Безагентное сканирование компьютеров

Сканирование без агента в Microsoft Defender для облака повышает уровень безопасности компьютеров, подключенных к Defender для облака.

Сканирование без агента не требует установленных агентов или сетевых подключений и не влияет на производительность компьютера. Сканирование без агента:

Сканирование без агента доступно в следующих планах Defender для облака:

  • Defender Cloud Security Posture Management (CSPM).
  • Defender для серверов План 2.
  • Сканирование вредоносных программ доступно только в Defender для серверов плана 2.
  • Сканирование без агента доступно для виртуальных машин Azure, AWS EC2 и GCP вычислительных экземпляров, подключенных к Defender для облака.

Архитектура сканирования без агента

Вот как работает сканирование без агента:

  1. Defender для облака выполняет моментальные снимки дисков виртуальных машин (корневой и диск данных) и выполняет внештатный анализ конфигурации операционной системы и файловой системы, хранящихся в моментальном снимке.

    • Скопированный моментальный снимок остается в том же регионе, что и виртуальная машина (VM).
    • Проверка не влияет на виртуальную машину.
  2. После Defender для облака получения необходимых метаданных из скопированного диска он немедленно удаляет скопированный моментальный снимок диска и отправляет метаданные соответствующим модулям Microsoft для обнаружения пробелов конфигурации и потенциальных угроз. Например, при оценке уязвимостей анализ выполняется Управление уязвимостями Defender.

  3. В Defender для облака отображаются результаты сканирования, которые объединяют результаты сканирования с агентом и без агента на странице оповещений о безопасности.

  4. Defender для облака анализирует диски в среде сканирования, которая является региональной, переменной, изолированной и высокобезопасной. Моментальные снимки дисков и данные, не связанные с сканированием, не хранятся дольше, чем необходимо для сбора метаданных, как правило, через несколько минут.

Схема процесса сбора данных операционной системы с помощью сканирования без агента.

Разрешения, применяемые при сканировании без агента

Для выполнения сканирования без агента в Defender для облака использовались определенные роли и разрешения.

Разрешения Azure

Встроенная роль оператора сканера ВМ имеет разрешения только для чтения на диски виртуальных машин, необходимые для процесса снимка состояния. Подробный список разрешений:

  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/diskEncryptionSets/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
  • Microsoft.Compute/virtualMachineScaleSets/read
  • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
  • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

Если включен охват зашифрованных дисков CMK, требуются дополнительные разрешения:

  • Microsoft.KeyVault/vaults/keys/read
  • Microsoft.KeyVault/vaults/keys/wrap/action
  • Microsoft.KeyVault/vaults/keys/unwrap/action

Разрешения AWS

Роль VmScanner назначается сканеру при включении проверки без агента. Эта роль имеет минимальный набор разрешений для создания моментальных снимков и их очистки (ограниченной по тегу), а также для проверки состояния виртуальной машины в текущий момент. Подробные разрешения:

Атрибут Ценность
SID (идентификатор безопасности) VmScannerDeleteSnapshotAccess
Действия ec2:УдалитьСнимок
Conditions "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"}
Resources arn:aws:ec2::snapshot/
Effect Позволить
Атрибут Ценность
SID (идентификатор безопасности) VmScannerAccess
Действия ec2:ModifySnapshotAttribute (изменение атрибута снимка)
ec2:DeleteTags (удаление тегов)
ec2:CreateTags (создание тегов)
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshot
Conditions Нет
Resources arn:aws:ec2::instance/
arn:aws:ec2::snapshot/
arn:aws:ec2:::volume/
Effect Позволить
Атрибут Ценность
SID (идентификатор безопасности) VmScannerVerificationAccess
Действия ec2:DescribeSnapshots
ec2:ОписаниеСтатусаИнстанции
Conditions Нет
Resources *
Effect Позволить
Атрибут Ценность
SID (идентификатор безопасности) VmScannerEncryptionKeyCreation
Действия kms:CreateKey
Conditions Нет
Resources *
Effect Позволить
Атрибут Ценность
SID (идентификатор безопасности) VmScannerEncryptionKeyManagement
Действия kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTags
Conditions Нет
Resources arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
Effect Позволить
Атрибут Ценность
SID (идентификатор безопасности) VmScannerEncryptionKeyUsage
Действия kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Conditions Нет
Resources arn:aws:kms::${AWS::AccountId}: ключ/
Effect Позволить

Разрешения GCP

Во время внедрения создается новая настраиваемая роль с минимально необходимыми разрешениями для просмотра статуса экземпляров и создания моментальных снимков.

Кроме того, разрешения на существующую роль GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK. Вот эти роли:

  • Роли/MDCAgentlessScanningRole предоставлены служебной учетной записи Defender для облака с правами: compute.disks.createSnapshot, compute.instances.get
  • role/cloudkms.cryptoKeyEncrypterDecrypter, предоставленный агенту службы подсистемы вычислений Defender для облака

Дальнейшие действия

Включите сканирование без агента.