Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le analisi di rete autenticate offrono un modo senza agente per individuare e valutare i dispositivi dell'infrastruttura di rete, ad esempio commutatori, router, controller WLAN, firewall e gateway VPN.
Per altre informazioni, vedere Analisi di rete autenticate.
Nota
L'analisi autenticata di Windows è deprecata dal 18 dicembre 2025. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'analisi autenticata di Windows.
Prerequisiti
Per configurare i processi di analisi, è necessaria l'autorizzazione Gestisci impostazioni di sicurezza in Defender . Per altre informazioni, vedere Creare e gestire ruoli per il controllo degli accessi in base al ruolo.
Dispositivi supportati
Qualsiasi dispositivo di rete che risponde alle query SNMPv2 o SNMPv3 può essere individuato tramite analisi di rete autenticate. È consigliabile configurare tutti i dispositivi di rete per l'analisi, indipendentemente dal fornitore o dal sistema operativo.
Versioni di Windows supportate per lo scanner
Lo scanner è supportato in Windows 10, versione 1903 e Windows Server, versione 1903 e successive. Per altre informazioni, vedere Windows 10, versione 1903 e Windows Server, versione 1903
Nota
È possibile installare fino a 40 scanner per tenant.
Selezionare il dispositivo scanner
Per selezionare un dispositivo che esegue le analisi di rete autenticate:
Decidere un dispositivo di cui è stato eseguito l'onboarding di Defender per endpoint (client o server) con una connessione di rete alla porta di gestione per i dispositivi di rete che si prevede di analizzare.
Consentire il traffico SNMP tra il dispositivo di analisi di Defender per endpoint e i dispositivi di rete di destinazione (ad esempio, dal firewall).
Decidere quali dispositivi di rete vengono valutati per le vulnerabilità (ad esempio, un commutatore Cisco o un firewall Palo Alto Networks).
Assicurarsi che SNMP di sola lettura sia abilitato in tutti i dispositivi di rete configurati per consentire al dispositivo di analisi di Defender per endpoint di eseguire query sui dispositivi di rete configurati.
SNMP writenon è necessario per la funzionalità appropriata di questa funzionalità.Ottenere gli indirizzi IP dei dispositivi di rete da analizzare (o le subnet in cui vengono distribuiti questi dispositivi).
Ottenere le credenziali SNMP dei dispositivi di rete, ad esempio Community String, noAuthNoPriv, authNoPriv, authPriv. È necessario specificare le credenziali durante la configurazione di un nuovo processo di analisi.
Configurazione client proxy: non è necessaria alcuna configurazione aggiuntiva oltre ai requisiti proxy del dispositivo Defender per endpoint.
Per consentire l'autenticazione dello scanner e il corretto funzionamento, aggiungere i domini/URL seguenti:
*.security.microsoft.comlogin.microsoftonline.com*.blob.core.windows.net/networkscannerstable/*
Nota
Non tutti gli URL sono specificati nell'elenco documentato di Defender per endpoint della raccolta dati consentita.
Installare lo scanner
Nel portale di Microsoft Defender selezionare Impostazioni>Individuazione dispositivo>Scansioni autenticate.
Scaricare lo scanner e installarlo nel dispositivo di analisi di Defender per endpoint designato.
Registrare lo scanner
È possibile completare la registrazione nel dispositivo di analisi designato o in qualsiasi altro dispositivo (ad esempio, il dispositivo client personale).
L'account con cui l'utente accede e il dispositivo usato per completare il processo di accesso deve trovarsi nello stesso tenant in cui viene eseguito l'onboarding del dispositivo in Microsoft Defender per endpoint.
Per completare il processo di registrazione dello scanner:
Copiare e seguire l'URL visualizzato nella riga di comando e usare il codice di installazione fornito per completare il processo di registrazione. Potrebbe essere necessario modificare le impostazioni del prompt dei comandi per copiare l'URL.
Digitare il codice e accedere usando un account Microsoft con l'autorizzazione Gestisci impostazioni di sicurezza in Defender .
Al termine, verrà visualizzato un messaggio che conferma l'accesso.
Nota
Un'attività pianificata che cerca gli aggiornamenti viene eseguita regolarmente. Quando l'attività viene eseguita, confronta la versione dello scanner nel dispositivo client con la versione dell'agente nel percorso di aggiornamento. Il percorso di aggiornamento è il percorso in cui Windows cerca gli aggiornamenti, ad esempio in una condivisione di rete o da Internet.
Se viene rilevata una differenza tra le due versioni, il processo di aggiornamento determina quali sono i file diversi che devono essere aggiornati nel computer locale. Dopo aver determinato gli aggiornamenti necessari, viene avviato il download degli aggiornamenti.
Configurare una nuova analisi di rete autenticata
Nel portale di Microsoft Defender selezionare Impostazioni>Individuazione dispositivo>Scansioni autenticate.
Selezionare Aggiungi nuova analisi e scegliere Analisi autenticata dal dispositivo di rete e selezionare Avanti.
Selezionare se attivare l'analisi.
Digitare un nome di analisi.
Selezionare il dispositivo di analisi: il dispositivo di onboarding usato per analizzare i dispositivi di rete.
Digitare target (intervallo): intervalli di indirizzi IP o nomi host da analizzare. È possibile immettere gli indirizzi o importare un file CSV. L'importazione di un file sostituisce tutti gli indirizzi aggiunti manualmente.
Selezionare l'intervallo di analisi: per impostazione predefinita, l'analisi viene eseguita ogni quattro ore. È possibile modificare l'intervallo di analisi o eseguirlo una sola volta selezionando Non ripetere.
Selezionare il metodo di autenticazione.
È possibile selezionare Usa Azure KeyVault per fornire le credenziali: se si gestiscono le credenziali in Azure KeyVault, è possibile digitare l'URL keyVault Azure e Azure nome del segreto KeyVault a cui accedere dal dispositivo di analisi per fornire le credenziali. Il valore del segreto dipende dal metodo scelto, come descritto nella tabella seguente:
Metodo di autenticazione Azure valore del segreto KeyVault AuthPrivNome utente; AuthPassword; PrivPassword AuthNoPrivNome utente; AuthPassword CommunityStringCommunityString Selezionare Avanti per eseguire o ignorare l'analisi di test.
Selezionare Avanti per esaminare le impostazioni e selezionare Invia per creare la nuova analisi autenticata del dispositivo di rete.
Nota
Per evitare la duplicazione del dispositivo nell'inventario dei dispositivi di rete, assicurarsi che ogni indirizzo IP sia configurato una sola volta tra più dispositivi di analisi.
Analizzare e aggiungere dispositivi di rete
Durante il processo di installazione, è possibile eseguire un'analisi di test una sola volta per verificare che:
- C'è connettività tra il dispositivo di analisi di Defender per endpoint e i dispositivi di rete di destinazione configurati.
- Le credenziali SNMP configurate sono corrette.
Ogni dispositivo di analisi può supportare fino a 1.500 indirizzi IP con esito positivo. Ad esempio, se si analizzano 10 subnet diverse in cui solo 100 indirizzi IP restituiscono risultati positivi, è possibile analizzare 1.400 indirizzi IP in più da altre subnet nello stesso dispositivo di analisi.
Se sono presenti più intervalli di indirizzi IP/subnet da analizzare, la visualizzazione dei risultati dell'analisi di test richiede alcuni minuti. È disponibile un'analisi di test per un massimo di 1.024 indirizzi.
Quando vengono visualizzati i risultati, è possibile scegliere quali dispositivi includere nell'analisi periodica. Se si ignora la visualizzazione dei risultati dell'analisi, tutti gli indirizzi IP configurati vengono aggiunti all'analisi autenticata del dispositivo di rete (indipendentemente dalla risposta del dispositivo). I risultati dell'analisi possono anche essere esportati.
Visualizzare i dispositivi di rete nell'inventario dei dispositivi
I dispositivi appena individuati vengono visualizzati nell'inventario dei dispositivi nella nuova scheda Dispositivi di rete . Potrebbero essere richieste fino a due ore dopo l'aggiunta di un processo di analisi fino a quando i dispositivi non vengono aggiornati.
