Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сканирование без агента в Microsoft Defender для облака повышает уровень безопасности компьютеров, подключенных к Defender для облака.
Сканирование без агента не требует установленных агентов или сетевых подключений и не влияет на производительность компьютера. Сканирование без агента:
- Проверка настроек обнаружения и реагирования на конечных точках (EDR): Сканирование компьютеров для оценки, используется ли решение EDR, а также проверки корректности настроек, если компьютеры интегрированы с Microsoft Defender для Endpoint. Дополнительные сведения
- Сканирование программного инвентаря: сканируйте ваш программный инвентарь с помощью интеграции с Управление уязвимостями Microsoft Defender.
- Сканирование для уязвимостей: Оценка машин для уязвимостей с помощью интегрированного Управление уязвимостями Defender.
- Проверяет наличие секретов на компьютерах: поиск простых текстовых секретов в вычислительной среде с помощью сканирования секретов без агента.
- Сканирование на вредоносные программы: Сканирование компьютеров на наличие вредоносных программ и вирусов с помощью антивирусной программы Microsoft Defender.
- Сканирует виртуальные машины, работающие как узлы Kubernetes: Оценка уязвимостей и сканирование вредоносных программ доступны для виртуальных машин, работающих как узлы Kubernetes при включении Defender для серверов План 2 или плана Defender для контейнеров. Доступно только в коммерческих облаках.
Сканирование без агента доступно в следующих планах Defender для облака:
- Defender Cloud Security Posture Management (CSPM).
- Defender для серверов План 2.
- Сканирование вредоносных программ доступно только в Defender для серверов плана 2.
- Сканирование без агента доступно для виртуальных машин Azure, AWS EC2 и GCP вычислительных экземпляров, подключенных к Defender для облака.
Архитектура сканирования без агента
Вот как работает сканирование без агента:
Defender для облака выполняет моментальные снимки дисков виртуальных машин (корневой и диск данных) и выполняет внештатный анализ конфигурации операционной системы и файловой системы, хранящихся в моментальном снимке.
- Скопированный моментальный снимок остается в том же регионе, что и виртуальная машина (VM).
- Проверка не влияет на виртуальную машину.
После Defender для облака получения необходимых метаданных из скопированного диска он немедленно удаляет скопированный моментальный снимок диска и отправляет метаданные соответствующим модулям Microsoft для обнаружения пробелов конфигурации и потенциальных угроз. Например, при оценке уязвимостей анализ выполняется Управление уязвимостями Defender.
В Defender для облака отображаются результаты сканирования, которые объединяют результаты сканирования с агентом и без агента на странице оповещений о безопасности.
Defender для облака анализирует диски в среде сканирования, которая является региональной, переменной, изолированной и высокобезопасной. Моментальные снимки дисков и данные, не связанные с сканированием, не хранятся дольше, чем необходимо для сбора метаданных, как правило, через несколько минут.
Разрешения, применяемые при сканировании без агента
Для выполнения сканирования без агента в Defender для облака использовались определенные роли и разрешения.
- В Azure эти разрешения автоматически добавляются в подписки при включении сканирования без агента.
- В AWS эти разрешения добавляются в стек CloudFormation в вашем подключении к AWS.
- В GCP эти разрешения добавляются в скрипт подключения в соединителе GCP.
Разрешения Azure
Встроенная роль оператора сканера ВМ имеет разрешения только для чтения на диски виртуальных машин, необходимые для процесса снимка состояния. Подробный список разрешений:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Если включен охват зашифрованных дисков CMK, требуются дополнительные разрешения:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Разрешения AWS
Роль VmScanner назначается сканеру при включении проверки без агента. Эта роль имеет минимальный набор разрешений для создания моментальных снимков и их очистки (ограниченной по тегу), а также для проверки состояния виртуальной машины в текущий момент. Подробные разрешения:
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerDeleteSnapshotAccess |
| Действия | ec2:УдалитьСнимок |
| Conditions | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Resources | arn:aws:ec2::snapshot/ |
| Effect | Позволить |
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerAccess |
| Действия | ec2:ModifySnapshotAttribute (изменение атрибута снимка) ec2:DeleteTags (удаление тегов) ec2:CreateTags (создание тегов) ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Conditions | Нет |
| Resources | arn:aws:ec2::instance/ arn:aws:ec2::snapshot/ arn:aws:ec2:::volume/ |
| Effect | Позволить |
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerVerificationAccess |
| Действия | ec2:DescribeSnapshots ec2:ОписаниеСтатусаИнстанции |
| Conditions | Нет |
| Resources | * |
| Effect | Позволить |
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerEncryptionKeyCreation |
| Действия | kms:CreateKey |
| Conditions | Нет |
| Resources | * |
| Effect | Позволить |
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerEncryptionKeyManagement |
| Действия | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Conditions | Нет |
| Resources | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Effect | Позволить |
| Атрибут | Ценность |
|---|---|
| SID (идентификатор безопасности) | VmScannerEncryptionKeyUsage |
| Действия | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Conditions | Нет |
| Resources | arn:aws:kms::${AWS::AccountId}: ключ/ |
| Effect | Позволить |
Разрешения GCP
Во время внедрения создается новая настраиваемая роль с минимально необходимыми разрешениями для просмотра статуса экземпляров и создания моментальных снимков.
Кроме того, разрешения на существующую роль GCP KMS предоставляются для поддержки сканирования дисков, зашифрованных с помощью CMEK. Вот эти роли:
- Роли/MDCAgentlessScanningRole предоставлены служебной учетной записи Defender для облака с правами: compute.disks.createSnapshot, compute.instances.get
- role/cloudkms.cryptoKeyEncrypterDecrypter, предоставленный агенту службы подсистемы вычислений Defender для облака
Дальнейшие действия
Включите сканирование без агента.