你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
无代理计算机扫描
Microsoft Defender for Cloud 中的无代理计算机扫描可优化与 Defender for Cloud 连接的计算机的安全状况。
无代理扫描无需安装任何代理或建立网络连接,并且不会影响计算机性能。 无代理计算机扫描:
- 扫描终结点检测和响应 (EDR) 设置:扫描计算机,评估其是否正在运行 EDR 解决方案,以及计算机与 Microsoft Defender for Endpoint 集成时的设置是否正确。 了解详细信息
- 扫描软件清单:使用集成的 Microsoft Defender 漏洞管理扫描软件清单。
- 扫描漏洞:使用集成的 Defender 漏洞管理评估计算机是否存在漏洞。
- 扫描计算机上的机密:使用无代理机密扫描在计算环境中查找纯文本机密。
- 扫描恶意软件:使用 Microsoft Defender 防病毒功能扫描计算机,查找恶意软件和病毒。
- 扫描作为 Kubernetes 节点运行的 VM:启用 Defender for Servers 计划 2 或 Defender for Containers 计划时,漏洞评估和恶意软件扫描可用于作为 Kubernetes节点运行的 VM。 仅在商业云中可用。
以下 Defender for Cloud 计划提供无代理扫描:
- Defender 云安全态势管理 (CSPM)。
- Defender for Servers 计划 2。
- 恶意软件扫描仅适用于 Defender for Servers 计划 2。
- 无代理扫描适用于 Azure VM、连接到 Defender for Cloud 的 GCP/AWS 计算机,以及作为已启用 Azure Arc 的 VM 载入的本地计算机。
无代理扫描体系结构
以下是无代理扫描的工作原理:
Defender for Cloud 则会拍摄 VM 磁盘的快照,并对快照中存储的操作系统配置和文件系统进行带外、深层分析。
- 复制的快照与 VM 仍位于同一区域。
- 扫描不会影响 VM。
Defender for Cloud 从所复制磁盘获取必要的元数据后,会立即删除复制的磁盘快照,然后将元数据发送到相关的 Microsoft 引擎以分析配置差距和潜在威胁。 例如,在漏洞评估中,分析由 Defender 漏洞管理完成。
Defender for Cloud 会将同时包含了基于代理的和无代理的扫描结果显示在“安全警报”页上。
Defender for Cloud 在一个区域性的、易变的、孤立的且高度安全的扫描环境中分析磁盘。 对于与扫描无关的磁盘快照和数据,其存储时间不会超过收集元数据所需的时间,通常为几分钟。
无代理扫描使用的权限
Defender for Cloud 使用特定角色和权限来执行无代理扫描。
- 在 Azure 中,当你启用无代理扫描后,这些权限会自动添加到你的订阅。
- 在 AWS 中,这些权限会添加到你的 AWS 连接器中的 CloudFormation 堆栈。
- 在 GCP 中,这些权限将添加到 GCP 连接器中的载入脚本。
Azure 权限
A内置角色“VM 扫描程序操作员”拥有对快照过程所需的 VM 磁盘的只读权限。 权限的详细列表如下:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
当启用了覆盖 CMK 加密磁盘的范围时,将使用更多权限:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS 权限
启用无代理扫描后,将向扫描程序分配角色“VmScanner”。 此角色仅具有最小权限集,用于创建和清理快照(按标记划定范围),并验证 VM 的当前状态。 详细权限包括:
| Attribute | 值 |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| 操作 | ec2:DeleteSnapshot |
| 条件 | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| 资源 | arn:aws:ec2:::snapshot/ |
| 效果 | Allow |
| Attribute | 值 |
|---|---|
| SID | VmScannerAccess |
| 操作 | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| 条件 | 无 |
| 资源 | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| 效果 | Allow |
| Attribute | 值 |
|---|---|
| SID | VmScannerVerificationAccess |
| 操作 | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| 条件 | 无 |
| 资源 | * |
| 效果 | Allow |
| Attribute | 值 |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| 操作 | kms:CreateKey |
| 条件 | 无 |
| 资源 | * |
| 效果 | Allow |
| Attribute | 值 |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| 操作 | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| 条件 | 无 |
| 资源 | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| 效果 | Allow |
| Attribute | 值 |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| 操作 | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| 条件 | 无 |
| 资源 | arn:aws:kms::${AWS::AccountId}: key/ |
| 效果 | 允许 |
GCP 权限
载入期间,使用获取实例状态和创建快照所需的最低权限创建新的自定义角色。
同时授予对现有 GCP KMS 角色的权限,以支持扫描使用 CMEK 加密的磁盘。 这些角色为:
- roles/MDCAgentlessScanningRole 授予使用 compute.disks.createSnapshot、compute.instances.get 权限的 Defender for Cloud 服务帐户
- roles/cloudkms.cryptoKeyEncrypterDecrypter 授予 Defender for Cloud 的计算引擎服务代理