你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

针对计算机的漏洞扫描

Microsoft Defender for Cloud 中的 Defender for Servers 计划为连接的计算机提供漏洞扫描。

Defender for Cloud 中的集成漏洞扫描使用 Microsoft Defender 漏洞管理。
Microsoft Defender 漏洞管理与 Microsoft Defender for Endpoint 一起原生集成到 Defender for Servers 中。

集成漏洞评估提供了许多好处：

扫描一致性：在多云环境和不同的主机运行时中，跨各种用例使用一致的漏洞扫描程序。
降低风险：近实时发现漏洞和配置错误。
优先级：根据组织中的威胁形势和检测结果确定漏洞处理优先级。
软件清单：获取有关软件清单的信息。
高级功能：在 Defender for Servers 计划 2 中使用 Defender 漏洞管理高级功能，包括证书评估、基线评估、易受攻击的应用程序阻止等。

连接到 Defender for Cloud 的 Azure VM、AWS 和 GCP 计算机以及作为 Azure Arc VM 加入的本地 VM 支持 Defender 漏洞管理中的漏洞扫描。

有关 Defender 漏洞管理的简要概述，请观看以下视频：

基于代理和无代理的扫描

集成 Defender 漏洞管理中的漏洞扫描在 Defender for Cloud 中采用混合方法：

无代理漏洞扫描。 Defender for Cloud 在其无代理扫描功能中提供无代理漏洞扫描。无代理扫描仅在 Defender for Servers 计划 2 中提供。
基于代理的漏洞扫描。 Defender for Servers 中的 Defender for Endpoint 集成使用 Defender for Endpoint 传感器提供漏洞扫描。此集成在 Defender for Servers 计划 1 和计划 2 中提供。

可以使用自己的专用许可 BYOL 漏洞扫描程序，而不是使用集成的 Defender 漏洞管理扫描。支持 Qualys 和 Rapid7 扫描程序。

以下是其工作原理：

可以在 Defender for Cloud 上标识易受攻击的计算机，然后直接从 Defender for Cloud 切换到合作伙伴管理控制台，以获取报告和详细信息。

无需在 Defender for Cloud 中打开付费计划，即可使用非 Microsoft 漏洞解决方案。

无代理扫描扩展了 Defender for Cloud 的洞察功能以涵盖更多设备。如果启用了无代理漏洞扫描，则会发生以下情况：

解决方案（已打开无代理扫描）	详细信息
无解决方案	如果没有在 VM 上启用基于代理的漏洞扫描解决方案，Defender for Cloud 会自动使用 Defender 漏洞管理进行无代理扫描。
Defender 漏洞管理集成	如果计算机运行的是 Defender for Endpoint 代理，Defender for Cloud 会显示优化了覆盖范围和新鲜度的漏洞评估的统一视图。 - 使用基于代理的扫描或无代理扫描的计算机仅显示启用的源的结果。 - 为了提高新鲜度，具有基于代理和无代理扫描的计算机仅显示基于代理的结果。
BYOL 解决方案	如果使用的是合作伙伴漏洞评估解决方案，则 Defender for Cloud 默认显示合作伙伴解决方案的扫描结果。对于未安装合作伙伴代理的计算机或未正确报告结果的计算机，将会显示无代理扫描的结果。可以修改此默认行为，让系统始终显示 Defender 漏洞管理的结果，而不论是否正在安装非 Microsoft 代理解决方案，具体方法是在 Defender for Cloud 的环境设置页中手动启用计算机漏洞评估选项。

Defender for Servers 计划 2 包含 Defender 漏洞管理高级附加功能，这些功能提供合并清单、新评估和缓解工具，用于进一步增强漏洞管理计划。详细了解高级容量。

在 Defender for Cloud 实际应用视频系列的 Microsoft Defender for Servers 中详细了解 Defender for Servers
启用漏洞扫描