Deteção de dispositivos de rede e gestão de vulnerabilidades
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Gestão de Vulnerabilidades do Defender
- Microsoft Defender XDR
Quer experimentar o Microsoft Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Nota
O Blogue de deteção de dispositivos de rede e avaliações de vulnerabilidades (publicado entre 04 e 13-2021) fornece informações sobre as novas capacidades de deteção de dispositivos de rede no Defender para Endpoint. Este artigo fornece uma descrição geral do desafio que a Deteção de dispositivos de rede foi concebida para abordar e informações detalhadas sobre como começar a utilizar estas novas capacidades.
As capacidades de deteção de rede estão disponíveis na secção Inventário de dispositivos do portal do Microsoft Defender e Microsoft Defender XDR consolas.
Um dispositivo Microsoft Defender para Endpoint designado é utilizado em cada segmento de rede para realizar análises autenticadas periódicas de dispositivos de rede pré-configurados. Depois de detetadas, as capacidades de gestão de vulnerabilidades no Defender para Endpoint fornecem fluxos de trabalho integrados para proteger comutadores detetados, routers, controladores WLAN, firewalls e gateways de VPN.
Assim que os dispositivos de rede forem detetados e classificados, os administradores de segurança poderão receber as recomendações de segurança mais recentes e rever as vulnerabilidades detetadas recentemente em dispositivos de rede implementados nas respetivas organizações.
Abordagem
Os dispositivos de rede não são geridos como pontos finais padrão, uma vez que o Defender para Endpoint não tem um sensor incorporado nos próprios dispositivos de rede. Estes tipos de dispositivos requerem uma abordagem sem agente em que uma análise remota obtém as informações necessárias dos dispositivos. Consoante a topologia de rede e as características, um único dispositivo ou alguns dispositivos integrados no Microsoft Defender para Endpoint efetua análises autenticadas de dispositivos de rede através de SNMP (só de leitura).
Existem dois tipos de dispositivos a ter em conta:
- Dispositivo de análise: um dispositivo já integrado que utiliza para analisar os dispositivos de rede.
- Dispositivos de rede: os dispositivos de rede que planeia analisar e integrar.
Gestão de vulnerabilidades para dispositivos de rede
Assim que os dispositivos de rede forem detetados e classificados, os administradores de segurança poderão receber as recomendações de segurança mais recentes e rever as vulnerabilidades detetadas recentemente em dispositivos de rede implementados nas respetivas organizações.
Sistemas operativos suportados
Os seguintes sistemas operativos são atualmente suportados:
- Cisco IOS, IOS-XE, NX-OS
- Fortinet FortiOS
- Juniper JUNOS
- HPE Aruba Networking ArubaOS, AOS-CX
- HPE ArubaOS, Procurve Switch Software
- Palo Alto Networks PAN-OS
Serão adicionados mais fornecedores de rede e SO ao longo do tempo, com base nos dados recolhidos a partir da utilização do cliente. Por conseguinte, é recomendado configurar todos os seus dispositivos de rede, mesmo que não estejam especificados nesta lista.
Como começar
O primeiro passo é selecionar um dispositivo que efetue as análises de rede autenticadas.
Decida um dispositivo integrado do Defender para Endpoint (cliente ou servidor) que tenha uma ligação de rede à porta de gestão dos dispositivos de rede que planeia analisar.
O tráfego SNMP entre o dispositivo de análise do Defender para Ponto Final e os dispositivos de rede de destino tem de ser permitido (por exemplo, pela Firewall).
Decida que dispositivos de rede são avaliados relativamente a vulnerabilidades (por exemplo: um comutador Cisco ou uma firewall da Palo Alto Networks).
Certifique-se de que o SNMP só de leitura está ativado em todos os dispositivos de rede configurados para permitir que o dispositivo de análise do Defender para Ponto Final consulte os dispositivos de rede configurados. A "escrita SNMP" não é necessária para a funcionalidade adequada desta funcionalidade.
Obtenha os endereços IP dos dispositivos de rede a analisar (ou as sub-redes onde estes dispositivos são implementados).
Obtenha as credenciais SNMP dos dispositivos de rede (por exemplo: Cadeia de Comunidade, noAuthNoPriv, authNoPriv, authPriv). Tem de fornecer as credenciais ao configurar uma nova tarefa de análise.
Configuração do cliente proxy: não é necessária nenhuma configuração adicional além dos requisitos de proxy de dispositivos do Defender para Endpoint.
Para permitir que o scanner seja autenticado e funcione corretamente, é essencial que adicione os seguintes domínios/URLs:
- login.windows.net
- *.security.microsoft.com
- login.microsoftonline.com
- *.blob.core.windows.net/networkscannerstable/*
Nota
Nem todos os URLs são especificados na lista documentada do Defender para Ponto Final da recolha de dados permitida.
Permissões
Para configurar tarefas de análise, é necessária a seguinte opção de permissão de utilizador: Gerir definições de segurança no Defender. Pode encontrar a permissão acedendo a Funções de Definições>. Para obter mais informações, veja Create e gerir funções do controlo de acesso baseado em funções.
Pré-requisito da versão do Windows para o scanner
O scanner é suportado no Windows 10, versão 1903 e Windows Server, versão 1903 e posterior. Para obter mais informações, consulte Windows 10, versão 1903 e Windows Server, versão 1903.
Nota
Existe um limite de 40 instalações de scanner por inquilino.
Instalar o scanner
Aceda aDefinições> de segurança > do Microsoft 365Deteção de dispositivos>Análises autenticadas.
Transfira o scanner e instale-o no dispositivo de análise do Defender para Ponto Final designado.
Instalação do scanner & registo
O processo de início de sessão pode ser concluído no próprio dispositivo de análise designado ou em qualquer outro dispositivo (por exemplo, o seu dispositivo cliente pessoal).
Nota
Tanto a conta com a qual o utilizador inicia sessão como o dispositivo que está a ser utilizado para concluir o processo de início de sessão têm de estar no mesmo inquilino onde o dispositivo está integrado para Microsoft Defender para Endpoint.
Para concluir o processo de registo do scanner:
Copie e siga o URL que aparece na linha de comandos e utilize o código de instalação fornecido para concluir o processo de registo.
Nota
Poderá ter de alterar as definições da Linha de Comandos para poder copiar o URL.
Introduza o código e inicie sessão com uma conta Microsoft que tenha a permissão defender para ponto final denominada "Gerir definições de segurança no Defender".
Quando terminar, deverá ver uma mensagem a confirmar que iniciou sessão.
Atualizações do scanner
O scanner tem uma tarefa agendada que, por predefinição, está configurada para procurar atualizações regularmente. Quando a tarefa é executada, compara a versão do scanner no dispositivo cliente com a versão do agente na localização de atualização. A localização da atualização é onde o Windows procura atualizações, como numa partilha de rede ou a partir da Internet.
Se existir uma diferença entre as duas versões, o processo de atualização determina que ficheiros são diferentes e têm de ser atualizados no computador local. Assim que as atualizações necessárias forem determinadas, a transferência das atualizações é iniciada.
Configurar uma nova análise autenticada do dispositivo de rede
Aceda a Definições Deteção> dedispositivos>Análises autenticadas no portal do Microsoft Defender.
Selecione Adicionar nova análise , selecione Análise autenticada do dispositivo de rede e selecione Seguinte.
Escolha se pretende Ativar a análise.
Introduza um Nome da análise.
Selecione o Dispositivo de análise: o dispositivo integrado que utiliza para analisar os dispositivos de rede.
Introduza o Destino (intervalo): os intervalos de endereços IP ou os nomes de anfitrião que pretende analisar. Pode introduzir os endereços ou importar um ficheiro CSV. A importação de um ficheiro substitui os endereços adicionados manualmente.
Selecione o Intervalo de análise : por predefinição, a análise é executada a cada quatro horas, pode alterar o intervalo de análise ou executá-lo apenas uma vez ao selecionar Não repetir.
Escolha o seu método de Autenticação.
Pode optar por Utilizar o Azure KeyVault para fornecer credenciais: se gerir as suas credenciais no Azure KeyVault, pode introduzir o URL do KeyVault do Azure e o nome do segredo do Azure KeyVault a aceder ao dispositivo de análise para fornecer credenciais. O valor do segredo depende do Método Autenticado que escolher, conforme descrito na tabela seguinte:
Método de Autenticação Valor secreto do Azure KeyVault AuthPriv Nome de utilizador; AuthPassword; PrivPassword AuthNoPriv Nome de utilizador; AuthPassword CommunityString CommunityString Selecione Seguinte para executar ou ignorar a análise de teste.
Selecione Seguinte para rever as definições e selecione Submeter para criar a nova análise autenticada do dispositivo de rede.
Nota
Para impedir a duplicação de dispositivos no inventário de dispositivos de rede, certifique-se de que cada endereço IP está configurado apenas uma vez em vários dispositivos de análise.
Analisar e adicionar dispositivos de rede
Durante o processo de configuração, pode efetuar uma análise de teste única para verificar se:
- Existe conectividade entre o dispositivo de análise do Defender para Endpoint e os dispositivos de rede de destino configurados.
- As credenciais SNMP configuradas estão corretas.
Cada dispositivo de análise pode suportar até 1500 análises de endereços IP com êxito. Por exemplo, se analisar 10 sub-redes diferentes em que apenas 100 endereços IP devolvem resultados bem-sucedidos, poderá analisar 1400 endereços IP adicionais de outras sub-redes no mesmo dispositivo de análise.
Se existirem vários intervalos/sub-redes de endereços IP para analisar, os resultados da análise de teste demoram vários minutos a aparecer. Está disponível uma análise de teste para até 1024 endereços.
Assim que os resultados forem apresentados, pode escolher os dispositivos que serão incluídos na análise periódica. Se ignorar a visualização dos resultados da análise, todos os endereços IP configurados são adicionados à análise autenticada do dispositivo de rede (independentemente da resposta do dispositivo). Os resultados da análise também podem ser exportados.
Inventário de dispositivos
Os dispositivos recém-detetados são apresentados no novo separador Dispositivos de rede na página Inventário de dispositivos . Pode demorar até duas horas após adicionar uma tarefa de análise até que os dispositivos sejam atualizados.
Resolução de Problemas
Falha na instalação do scanner
Verifique se os URLs necessários são adicionados aos domínios permitidos nas definições da firewall. Além disso, certifique-se de que as definições de proxy estão configuradas conforme descrito em Configurar o proxy de dispositivos e as definições de conectividade à Internet.
A página Web Microsoft.com/devicelogin não foi apresentada
Verifique se os URLs necessários são adicionados aos domínios permitidos na firewall. Além disso, certifique-se de que as definições de proxy estão configuradas conforme descrito em Configurar o proxy de dispositivos e as definições de conectividade à Internet.
Os dispositivos de rede não são apresentados no inventário de dispositivos após várias horas
Os resultados da análise devem ser atualizados algumas horas após a análise inicial que ocorreu após concluir a configuração da análise autenticada do dispositivo de rede.
Se os dispositivos ainda não forem apresentados, verifique se o serviço "MdatpNetworkScanService" está em execução nos seus dispositivos que estão a ser analisados, nos quais instalou o scanner e execute uma "Análise de execução" na configuração de análise autenticada do dispositivo de rede relevante.
Se continuar a não obter resultados após 5 minutos, reinicie o serviço.
O tempo visto pela última vez nos dispositivos é superior a 24 horas
Confirme que o scanner está a ser executado corretamente. Em seguida, aceda à definição de análise e selecione "Executar teste". Verifique que mensagens de erro estão a ser devolvidas a partir dos endereços IP relevantes.
O meu scanner está configurado, mas as análises não estão em execução
Uma vez que o detetor autenticado utiliza atualmente um algoritmo de encriptação que não está em conformidade com as Normas Federais de Processamento de Informações (FIPS), o detetor não pode funcionar quando uma organização impõe a utilização de algoritmos compatíveis com FIPS.
Para permitir algoritmos que não estejam em conformidade com FIPS, defina o seguinte valor no registo para os dispositivos em que o scanner será executado:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy com um valor DWORD denominado Ativado e valor de 0x0
Os algoritmos compatíveis com FIPS só são utilizados em relação a departamentos e agências do Estados Unidos governo federal.
Permissão de utilizador necessária da Gestão de Vulnerabilidades do Defender
O registo foi concluído com um erro: "Parece que não tem permissões suficientes para adicionar um novo agente. A permissão necessária é "Gerir definições de segurança no Defender"."
Prima qualquer tecla para sair.
Peça ao administrador de sistema para lhe atribuir as permissões necessárias. Em alternativa, peça a outro membro relevante para ajudá-lo com o processo de início de sessão, fornecendo-lhe o código de início de sessão e a ligação.
O processo de registo falha ao utilizar a ligação fornecida na linha de comandos no processo de registo
Experimente um browser diferente ou copie a ligação de início de sessão e o código para um dispositivo diferente.
O texto é demasiado pequeno ou não consegue copiar texto da linha de comandos
Altere as definições da linha de comandos no seu dispositivo para permitir a cópia e alteração do tamanho do texto.
Artigos relacionados
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.