Hálózati eszközök felderítése és biztonságirés-kezelés
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender biztonságirés-kezelés
- Microsoft Defender XDR
Szeretné megismerni a Végponthoz készült Microsoft Defendert? Regisztráció az ingyenes próbaverzióra
Megjegyzés:
A Hálózati eszközök felderítése és sebezhetőségi felmérései blog (közzétett: 2021. 04. 13.) betekintést nyújt a Végponthoz készült Defender új hálózati eszközfelderítési képességeibe. Ez a cikk áttekintést nyújt arról a kihívásról, amelyet a hálózati eszközfelderítés célja kezelni, és részletes információkat nyújt az új képességek használatának első lépéseiről.
A hálózatfelderítési képességek a Microsoft Defender portál és Microsoft Defender XDR konzolok Eszközleltár szakaszában érhetők el.
Minden hálózati szegmensben egy kijelölt Végponthoz készült Microsoft Defender-eszközt használunk az előre konfigurált hálózati eszközök rendszeres hitelesített vizsgálatához. A felderítése után a Végponthoz készült Defender biztonságirés-kezelési képességei integrált munkafolyamatokat biztosítanak a felderített kapcsolók, útválasztók, WLAN-vezérlők, tűzfalak és VPN-átjárók biztonságossá tételéhez.
A hálózati eszközök felderítése és besorolása után a biztonsági rendszergazdák megkaphatják a legújabb biztonsági javaslatokat, és áttekinthetik a szervezeten belül telepített hálózati eszközök nemrégiben felfedezett biztonsági réseit.
Megközelítés
A hálózati eszközök nem standard végpontként vannak kezelve, mivel a Végponthoz készült Defender nem rendelkezik beépített érzékelővel a hálózati eszközökbe. Az ilyen típusú eszközök ügynök nélküli megközelítést igényelnek, ahol egy távoli vizsgálat lekérte a szükséges információkat az eszközökről. A hálózati topológiától és a jellemzőktől függően egyetlen eszköz vagy néhány, Végponthoz készült Microsoft Defender előkészített eszköz végzi a hálózati eszközök hitelesített vizsgálatát SNMP használatával (csak olvasható).
Két eszköztípust kell szem előtt tartani:
- Ellenőrzőeszköz: A hálózati eszközök vizsgálatához már előkészített eszköz.
- Hálózati eszközök: A beolvasni és beszkennelni kívánt hálózati eszközök.
Biztonságirés-kezelés hálózati eszközökhöz
A hálózati eszközök felderítése és besorolása után a biztonsági rendszergazdák megkaphatják a legújabb biztonsági javaslatokat, és áttekinthetik a szervezeten belül telepített hálózati eszközök nemrégiben felfedezett biztonsági réseit.
Támogatott operációs rendszerek
Jelenleg a következő operációs rendszerek támogatottak:
- Cisco IOS, IOS-XE, NX-OS
- Fortinet FortiOS
- Juniper JUNOS
- HPE Aruba Networking ArubaOS, AOS-CX
- HPE ArubaOS, Procurve Switch Software
- Palo Alto Networks PAN-OS
Idővel további hálózati szállítók és operációs rendszerek lesznek hozzáadva az ügyfélhasználatból gyűjtött adatok alapján. Ezért javasoljuk, hogy konfigurálja az összes hálózati eszközt, még akkor is, ha nincsenek megadva ebben a listában.
Első lépések
Az első lépés egy olyan eszköz kiválasztása, amely elvégzi a hitelesített hálózati vizsgálatokat.
Döntsön a Végponthoz készült Defender előkészített eszközéről (ügyfélről vagy kiszolgálóról), amely hálózati kapcsolattal rendelkezik a vizsgálatra tervezett hálózati eszközök felügyeleti portjához.
Engedélyezni kell az SNMP-forgalmat a Végponthoz készült Defender ellenőrzőeszköze és a megcélzott hálózati eszközök között (például a tűzfalon).
Döntse el, hogy mely hálózati eszközök vannak értékelve a biztonsági rések szempontjából (például Cisco-kapcsoló vagy Palo Alto Networks-tűzfal).
Győződjön meg arról, hogy az írásvédett SNMP minden konfigurált hálózati eszközön engedélyezve van, hogy a Végponthoz készült Defender ellenőrző eszköz lekérdezhesse a konfigurált hálózati eszközöket. A funkció megfelelő működéséhez nincs szükség SNMP-írásra.
Szerezze be a vizsgálandó hálózati eszközök IP-címeit (vagy azokat az alhálózatokat, ahol ezeket az eszközöket üzembe helyezik).
Szerezze be a hálózati eszközök SNMP-hitelesítő adatait (például: Community String, noAuthNoPriv, authNoPriv, authPriv). Új vizsgálati feladat konfigurálásakor meg kell adnia a hitelesítő adatokat.
Proxyügyfél konfigurálása: A Végponthoz készült Defender eszközproxyra vonatkozó követelményeken kívül nincs szükség további konfigurációra.
A szkenner hitelesítésének és megfelelő működésének engedélyezéséhez elengedhetetlen, hogy a következő tartományokat/URL-címeket adja hozzá:
- login.windows.net
- *.security.microsoft.com
- login.microsoftonline.com
- *.blob.core.windows.net/networkscannerstable/*
Megjegyzés:
Nem minden URL-cím van megadva a Végponthoz készült Defender dokumentált adatgyűjtési listájában.
Engedélyek
A vizsgálati feladatok konfigurálásához a következő felhasználói engedélyre van szükség: Biztonsági beállítások kezelése a Defenderben. Az engedélyt a Beállítások>Szerepkörök lapon találja. További információ: szerepköralapú hozzáférés-vezérlés szerepköreinek Létrehozás és kezelése.
A képolvasó windowsos verziójának előfeltétele
A képolvasó a Windows 10 1903-es és 1903-es és újabb verzióiban támogatott. További információ: Windows 10, 1903-es verzió és Windows Server 1903-es verzió.
Megjegyzés:
Bérlőnként legfeljebb 40 szkennertelepítés engedélyezett.
A képolvasó telepítése
Lépjen a Microsoft 365 biztonsági>beállításai>Eszközfelderítés>Hitelesített vizsgálatok területre.
Töltse le a szkennert, és telepítse a kijelölt Végponthoz készült Defender ellenőrzőeszközre.
Scanner telepítése & regisztráció
A bejelentkezési folyamat elvégezhető magán a kijelölt ellenőrzőeszközön vagy bármely más eszközön (például a személyes ügyféleszközén).
Megjegyzés:
Mind a fióknak, amellyel a felhasználó bejelentkezik, mind a bejelentkezési folyamat befejezéséhez használt eszköznek ugyanabban a bérlőben kell lennie, ahol az eszköz regisztrálva van Végponthoz készült Microsoft Defender.
A szkenner regisztrációs folyamatának befejezéséhez:
Másolja ki és kövesse a parancssorban megjelenő URL-címet, és használja a megadott telepítési kódot a regisztrációs folyamat befejezéséhez.
Megjegyzés:
Előfordulhat, hogy módosítania kell a parancssori beállításokat az URL-cím másolásához.
Írja be a kódot, és jelentkezzen be egy Olyan Microsoft-fiókkal, amely rendelkezik a Végponthoz készült Defender engedélyével "Biztonsági beállítások kezelése a Defenderben".
Ha végzett, egy üzenetnek kell megjelennie, amely megerősíti, hogy bejelentkezett.
Frissítések képolvasóhoz
A képolvasó rendelkezik egy ütemezett feladattal, amely alapértelmezés szerint úgy van konfigurálva, hogy rendszeresen keressen frissítéseket. A feladat futtatásakor összehasonlítja az ügyféleszközön található szkenner verzióját a frissítési helyen található ügynök verziójával. A Frissítési hely az a hely, ahol a Windows frissítéseket keres, például egy hálózati megosztáson vagy az internetről.
Ha van különbség a két verzió között, a frissítési folyamat határozza meg, hogy mely fájlok különböznek, és melyeket kell frissíteni a helyi számítógépen. A szükséges frissítések meghatározása után megkezdődik a frissítések letöltése.
Új hálózati eszköz hitelesített vizsgálatának konfigurálása
Lépjen a Beállítások>Eszközfelderítés>Hitelesített vizsgálatok területre a Microsoft Defender portálon.
Válassza az Add new scan (Új vizsgálat hozzáadása ) lehetőséget, válassza a Network device authenticated scan (Hálózati eszköz által hitelesített vizsgálat ) lehetőséget, majd válassza a Next (Tovább) lehetőséget.
Válassza ki, hogy aktiválja-e a vizsgálatot.
Adja meg a vizsgálat nevét.
Válassza ki a Vizsgálati eszköz: A hálózati eszközök vizsgálatához használt előkészített eszköz lehetőséget.
Adja meg a célhelyet (tartományt): A vizsgálni kívánt IP-címtartományok vagy állomásnevek. Megadhatja a címeket, vagy importálhat egy CSV-fájlt. A fájlok importálása felülbírálja a manuálisan hozzáadott címeket.
Válassza ki a vizsgálati időközt: Alapértelmezés szerint a vizsgálat négyóránként fut, módosíthatja a vizsgálati időközt, vagy beállíthatja, hogy csak egyszer fusson, a Ne ismételje meg lehetőséget.
Válassza ki a hitelesítési módszert.
Választhatja az Azure KeyVault használata hitelesítő adatok megadásához lehetőséget: Ha a hitelesítő adatokat az Azure KeyVaultban kezeli, megadhatja az Azure KeyVault URL-címét és az Azure KeyVault titkos nevét, amelyhez a beolvasó eszköz hozzáférhet a hitelesítő adatok megadásához. A titkos kód értéke a választott hitelesített metódustól függ, az alábbi táblázatban leírtak szerint:
Hitelesítési módszer Az Azure KeyVault titkos kódja AuthPriv Felhasználónév; AuthPassword; PrivPassword AuthNoPriv Felhasználónév; AuthPassword CommunityString CommunityString Válassza a Tovább gombot a tesztvizsgálat futtatásához vagy kihagyásához.
Válassza a Tovább lehetőséget a beállítások áttekintéséhez, majd válassza a Küldés lehetőséget az új hálózati eszköz hitelesített vizsgálatának létrehozásához.
Megjegyzés:
Ha meg szeretné akadályozni, hogy az eszközök duplikáltak legyenek a hálózati eszközleltárban, győződjön meg arról, hogy minden IP-cím csak egyszer van konfigurálva több vizsgálati eszközön.
Hálózati eszközök vizsgálata és hozzáadása
A beállítási folyamat során egyszeri tesztvizsgálattal ellenőrizheti, hogy:
- Kapcsolat van a Végponthoz készült Defender ellenőrzőeszköz és a konfigurált célhálózati eszközök között.
- A konfigurált SNMP-hitelesítő adatok helyesek.
Minden vizsgálati eszköz legfeljebb 1500 sikeres IP-címvizsgálatot támogat. Ha például 10 különböző alhálózatot vizsgál, ahol csak 100 IP-cím ad vissza sikeres eredményeket, 1400 további IP-címet fog tudni beolvasni ugyanazon a vizsgálati eszközön található más alhálózatokról.
Ha több IP-címtartományt/alhálózatot kell megvizsgálni, a vizsgálat eredményeinek megjelenítése néhány percet vesz igénybe. A tesztvizsgálat legfeljebb 1024 címhez érhető el.
Miután megjelennek az eredmények, kiválaszthatja, hogy mely eszközök legyenek belefoglalva az időszakos vizsgálatba. Ha kihagyja a vizsgálati eredmények megtekintését, a rendszer az összes konfigurált IP-címet hozzáadja a hálózati eszköz által hitelesített vizsgálathoz (az eszköz válaszától függetlenül). A vizsgálati eredmények exportálhatók is.
Eszközkészlet
Az újonnan felderített eszközök az új Hálózati eszközök lapon jelennek meg az Eszközleltár lapon. A vizsgálati feladat hozzáadása után akár két órába is telhet, amíg az eszközök frissülnek.
Hibaelhárítás
A képolvasó telepítése nem sikerült
Ellenőrizze, hogy a szükséges URL-címek hozzá vannak-e adva az engedélyezett tartományokhoz a tűzfalbeállításokban. Győződjön meg arról is, hogy a proxybeállítások az eszközproxy és az internetkapcsolat beállításainak konfigurálása című cikkben leírtak szerint vannak konfigurálva.
A Microsoft.com/devicelogin weblap nem jelent meg
Ellenőrizze, hogy a szükséges URL-címek hozzá vannak-e adva a tűzfal engedélyezett tartományaihoz. Győződjön meg arról is, hogy a proxybeállítások az eszközproxy és az internetkapcsolat beállításainak konfigurálása című cikkben leírtak szerint vannak konfigurálva.
A hálózati eszközök néhány óra elteltével nem jelennek meg az eszközleltárban
A vizsgálati eredményeket néhány órával a hálózati eszköz hitelesített vizsgálati konfigurációjának befejezése után lezajlott kezdeti vizsgálat után frissíteni kell.
Ha az eszközök továbbra sem jelennek meg, ellenőrizze, hogy az MdatpNetworkScanService szolgáltatás fut-e a vizsgált eszközökön, amelyen telepítette a szkennert, és végezzen el egy "Vizsgálat futtatása" műveletet a megfelelő hálózati eszköz hitelesített vizsgálati konfigurációjában.
Ha 5 perc elteltével sem kapja meg az eredményeket, indítsa újra a szolgáltatást.
Az utoljára látott eszközök időtartama 24 óránál hosszabb
Ellenőrizze, hogy a képolvasó megfelelően fut-e. Ezután lépjen a vizsgálati definícióra, és válassza a "Teszt futtatása" lehetőséget. Ellenőrizze, hogy milyen hibaüzenetek jelennek meg a megfelelő IP-címekről.
A képolvasó konfigurálva van, de a vizsgálatok nem futnak
Mivel a hitelesített szkenner jelenleg olyan titkosítási algoritmust használ, amely nem felel meg a Federal Information Processing Standards (FIPS) szabványnak, a szkenner nem működik, ha egy szervezet fiPS-kompatibilis algoritmusok használatát kényszeríti ki.
A FIPS-nek nem megfelelő algoritmusok engedélyezéséhez állítsa be a következő értéket a beállításjegyzékben azokhoz az eszközökhöz, amelyeken a szkenner futni fog:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy engedélyezve nevű DWORD értékkel és 0x0 értékkel
A FIPS-kompatibilis algoritmusokat csak az Egyesült Államok szövetségi kormány részlegei és ügynökségei használják.
Szükséges Defender biztonságirés-kezelési felhasználói engedély
A regisztráció a következő hibával fejeződött be: "Úgy tűnik, nem rendelkezik megfelelő engedélyekkel az új ügynök hozzáadásához. A szükséges engedély a "Biztonsági beállítások kezelése a Defenderben".
A kilépéshez nyomja le bármelyik billentyűt.
Kérje meg a rendszergazdát, hogy rendelje hozzá a szükséges engedélyeket. Másik lehetőségként kérje meg egy másik érintett tagot, hogy segítsen a bejelentkezési folyamatban a bejelentkezési kód és a hivatkozás megadásával.
A regisztrációs folyamat meghiúsul a megadott hivatkozással a regisztrációs folyamat parancssorában
Próbáljon ki egy másik böngészőt, vagy másolja a bejelentkezési hivatkozást és a kódot egy másik eszközre.
Túl kicsi szöveg, vagy nem tud szöveget másolni a parancssorból
Módosítsa a parancssori beállításokat az eszközön a szöveg másolásának és módosításának engedélyezéséhez.
Kapcsolódó cikkek
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.