Dela via

Identifiering av nätverksenheter och sårbarhetshantering

  • Artikel

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Obs!

Bloggen om identifiering av nätverksenheter och sårbarhetsbedömningar (publicerad 04-13-2021) ger insikter om de nya funktionerna för identifiering av nätverksenheter i Defender för Endpoint. Den här artikeln innehåller en översikt över den utmaning som identifiering av nätverksenheter är utformad för att hantera och detaljerad information om hur du kommer igång med dessa nya funktioner.

Nätverksidentifieringsfunktioner är tillgängliga i avsnittet Enhetsinventering i Microsoft Defender-portalen och Microsoft Defender XDR-konsoler.

En utsedd Microsoft Defender för Endpoint-enhet används i varje nätverkssegment för att utföra periodiska autentiserade genomsökningar av förkonfigurerade nätverksenheter. När sårbarhetshanteringsfunktionerna i Defender för Endpoint har identifierats tillhandahåller de integrerade arbetsflöden för att skydda identifierade växlar, routrar, WLAN-styrenheter, brandväggar och VPN-gatewayer.

När nätverksenheterna har identifierats och klassificerats kan säkerhetsadministratörer ta emot de senaste säkerhetsrekommendationerna och granska nyligen identifierade säkerhetsrisker på nätverksenheter som distribuerats i deras organisationer.

Strategi

Nätverksenheter hanteras inte som standardslutpunkter eftersom Defender för Endpoint inte har någon sensor inbyggd i själva nätverksenheterna. Dessa typer av enheter kräver en agentlös metod där en fjärrgenomsökning hämtar nödvändig information från enheterna. Beroende på nätverkstopologi och egenskaper utför en enskild enhet eller några enheter som registrerats för att Microsoft Defender för Endpoint autentiserade genomsökningar av nätverksenheter med hjälp av SNMP (skrivskyddad).

Det finns två typer av enheter att tänka på:

  • Genomsökningsenhet: En enhet som redan har registrerats och som du använder för att genomsöka nätverksenheterna.
  • Nätverksenheter: De nätverksenheter som du planerar att skanna och registrera.

Sårbarhetshantering för nätverksenheter

När nätverksenheterna har identifierats och klassificerats kan säkerhetsadministratörer ta emot de senaste säkerhetsrekommendationerna och granska nyligen identifierade säkerhetsrisker på nätverksenheter som distribuerats i deras organisationer.

Operativsystem som stöds

Följande operativsystem stöds för närvarande:

  • Cisco IOS, IOS-XE, NX-OS
  • Fortinet FortiOS
  • Juniper JUNOS
  • HPE Aruba Networking ArubaOS, AOS-CX
  • HPE ArubaOS, Procurve Switch Software
  • Palo Alto Networks PAN-OS

Fler nätverksleverantörer och operativsystem läggs till över tid, baserat på data som samlas in från kundanvändning. Därför uppmanas du att konfigurera alla dina nätverksenheter, även om de inte anges i den här listan.

Så här kommer du igång

Ditt första steg är att välja en enhet som utför de autentiserade nätverksgenomsökningarna.

  1. Bestäm en Defender för Endpoint-registrerad enhet (klient eller server) som har en nätverksanslutning till hanteringsporten för de nätverksenheter som du planerar att genomsöka.

  2. SNMP-trafik mellan Defender för Endpoint-genomsökningsenheten och målnätverksenheterna måste tillåtas (till exempel av brandväggen).

  3. Bestäm vilka nätverksenheter som utvärderas för sårbarheter (till exempel en Cisco-växel eller en Palo Alto Networks-brandvägg).

  4. Kontrollera att SNMP skrivskyddat är aktiverat på alla konfigurerade nätverksenheter så att Defender för Endpoint-genomsökningsenheten kan fråga de konfigurerade nätverksenheterna. "SNMP-skrivning" behövs inte för rätt funktioner i den här funktionen.

  5. Hämta IP-adresserna för de nätverksenheter som ska genomsökas (eller de undernät där dessa enheter distribueras).

  6. Hämta SNMP-autentiseringsuppgifterna för nätverksenheterna (till exempel Community String, noAuthNoPriv, authNoPriv, authPriv). Du måste ange autentiseringsuppgifterna när du konfigurerar ett nytt genomsökningsjobb.

  7. Proxyklientkonfiguration: Ingen extra konfiguration krävs förutom proxykraven för Defender för Endpoint-enheten.

  8. För att skannern ska kunna autentiseras och fungera korrekt är det viktigt att du lägger till följande domäner/URL:er:

    • login.windows.net
    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    Obs!

    Alla URL:er anges inte i den dokumenterade listan över tillåtna datainsamling i Defender för Endpoint.

Behörigheter

För att konfigurera genomsökningsjobb krävs följande alternativ för användarbehörighet: Hantera säkerhetsinställningar i Defender. Du kan hitta behörigheten genom att gå till Inställningsroller>. Mer information finns i Skapa och hantera roller för rollbaserad åtkomstkontroll.

Krav för Windows-version för skannern

Skannern stöds på Windows 10 version 1903 och Windows Server, version 1903 och senare. Mer information finns i Windows 10 version 1903 och Windows Server version 1903.

Obs!

Det finns en gräns på 40 skannerinstallationer per klientorganisation.

Installera skannern

  1. Gå till Microsoft 365 säkerhetsinställningar>>Enhetsidentifiering>Autentiserade genomsökningar.

  2. Ladda ned skannern och installera den på den avsedda Defender för Endpoint-genomsökningsenheten.

    Skärmbild av skärmen lägg till ny autentiserad genomsökning

Skannerinstallation & registrering

Inloggningsprocessen kan slutföras på själva genomsökningsenheten eller någon annan enhet (till exempel din personliga klientenhet).

Obs!

Både kontot som användaren loggar in med och den enhet som används för att slutföra inloggningsprocessen måste finnas i samma klientorganisation där enheten är registrerad för att Microsoft Defender för Endpoint.

Så här slutför du registreringen av skannern:

  1. Kopiera och följ url:en som visas på kommandoraden och använd den angivna installationskoden för att slutföra registreringsprocessen.

    Obs!

    Du kan behöva ändra inställningarna för kommandotolken för att kunna kopiera URL:en.

  2. Ange koden och logga in med ett Microsoft-konto som har behörigheten Defender för Endpoint med namnet "Hantera säkerhetsinställningar i Defender".

  3. När du är klar bör du se ett meddelande som bekräftar att du har loggat in.

Uppdateringar för skanner

Skannern har en schemalagd aktivitet som som standard är konfigurerad för att söka efter uppdateringar regelbundet. När aktiviteten körs jämförs versionen av skannern på klientenheten med agentversionen på uppdateringsplatsen. Uppdateringsplatsen är där Windows söker efter uppdateringar, till exempel på en nätverksresurs eller från Internet.

Om det finns en skillnad mellan de två versionerna avgör uppdateringsprocessen vilka filer som skiljer sig åt och måste uppdateras på den lokala datorn. När de nödvändiga uppdateringarna har fastställts startar nedladdningen av uppdateringarna.

Konfigurera en ny nätverksenhetsautentiserad genomsökning

  1. Gå till Inställningar>Enhetsidentifiering>Autentiserade genomsökningar i Microsoft Defender-portalen.

  2. Välj Lägg till ny genomsökning och välj Nätverksenhetsautentiserad genomsökning och välj Nästa.

    Skärmbild av skärmen för att lägga till ny nätverksenhetsautentiserad genomsökning

  3. Välj om du vill aktivera genomsökning.

  4. Ange ett genomsökningsnamn.

  5. Välj enheten Genomsökning: Den registrerade enhet som du använder för att genomsöka nätverksenheterna.

  6. Ange mål (intervall): DE IP-adressintervall eller värdnamn som du vill genomsöka. Du kan antingen ange adresserna eller importera en CSV-fil. Om du importerar en fil åsidosätts alla manuellt tillagda adresser.

  7. Välj Genomsökningsintervall: Som standard körs genomsökningen var fjärde timme, du kan ändra genomsökningsintervallet eller låta det bara köras en gång genom att välja Upprepa inte.

  8. Välj din autentiseringsmetod.

    Du kan välja att Använda azure KeyVault för att ange autentiseringsuppgifter: Om du hanterar dina autentiseringsuppgifter i Azure KeyVault kan du ange Azure KeyVault-URL:en och Azure KeyVault-hemlighetens namn som ska nås av genomsökningsenheten för att ange autentiseringsuppgifter. Det hemliga värdet är beroende av den autentiserade metod som du väljer, enligt beskrivningen i följande tabell:

    Autentiseringsmetod Hemligt värde för Azure KeyVault
    AuthPriv Användarnamn; AuthPassword; PrivPassword
    AuthNoPriv Användarnamn; AuthPassword
    CommunityString CommunityString

  9. Välj Nästa för att köra eller hoppa över testgenomsökningen.

  10. Välj Nästa för att granska inställningarna och välj Skicka för att skapa den nya nätverksenhetens autentiserade genomsökning.

Obs!

Om du vill förhindra enhetsduplicering i nätverkets enhetsinventering kontrollerar du att varje IP-adress bara har konfigurerats en gång på flera genomsökningsenheter.

Skanna och lägg till nätverksenheter

Under konfigurationsprocessen kan du utföra en engångstestgenomsökning för att kontrollera att:

  • Det finns en anslutning mellan Defender för Endpoint-genomsökningsenheten och de konfigurerade målnätverksenheterna.
  • De konfigurerade SNMP-autentiseringsuppgifterna är korrekta.

Varje genomsökningsenhet har stöd för upp till 1 500 lyckade IP-adressgenomsökningar. Om du till exempel söker igenom 10 olika undernät där endast 100 IP-adresser returnerar lyckade resultat kan du skanna ytterligare 1 400 IP-adresser från andra undernät på samma genomsökningsenhet.

Om det finns flera IP-adressintervall/undernät att genomsöka tar testgenomsökningsresultatet flera minuter att visas. En testgenomsökning är tillgänglig för upp till 1 024 adresser.

När resultaten visas kan du välja vilka enheter som ska ingå i den periodiska genomsökningen. Om du hoppar över att visa genomsökningsresultaten läggs alla konfigurerade IP-adresser till i nätverksenhetens autentiserade genomsökning (oavsett enhetens svar). Genomsökningsresultaten kan också exporteras.

Enhets inventerings rapport

Nyligen identifierade enheter visas under fliken Nya nätverksenheter på sidan Enhetsinventering . Det kan ta upp till två timmar efter att du har lagt till ett genomsökningsjobb tills enheterna har uppdaterats.

Skärmbild av fliken nätverksenhet i enhetsinventeringen

Felsökning

Skannerinstallationen misslyckades

Kontrollera att nödvändiga URL:er har lagts till i de tillåtna domänerna i brandväggsinställningarna. Kontrollera också att proxyinställningarna är konfigurerade enligt beskrivningen i Konfigurera enhetsproxy och Internetanslutningsinställningar.

Den Microsoft.com/devicelogin webbsidan dök inte upp

Kontrollera att de url:er som krävs har lagts till i de tillåtna domänerna i brandväggen. Kontrollera också att proxyinställningarna är konfigurerade enligt beskrivningen i Konfigurera enhetsproxy och Internetanslutningsinställningar.

Nätverksenheter visas inte i enhetsinventeringen efter flera timmar

Genomsökningsresultaten bör uppdateras några timmar efter den första genomsökningen som ägde rum efter att nätverksenhetens autentiserade genomsökningskonfiguration har slutförts.

Om enheterna fortfarande inte visas kontrollerar du att tjänsten "MdatpNetworkScanService" körs på dina enheter som genomsöks, där du installerade skannern och utför en "Kör genomsökning" i den relevanta nätverksenhetens autentiserade genomsökningskonfiguration.

Om du fortfarande inte får resultat efter 5 minuter startar du om tjänsten.

Senast sedda enheter är längre än 24 timmar

Kontrollera att skannern körs korrekt. Gå sedan till genomsökningsdefinitionen och välj Kör test. Kontrollera vilka felmeddelanden som returneras från relevanta IP-adresser.

Min skanner är konfigurerad men genomsökningarna körs inte

Eftersom den autentiserade skannern för närvarande använder en krypteringsalgoritm som inte är kompatibel med FIPS (Federal Information Processing Standards) kan skannern inte användas när en organisation framtvingar användningen av FIPS-kompatibla algoritmer.

Om du vill tillåta algoritmer som inte är kompatibla med FIPS anger du följande värde i registret för de enheter där skannern ska köras:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy med DWORD-värdet Aktiverad och värdet 0x0

FIPS-kompatibla algoritmer används endast i förhållande till avdelningar och myndigheter i USA federala myndigheter.

Nödvändig användarbehörighet för Defender Vulnerability Management

Registreringen slutfördes med ett fel: "Det verkar som om du inte har tillräcklig behörighet för att lägga till en ny agent. Den behörighet som krävs är "Hantera säkerhetsinställningar i Defender".

Tryck på valfri tangent för att avsluta.

Be systemadministratören att tilldela dig de behörigheter som krävs. Alternativt kan du be en annan relevant medlem att hjälpa dig med inloggningsprocessen genom att ge dem inloggningskoden och länken.

Prova en annan webbläsare eller kopiera inloggningslänken och koden till en annan enhet.

Texten är för liten eller kan inte kopiera text från kommandoraden

Ändra kommandoradsinställningarna på enheten för att tillåta kopiering och ändring av textstorlek.

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.