Computerüberprüfung ohne Agent
Die agentlose Computerüberprüfung in Microsoft Defender for Cloud verbessert den Sicherheitsstatus von Computern, die mit Defender for Cloud verbunden sind.
Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus. Agentlose Computerüberprüfung:
- Überprüft die Erkennung und Reaktion am Endpunkt (EDR): Überprüfen Sie Computer, um zu beurteilen, ob sie eine EDR-Lösung ausführen, und ob Einstellungen korrekt sind, wenn Computer in Microsoft Defender for Endpoint integriert sind. Weitere Informationen
- Überprüft Softwarebestand: Überprüfen Sie IhrenSoftwarebestand mit integriertem Microsoft Defender Vulnerability Management.
- Sucht nach Sicherheitsrisiken: Bewerten Sie Computer nach Sicherheitsrisiken mithilfe des integrierten Defender Vulnerability Management.
- Sucht nach Geheimnissen auf Computern: Suchen Sie Nur-Text-Geheimnisse in Ihrer Compute-Umgebung mit der agentlosen Geheimnisüberprüfung.
- Sucht nach Schadsoftware: Überprüfen Sie Computer auf Schadsoftware und Virenmithilfe vonMicrosoft Defender Antivirus.
- Scannt VMs, die als Kubernetes-Knoten ausgeführt werden: Die Sicherheitsrisikobewertung und Schadsoftwareüberprüfung sind für VMs verfügbar, die als Kubernetes-Knoten ausgeführt werden, wenn Defender for Servers-Plan 2 oder der Defender for Containers-Plan aktiviert ist. Nur in kommerziellen Clouds verfügbar.
Agentlose Überprüfung ist in den folgenden Defender for Cloud-Plänen verfügbar:
- Defender Cloud Security Posture Management (CSPM)
- Defender for Servers-Plan 2
- Die Schadsoftwareüberprüfung ist nur mit Defender for Servers-Plan 2 verfügbar.
- Die agentlose Überprüfung ist für Azure-VMs, GCP/AWS-Computer verfügbar, die mit Defender for Cloud verbunden sind, und für lokale Computer, die als Azure Arc-fähige VMs integriert sind.
Architektur der agentlosen Überprüfung
Funktionsweise der agentlosen Überprüfung:
Defender for Cloud nimmt Momentaufnahmen von VM-Datenträgern auf und führt eine eingehende Out-of-Band-Analyse der Betriebssystemkonfiguration und des Dateisystems aus, die bzw. das in der Momentaufnahme gespeichert ist.
- Die kopierte Momentaufnahme verbleibt in derselben Region wie der virtuelle Computer.
- Die Überprüfung wirkt sich nicht auf den virtuellen Computer aus.
Nachdem Defender for Cloud die erforderlichen Metadaten vom kopierten Datenträger abgerufen hat, löscht es sofort die kopierte Momentaufnahme des Datenträgers und sendet die Metadaten an relevante Microsoft-Engines, um Konfigurationslücken und potenzielle Bedrohungen zu analysieren. In der Sicherheitsrisikobewertung erfolgt die Analyse beispielsweise durch die Microsoft Defender-Sicherheitsrisikoverwaltung.
Defender for Cloud zeigt Überprüfungsergebnisse an, wobei sowohl die agentbasierten als auch die agentlosen Ergebnisse auf der Seite „Sicherheitswarnungen“ konsolidiert werden.
Defender for Cloud analysiert Datenträger in einer Überprüfungsumgebung, die regional, veränderlich, isoliert und hochgradig sicher ist. Datenträgeraufnahmen und Daten, die nicht mit der Überprüfung verbunden sind, werden nicht länger gespeichert, als erforderlich ist, um die Metadaten zu erfassen – in der Regel einige Minuten.
Berechtigungen, die bei der agentlosen Überprüfung verwendet werden
Defender for Cloud hat bestimmte Rollen und Berechtigungen verwendet, um agentlose Überprüfungen durchzuführen.
- In Azure werden diese Berechtigungen automatisch zu Ihren Abonnements hinzugefügt, wenn Sie Überprüfungen ohne Agent aktivieren.
- In AWS werden diese Berechtigungen dem CloudFormation-Stapel in Ihrem AWS-Connector hinzugefügt.
- In GCP werden diese Berechtigungen dem Onboarding-Skript in Ihrem GCP-Connector hinzugefügt.
Azure-Berechtigungen
Die integrierte Rolle VM Scanner Operator verfügt über schreibgeschützte Berechtigungen für VM-Datenträger, die für den Momentaufnahmeprozess erforderlich sind. Im Folgenden sehen Sie die detaillierte Liste der Berechtigungen:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Wenn die Abdeckung für CMK-verschlüsselte Datenträger aktiviert ist, werden diese weitere Berechtigungen verwendet:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS-Berechtigungen
Die Rolle VmScanner wird dem Prüfer zugewiesen, wenn Sie die Überprüfung ohne Agent aktivieren. Diese Rolle verfügt über die minimale Berechtigung zum Erstellen und Bereinigen von Momentaufnahmen (Bereich nach Tag) und zum Überprüfen des aktuellen Zustands des virtuellen Computers. Die ausführlichen Berechtigungen sind:
| attribute | Wert |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Aktionen | ec2:DeleteSnapshot |
| Bedingungen | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Ressourcen | arn:aws:ec2:::snapshot/ |
| Auswirkung | Allow |
| attribute | Wert |
|---|---|
| SID | VmScannerAccess |
| Aktionen | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Bedingungen | Keine |
| Ressourcen | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Auswirkung | Allow |
| attribute | Wert |
|---|---|
| SID | VmScannerVerificationAccess |
| Aktionen | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Bedingungen | Keine |
| Ressourcen | * |
| Auswirkung | Allow |
| attribute | Wert |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Aktionen | kms:CreateKey |
| Bedingungen | Keine |
| Ressourcen | * |
| Auswirkung | Allow |
| attribute | Wert |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Aktionen | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Bedingungen | Keine |
| Ressourcen | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Auswirkung | Allow |
| attribute | Wert |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| Aktionen | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Bedingungen | Keine |
| Ressourcen | arn:aws:kms::${AWS::AccountId}: key/ |
| Auswirkung | Zulassen |
GCP-Berechtigungen
Während des Onboardings wird eine neue benutzerdefinierte Rolle mit minimalen Berechtigungen erstellt, um Instanzzustände zu erhalten und Momentaufnahmen zu erstellen.
Zusätzlich werden Berechtigungen für eine vorhandene GCP-KMS-Rolle erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. Die Rollen lauten:
- roles/MDCAgentlessScanningRole für das Dienstkonto von Defender for Cloud mit den Berechtigungen: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter für den Compute-Engine-Dienst-Agent von Defender for Cloud