共用方式為

網路裝置發現與漏洞管理

  • 適用於: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2, Microsoft Defender Vulnerability Management

注意事項

技術社群部落格:網路裝置發現與漏洞評估 (於 2021 年 4 月 13 日發佈,) 提供了 Defender for Endpoint 中新網路裝置發現能力的見解。 本文概述 了網路裝置發現 所面臨的挑戰,並詳細說明如何開始使用這些新功能。

網路發現功能可在 Microsoft Defender 入口網站裝置庫存區及 Microsoft Defender 全面偵測回應主控台中取得。

每個網路區段會使用指定的 適用於端點的 Microsoft Defender 裝置,定期掃描預先設定的網路裝置。 一旦發現漏洞,Defender for Endpoint 中的漏洞管理功能提供整合的工作流程,以保護被發現的交換器、路由器、WLAN 控制器、防火牆及 VPN 閘道器。

一旦網路設備被發現並分類,資安管理員即可接收最新的安全建議,並檢視組織內部署的網路裝置最新發現的漏洞。

注意事項

Windows 認證掃描自 2025 年 12 月 18 日起被淘汰。 欲了解更多資訊,請參閱 Windows 認證掃描棄用常見問題

方法

網路裝置並非標準端點管理,因為 Defender for Endpoint 沒有內建感測器。 這類裝置需要無代理方式,透過遠端掃描從裝置獲取所需資訊。 根據網路拓撲與特性,單一或少數接入適用於端點的 Microsoft Defender的裝置會使用 SNMP (唯讀) 執行網路設備的認證掃描。

注意事項

認證掃描支援 SNMPv2SNMPv3

有兩種裝置需要注意:

  • 掃描裝置:已經上線的裝置,用來掃描網路設備。
  • 網路裝置:你打算掃描並上線的網路裝置。

網路裝置的漏洞管理

一旦網路設備被發現並分類,資安管理員即可接收最新的安全建議,並檢視組織內部署的網路裝置最新發現的漏洞。

支援的作業系統

目前支援的作業系統包括以下:

  • Cisco IOS、IOS-XE、NX-OS
  • Fortinet FortiOS
  • 杜松朱諾斯
  • HPE Aruba 網路 ArubaOS,AOS-CX
  • HPE ArubaOS,Procurve 交換器軟體
  • 帕洛阿爾托網路 PAN-OS

未來將根據客戶使用量收集的數據,新增更多網路供應商與作業系統。 因此,建議你配置所有網路設備,即使這些裝置未在此列表中指定。

如何開始使用

第一步是選擇一台能執行認證網路掃描的裝置。

  1. 選擇一台 Defender for Endpoint 內建的裝置 (客戶端或伺服器) ,並且有網路連線到你打算掃描的網路裝置管理埠。

  2. 例如,防火牆) 必須允許 Defender for Endpoint 掃描裝置與目標網路裝置之間的 SNMP 流量 (。

  3. 決定哪些網路設備會被評估漏洞,例如:Cisco 交換器或 Palo Alto Networks 防火牆) (。

  4. 確保所有已設定的網路裝置都啟用 SNMP 唯讀,讓 Defender for Endpoint 掃描裝置能夠查詢已設定的網路設備。 「SNMP 寫入」並非此功能的正確功能所必需。

  5. 取得待掃描的網路裝置 (或這些裝置部署) 子網的 IP 位址。

  6. 取得網路 (裝置的 SNMP 憑證,例如:Community String、noAuthNoPriv、authNoPriv、authPriv) 。 設定新的掃描工作時,你必須提供憑證。

  7. 代理客戶端設定:除了 Defender for Endpoint 裝置代理的要求外,無需額外設定。

  8. 為了讓掃描器能被認證並正常運作,必須新增以下網域/網址:

    • *.security.microsoft.com
    • login.microsoftonline.com
    • *.blob.core.windows.net/networkscannerstable/*

    注意事項

    並非所有網址都被指定在 Defender for Endpoint 文件中允許的資料收集清單中。

權限

要設定掃描工作,需以下使用者權限選項: 在 Defender 中管理安全設定。 你可以到 設定>角色找到這個權限。 如需詳細資訊,請參閱 建立和管理角色型存取控制的角色

掃描器的 Windows 版本前置條件

該掃描器支援 Windows 10 版本 1903 及 Windows Server 版本 1903 及更新版本。 欲了解更多資訊,請參閱 Windows 10,版本 1903 及 Windows Server,版本 1903

注意事項

每位租戶最多安裝40台掃描器。

安裝掃描器

  1. 前往 Microsoft 365 安全>設定>裝置發現>認證掃描

  2. 下載掃描器並安裝到指定的 Defender for Endpoint 掃描裝置上。

    新增認證掃描畫面的截圖。

掃描器安裝 & 註冊

登入過程可以在指定的掃描裝置上完成,或 (你的個人客戶端裝置) 。

注意事項

使用者登入的帳號與完成登入程序的裝置,都必須位於裝置被導入 適用於端點的 Microsoft Defender 的同一租戶中。

完成掃描器註冊流程:

  1. 複製並依照命令列上出現的網址操作,並使用提供的安裝代碼完成註冊流程。

    注意事項

    你可能需要更改命令提示字元設定,才能複製網址。

  2. 輸入程式碼,並使用一個帶有 Defender for Endpoint 權限的 Microsoft 帳號登入,該權限稱為「在 Defender 管理安全設定」。

  3. 完成後,你應該會看到確認已登入的訊息。

掃描器匯報

掃描器有一個預設的排程任務,會定期尋找更新。 當任務執行時,它會比較用戶端裝置上的掃描器版本與更新位置上的代理程式版本。 更新位置是 Windows 尋找更新的地方,例如網路共享或來自網際網路。

如果兩個版本之間有差異,更新程序會判斷哪些檔案不同且必須在本機電腦上更新。 一旦確定所需的更新,更新的下載工作便開始。

設定新的網路裝置認證掃描

  1. 前往設定>,在 Microsoft Defender 入口網站中進行裝置發現>認證掃描

  2. 選擇 新增掃描 ,選擇網路 裝置認證掃描 ,然後選擇 下一步

    新增網路裝置認證掃描畫面的截圖。

  3. 選擇是否 啟動掃描

  4. 輸入 掃描名稱

  5. 選擇 掃描裝置: 你用來掃描網路設備的內建裝置。

  6. 輸入 目標 (範圍) : 你想掃描的 IP 位址範圍或主機名稱。 你可以輸入地址或匯入 CSV 檔案。 匯入檔案會覆蓋任何手動新增的位址。

  7. 選擇 掃描間隔: 預設掃描每四小時進行一次。 你可以選擇 「不要重複」來更改掃描間隔或只執行一次。

  8. 選擇你的 認證方式

    您可以選擇使用 Azure KeyVault 來提供憑證:如果您在 Azure KeyVault 中管理憑證,您可以輸入 Azure KeyVault URL 及 Azure KeyVault 秘密名稱,讓掃描裝置存取以提供憑證。 秘密值依你所選擇的認證方法而定,詳見下表:

    認證方法 Azure KeyVault secret value
    AuthPriv 用戶名;AuthPassword;PrivPassword
    AuthNoPriv 用戶名;AuthPassword
    CommunityString 社群串

  9. 選擇 「下一步 」來執行或跳過測試掃描。

  10. 選擇 「下一步 」來檢視設定,然後選擇 提交 以建立你的新網路裝置認證掃描。

注意事項

為防止裝置在網路裝置清單中重複,請確保每個 IP 位址在多個掃描裝置間只設定一次。

掃描並新增網路裝置

在設定過程中,您可以進行一次性測試掃描以確認:

  • Defender for Endpoint 掃描裝置與已設定的目標網路裝置之間是有連線的。
  • 設定的 SNMP 憑證是正確的。

每個掃描裝置最多可支援 1,500 個成功掃描 IP 位址。 舉例來說,如果你掃描了 10 個不同的子網路,只有 100 個 IP 位址成功,那麼在同一台掃描裝置上,你可以從其他子網多掃描 1,400 個 IP 位址。

如果有多個 IP 位址範圍/子網要掃描,測試掃描結果要花好幾分鐘才會顯示。 最多可針對 1,024 個地址進行測試掃描。

結果顯示後,您可以選擇要包含哪些裝置進行定期掃描。 如果你跳過查看掃描結果,所有已設定的 IP 位址都會被加入網路裝置認證的掃描 (,不論裝置的回應) 如何。 掃描結果也可以匯出。

裝置庫存

新發現的裝置會顯示在裝置清單頁面的新網路裝置標籤下。 新增掃描工作後可能需要長達兩小時,直到裝置更新。

裝置清單中網路裝置分頁的截圖。

疑難排解

掃描器安裝失敗

請確認防火牆設定中允許的網域是否已加入所需的網址。 另外,請確保代理設定依照 「配置裝置代理與網路連線設定」中所述配置。

Microsoft.com/devicelogin 網頁沒有顯示

確認防火牆中允許的網域是否已新增所需的 URL。 另外,請確保代理設定依照 「配置裝置代理與網路連線設定」中所述配置。

網路裝置在裝置清單中顯示不了幾小時後

掃描結果應在完成網路裝置認證掃描設定後的初次掃描數小時後更新。

如果裝置仍然未顯示,請確認該服務 MdatpNetworkScanService 是否在你安裝掃描器的裝置上運行,並在相應的網路裝置認證掃描設定中執行「執行掃描」。

如果五分鐘後還是沒有結果,就重新啟動服務。

裝置最後出現的時間超過24小時

確認掃描器是否正常運作。 接著進入掃描定義,選擇「執行測試」。檢查相關 IP 位址回傳的錯誤訊息。

我的掃描器設定好了,但掃描沒有執行

由於經過認證的掃描器目前使用的加密演算法不符合 聯邦資訊處理標準 (FIPS) ,當組織強制使用符合FIPS標準的演算法時,掃描器無法正常運作。

為了允許不符合 FIPS 的演算法,請在掃描器運行的裝置登錄檔中設定以下值:

電腦的\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD 值命名 Enabled 為 ,值為 0x0

符合FIPS規範的演算法僅用於美國聯邦政府的部門與機構。

必須取得 Defender 弱點管理使用者權限

註冊結束時出現錯誤:「看起來您沒有足夠的權限來新增一位客服人員。 所需的權限是『在 Defender 管理安全設定』。」

按下任意鍵即可退出。

請你的系統管理員指派所需的權限給你。 或者,請其他相關會員提供登入碼和連結協助你登入流程。

試試不同的瀏覽器,或是把登入連結和程式碼複製到其他裝置。

文字太小或無法從命令列複製文字

請更改裝置上的命令列設定,允許複製和更改文字大小。

提示

想要深入了解? Engage 與 Microsoft Security 社群互動,加入我們的技術社群:適用於端點的 Microsoft Defender Defender 技術社群

  • Last updated on