأولى هي تحديد جهاز يقوم بإجراء عمليات فحص الشبكة المصادق عليها.
حدد جهاز Defender for Endpoint المإلحاق (العميل أو الخادم) الذي لديه اتصال شبكة بمنفذ الإدارة لأجهزة الشبكة التي تخطط لفحصها.
يجب السماح بنسبة استخدام الشبكة SNMP بين جهاز فحص Defender لنقطة النهاية وأجهزة الشبكة المستهدفة (على سبيل المثال، بواسطة جدار الحماية).
حدد أجهزة الشبكة التي يتم تقييمها بحثا عن الثغرات الأمنية (على سبيل المثال: مفتاح Cisco أو جدار حماية شبكات Palo Alto).
تأكد من تمكين SNMP للقراءة فقط على جميع أجهزة الشبكة المكونة للسماح لجهاز فحص Defender for Endpoint بالاستعلام عن أجهزة الشبكة المكونة. لا يلزم "كتابة SNMP" للوظائف المناسبة لهذه الميزة.
احصل على عناوين IP لأجهزة الشبكة المراد مسحها ضوئيا (أو الشبكات الفرعية حيث يتم نشر هذه الأجهزة).
احصل على بيانات اعتماد SNMP لأجهزة الشبكة (على سبيل المثال: سلسلة المجتمع، noAuthNoPriv، authNoPriv، authPriv). مطلوب منك توفير بيانات الاعتماد عند تكوين مهمة فحص جديدة.
تكوين عميل الوكيل: لا يلزم تكوين إضافي بخلاف متطلبات وكيل جهاز Defender لنقطة النهاية.
للسماح بمصادقة الماسح الضوئي والعمل بشكل صحيح، من الضروري إضافة المجالات/عناوين URL التالية:
- login.windows.net
- *.security.microsoft.com
- login.microsoftonline.com
- *.blob.core.windows.net/networkscannerstable/*
ملاحظة
لم يتم تحديد جميع عناوين URL في قائمة Defender for Endpoint الموثقة لجمع البيانات المسموح بها.
لتكوين مهام الفحص، مطلوب خيار إذن المستخدم التالي: إدارة إعدادات الأمان في Defender. يمكنك العثور على الإذن بالانتقال إلى Settings>Roles. لمزيد من المعلومات، راجع الإنشاء الأدوار وإدارتها للتحكم في الوصول المستند إلى الدور.
يتم دعم الماسح الضوئي على Windows 10، الإصدار 1903 وWindows Server، الإصدار 1903 والإصدارات الأحدث. لمزيد من المعلومات، راجع Windows 10، الإصدار 1903 وWindows Server، الإصدار 1903.
ملاحظة
هناك حد 40 عملية تثبيت للماسح الضوئي لكل مستأجر.
انتقل إلى Microsoft 365 security>Settings>Device discovery>Authenticated scans.
قم بتنزيل الماسح الضوئي وتثبيته على جهاز فحص Defender for Endpoint المعين.
يمكن إكمال عملية تسجيل الدخول على جهاز الفحص المعين نفسه أو أي جهاز آخر (على سبيل المثال، جهاز العميل الشخصي).
ملاحظة
يجب أن يكون كل من الحساب الذي يقوم المستخدم بتسجيل الدخول باستخدامه والجهاز المستخدم لإكمال عملية تسجيل الدخول، في نفس المستأجر حيث يتم إلحاق الجهاز Microsoft Defender لنقطة النهاية.
لإكمال عملية تسجيل الماسح الضوئي:
انسخ عنوان URL الذي يظهر على سطر الأوامر واتبعه واستخدم رمز التثبيت المتوفر لإكمال عملية التسجيل.
ملاحظة
قد تحتاج إلى تغيير إعدادات موجه الأوامر لتتمكن من نسخ عنوان URL.
أدخل التعليمات البرمجية وسجل الدخول باستخدام حساب Microsoft يحتوي على إذن Defender لنقطة النهاية يسمى "إدارة إعدادات الأمان في Defender."
عند الانتهاء، يجب أن تشاهد رسالة تؤكد تسجيل الدخول.
يحتوي الماسح الضوئي على مهمة مجدولة يتم تكوينها افتراضيا للبحث عن التحديثات بانتظام. عند تشغيل المهمة، فإنها تقارن إصدار الماسح الضوئي على جهاز العميل بإصدار العامل في موقع التحديث. موقع التحديث هو المكان الذي يبحث فيه Windows عن التحديثات، مثل مشاركة الشبكة أو من الإنترنت.
إذا كان هناك فرق بين الإصدارين، فإن عملية التحديث تحدد الملفات المختلفة وتحتاج إلى تحديث على الكمبيوتر المحلي. بمجرد تحديد التحديثات المطلوبة، يبدأ تنزيل التحديثات.
انتقل إلى Settings>Device discovery>Authenticated scans في مدخل Microsoft Defender.
حدد Add new scan واختر Network device authenticated scan وحدد Next.
اختر ما إذا كنت تريد تنشيط الفحص أم لا.
أدخل اسم الفحص.
حدد جهاز الفحص: الجهاز المإلحاق الذي تستخدمه لمسح أجهزة الشبكة ضوئيا.
أدخل الهدف (النطاق): نطاقات عناوين IP أو أسماء المضيفين التي تريد مسحها ضوئيا. يمكنك إما إدخال العناوين أو استيراد ملف CSV. يؤدي استيراد ملف إلى تجاوز أي عناوين تمت إضافتها يدويا.
حدد الفاصل الزمني للمسح الضوئي: بشكل افتراضي، يتم تشغيل الفحص كل أربع ساعات، ويمكنك تغيير الفاصل الزمني للمسح الضوئي أو تشغيله مرة واحدة فقط، عن طريق تحديد عدم التكرار.
اختر أسلوب المصادقة الخاص بك.
يمكنك تحديد استخدام azure KeyVault لتوفير بيانات الاعتماد: إذا قمت بإدارة بيانات الاعتماد الخاصة بك في Azure KeyVault، يمكنك إدخال عنوان URL Azure KeyVault والاسم السري Azure KeyVault للوصول إليه بواسطة جهاز الفحص لتوفير بيانات الاعتماد. تعتمد القيمة السرية على الأسلوب المصادق عليه الذي تختاره، كما هو موضح في الجدول التالي:
أسلوب المصادقة قيمة البيانات السرية ل Azure KeyVault AuthPriv المستخدم; AuthPassword; PrivPassword AuthNoPriv المستخدم; AuthPassword سلسلة المجتمع سلسلة المجتمع حدد التالي لتشغيل فحص الاختبار أو تخطيه.
حدد التالي لمراجعة الإعدادات وحدد إرسال لإنشاء فحص مصادق عليه لجهاز الشبكة الجديد.
ملاحظة
لمنع تكرار الجهاز في مخزون جهاز الشبكة، تأكد من تكوين كل عنوان IP مرة واحدة فقط عبر أجهزة فحص متعددة.
أثناء عملية الإعداد، يمكنك إجراء فحص اختباري لمرة واحدة للتحقق مما يلي:
- هناك اتصال بين جهاز فحص Defender لنقطة النهاية وأجهزة الشبكة المستهدفة المكونة.
- بيانات اعتماد SNMP المكونة صحيحة.
يمكن أن يدعم كل جهاز فحص ما يصل إلى 1500 عملية فحص ناجحة لعناوين IP. على سبيل المثال، إذا قمت بمسح 10 شبكات فرعية مختلفة حيث يرجع 100 عنوان IP فقط نتائج ناجحة، فستتمكن من مسح 1400 عنوان IP إضافي من شبكات فرعية أخرى على نفس جهاز الفحص.
إذا كان هناك نطاقات عناوين IP/شبكات فرعية متعددة للمسح الضوئي، تستغرق نتائج فحص الاختبار عدة دقائق للظهور. يتوفر فحص تجريبي لما يصل إلى 1024 عنوانا.
بمجرد ظهور النتائج، يمكنك اختيار الأجهزة التي سيتم تضمينها في الفحص الدوري. إذا تخطيت عرض نتائج الفحص، تتم إضافة جميع عناوين IP المكونة إلى الفحص المصادق عليه لجهاز الشبكة (بغض النظر عن استجابة الجهاز). يمكن أيضا تصدير نتائج الفحص.
يتم عرض الأجهزة المكتشفة حديثا ضمن علامة التبويب أجهزة الشبكة الجديدة في صفحة مخزون الجهاز . قد يستغرق الأمر ما يصل إلى ساعتين بعد إضافة مهمة فحص حتى يتم تحديث الأجهزة.
تحقق من إضافة عناوين URL المطلوبة إلى المجالات المسموح بها في إعدادات جدار الحماية. تأكد أيضا من تكوين إعدادات الوكيل كما هو موضح في تكوين إعدادات وكيل الجهاز والاتصال بالإنترنت.
تحقق من إضافة عناوين URL المطلوبة إلى المجالات المسموح بها في جدار الحماية الخاص بك. تأكد أيضا من تكوين إعدادات الوكيل كما هو موضح في تكوين إعدادات وكيل الجهاز والاتصال بالإنترنت.
يجب تحديث نتائج الفحص بعد بضع ساعات من الفحص الأولي الذي حدث بعد إكمال تكوين الفحص المصادق عليه لجهاز الشبكة.
إذا لم يتم عرض الأجهزة بعد، فتحقق من أن الخدمة "MdatpNetworkScanService" قيد التشغيل على أجهزتك التي يتم مسحها ضوئيا، والتي قمت بتثبيت الماسح الضوئي عليها، وقم بإجراء "تشغيل الفحص" في تكوين الفحص المصادق عليه لجهاز الشبكة ذي الصلة.
إذا كنت لا تزال لا تحصل على النتائج بعد 5 دقائق، فعد تشغيل الخدمة.
تحقق من أن الماسح الضوئي يعمل بشكل صحيح. ثم انتقل إلى تعريف الفحص وحدد "تشغيل الاختبار". تحقق من رسائل الخطأ التي يتم إرجاعها من عناوين IP ذات الصلة.
نظرا لأن الماسح الضوئي المصادق عليه يستخدم حاليا خوارزمية تشفير غير متوافقة مع معايير معالجة المعلومات الفيدرالية (FIPS)، لا يمكن أن يعمل الماسح الضوئي عندما تفرض المؤسسة استخدام الخوارزميات المتوافقة مع FIPS.
للسماح للخوارزميات غير المتوافقة مع FIPS، قم بتعيين القيمة التالية في السجل للأجهزة التي سيتم تشغيل الماسح الضوئي فيها:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy بقيمة DWORD تسمى Enabled وقيمة 0x0
تستخدم الخوارزميات المتوافقة مع FIPS فقط فيما يتعلق بالإدارات والوكالات التابعة للحكومة الفيدرالية للولايات المتحدة.
انتهى التسجيل بخطأ: "يبدو أنه ليس لديك أذونات كافية لإضافة عامل جديد. الإذن المطلوب هو "إدارة إعدادات الأمان في Defender".
اضغط على أي مفتاح للخروج.
اطلب من مسؤول النظام تعيين الأذونات المطلوبة لك. بدلا من ذلك، اطلب من عضو آخر ذي صلة مساعدتك في عملية تسجيل الدخول من خلال تزويده برمز تسجيل الدخول والارتباط.
جرب مستعرضا مختلفا أو انسخ ارتباط تسجيل الدخول والرمز إلى جهاز مختلف.
قم بتغيير إعدادات سطر الأوامر على جهازك للسماح بنسخ حجم النص وتغييره.
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.