Ermittlung von Netzwerkgeräten und Verwaltung von Sicherheitsrisiken

  • Artikel

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Hinweis

Der Blog zur Ermittlung von Netzwerkgeräten und Sicherheitsrisikobewertungen (veröffentlicht am 13.04.2021) bietet Einblicke in die neuen Netzwerkgeräteermittlungsfunktionen in Defender für Endpunkt. Dieser Artikel bietet eine Übersicht über die Herausforderung, die die Ermittlung von Netzwerkgeräten angehen soll, sowie ausführliche Informationen zu den ersten Schritten mit diesen neuen Funktionen.

Funktionen zur Netzwerkermittlung sind im Abschnitt Gerätebestand des Microsoft Defender-Portals und Microsoft Defender XDR-Konsolen verfügbar.

Ein bestimmtes Microsoft Defender for Endpoint Gerät wird in jedem Netzwerksegment verwendet, um regelmäßige authentifizierte Überprüfungen von vorkonfigurierten Netzwerkgeräten durchzuführen. Nach der Entdeckung bieten die Funktionen zur Verwaltung von Sicherheitsrisiken in Defender für Endpunkt integrierte Workflows zum Schützen von ermittelten Switches, Routern, WLAN-Controllern, Firewalls und VPN-Gateways.

Sobald die Netzwerkgeräte ermittelt und klassifiziert wurden, können Sicherheitsadministratoren die neuesten Sicherheitsempfehlungen erhalten und kürzlich entdeckte Sicherheitsrisiken auf Netzwerkgeräten überprüfen, die in ihrer Organisation bereitgestellt wurden.

Ansatz

Netzwerkgeräte werden nicht als Standardendpunkte verwaltet, da Defender für Endpunkt keinen Sensor in die Netzwerkgeräte selbst integriert hat. Diese Gerätetypen erfordern einen agentlosen Ansatz, bei dem eine Remoteüberprüfung die erforderlichen Informationen von den Geräten abruft. Abhängig von der Netzwerktopologie und den Merkmalen führt ein einzelnes Oder einige wenige Geräte, die in Microsoft Defender for Endpoint integriert sind, authentifizierte Überprüfungen von Netzwerkgeräten mithilfe von SNMP (schreibgeschützt) durch.

Es gibt zwei Arten von Geräten, die Sie berücksichtigen sollten:

  • Gerät überprüfen: Ein Gerät, das bereits integriert ist und zum Überprüfen der Netzwerkgeräte verwendet wird.
  • Netzwerkgeräte: Die Netzwerkgeräte, die Sie scannen und integrieren möchten.

Sicherheitsrisikomanagement für Netzwerkgeräte

Sobald die Netzwerkgeräte ermittelt und klassifiziert wurden, können Sicherheitsadministratoren die neuesten Sicherheitsempfehlungen erhalten und kürzlich entdeckte Sicherheitsrisiken auf Netzwerkgeräten überprüfen, die in ihrer Organisation bereitgestellt wurden.

Unterstützte Betriebssysteme

Die folgenden Betriebssysteme werden derzeit unterstützt:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Weitere Netzwerkanbieter und Betriebssysteme werden im Laufe der Zeit hinzugefügt, basierend auf Daten, die aus der Kundennutzung gesammelt wurden. Daher wird empfohlen, alle Netzwerkgeräte zu konfigurieren, auch wenn sie nicht in dieser Liste angegeben sind.

Erste Schritte

Der erste Schritt besteht darin, ein Gerät auszuwählen, das die authentifizierten Netzwerkscans durchführt.

  1. Entscheiden Sie sich für ein integriertes Defender für Endpunkt-Gerät (Client oder Server), das über eine Netzwerkverbindung mit dem Verwaltungsport für die Netzwerkgeräte verfügt, die Sie überprüfen möchten.

  2. SNMP-Datenverkehr zwischen dem Defender für Endpunkt-Scangerät und den Zielnetzwerkgeräten muss zugelassen werden (z. B. durch die Firewall).

  3. Entscheiden Sie, welche Netzwerkgeräte auf Sicherheitsrisiken geprüft werden (z. B. ein Cisco Switch oder eine Palo Alto Networks-Firewall).

  4. Stellen Sie sicher, dass snmp schreibgeschützt auf allen konfigurierten Netzwerkgeräten aktiviert ist, damit das Defender für Endpunkt-Scangerät die konfigurierten Netzwerkgeräte abfragen kann. "SNMP-Schreibvorgänge" ist für die ordnungsgemäße Funktionalität dieses Features nicht erforderlich.

  5. Rufen Sie die IP-Adressen der zu überprüfenden Netzwerkgeräte ab (oder die Subnetze, in denen diese Geräte bereitgestellt werden).

  6. Rufen Sie die SNMP-Anmeldeinformationen der Netzwerkgeräte ab (z. B. Community String, noAuthNoPriv, authNoPriv, authPriv). Sie müssen die Anmeldeinformationen angeben, wenn Sie einen neuen Scanauftrag konfigurieren.

  7. Proxyclientkonfiguration: Außer den Proxyanforderungen für Defender für Endpunkt-Geräte ist keine zusätzliche Konfiguration erforderlich.

  8. Damit der Scanner authentifiziert und ordnungsgemäß funktioniert, müssen Sie unbedingt die folgenden Domänen/URLs hinzufügen:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Hinweis

    In der dokumentierten Liste der zulässigen Datensammlungen von Defender für Endpunkt sind nicht alle URLs angegeben.

Berechtigungen

Zum Konfigurieren von Scanaufträgen ist die folgende Benutzerberechtigungsoption erforderlich: Sicherheitseinstellungen in Defender verwalten. Sie finden die Berechtigung unter Einstellungen>Rollen. Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung.

Voraussetzung für die Windows-Version für den Scanner

Der Scanner wird unter Windows 10 Version 1903 und Windows Server, Version 1903 und höher, unterstützt. Weitere Informationen finden Sie unter Windows 10, Version 1903 und Windows Server, Version 1903.

Hinweis

Es gibt einen Grenzwert von 40 Scannerinstallationen pro Mandant.

Installieren des Scanners

  1. Wechseln Sie zu Microsoft 365-Sicherheitseinstellungen>>Geräteermittlung>Authentifizierte Überprüfungen.

  2. Laden Sie den Scanner herunter, und installieren Sie ihn auf dem angegebenen Defender für Endpunkt-Scangerät.

    Screenshot des Bildschirms

Scannerinstallation & Registrierung

Der Anmeldevorgang kann auf dem vorgesehenen Scangerät selbst oder einem beliebigen anderen Gerät (z. B. Ihrem persönlichen Clientgerät) abgeschlossen werden.

Hinweis

Sowohl das Konto, mit dem sich der Benutzer anmeldet, als auch das Gerät, das zum Abschließen des Anmeldevorgangs verwendet wird, müssen sich in demselben Mandanten befinden, in dem das Gerät in Microsoft Defender for Endpoint integriert ist.

So schließen Sie den Registrierungsprozess für den Scanner ab:

  1. Kopieren Sie die URL, die in der Befehlszeile angezeigt wird, und befolgen Sie sie, und verwenden Sie den bereitgestellten Installationscode, um den Registrierungsvorgang abzuschließen.

    Hinweis

    Möglicherweise müssen Sie die Eingabeaufforderungseinstellungen ändern, um die URL kopieren zu können.

  2. Geben Sie den Code ein, und melden Sie sich mit einem Microsoft-Konto an, das über die Defender für Endpunkt-Berechtigung "Verwalten von Sicherheitseinstellungen in Defender" verfügt.

  3. Wenn Sie fertig sind, sollte eine Meldung angezeigt werden, die bestätigt, dass Sie sich angemeldet haben.

Updates für Scanner

Der Scanner verfügt über eine geplante Aufgabe, die standardmäßig so konfiguriert ist, dass regelmäßig nach Updates gesucht wird. Wenn der Task ausgeführt wird, wird die Version des Scanners auf dem Clientgerät mit der Version des Agents am Updatespeicherort verglichen. Der Updatespeicherort ist der Ort, an dem Windows nach Updates sucht, z. B. auf einer Netzwerkfreigabe oder aus dem Internet.

Wenn ein Unterschied zwischen den beiden Versionen besteht, wird im Updateprozess ermittelt, welche Dateien unterschiedlich sind und auf dem lokalen Computer aktualisiert werden müssen. Sobald die erforderlichen Updates ermittelt wurden, wird der Download der Updates gestartet.

Konfigurieren einer neuen Authentifizierung des Netzwerkgeräts

  1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Geräteermittlung>Authentifizierte Überprüfungen.

  2. Wählen Sie Neue Überprüfung hinzufügen und dann Überprüfung mit Netzwerkgerätauthentifizierung aus, und wählen Sie Weiter aus.

    Screenshot des Bildschirms

  3. Wählen Sie aus, ob die Überprüfung aktiviert werden soll.

  4. Geben Sie einen Scannamen ein.

  5. Wählen Sie das Gerät scannen aus: Das integrierte Gerät, das Sie zum Scannen der Netzwerkgeräte verwenden.

  6. Geben Sie das Ziel (Bereich) ein: Die IP-Adressbereiche oder Hostnamen, die Sie überprüfen möchten. Sie können entweder die Adressen eingeben oder eine CSV-Datei importieren. Beim Importieren einer Datei werden alle manuell hinzugefügten Adressen überschrieben.

  7. Wählen Sie das Scanintervall aus: Standardmäßig wird die Überprüfung alle vier Stunden ausgeführt. Sie können das Überprüfungsintervall ändern oder nur einmal ausführen lassen, indem Sie Nicht wiederholen auswählen.

  8. Wählen Sie Ihre Authentifizierungsmethode aus.

    Sie können azure KeyVault zum Bereitstellen von Anmeldeinformationen verwenden auswählen: Wenn Sie Ihre Anmeldeinformationen in Azure KeyVault verwalten, können Sie die Azure KeyVault-URL und den Namen des Azure KeyVault-Geheimnisses eingeben, auf die das Scangerät zugreifen kann, um Anmeldeinformationen bereitzustellen. Der Geheimniswert ist abhängig von der authentifizierten Methode, die Sie auswählen, wie in der folgenden Tabelle beschrieben:

    Authentifizierungsmethode Azure KeyVault-Geheimniswert
    AuthPriv Nutzername; AuthPassword; PrivPassword
    AuthNoPriv Nutzername; AuthPassword
    CommunityString CommunityString

  9. Wählen Sie Weiter aus, um den Testscan auszuführen oder zu überspringen.

  10. Wählen Sie Weiter aus, um die Einstellungen zu überprüfen, und wählen Sie Senden aus, um den Authentifizierungsscan Ihres neuen Netzwerkgeräts zu erstellen.

Hinweis

Um eine Geräteduplizierung im Netzwerkgerätebestand zu verhindern, stellen Sie sicher, dass jede IP-Adresse nur einmal für mehrere Scangeräte konfiguriert ist.

Überprüfen und Hinzufügen von Netzwerkgeräten

Während des Setupprozesses können Sie einen einmaligen Testscan durchführen, um Folgendes zu überprüfen:

  • Es besteht Konnektivität zwischen dem Defender für Endpunkt-Scangerät und den konfigurierten Zielnetzwerkgeräten.
  • Die konfigurierten SNMP-Anmeldeinformationen sind richtig.

Jedes Scangerät kann bis zu 1.500 erfolgreiche IP-Adressenscans unterstützen. Wenn Sie beispielsweise 10 verschiedene Subnetze scannen, bei denen nur 100 IP-Adressen erfolgreiche Ergebnisse zurückgeben, können Sie 1.400 zusätzliche IP-Adressen aus anderen Subnetzen auf demselben Scangerät überprüfen.

Wenn mehrere IP-Adressbereiche/Subnetze zu überprüfen sind, dauert es einige Minuten, bis die Testscanergebnisse angezeigt werden. Ein Testscan ist für bis zu 1.024 Adressen verfügbar.

Sobald die Ergebnisse angezeigt werden, können Sie auswählen, welche Geräte in die regelmäßige Überprüfung einbezogen werden sollen. Wenn Sie die Anzeige der Überprüfungsergebnisse überspringen, werden alle konfigurierten IP-Adressen zum authentifizierten Scan des Netzwerkgeräts hinzugefügt (unabhängig von der Antwort des Geräts). Die Scanergebnisse können auch exportiert werden.

Geräteübersicht

Neu ermittelte Geräte werden auf der Seite Gerätebestand auf der Neuen Registerkarte Netzwerkgeräte angezeigt. Nach dem Hinzufügen eines Scanauftrags kann es bis zu zwei Stunden dauern, bis die Geräte aktualisiert werden.

Screenshot der Registerkarte

Problembehandlung

Fehler bei der Scannerinstallation

Vergewissern Sie sich, dass die erforderlichen URLs den zulässigen Domänen in Ihren Firewalleinstellungen hinzugefügt werden. Stellen Sie außerdem sicher, dass die Proxyeinstellungen wie unter Konfigurieren von Geräteproxy- und Internetkonnektivitätseinstellungen beschrieben konfiguriert sind.

Die Microsoft.com/devicelogin Webseite wurde nicht angezeigt.

Stellen Sie sicher, dass die erforderlichen URLs den zulässigen Domänen in Ihrer Firewall hinzugefügt werden. Stellen Sie außerdem sicher, dass die Proxyeinstellungen wie unter Konfigurieren von Geräteproxy- und Internetkonnektivitätseinstellungen beschrieben konfiguriert sind.

Netzwerkgeräte werden nach mehreren Stunden nicht mehr im Gerätebestand angezeigt

Die Überprüfungsergebnisse sollten einige Stunden nach der ersten Überprüfung aktualisiert werden, die nach Abschluss der Konfiguration der authentifizierten Überprüfung des Netzwerkgeräts durchgeführt wurde.

Wenn immer noch keine Geräte angezeigt werden, überprüfen Sie, ob der Dienst "MdatpNetworkScanService" auf Den zu überprüfenden Geräten ausgeführt wird, auf denen Sie den Scanner installiert haben, und führen Sie eine "Überprüfung ausführen" in der entsprechenden Konfiguration für die authentifizierte Überprüfung des Netzwerkgeräts aus.

Wenn Sie nach 5 Minuten immer noch keine Ergebnisse erhalten, starten Sie den Dienst neu.

Die zuletzt angezeigte Zeit für Geräte ist länger als 24 Stunden.

Überprüfen Sie, ob der Scanner ordnungsgemäß ausgeführt wird. Wechseln Sie dann zur Scandefinition, und wählen Sie "Test ausführen" aus. Überprüfen Sie, welche Fehlermeldungen von den relevanten IP-Adressen zurückgegeben werden.

Mein Scanner ist konfiguriert, aber Überprüfungen werden nicht ausgeführt

Da der authentifizierte Scanner derzeit einen Verschlüsselungsalgorithmus verwendet, der nicht mit den Federal Information Processing Standards (FIPS) konform ist, kann der Scanner nicht ausgeführt werden, wenn ein organization die Verwendung von FIPS-konformen Algorithmen erzwingt.

Um Algorithmen zuzulassen, die nicht mit FIPS kompatibel sind, legen Sie den folgenden Wert in der Registrierung für die Geräte fest, auf denen der Scanner ausgeführt wird:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy mit dem DWORD-Wert Enabled und dem Wert 0x0

FIPS-kompatible Algorithmen werden nur in Bezug auf Abteilungen und Behörden der USA Bundesregierung verwendet.

Erforderliche Defender Vulnerability Management-Benutzerberechtigung

Die Registrierung wurde mit einem Fehler abgeschlossen: "Anscheinend verfügen Sie nicht über ausreichende Berechtigungen zum Hinzufügen eines neuen Agents. Die erforderliche Berechtigung ist "Sicherheitseinstellungen in Defender verwalten".

Drücken Sie eine beliebige Taste, um den Vorgang zu beenden.

Bitten Sie Ihren Systemadministrator, Ihnen die erforderlichen Berechtigungen zuzuweisen. Bitten Sie alternativ ein anderes relevantes Mitglied, Ihnen beim Anmeldevorgang zu helfen, indem sie den Anmeldecode und den Link bereitstellen.

Versuchen Sie es mit einem anderen Browser, oder kopieren Sie den Anmeldelink und den Code auf ein anderes Gerät.

Text zu klein oder kann keinen Text aus der Befehlszeile kopieren

Ändern Sie die Befehlszeileneinstellungen auf Ihrem Gerät, um das Kopieren und Ändern der Textgröße zu ermöglichen.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.