Zjišťování síťových zařízení a správa ohrožení zabezpečení

  • Článek

Platí pro:

Chcete vyzkoušet Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Poznámka

Blog o zjišťování síťových zařízení a posouzeních ohrožení zabezpečení (publikovaný 13. 4. 2021) poskytuje přehledy o nových možnostech zjišťování síťových zařízení v Defenderu for Endpoint. Tento článek obsahuje přehled výzvy, které má zjišťování síťových zařízení řešit, a podrobné informace o tom, jak začít používat tyto nové funkce.

Možnosti zjišťování sítě jsou k dispozici v části Inventář zařízení na portálu Microsoft Defender a konzolách Microsoft Defender XDR.

Určené Microsoft Defender for Endpoint zařízení se používá v každém segmentu sítě k provádění pravidelných ověřených kontrol předkonfigurovaných síťových zařízení. Po zjištění poskytují funkce správy ohrožení zabezpečení v Defenderu for Endpoint integrované pracovní postupy pro zabezpečení zjištěných přepínačů, směrovačů, kontrolerů wlan, bran firewall a bran VPN.

Po zjištění a klasifikaci síťových zařízení můžou správci zabezpečení obdržet nejnovější doporučení k zabezpečení a zkontrolovat nedávno zjištěná ohrožení zabezpečení na síťových zařízeních nasazených v jejich organizacích.

Přístup

Síťová zařízení se nespravují jako standardní koncové body, protože Defender for Endpoint nemá senzor integrovaný do samotných síťových zařízení. Tyto typy zařízení vyžadují přístup bez agentů, kdy vzdálená kontrola získá ze zařízení potřebné informace. V závislosti na topologii a vlastnostech sítě provádí jedno nebo několik zařízení nasazených do Microsoft Defender for Endpoint ověřené kontroly síťových zařízení pomocí protokolu SNMP (jen pro čtení).

Je potřeba mít na paměti dva typy zařízení:

  • Skenovací zařízení: Zařízení, které je už nasazené a které používáte ke kontrole síťových zařízení.
  • Síťová zařízení: Síťová zařízení, která chcete prohledávat a onboardovat.

Správa ohrožení zabezpečení pro síťová zařízení

Po zjištění a klasifikaci síťových zařízení můžou správci zabezpečení obdržet nejnovější doporučení k zabezpečení a zkontrolovat nedávno zjištěná ohrožení zabezpečení na síťových zařízeních nasazených v jejich organizacích.

Podporované operační systémy

V současné době jsou podporovány následující operační systémy:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Další dodavatelé sítí a operačních systémů se budou postupně přidávat na základě dat shromážděných od zákazníků. Proto doporučujeme nakonfigurovat všechna síťová zařízení, i když nejsou v tomto seznamu uvedená.

Jak začít

Prvním krokem je vybrat zařízení, které provádí ověřené kontroly sítě.

  1. Rozhodněte se o zařízení (klienta nebo serveru) defenderu for Endpoint, které má síťové připojení k portu pro správu síťových zařízení, která plánujete kontrolovat.

  2. Provoz PROTOKOLU SNMP mezi zařízením pro kontrolu defenderu for Endpoint a cílovými síťovými zařízeními musí být povolený (například bránou firewall).

  3. Rozhodněte, u kterých síťových zařízení se vyhodnotí ohrožení zabezpečení (například přepínač Cisco nebo brána firewall Palo Alto Networks).

  4. Ujistěte se, že je na všech nakonfigurovaných síťových zařízeních povolený protokol SNMP jen pro čtení, aby se zařízení pro kontrolu defenderu for Endpoint mohlo dotazovat na nakonfigurovaná síťová zařízení. Zápis protokolu SNMP není nutný pro správnou funkci této funkce.

  5. Získejte IP adresy síťových zařízení, která se mají zkontrolovat (nebo podsítě, ve kterých jsou tato zařízení nasazená).

  6. Získejte přihlašovací údaje SNMP síťových zařízení (například Community String, noAuthNoPriv, authNoPriv, authPriv). Při konfiguraci nové úlohy kontroly musíte zadat přihlašovací údaje.

  7. Konfigurace klienta proxy serveru: Kromě požadavků na proxy zařízení defenderu for Endpoint není nutná žádná další konfigurace.

  8. Pokud chcete, aby se skener ověřil a fungoval správně, je nezbytné přidat následující domény nebo adresy URL:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Poznámka

    Ne všechny adresy URL jsou zadané v seznamu povoleného shromažďování dat v programu Defender for Endpoint.

Oprávnění

Ke konfiguraci úloh kontroly se vyžaduje následující možnost oprávnění uživatele: Správa nastavení zabezpečení v Programu Defender. Oprávnění najdete v části Nastavení>Role. Další informace najdete v tématu Create a správa rolí pro řízení přístupu na základě rolí.

Požadovaná verze Windows pro skener

Skener se podporuje ve verzích Windows 10 1903 a Windows Server verze 1903 a novějších. Další informace najdete v tématech Windows 10 verze 1903 a Windows Server verze 1903.

Poznámka

Existuje limit 40 instalací skeneru na jednoho tenanta.

Instalace skeneru

  1. Přejděte naNastavení> zabezpečení >Microsoftu 365Zjišťování> zařízeníOvěřené kontroly.

  2. Stáhněte si skener a nainstalujte ho na určené skenovací zařízení Defender for Endpoint.

    Snímek obrazovky s přidáním nové ověřené obrazovky kontroly

Instalace skeneru & registrace

Proces přihlášení je možné dokončit na samotném určeném skenovacím zařízení nebo na jakémkoli jiném zařízení (například na osobním klientském zařízení).

Poznámka

Účet, pomocí kterého se uživatel přihlašuje, i zařízení, které se používá k dokončení procesu přihlášení, musí být ve stejném tenantovi, ve kterém je zařízení nasazené k Microsoft Defender for Endpoint.

Postup dokončení procesu registrace skeneru:

  1. Zkopírujte a postupujte podle adresy URL, která se zobrazí na příkazovém řádku, a pomocí poskytnutého instalačního kódu dokončete proces registrace.

    Poznámka

    Možná budete muset změnit nastavení příkazového řádku, aby bylo možné kopírovat adresu URL.

  2. Zadejte kód a přihlaste se pomocí účtu Microsoft, který má oprávnění Defender for Endpoint s názvem Správa nastavení zabezpečení v Defenderu.

  3. Po dokončení by se měla zobrazit zpráva s potvrzením, že jste se přihlásili.

Aktualizace pro skener

Skener má naplánovanou úlohu, která je ve výchozím nastavení nakonfigurovaná tak, aby pravidelně hledala aktualizace. Při spuštění úloha porovná verzi skeneru na klientském zařízení s verzí agenta v umístění aktualizace. Umístění aktualizace je místo, kde systém Windows hledá aktualizace, například ve sdílené síťové složce nebo z internetu.

Pokud mezi těmito dvěma verzemi existuje rozdíl, proces aktualizace určí, které soubory se liší a které je potřeba aktualizovat v místním počítači. Po určení požadovaných aktualizací se spustí stahování aktualizací.

Konfigurace nové kontroly ověřeného síťového zařízení

  1. Na portálu Microsoft Defender přejděte na Nastavení>Zjišťování> zařízeníOvěřené kontroly.

  2. Vyberte Přidat novou kontrolu , zvolte Kontrola ověřená síťovým zařízením a vyberte Další.

    Snímek obrazovky s kontrolou s ověřením přidání nového síťového zařízení

  3. Zvolte, jestli chcete aktivovat kontrolu.

  4. Zadejte Název kontroly.

  5. Vyberte Skenovací zařízení: Onboardované zařízení, které používáte ke kontrole síťových zařízení.

  6. Zadejte Cíl (rozsah): Rozsahy IP adres nebo názvy hostitelů, které chcete zkontrolovat. Můžete zadat adresy nebo importovat soubor CSV. Import souboru přepíše všechny ručně přidané adresy.

  7. Vyberte Interval procházení: Ve výchozím nastavení se kontrola spouští každé čtyři hodiny. Interval procházení můžete změnit nebo ho můžete spustit jenom jednou, a to výběrem možnosti Neopakovat.

  8. Zvolte metodu ověřování.

    K zadání přihlašovacích údajů můžete použít azure KeyVault: Pokud spravujete přihlašovací údaje v Azure KeyVault, můžete zadat adresu URL služby Azure KeyVault a název tajného klíče Azure KeyVault, ke které má skenovací zařízení přístup, a zadat přihlašovací údaje. Hodnota tajného kódu závisí na vámi zvolené metodě Authenticated, jak je popsáno v následující tabulce:

    Metoda ověřování Hodnota tajného klíče Azure KeyVault
    AuthPriv Username; AuthPassword; PrivPassword
    AuthNoPriv Username; AuthPassword
    CommunityString CommunityString

  9. Výběrem možnosti Další spusťte nebo přeskočte testovací kontrolu.

  10. Výběrem možnosti Další zkontrolujte nastavení a výběrem možnosti Odeslat vytvořte novou kontrolu ověřeného síťového zařízení.

Poznámka

Pokud chcete zabránit duplikaci zařízení v inventáři síťových zařízení, ujistěte se, že každá IP adresa je nakonfigurovaná jenom jednou na více skenovaných zařízeních.

Kontrola a přidání síťových zařízení

Během procesu nastavení můžete provést jednorázovou testovací kontrolu, abyste ověřili, že:

  • Mezi zařízením pro kontrolu defenderu for Endpoint a nakonfigurovaným cílovým síťovým zařízením existuje připojení.
  • Nakonfigurované přihlašovací údaje protokolu SNMP jsou správné.

Každé skenovací zařízení může podporovat až 1 500 úspěšných prohledávání IP adres. Pokud například prohledáte 10 různých podsítí, kde pouze 100 IP adres vrací úspěšné výsledky, budete moct zkontrolovat dalších 1 400 IP adres z jiných podsítí na stejném skenovacím zařízení.

Pokud je potřeba zkontrolovat více rozsahů IP adres nebo podsítí, výsledky testovací kontroly se zobrazí několik minut. Testovací kontrola je k dispozici až pro 1 024 adres.

Jakmile se zobrazí výsledky, můžete zvolit, která zařízení budou součástí pravidelné kontroly. Pokud přeskočíte zobrazení výsledků kontroly, všechny nakonfigurované IP adresy se přidají do kontroly ověřené síťovým zařízením (bez ohledu na odpověď zařízení). Výsledky kontroly je také možné exportovat.

Inventář zařízení

Nově zjištěná zařízení se zobrazují na nové kartě Síťová zařízení na stránce Inventář zařízení . Po přidání úlohy skenování může trvat až dvě hodiny, než se zařízení aktualizují.

Snímek obrazovky s kartou síťového zařízení v inventáři zařízení

Řešení problémů

Instalace skeneru se nezdařila

Ověřte, že se požadované adresy URL přidaly k povoleným doménám v nastavení brány firewall. Také se ujistěte, že jsou nakonfigurovaná nastavení proxy serveru, jak je popsáno v tématu Konfigurace nastavení proxy serveru zařízení a připojení k internetu.

Webová stránka Microsoft.com/devicelogin se nezobrazuje

Ověřte, že jsou požadované adresy URL přidané k povoleným doménám v bráně firewall. Také se ujistěte, že jsou nakonfigurovaná nastavení proxy serveru, jak je popsáno v tématu Konfigurace nastavení proxy serveru zařízení a připojení k internetu.

Síťová zařízení se po několika hodinách nezobrazují v inventáři zařízení.

Výsledky kontroly by se měly aktualizovat několik hodin po počáteční kontrole, která proběhla po dokončení konfigurace kontroly ověřené síťovým zařízením.

Pokud se zařízení stále nezobrazují, ověřte, že je na kontrolovaných zařízeních spuštěná služba MdatpNetworkScanService, na která jste nainstalovali skener, a proveďte "Spustit kontrolu" v konfiguraci kontroly ověřené příslušným síťovým zařízením.

Pokud se ani po 5 minutách nezobrazí výsledky, restartujte službu.

Čas posledního výskytu zařízení je delší než 24 hodin

Ověřte, že skener funguje správně. Pak přejděte k definici kontroly a vyberte Spustit test. Zkontrolujte, jaké chybové zprávy se vracejí z příslušných IP adres.

Skener je nakonfigurovaný, ale neběží kontroly

Vzhledem k tomu, že ověřený skener v současné době používá šifrovací algoritmus, který nevyhovuje standardu FIPS (Federal Information Processing Standards), nemůže skener fungovat, když organizace vynucuje použití algoritmů kompatibilních se standardem FIPS.

Pokud chcete povolit algoritmy, které nevyhovují standardu FIPS, nastavte následující hodnotu v registru pro zařízení, na kterých se bude skener spouštět:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy s hodnotou DWORD s názvem Enabled a hodnotou 0x0

Algoritmy kompatibilní se standardem FIPS se používají pouze ve vztahu k oddělením a agenturám USA federální vlády.

Požadovaná uživatelská oprávnění správy ohrožení zabezpečení programu Defender

Registrace se dokončila s chybou: "Vypadá to, že nemáte dostatečná oprávnění pro přidání nového agenta. Požadované oprávnění je Spravovat nastavení zabezpečení v defenderu.

Stisknutím libovolné klávesy ji ukončete.

Požádejte správce systému, aby vám přiřadil požadovaná oprávnění. Případně požádejte jiného příslušného člena, aby vám pomohl s procesem přihlášení tím, že mu poskytne přihlašovací kód a odkaz.

Zkuste použít jiný prohlížeč nebo zkopírujte přihlašovací odkaz a kód do jiného zařízení.

Text je příliš malý nebo nejde kopírovat text z příkazového řádku

Změňte nastavení příkazového řádku na svém zařízení tak, aby umožňovalo kopírování a změnu velikosti textu.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.