Udostępnij za pośrednictwem

Włączanie skanowania bez agenta dla maszyn wirtualnych

  • Artykuł

Skanowanie bez agenta zapewnia wgląd w zainstalowane oprogramowanie i luki w zabezpieczeniach oprogramowania w obciążeniach w celu rozszerzenia pokrycia luk w zabezpieczeniach do obciążeń serwera bez zainstalowanego agenta oceny luk w zabezpieczeniach.

Ocena luk w zabezpieczeniach bez agenta używa aparatu Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do oceny luk w zabezpieczeniach oprogramowania zainstalowanego na maszynach wirtualnych bez konieczności instalowania usługi Defender for Endpoint. Ocena luk w zabezpieczeniach pokazuje, że spis oprogramowania i luka w zabezpieczeniach są w tym samym formacie co oceny oparte na agencie.

Zgodność z rozwiązaniami do oceny luk w zabezpieczeniach opartymi na agencie

Defender dla Chmury obsługuje już różne skanowania luk w zabezpieczeniach oparte na agentach, w tym Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender (MDVM), BYOL. Skanowanie bez agenta rozszerza widoczność Defender dla Chmury w celu uzyskania większej liczby urządzeń.

Po włączeniu oceny luk w zabezpieczeniach bez agenta:

  • Jeśli nie masz żadnych zintegrowanych rozwiązań do oceny luk w zabezpieczeniach włączonych na żadnej maszynie wirtualnej w ramach subskrypcji, Defender dla Chmury automatycznie włącza rozwiązanie MDVM domyślnie.

  • Jeśli wybierzesz Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w ramach integracji z Ochrona punktu końcowego w usłudze Microsoft Defender, Defender dla Chmury przedstawia ujednolicony i skonsolidowany widok, który optymalizuje pokrycie i świeżość.

    • Maszyny objęte tylko jednym ze źródeł (Defender Vulnerability Management lub agentless) pokazują wyniki z tego źródła.
    • Maszyny objęte obydwoma źródłami pokazują wyniki oparte na agencie tylko w celu zwiększenia świeżości.

  • W przypadku wybrania opcji Ocena luk w zabezpieczeniach przy użyciu integracji BYOL — Defender dla Chmury domyślnie wyświetla wyniki oparte na agencie. Wyniki skanowania bez agenta są wyświetlane dla maszyn, które nie mają zainstalowanego agenta lub z maszyn, które nie zgłaszają wyników poprawnie.

    Aby zmienić domyślne zachowanie, aby zawsze wyświetlać wyniki z rozwiązania MDVM (niezależnie od tego, czy jest to rozwiązanie agenta innej firmy), wybierz ustawienie Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender w rozwiązaniu do oceny luk w zabezpieczeniach.

Włączanie skanowania bez agenta dla maszyn

Po włączeniu usługi Defender Cloud Security Posture Management (CSPM) lub Defender for Servers P2 skanowanie bez agenta jest domyślnie włączone.

Jeśli masz już włączoną usługę Defender for Servers P2, a skanowanie bez agenta jest wyłączone, należy włączyć skanowanie bez agenta ręcznie.

Możesz włączyć skanowanie bez agenta

Uwaga

Skanowanie złośliwego oprogramowania bez agenta jest dostępne tylko wtedy, gdy włączono usługę Defender for Servers (plan 2)

Ocena luk w zabezpieczeniach bez agenta na platformie Azure

Aby włączyć ocenę luk w zabezpieczeniach bez agenta na platformie Azure:

  1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednią subskrypcję.

  3. W przypadku planu Usługi Defender Cloud Security Management (CSPM) lub Defender for Servers P2 wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający link ustawień planów usługi Defender dla kont platformy Azure.

    Ustawienia skanowania bez agenta są współużytkowane przez usługę Defender Cloud Security Posture Management (CSPM) lub Defender for Servers P2. Po włączeniu skanowania bez agenta w ramach dowolnego planu ustawienie jest włączone dla obu planów.

  4. W okienku ustawień włącz skanowanie bez agenta dla maszyn.

    Zrzut ekranu przedstawiający ustawienia i ekran monitorowania umożliwiający włączenie skanowania bez agenta.

  5. Wybierz pozycję Zapisz.

Aby włączyć skanowanie zaszyfrowanych dysków CMK na platformie Azure (wersja zapoznawcza):

Aby skanowanie bez agenta obejmowało maszyny wirtualne platformy Azure z zaszyfrowanymi dyskami CMK, należy przyznać Defender dla Chmury dodatkowe uprawnienia do tworzenia bezpiecznej kopii tych dysków. W tym celu wymagane są dodatkowe uprawnienia w usłudze Key Vault używanych do szyfrowania klucza zarządzanego przez klienta dla maszyn wirtualnych.

Aby ręcznie przypisać uprawnienia, postępuj zgodnie z poniższymi instrukcjami zgodnie z typem usługi Key Vault:

  • W przypadku magazynów kluczy korzystających z uprawnień innych niż RBAC przypisz "Microsoft Defender dla Chmury Serwerów Skaner zasobów dostawcy zasobów" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) następujące uprawnienia: Pobieranie klucza, Zawijanie klucza, Odpakowywanie klucza.
  • W przypadku magazynów kluczy korzystających z uprawnień kontroli dostępu opartej na rolach przypisz wbudowaną rolę "dostawca zasobów skanera serwerów Microsoft Defender dla Chmury serwerów" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) wbudowaną rolę użytkownika szyfrowania usługi kryptograficznej usługi Key Vault.

Aby przypisać te uprawnienia na dużą skalę, możesz również użyć tego skryptu.

Aby uzyskać więcej informacji, zobacz Uprawnienia skanowania bez agenta.

Ocena luk w zabezpieczeniach bez agenta na platformie AWS

  1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednie konto.

  3. W przypadku planu Usługi Defender Cloud Security Management (CSPM) lub Defender for Servers P2 wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający link ustawień planów usługi Defender dla kont platformy AWS.

    Po włączeniu skanowania bez agenta w obu planach ustawienie ma zastosowanie do obu planów.

  4. W okienku ustawień włącz skanowanie bez agenta dla maszyn.

    Zrzut ekranu przedstawiający stan skanowania bez agenta dla kont platformy AWS.

  5. Wybierz pozycję Zapisz i dalej: Skonfiguruj dostęp.

  6. Pobierz szablon CloudFormation.

  7. Korzystając z pobranego szablonu CloudFormation, utwórz stos na platformie AWS zgodnie z instrukcjami wyświetlanymi na ekranie. Jeśli dołączasz konto zarządzania, musisz uruchomić szablon CloudFormation zarówno jako stos, jak i jako StackSet. Łączniki zostaną utworzone dla kont członków do 24 godzin po dołączeniu.

  8. Wybierz pozycję Dalej: Przeglądanie i generowanie.

  9. Wybierz pozycję Aktualizuj.

Po włączeniu skanowania bez agenta spis oprogramowania i informacje o lukach w zabezpieczeniach są aktualizowane automatycznie w Defender dla Chmury.

Włączanie skanowania bez agenta w GCP

  1. W Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  2. Wybierz odpowiedni projekt lub organizację.

  3. W przypadku planu Usługi Defender Cloud Security Management (CSPM) lub Defender for Servers P2 wybierz pozycję Ustawienia.

    Zrzut ekranu pokazujący, gdzie wybrać plan dla projektów GCP.

  4. Przełącz skanowanie bez agenta na włączone.

    Zrzut ekranu pokazujący, gdzie wybrać skanowanie bez agenta.

  5. Wybierz pozycję Zapisz i dalej: Skonfiguruj dostęp.

  6. Skopiuj skrypt dołączania.

  7. Uruchom skrypt dołączania w zakresie organizacji/projektu GCP (portal GCP lub interfejs wiersza polecenia gcloud).

  8. Wybierz pozycję Dalej: Przeglądanie i generowanie.

  9. Wybierz pozycję Aktualizuj.

Testowanie wdrożenia skanera złośliwego oprogramowania bez agenta

Alerty zabezpieczeń są wyświetlane w portalu tylko w przypadkach, gdy zagrożenia są wykrywane w danym środowisku. Jeśli nie masz żadnych alertów, może to być spowodowane brakami zagrożeń w danym środowisku. Możesz sprawdzić, czy urządzenie jest prawidłowo dołączone i raportuje, aby Defender dla Chmury, tworząc plik testowy.

Tworzenie pliku testowego dla systemu Linux

  1. Otwórz okno terminalu na maszynie wirtualnej.

  2. Wykonaj następujące polecenie:

    # test string  
TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  

# File to be created  
FILE_PATH="/tmp/virus_test_file.txt"  

# Write the test string to the file  
echo -n $TEST_STRING > $FILE_PATH  

# Check if the file was created and contains the correct string  
if [ -f "$FILE_PATH" ]; then  
    if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
        echo "Virus test file created and validated successfully."  
    else  
        echo "Virus test file does not contain the correct string."  
    fi  
else  
    echo "Failed to create virus test file."  
fi

Alert MDC_Test_File malware was detected (Agentless) zostanie wyświetlony w ciągu 24 godzin na stronie alertów Defender dla Chmury i w portalu usługi Defender XDR.

Zrzut ekranu przedstawiający alert testowy wyświetlany w Defender dla Chmury dla systemu Linux.

Tworzenie pliku testowego dla systemu Windows

Tworzenie pliku testowego z dokumentem tekstowym

  1. Utwórz plik tekstowy na maszynie wirtualnej.

  2. Wklej tekst $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ do pliku tekstowego.

    Ważne

    Upewnij się, że w pliku tekstowym nie ma dodatkowych spacji ani wierszy.

  3. Zapisz plik.

  4. Otwórz plik, aby sprawdzić, czy zawiera zawartość z etapu 2.

Alert MDC_Test_File malware was detected (Agentless) zostanie wyświetlony w ciągu 24 godzin na stronie alertów Defender dla Chmury i w portalu usługi Defender XDR.

Zrzut ekranu przedstawiający alert testowy wyświetlany w Defender dla Chmury dla systemu Windows z powodu utworzonego pliku tekstowego.

Tworzenie pliku testowego za pomocą programu PowerShell

  1. Otwórz program PowerShell na maszynie wirtualnej.

  2. Wykonaj następujący skrypt.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

Alert MDC_Test_File malware was detected (Agentless) zostanie wyświetlony w ciągu 24 godzin na stronie alertów Defender dla Chmury i w portalu usługi Defender XDR.

Zrzut ekranu przedstawiający alert testowy wyświetlany w Defender dla Chmury dla systemu Windows z powodu skryptu programu PowerShell.

Wykluczanie maszyn ze skanowania

Skanowanie bez agenta ma zastosowanie do wszystkich kwalifikujących się maszyn w subskrypcji. Aby zapobiec skanowaniu określonych maszyn, można wykluczyć maszyny ze skanowania bez agenta na podstawie istniejących tagów środowiska. Gdy Defender dla Chmury wykonuje ciągłe odnajdywanie maszyn, wykluczone maszyny są pomijane.

Aby skonfigurować maszyny do wykluczenia:

  1. W Defender dla Chmury wybierz pozycję Ustawienia środowiska.

  2. Wybierz odpowiednią subskrypcję lub łącznik wielochmurowy.

  3. W przypadku planu Usługi Defender Cloud Security Management (CSPM) lub Defender for Servers P2 wybierz pozycję Ustawienia.

  4. W przypadku skanowania bez agenta wybierz pozycję Edytuj konfigurację.

    Zrzut ekranu przedstawiający link do edytowania konfiguracji skanowania bez agenta.

  5. Wprowadź nazwę i wartość tagu, która ma być stosowana do maszyn, które mają zostać wykluczone. Możesz wprowadzić multiple tag:value pary.

    Zrzut ekranu przedstawiający pola tagu i wartości służące do wykluczania maszyn z skanowania bez agenta.

  6. Wybierz pozycję Zapisz.

Powiązana zawartość

Dowiedz się więcej na następujące tematy: