שתף באמצעות


גילוי מכשיר רשת וניהול פגיעויות

חל על:

רוצה להתנסות ב- Microsoft Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

הערה

הבלוג של גילוי והערכות פגיעות במכשירי רשת (פורסם ב- 04-13-2021) מספק תובנות לגבי יכולות הגילוי החדשות של מכשיר הרשת ב- Defender for Endpoint. מאמר זה מספק מבט כולל על האתגרים שגילוי התקן הרשת מיועד לטפל בו, ומידע מפורט אודות אופן תחילת השימוש ביכולות חדשות אלה.

יכולות גילוי רשת זמינות במקטע מלאי המכשירים של פורטל Microsoft Defender ומסוף Microsoft Defender XDR שלך.

התקן Microsoft Defender עבור נקודת קצה משמש בכל מקטע רשת כדי לבצע סריקות מאומתות תקופתיות של התקני רשת שתצורתם נקבעה מראש. לאחר גילוין, יכולות ניהול פגיעויות ב- Defender for Endpoint מספקות זרימות עבודה משולבות לאבטחת מתגים, נתבים, בקרי WLAN, חומות אש ושערי VPN.

לאחר שהמכשירים ברשת התגלו וסווגו, מנהלי אבטחה יוכלו לקבל את המלצות האבטחה העדכניות ביותר ולסנן פגיעויות שהתגלו לאחרונה במכשירי רשת שנפרסו בארגונים שלהם.

גישה

התקני רשת אינם מנוהלים כ נקודות קצה סטנדרטיות מאחר של- Defender for Endpoint אין חיישן המוכלל במכשירי הרשת עצמם. סוגים אלה של מכשירים דורשים גישה ללא סוכן שבה סריקה מרחוק משיגה את המידע הדרוש מהמכשירים. בהתאם לטופולוגיית הרשת ולמאפיינים שלה, מכשיר יחיד או כמה מכשירים המחוברים ל- Microsoft Defender עבור נקודת קצה מבצע סריקות מאומתות של התקני רשת באמצעות SNMP (לקריאה בלבד).

קיימים שני סוגים של מכשירים שיש לזכור:

  • התקן סריקה: מכשיר שכבר מחובר, שבו אתה משתמש כדי לסרוק את התקני הרשת.
  • התקני רשת: התקני הרשת שבכוונתך לסרוק ולקלוט.

ניהול פגיעויות עבור התקני רשת

לאחר שהמכשירים ברשת התגלו וסווגו, מנהלי אבטחה יוכלו לקבל את המלצות האבטחה העדכניות ביותר ולסנן פגיעויות שהתגלו לאחרונה במכשירי רשת שנפרסו בארגונים שלהם.

מערכות הפעלה נתמכות

מערכות ההפעלה הבאות נתמכות כעת:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • יוניפר נוס
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

ספקי רשת ומערכת הפעלה נוספים יתווספו לאורך זמן, בהתבסס על הנתונים שנאספו מהשימוש בלקוחות. לכן, מומלץ להגדיר את כל התקני הרשת שלך, גם אם הם לא מצוינים ברשימה זו.

כיצד להתחיל בעבודה

השלב הראשון הוא לבחור מכשיר שמבצע את סריקות הרשת המורשות.

  1. החלט על מכשיר רשום (לקוח או שרת) של Defender for Endpoint בעל חיבור רשת ליציאת הניהול עבור התקני הרשת שבכוונתך לסרוק.

  2. תעבורת SNMP בין התקן הסריקה של Defender for Endpoint לבין התקני הרשת הייעודית חייבת להיות מותרת (לדוגמה, על-ידי חומת האש).

  3. החלט אילו התקני רשת יוערכת עבור פגיעויות (לדוגמה: מתג Cisco או חומת אש של רשתות Palo Alto).

  4. ודא ש- SNMP לקריאה בלבד זמין בכל התקני הרשת שתצורתם נקבעה כדי לאפשר להתקן הסריקה של Defender for Endpoint לבצע שאילתה על התקני הרשת שתצורתם נקבעה. אין צורך בכתיבת SNMP עבור הפונקציונליות המתאימה של תכונה זו.

  5. השג את כתובות ה- IP של התקני הרשת שיש לסרוק (או את רשתות המשנה שבהן נפרסים מכשירים אלה).

  6. השג את אישורי SNMP של התקני הרשת (לדוגמה: מחרוזת קהילה, noAuthNoPriv, authNoPriv, authPriv). אתה נדרש לספק את האישורים בעת קביעת התצורה של משימת סריקה חדשה.

  7. תצורת לקוח Proxy: לא נדרשת תצורה נוספת מלבד דרישות ה- Proxy של מכשיר Defender for Endpoint.

  8. כדי לאפשר לסורק לעבור אימות יפעלו כראוי, חשוב להוסיף את התחומים/כתובות ה- URL הבאים:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    הערה

    לא כל כתובות ה- URL מצוינות ברשימה מתעדה Defender for Endpoint של איסוף נתונים מותרים.

הרשאות

כדי לקבוע את התצורה של משימות סריקה, נדרשת אפשרות הרשאת המשתמש הבאה: ניהול הגדרות אבטחה ב- Defender. באפשרותך למצוא את ההרשאה על-ידי מעבר אל תפקידי>הגדרות. לקבלת מידע נוסף, ראה Create ולנהל תפקידים עבור בקרת גישה מבוססת תפקידים.

דרישה מוקדמת לגירסת Windows עבור הסורק

הסורק נתמך בגירסה Windows 10, בגירסה 1903 וב- Windows Server, גירסה 1903 ואילך. לקבלת מידע נוסף, ראה Windows 10, גירסה 1903 ו- Windows Server, גירסה 1903.

הערה

קיימת מגבלה של 40 התקנות סורק לכל דייר.

התקנת הסורק

  1. עבור אל Microsoft 365 Security>Settings>Device discovery>Authenticated scans.

  2. הורד את הסורק והתקן אותו במכשיר הסריקה הייעודי של Defender for Endpoint.

    צילום מסך של מסך הוספת סריקה מאומתת חדשה

רישום & סורק

ניתן להשלים את תהליך הכניסה במכשיר הסריקה המיועד עצמו או בכל מכשיר אחר (לדוגמה, מכשיר הלקוח האישי שלך).

הערה

החשבון שהמשתמש נכנס באמצעותו והמכשיר המשמש להשלמת תהליך הכניסה, חייבים להיכלל באותו דייר שבו המכשיר מחובר ל- Microsoft Defender עבור נקודת קצה.

כדי להשלים את תהליך רישום הסורק:

  1. העתק ופעל לפי כתובת ה- URL שמופיעה בשורת הפקודה והשתמש בקוד ההתקנה שסופק כדי להשלים את תהליך הרישום.

    הערה

    ייתכן שיהיה עליך לשנות את הגדרות שורת הפקודה כדי שתוכל להעתיק את כתובת ה- URL.

  2. הזן את הקוד והיכנס באמצעות חשבון Microsoft בעל ההרשאה Defender for Endpoint שנקראת "ניהול הגדרות אבטחה ב- Defender".

  3. כשתסיים, אתה אמור לראות הודעה המאשרת שנכנסת.

עדכונים לסורק

לסורק יש משימה מתוזמנת שתצורתה נקבעה, כברירת מחדל, לחפש עדכונים באופן קבוע. כאשר המשימה פועלת, היא משווה את גירסת הסורק במכשיר הלקוח לגירסת הסוכן במיקום העדכון. מיקום העדכון הוא המקום שבו Windows מחפש עדכונים, כגון במיקום משותף ברשת או מהאינטרנט.

אם קיים הבדל בין שתי הגירסאות, תהליך העדכון קובע אילו קבצים שונים ויש לעדכן אותם במחשב המקומי. לאחר נקבעים העדכונים הנדרשים, הורדת העדכונים תחל.

קביעת תצורה של סריקה מאומתת של התקן רשת חדש

  1. עבור אל הגדרות>גילוי מכשירים>סריקות מאומתותבפורטל Microsoft Defender שלך.

  2. בחר הוסף סריקה חדשה ובחר סריקה מאומתת של התקן רשת ובחר הבא.

    צילום מסך של מסך ההוספה של מסך הסריקה המואמת של התקן הרשת החדש

  3. בחר אם להפעיל סריקה.

  4. הזן שם סריקה.

  5. בחר את התקן הסריקה: ההתקן הרשום שבו אתה משתמש כדי לסרוק את התקני הרשת.

  6. הזן את היעד (טווח): טווחי כתובות ה- IP או שם המארח שברצונך לסרוק. באפשרותך להזין את הכתובות או לייבא קובץ CSV. ייבוא קובץ עוקף את כל הכתובות שנוספו באופן ידני.

  7. בחר את מרווח הזמן לסריקה: כברירת מחדל, הסריקה פועלת כל ארבע שעות, באפשרותך לשנות את מרווח הזמן לסריקה או להפעיל אותה פעם אחת בלבד, על-ידי בחירה באפשרות אל תחזור.

  8. בחר את שיטת האימות שלך.

    באפשרותך לבחור להשתמש ב- Azure KeyVault לאספקת אישורים: אם אתה מנהל את האישורים שלך ב- Azure KeyVault, באפשרותך להזין את כתובת ה- URL של Azure KeyVault ואת השם הסודי של Azure KeyVault כדי שמכשיר הסריקה יוכל לגשת אליהם כדי לספק אישורים. הערך הסודי תלוי בשיטה המורשית שאתה בוחר, כמתואר בטבלה הבאה:

    שיטת אימות ערך סודי של Azure KeyVault
    ערך אימות Username; אימות סיסמה; סיסמה פרטית
    אימותNoPriv Username; אימות סיסמה
    מחרוזת קהילה מחרוזת קהילה
  9. בחר הבא כדי להפעיל או לדלג על סריקת הבדיקה.

  10. בחר הבא כדי לסקור את ההגדרות ובחר שלח כדי ליצור את הסריקה המאומתת של התקן הרשת החדש.

הערה

כדי למנוע שכפול מכשיר במלאי של התקני הרשת, ודא שכל כתובת IP מוגדרת פעם אחת בלבד במכשירי סריקה מרובים.

סריקה והוספת התקני רשת

במהלך תהליך ההגדרה, באפשרותך לבצע סריקת בדיקה חד-פעמית כדי לוודא כי:

  • קיימת קישוריות בין התקן הסריקה של Defender for Endpoint לבין התקני רשת היעד שתצורתם נקבעה.
  • אישורי ה- SNMP שתצורתם נקבעה נכונים.

כל התקן סריקה יכול לתמוך ב- 1,500 כתובות IP מוצלחות לכל מעלה. לדוגמה, אם תסרוק 10 רשתות משנה שונות שבהן רק 100 כתובות IP יחזירו תוצאות מוצלחות, תוכל לסרוק 1,400 כתובות IP נוספות מ רשתות משנה אחרות באותו התקן סריקה.

אם קיימים טווחי כתובות IP/רשתות משנה מרובים לסריקה, התוצאות של סריקת הבדיקה חלפו כמה דקות עד שיוצגו. סריקת בדיקה זמינה עבור עד 1,024 כתובות.

לאחר שהתוצאות יופיעו, תוכל לבחור אילו מכשירים ייכללו הסריקה תקופתית. אם תדלג על הצגת תוצאות הסריקה, כל כתובות ה- IP שתצורתן נקבעה יתווספו לסריקה המואמת של התקן הרשת (ללא קשר לתגובה של המכשיר). ניתן לייצא גם את תוצאות הסריקה.

מלאי מכשירים

מכשירים חדשים שהתגלו מוצגים תחת הכרטיסיה החדשה התקני רשת בדף מלאי המכשירים. ייתכן שיחלפו עד שעתיים לאחר הוספת משימת סריקה עד לעדכון המכשירים.

צילום מסך של הכרטיסיה 'התקן רשת' במלאי המכשירים

פתרון בעיות

התקנת הסורק נכשלה

ודא שכתובות ה- URL הדרושות מתווספות לתחום המותר בהגדרות חומת האש שלך. כמו כן, ודא שהגדרות ה- Proxy מוגדרות כמתואר בנושא קביעת תצורה של Proxy של מכשיר והגדרות קישוריות לאינטרנט.

דף Microsoft.com/devicelogin לא מופיע

ודא שכתובות ה- URL הנדרשות מתווספות לתחום המותר בחומת האש שלך. כמו כן, ודא שהגדרות ה- Proxy מוגדרות כמתואר בנושא קביעת תצורה של Proxy של מכשיר והגדרות קישוריות לאינטרנט.

התקני רשת אינם מוצגים במלאי המכשירים לאחר כמה שעות

יש לעדכן את תוצאות הסריקה כמה שעות לאחר הסריקה הראשונית שבוצעה לאחר השלמת תצורת הסריקה המואמת של התקן הרשת.

אם המכשירים עדיין אינם מוצגים, ודא שהשירות 'MdatpNetworkScanService' פועל במכשירים שלך הנסרקים, שבהם התקנת את הסורק ומבצע "הפעל סריקה" בתצורה הרלוונטית של הסריקה המואמת של התקן הרשת.

אם עדיין אינך מקבל תוצאות לאחר 5 דקות, הפעל מחדש את השירות.

זמן הפעולה של המכשירים שנראה לאחרונה ארוך יותר מ- 24 שעות

ודא שהסורק פועל כראוי. לאחר מכן עבור אל הגדרת הסריקה ובחר "הפעל בדיקה". בדוק אילו הודעות שגיאה חוזרות מכתובות ה- IP הרלוונטיות.

תצורת הסורק שלי נקבעה אך הסריקות אינן פועלות

כאשר הסורק המורשה משתמש כעת באלגוריתם הצפנה שאינו תואם לתקני עיבוד מידע פדרליים (FIPS), הסורק אינו יכול לפעול כאשר ארגון אוכף את השימוש באלגוריתמים תואמי FIPS.

כדי לאפשר אלגוריתמים שאינם תואמים ל- FIPS, הגדר את הערך הבא ברישום עבור המכשירים שבהם הסורק יפעל:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy עם ערך DWORD בשם Enabled וערך של 0x0

אלגוריתמים תואמי FIPS משמשים רק ביחס למחלקות ולסוכנויות של ממשלת ארצות הברית.

הרשאת משתמש של ניהול פגיעויות Defender נדרש

הרישום הסתיים עם שגיאה: "נראה שאין לך הרשאות מספיקות להוספת סוכן חדש. ההרשאה הנדרשת היא 'ניהול הגדרות אבטחה ב- Defender'."

הקש על מקש כלשהו כדי לצאת.

בקש ממנהל המערכת להקצות לך את ההרשאות הדרושות. לחלופין, בקש מחבר רלוונטי אחר לעזור לך בתהליך הכניסה בכך שתספק לו את קוד הכניסה והקישור.

נסה דפדפן אחר או העתק את הקישור וקוד הכניסה למכשיר אחר.

הטקסט קטן מדי או שלא ניתן להעתיק טקסט משורת הפקודה

שנה את הגדרות שורת הפקודה במכשיר שלך כדי לאפשר העתקה ושינוי של גודל הטקסט.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.