Jaa

Verkkolaitteiden resurssienetsintä ja haavoittuvuuden hallinta

  • Artikkeli

Koskee seuraavia:

Haluatko kokea Microsoft Defender for Endpointin? Rekisteröidy maksuttomaan kokeiluversioon.

Huomautus

Verkkolaitteiden etsinnän ja haavoittuvuuden arviointien blogi (julkaistu 04-13-2021) tarjoaa merkityksellisiä tietoja Defender for Endpointin uusista verkkolaitteiden etsintätoiminnoista. Tässä artikkelissa on yleiskatsaus haasteesta, johon Verkkolaitteiden etsintä on suunniteltu vastaamaan, sekä yksityiskohtaisia tietoja näiden uusien ominaisuuksien käytön aloittamisesta.

Verkon etsintätoiminnot ovat käytettävissä Microsoft Defender portaalinlaitevarasto-osassa ja Microsoft Defender XDR konsoleissa.

Määritettyä Microsoft Defender for Endpoint laitetta käytetään kussakin verkkosegmentissä esimääritettyjen verkkolaitteiden säännöllisten todennustarkistusten suorittamiseen. Kun haavoittuvuuksien hallintaominaisuudet on löydetty Defender for Endpointissa, ne tarjoavat integroituja työnkulkuja löydettyjen kytkimien, reitittimien, WLAN-ohjainten, palomuurien ja VPN-yhdyskäytävien suojaamiseksi.

Kun verkkolaitteet on löydetty ja luokiteltu, suojauksen järjestelmänvalvojat voivat saada uusimmat suojaussuositukset ja tarkastella organisaatioissaan käyttöönotettujen verkkolaitteiden äskettäin havaittuja haavoittuvuuksia.

Lähestymistapa

Verkkolaitteita ei hallita tavallisina päätepisteinä, koska Defender for Endpointissa ei ole itse verkkolaitteisiin sisäänrakennettua tunnistinta. Tämäntyyppiset laitteet edellyttävät agenttitonta lähestymistapaa, jossa etätarkistus saa tarvittavat tiedot laitteista. Verkkotopologiasta ja ominaisuuksista riippuen yksi laite tai muutama Microsoft Defender for Endpoint suorittaa todennettuja skannauksia verkkolaitteissa SNMP:n avulla (vain luku).

On kahdenlaisia laitteita, jotka on pidettävä mielessä:

  • Skannauslaite: Laite, joka on jo otettu käyttöön ja jota käytät verkkolaitteiden tarkistamiseen.
  • Verkkolaitteet: Verkkolaitteet, jotka aiot skannata ja ottaa käyttöön.

Verkkolaitteiden haavoittuvuuden hallinta

Kun verkkolaitteet on löydetty ja luokiteltu, suojauksen järjestelmänvalvojat voivat saada uusimmat suojaussuositukset ja tarkastella organisaatioissaan käyttöönotettujen verkkolaitteiden äskettäin havaittuja haavoittuvuuksia.

Tuetut käyttöjärjestelmät

Seuraavia käyttöjärjestelmiä tuetaan tällä hetkellä:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Kataja JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Lisää verkkotoimittajia ja käyttöjärjestelmää lisätään ajan kuluessa asiakkaan käytöstä kerättyjen tietojen perusteella. Siksi sinua kehotetaan määrittämään kaikki verkkolaitteesi, vaikka niitä ei olisi määritetty tässä luettelossa.

Aloittaminen

Ensimmäinen vaihe on valita laite, joka suorittaa todennetut verkkoskannaukset.

  1. Valitse Defender for Endpoint onboarded device (asiakas tai palvelin), jolla on verkkoyhteys skannattavan verkkolaitteen hallintaporttiin.

  2. SNMP-liikenne Defender for Endpoint -tarkistuslaitteen ja kohdennettujen verkkolaitteiden välillä on sallittava (esimerkiksi palomuuri).

  3. Päätä, mitkä verkkolaitteet arvioidaan heikkouksien varalta (esimerkiksi Cisco-kytkin tai Palo Alto Networksin palomuuri).

  4. Varmista, että SNMP:n vain luku -asetus on käytössä kaikissa määritetyissä verkkolaitteissa, jotta Defender for Endpoint -skannauslaite voi kysellä määritettyjä verkkolaitteita. SNMP Write -toimintoa ei tarvita tämän ominaisuuden toiminnallisuutena.

  5. Hanki tarkisteltavien verkkolaitteiden (tai aliverkkojen, joissa nämä laitteet otetaan käyttöön) IP-osoitteet.

  6. Hanki verkkolaitteiden SNMP-tunnistetiedot (esimerkiksi Community String, noAuthNoPriv, authNoPriv, authPriv). Sinun on annettava tunnistetiedot, kun määrität uutta tarkistustyötä.

  7. Välityspalvelimen asiakasmääritys: Muita lisämäärityksiä ei tarvita kuin Defenderin päätepistelaitteen välityspalvelimen vaatimukset.

  8. Jotta skanneri voidaan todentaa ja toimia oikein, on tärkeää lisätä seuraavat toimialueet/URL-osoitteet:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Huomautus

    Kaikkia URL-osoitteita ei ole määritetty Defender for Endpointin dokumentoidussa sallittujen tietojen keräämisen luettelossa.

Käyttöoikeudet

Tarkistustöiden määrittämiseen tarvitaan seuraava käyttöoikeusasetus: Suojausasetusten hallinta Defenderissä. Voit etsiä käyttöoikeuden siirtymällä kohtaan Asetukset>Roolit. Lisätietoja on artikkelissa Roolipohjaisen käytön hallinnan roolien Create ja hallinta.

Skannerin edellytys Windows-versio

Skanneria tuetaan Windows 10 versiossa 1903 ja Windows Serverin versiossa 1903 ja uudemmissa versioissa. Lisätietoja on kohdassa Windows 10, versio 1903 ja Windows Server, versio 1903.

Huomautus

Vuokraajaa kohden on raja 40 skanneriasennusta.

Asenna skanneri

  1. Siirry kohtaan Microsoft 365-suojausasetukset>>Laitteen resurssienetsintä>Todennetut tarkistukset.

  2. Lataa skanneri ja asenna se määritettyyn Defender for Endpoint -skannauslaitteeseen.

    Näyttökuva lisää uusi todennettu tarkistus -näytöstä

Skannerin asennus & rekisteröinti

Kirjautumisprosessi voidaan suorittaa itse määritetyllä skannauslaitteella tai millä tahansa muulla laitteella (esimerkiksi henkilökohtaisella asiakaslaitteella).

Huomautus

Sekä tilillä, jolla käyttäjä kirjautuu sisään, että laitteella, jolla kirjautumisprosessi suoritetaan, on oltava samassa vuokraajassa, jossa laite on otettu käyttöön Microsoft Defender for Endpoint.

Skannerin rekisteröintiprosessin viimeisteleminen:

  1. Kopioi ja seuraa komentorivillä näkyvää URL-osoitetta ja viimeistele rekisteröinti käyttämällä annettua asennuskoodia.

    Huomautus

    Sinun on ehkä muutettava komentokehoteasetuksia, jotta voit kopioida URL-osoitteen.

  2. Kirjoita koodi ja kirjaudu sisään Microsoft-tilillä, jolla on Defender for Endpoint -oikeus ja jonka nimi on "Suojausasetusten hallinta Defenderissä".

  3. Kun olet valmis, sinun pitäisi nähdä viesti, jossa ilmoitetaan, että olet kirjautunut sisään.

skannerin Päivitykset

Skannerilla on ajoitettu tehtävä, joka on oletusarvoisesti määritetty etsimään päivityksiä säännöllisesti. Kun tehtävä suoritetaan, se vertaa asiakaslaitteen skannerin versiota päivityssijainnin agentin versioon. Päivityssijainti on paikka, josta Windows etsii päivityksiä, kuten jaettavasta verkkoresurssista tai Internetistä.

Jos näiden kahden version välillä on eroja, päivitysprosessi määrittää, mitkä tiedostot ovat erilaisia ja mitkä tiedostot on päivitettävä paikallisessa tietokoneessa. Kun tarvittavat päivitykset on määritetty, päivitysten lataaminen alkaa.

Uuden verkkolaitteen todennetun tarkistuksen määrittäminen

  1. Siirry kohtaan Asetukset>Laitteen etsinnän>todennetut tarkistuksetMicrosoft Defender portaalissa.

  2. Valitse Lisää uusi tarkistus ja valitse Verkkolaitteen todennettu tarkistus ja valitse Seuraava.

    Näyttökuva Lisää uusi verkkolaite -todennetun tarkistuksen näytöstä

  3. Valitse, aktivoidaanko tarkistus.

  4. Anna tarkistuksen nimi.

  5. Valitse Skannauslaite: Verkkolaitteiden skannaamiseen käytettävä perehdytyslaite.

  6. Anna tavoite (alue): tarkistettavat IP-osoitealueet tai isäntänimet. Voit joko antaa osoitteet tai tuoda CSV-tiedoston. Tiedoston tuominen ohittaa kaikki manuaalisesti lisätyt osoitteet.

  7. Valitse tarkistuksen aikaväli: Tarkistus suoritetaan oletusarvoisesti neljän tunnin välein, voit muuttaa tarkistuksen aikaväliä tai määrittää sen suoritettavaksi vain kerran valitsemalla Älä toista.

  8. Valitse todentamismenetelmä.

    Voit valita Käytä azure KeyVaultia tunnistetietojen antamiseen: Jos hallitset tunnistetietojasi Azure KeyVaultissa, voit antaa Azure KeyVault URL- ja Azure KeyVault -salaisen koodin nimen, joita skannauslaite käyttää tunnistetietojen antamiseen. Salaisen koodin arvo on riippuvainen valitsemastasi todennetun menetelmän arvosta seuraavassa taulukossa kuvatulla tavalla:

    Todennusmenetelmä Azure KeyVault -salasana-arvo
    AuthPriv Käyttäjätunnus; AuthPassword; Yksisalasana
    AuthNoPriv Käyttäjätunnus; AuthPassword
    CommunityString CommunityString

  9. Suorita tai ohita testitarkistus valitsemalla Seuraava .

  10. Valitse Seuraava tarkastellaksesi asetuksia ja valitsemalla Lähetä luodaksesi uuden verkkolaitteen todennetun tarkistuksen.

Huomautus

Jos haluat estää laitteen päällekkäisyyden verkkolaitteen varastossa, varmista, että jokainen IP-osoite määritetään vain kerran useissa skannauslaitteissa.

Verkkolaitteiden tarkistaminen ja lisääminen

Määritysprosessin aikana voit suorittaa kertatestin tarkistuksen varmistaaksesi, että:

  • Defender for Endpoint -tarkistuslaitteen ja määritettyjen kohdeverkkolaitteiden välillä on yhteys.
  • Määritetyt SNMP-tunnistetiedot ovat oikein.

Jokainen skannauslaite voi tukea jopa 1 500 onnistunutta IP-osoitteiden tarkistusta. Jos esimerkiksi skannaat 10 eri aliverkkoa, joissa vain 100 IP-osoitetta palauttaa onnistuneet tulokset, voit skannata 1 400 IP-lisäosoittetta muista aliverkoista samalla skannauslaitteella.

Jos skannattavana on useita IP-osoitealueita/aliverkkoja, testitarkistusten tulosten näkyminen kestää useita minuutteja. Enintään 1 024 osoitteelle on saatavilla testitarkistus.

Kun tulokset näkyvät, voit valita, mitkä laitteet sisällytetään jaksoittaisiin tarkistuksiin. Jos ohitat tarkistustulosten tarkastelun, kaikki määritetyt IP-osoitteet lisätään verkkolaitteen todennettuun tarkistukseen (laitteen vastauksesta riippumatta). Myös tarkistustulokset voidaan viedä.

Laiteluettelo

Äskettäin löydetyt laitteet näkyvät Uusien verkkolaitteiden välilehdellä Laitteen varasto -sivulla. Tarkistustyön lisäämisen jälkeen voi kestää jopa kaksi tuntia, ennen kuin laitteet päivitetään.

Näyttökuva verkkolaitteen välilehdestä laitteen varastossa

Vianmääritys

Skannerin asennus epäonnistui

Varmista, että pakolliset URL-osoitteet lisätään sallittuihin toimialueisiin palomuuriasetuksissa. Varmista myös, että välityspalvelimen asetukset on määritetty kohdassa Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen kuvatulla tavalla.

Microsoft.com/devicelogin verkkosivua ei näytetä

Varmista, että pakolliset URL-osoitteet lisätään palomuurin sallittuihin toimialueisiin. Varmista myös, että välityspalvelimen asetukset on määritetty kohdassa Laitteen välityspalvelimen ja Internet-yhteysasetusten määrittäminen kuvatulla tavalla.

Verkkolaitteita ei näytetä laitteen varastossa useiden tuntien kuluttua

Tarkistustulokset on päivitettävä muutaman tunnin kuluttua alkuperäisestä tarkistuksesta, joka tehtiin verkkolaitteen todennetun tarkistuksen määrityksen suorittamisen jälkeen.

Jos laitteita ei edelleenkään näytetä, varmista, että palvelu MdatpNetworkScanService on käytössä skannatuissa laitteissasi, joihin asensit skannerin, ja suorita tarkistus asianmukaisessa verkkolaitteessa todennetulla tarkistusmäärityksellä.

Jos et vieläkään saa tuloksia viiden minuutin kuluttua, käynnistä palvelu uudelleen.

Laitteet, joissa on viimeksi nähty aika, on yli 24 tuntia

Tarkista, että skanneri toimii oikein. Siirry sitten tarkistuksen määritelmään ja valitse "Suorita testi". Tarkista, mitä virhesanomia palautetaan asianomaisista IP-osoitteista.

Oma skanneri on määritetty, mutta skannaukset eivät ole käynnissä

Koska todennettu skanneri käyttää tällä hetkellä salausalgoritmia, joka ei ole yhteensopiva Federal Information Processing Standardsin (FIPS) kanssa, skanneri ei voi toimia, kun organisaatio valvoo FIPS-yhteensopivien algoritmien käyttöä.

Jos haluat sallia algoritmit, jotka eivät ole yhteensopivia FIPS-vaatimusten kanssa, määritä seuraava arvo rekisterissä laitteille, joissa skanneri suoritetaan:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD-arvolla nimeltä Enabled ja arvolla 0x0

FIPS-yhteensopivia algoritmeja käytetään vain suhteessa Yhdysvallat liittovaltion hallinnon osastoihin ja virastoihin.

Vaaditun Defenderin haavoittuvuuden hallinnan käyttäjäoikeudet

Rekisteröinti päättyi virheeseen: "Käyttöoikeutesi eivät riitä uuden agentin lisäämiseen. Pakollinen käyttöoikeus on Defenderin suojausasetusten hallinta."

Lopeta painamalla mitä tahansa näppäintä.

Pyydä järjestelmänvalvojaa määrittämään sinulle tarvittavat käyttöoikeudet. Vaihtoehtoisesti voit pyytää toista asiaankuuluvaa jäsentä auttamaan kirjautumisprosessissa antamalla heille kirjautumiskoodin ja linkin.

Kokeile toista selainta tai kopioi kirjautumislinkki ja -koodi eri laitteeseen.

Teksti on liian pieni tai sitä ei voi kopioida komentoriviltä

Muuta laitteen komentoriviasetuksia niin, että tekstin kopiointi ja koon muuttaminen on sallittua.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.