Megosztás a következőn keresztül:


Hálózati eszközök felderítése és biztonságirés-kezelés

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra

Megjegyzés:

A Hálózati eszközök felderítése és sebezhetőségi felmérései blog (közzétett: 2021. 04. 13.) betekintést nyújt a Végponthoz készült Defender új hálózati eszközfelderítési képességeibe. Ez a cikk áttekintést nyújt arról a kihívásról, amelyet a hálózati eszközfelderítés célja kezelni, és részletes információkat nyújt az új képességek használatának első lépéseiről.

A hálózatfelderítési képességek a Microsoft Defender portál és Microsoft Defender XDR konzolok Eszközleltár szakaszában érhetők el.

Minden hálózati szegmensben egy kijelölt Végponthoz készült Microsoft Defender-eszközt használunk az előre konfigurált hálózati eszközök rendszeres hitelesített vizsgálatához. A felderítése után a Végponthoz készült Defender biztonságirés-kezelési képességei integrált munkafolyamatokat biztosítanak a felderített kapcsolók, útválasztók, WLAN-vezérlők, tűzfalak és VPN-átjárók biztonságossá tételéhez.

A hálózati eszközök felderítése és besorolása után a biztonsági rendszergazdák megkaphatják a legújabb biztonsági javaslatokat, és áttekinthetik a szervezeten belül telepített hálózati eszközök nemrégiben felfedezett biztonsági réseit.

Megközelítés

A hálózati eszközök nem standard végpontként vannak kezelve, mivel a Végponthoz készült Defender nem rendelkezik beépített érzékelővel a hálózati eszközökbe. Az ilyen típusú eszközök ügynök nélküli megközelítést igényelnek, ahol egy távoli vizsgálat lekérte a szükséges információkat az eszközökről. A hálózati topológiától és a jellemzőktől függően egyetlen eszköz vagy néhány, Végponthoz készült Microsoft Defender előkészített eszköz végzi a hálózati eszközök hitelesített vizsgálatát SNMP használatával (csak olvasható).

Két eszköztípust kell szem előtt tartani:

  • Ellenőrzőeszköz: A hálózati eszközök vizsgálatához már előkészített eszköz.
  • Hálózati eszközök: A beolvasni és beszkennelni kívánt hálózati eszközök.

Biztonságirés-kezelés hálózati eszközökhöz

A hálózati eszközök felderítése és besorolása után a biztonsági rendszergazdák megkaphatják a legújabb biztonsági javaslatokat, és áttekinthetik a szervezeten belül telepített hálózati eszközök nemrégiben felfedezett biztonsági réseit.

Támogatott operációs rendszerek

Jelenleg a következő operációs rendszerek támogatottak:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Idővel további hálózati szállítók és operációs rendszerek lesznek hozzáadva az ügyfélhasználatból gyűjtött adatok alapján. Ezért javasoljuk, hogy konfigurálja az összes hálózati eszközt, még akkor is, ha nincsenek megadva ebben a listában.

Első lépések

Az első lépés egy olyan eszköz kiválasztása, amely elvégzi a hitelesített hálózati vizsgálatokat.

  1. Döntsön a Végponthoz készült Defender előkészített eszközéről (ügyfélről vagy kiszolgálóról), amely hálózati kapcsolattal rendelkezik a vizsgálatra tervezett hálózati eszközök felügyeleti portjához.

  2. Engedélyezni kell az SNMP-forgalmat a Végponthoz készült Defender ellenőrzőeszköze és a megcélzott hálózati eszközök között (például a tűzfalon).

  3. Döntse el, hogy mely hálózati eszközök vannak értékelve a biztonsági rések szempontjából (például Cisco-kapcsoló vagy Palo Alto Networks-tűzfal).

  4. Győződjön meg arról, hogy az írásvédett SNMP minden konfigurált hálózati eszközön engedélyezve van, hogy a Végponthoz készült Defender ellenőrző eszköz lekérdezhesse a konfigurált hálózati eszközöket. A funkció megfelelő működéséhez nincs szükség SNMP-írásra.

  5. Szerezze be a vizsgálandó hálózati eszközök IP-címeit (vagy azokat az alhálózatokat, ahol ezeket az eszközöket üzembe helyezik).

  6. Szerezze be a hálózati eszközök SNMP-hitelesítő adatait (például: Community String, noAuthNoPriv, authNoPriv, authPriv). Új vizsgálati feladat konfigurálásakor meg kell adnia a hitelesítő adatokat.

  7. Proxyügyfél konfigurálása: A Végponthoz készült Defender eszközproxyra vonatkozó követelményeken kívül nincs szükség további konfigurációra.

  8. A szkenner hitelesítésének és megfelelő működésének engedélyezéséhez elengedhetetlen, hogy a következő tartományokat/URL-címeket adja hozzá:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Megjegyzés:

    Nem minden URL-cím van megadva a Végponthoz készült Defender dokumentált adatgyűjtési listájában.

Engedélyek

A vizsgálati feladatok konfigurálásához a következő felhasználói engedélyre van szükség: Biztonsági beállítások kezelése a Defenderben. Az engedélyt a Beállítások>Szerepkörök lapon találja. További információ: szerepköralapú hozzáférés-vezérlés szerepköreinek Létrehozás és kezelése.

A képolvasó windowsos verziójának előfeltétele

A képolvasó a Windows 10 1903-es és 1903-es és újabb verzióiban támogatott. További információ: Windows 10, 1903-es verzió és Windows Server 1903-es verzió.

Megjegyzés:

Bérlőnként legfeljebb 40 szkennertelepítés engedélyezett.

A képolvasó telepítése

  1. Lépjen a Microsoft 365 biztonsági>beállításai>Eszközfelderítés>Hitelesített vizsgálatok területre.

  2. Töltse le a szkennert, és telepítse a kijelölt Végponthoz készült Defender ellenőrzőeszközre.

    Képernyőkép az új hitelesített vizsgálati képernyő hozzáadásáról

Scanner telepítése & regisztráció

A bejelentkezési folyamat elvégezhető magán a kijelölt ellenőrzőeszközön vagy bármely más eszközön (például a személyes ügyféleszközén).

Megjegyzés:

Mind a fióknak, amellyel a felhasználó bejelentkezik, mind a bejelentkezési folyamat befejezéséhez használt eszköznek ugyanabban a bérlőben kell lennie, ahol az eszköz regisztrálva van Végponthoz készült Microsoft Defender.

A szkenner regisztrációs folyamatának befejezéséhez:

  1. Másolja ki és kövesse a parancssorban megjelenő URL-címet, és használja a megadott telepítési kódot a regisztrációs folyamat befejezéséhez.

    Megjegyzés:

    Előfordulhat, hogy módosítania kell a parancssori beállításokat az URL-cím másolásához.

  2. Írja be a kódot, és jelentkezzen be egy Olyan Microsoft-fiókkal, amely rendelkezik a Végponthoz készült Defender engedélyével "Biztonsági beállítások kezelése a Defenderben".

  3. Ha végzett, egy üzenetnek kell megjelennie, amely megerősíti, hogy bejelentkezett.

Frissítések képolvasóhoz

A képolvasó rendelkezik egy ütemezett feladattal, amely alapértelmezés szerint úgy van konfigurálva, hogy rendszeresen keressen frissítéseket. A feladat futtatásakor összehasonlítja az ügyféleszközön található szkenner verzióját a frissítési helyen található ügynök verziójával. A Frissítési hely az a hely, ahol a Windows frissítéseket keres, például egy hálózati megosztáson vagy az internetről.

Ha van különbség a két verzió között, a frissítési folyamat határozza meg, hogy mely fájlok különböznek, és melyeket kell frissíteni a helyi számítógépen. A szükséges frissítések meghatározása után megkezdődik a frissítések letöltése.

Új hálózati eszköz hitelesített vizsgálatának konfigurálása

  1. Lépjen a Beállítások>Eszközfelderítés>Hitelesített vizsgálatok területre a Microsoft Defender portálon.

  2. Válassza az Add new scan (Új vizsgálat hozzáadása ) lehetőséget, válassza a Network device authenticated scan (Hálózati eszköz által hitelesített vizsgálat ) lehetőséget, majd válassza a Next (Tovább) lehetőséget.

    Képernyőkép az új hálózati eszköz hitelesített vizsgálatának hozzáadására vonatkozó képernyőről

  3. Válassza ki, hogy aktiválja-e a vizsgálatot.

  4. Adja meg a vizsgálat nevét.

  5. Válassza ki a Vizsgálati eszköz: A hálózati eszközök vizsgálatához használt előkészített eszköz lehetőséget.

  6. Adja meg a célhelyet (tartományt): A vizsgálni kívánt IP-címtartományok vagy állomásnevek. Megadhatja a címeket, vagy importálhat egy CSV-fájlt. A fájlok importálása felülbírálja a manuálisan hozzáadott címeket.

  7. Válassza ki a vizsgálati időközt: Alapértelmezés szerint a vizsgálat négyóránként fut, módosíthatja a vizsgálati időközt, vagy beállíthatja, hogy csak egyszer fusson, a Ne ismételje meg lehetőséget.

  8. Válassza ki a hitelesítési módszert.

    Választhatja az Azure KeyVault használata hitelesítő adatok megadásához lehetőséget: Ha a hitelesítő adatokat az Azure KeyVaultban kezeli, megadhatja az Azure KeyVault URL-címét és az Azure KeyVault titkos nevét, amelyhez a beolvasó eszköz hozzáférhet a hitelesítő adatok megadásához. A titkos kód értéke a választott hitelesített metódustól függ, az alábbi táblázatban leírtak szerint:

    Hitelesítési módszer Az Azure KeyVault titkos kódja
    AuthPriv Felhasználónév; AuthPassword; PrivPassword
    AuthNoPriv Felhasználónév; AuthPassword
    CommunityString CommunityString
  9. Válassza a Tovább gombot a tesztvizsgálat futtatásához vagy kihagyásához.

  10. Válassza a Tovább lehetőséget a beállítások áttekintéséhez, majd válassza a Küldés lehetőséget az új hálózati eszköz hitelesített vizsgálatának létrehozásához.

Megjegyzés:

Ha meg szeretné akadályozni, hogy az eszközök duplikáltak legyenek a hálózati eszközleltárban, győződjön meg arról, hogy minden IP-cím csak egyszer van konfigurálva több vizsgálati eszközön.

Hálózati eszközök vizsgálata és hozzáadása

A beállítási folyamat során egyszeri tesztvizsgálattal ellenőrizheti, hogy:

  • Kapcsolat van a Végponthoz készült Defender ellenőrzőeszköz és a konfigurált célhálózati eszközök között.
  • A konfigurált SNMP-hitelesítő adatok helyesek.

Minden vizsgálati eszköz legfeljebb 1500 sikeres IP-címvizsgálatot támogat. Ha például 10 különböző alhálózatot vizsgál, ahol csak 100 IP-cím ad vissza sikeres eredményeket, 1400 további IP-címet fog tudni beolvasni ugyanazon a vizsgálati eszközön található más alhálózatokról.

Ha több IP-címtartományt/alhálózatot kell megvizsgálni, a vizsgálat eredményeinek megjelenítése néhány percet vesz igénybe. A tesztvizsgálat legfeljebb 1024 címhez érhető el.

Miután megjelennek az eredmények, kiválaszthatja, hogy mely eszközök legyenek belefoglalva az időszakos vizsgálatba. Ha kihagyja a vizsgálati eredmények megtekintését, a rendszer az összes konfigurált IP-címet hozzáadja a hálózati eszköz által hitelesített vizsgálathoz (az eszköz válaszától függetlenül). A vizsgálati eredmények exportálhatók is.

Eszközkészlet

Az újonnan felderített eszközök az új Hálózati eszközök lapon jelennek meg az Eszközleltár lapon. A vizsgálati feladat hozzáadása után akár két órába is telhet, amíg az eszközök frissülnek.

Képernyőkép a hálózati eszköz lapról az eszközleltárban

Hibaelhárítás

A képolvasó telepítése nem sikerült

Ellenőrizze, hogy a szükséges URL-címek hozzá vannak-e adva az engedélyezett tartományokhoz a tűzfalbeállításokban. Győződjön meg arról is, hogy a proxybeállítások az eszközproxy és az internetkapcsolat beállításainak konfigurálása című cikkben leírtak szerint vannak konfigurálva.

A Microsoft.com/devicelogin weblap nem jelent meg

Ellenőrizze, hogy a szükséges URL-címek hozzá vannak-e adva a tűzfal engedélyezett tartományaihoz. Győződjön meg arról is, hogy a proxybeállítások az eszközproxy és az internetkapcsolat beállításainak konfigurálása című cikkben leírtak szerint vannak konfigurálva.

A hálózati eszközök néhány óra elteltével nem jelennek meg az eszközleltárban

A vizsgálati eredményeket néhány órával a hálózati eszköz hitelesített vizsgálati konfigurációjának befejezése után lezajlott kezdeti vizsgálat után frissíteni kell.

Ha az eszközök továbbra sem jelennek meg, ellenőrizze, hogy az MdatpNetworkScanService szolgáltatás fut-e a vizsgált eszközökön, amelyen telepítette a szkennert, és végezzen el egy "Vizsgálat futtatása" műveletet a megfelelő hálózati eszköz hitelesített vizsgálati konfigurációjában.

Ha 5 perc elteltével sem kapja meg az eredményeket, indítsa újra a szolgáltatást.

Az utoljára látott eszközök időtartama 24 óránál hosszabb

Ellenőrizze, hogy a képolvasó megfelelően fut-e. Ezután lépjen a vizsgálati definícióra, és válassza a "Teszt futtatása" lehetőséget. Ellenőrizze, hogy milyen hibaüzenetek jelennek meg a megfelelő IP-címekről.

A képolvasó konfigurálva van, de a vizsgálatok nem futnak

Mivel a hitelesített szkenner jelenleg olyan titkosítási algoritmust használ, amely nem felel meg a Federal Information Processing Standards (FIPS) szabványnak, a szkenner nem működik, ha egy szervezet fiPS-kompatibilis algoritmusok használatát kényszeríti ki.

A FIPS-nek nem megfelelő algoritmusok engedélyezéséhez állítsa be a következő értéket a beállításjegyzékben azokhoz az eszközökhöz, amelyeken a szkenner futni fog:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy engedélyezve nevű DWORD értékkel és 0x0 értékkel

A FIPS-kompatibilis algoritmusokat csak az Egyesült Államok szövetségi kormány részlegei és ügynökségei használják.

Szükséges Defender biztonságirés-kezelési felhasználói engedély

A regisztráció a következő hibával fejeződött be: "Úgy tűnik, nem rendelkezik megfelelő engedélyekkel az új ügynök hozzáadásához. A szükséges engedély a "Biztonsági beállítások kezelése a Defenderben".

A kilépéshez nyomja le bármelyik billentyűt.

Kérje meg a rendszergazdát, hogy rendelje hozzá a szükséges engedélyeket. Másik lehetőségként kérje meg egy másik érintett tagot, hogy segítsen a bejelentkezési folyamatban a bejelentkezési kód és a hivatkozás megadásával.

Próbáljon ki egy másik böngészőt, vagy másolja a bejelentkezési hivatkozást és a kódot egy másik eszközre.

Túl kicsi szöveg, vagy nem tud szöveget másolni a parancssorból

Módosítsa a parancssori beállításokat az eszközön a szöveg másolásának és módosításának engedélyezéséhez.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.