Включение сканирования без агента

Сканирование без агента помогает обнаруживать уязвимости, секреты, сигналы вредоносных программ и инвентаризацию программного обеспечения на облачных компьютерах без развертывания агентов конечных точек. В Microsoft Defender для облака эта возможность выполняется через облачные соединители, чтобы группы безопасности могли масштабировать охват с низкими эксплуатационными издержками и минимальным влиянием на производительность. В этой статье объясняется, как включить сканирование и управлять ими в средах Azure, AWS и GCP, чтобы быстро подключить защиту и начать исследование результатов. Если ваша среда зависит от плана или разрешений, ознакомьтесь с предварительными требованиями, прежде чем начать.

Overview

Сканирование без агента в Microsoft Defender для облака повышает уровень безопасности компьютеров, подключенных к Defender для облака. Сканирование без использования агента включает в себя такие функции, как инвентаризация программного обеспечения, обнаружение уязвимостей, секретов и вредоносного ПО.

  • Для проверки без агента не требуются установленные агенты или сетевое подключение, и это не влияет на производительность компьютера.
  • Вы можете включить или отключить сканирование машин без агента, но невозможно отключить отдельные функции.
  • Сканирует только на работающих виртуальных машинах. Виртуальные машины, отключенные во время проверки, не сканируются.
  • Проверка выполняется в неконфигурируемом расписании каждые 24 часа.

При включении плана 2 Defender для серверов или Defender для управления состоянием безопасности облака (Defender CSPM) безагентное сканирование компьютеров включается по умолчанию. При необходимости используйте процедуры, описанные в этой статье, чтобы вручную включить безагентное сканирование компьютеров.

Prerequisites

Требование Подробности
План Чтобы использовать безагентное сканирование, необходимо включить план Defender cloud security posture management (Defender CSPM) или Defender for Servers, план 2.

Если включить проверку без агента в любом плане, параметр включен для обоих планов.
Сканирование вредоносных программ Сканирование вредоносных программ доступно только в том случае, если включен план 2 Defender для серверов.

Для сканирования вредоносных программ виртуальных машин узлов Kubernetes требуется план Defender для серверов 2 или план Defender для контейнеров.
Поддерживаемые компьютеры Вы можете сканировать виртуальные машины Azure (VM), экземпляры Amazon Web Services (AWS) Elastic Compute Cloud (EC2) и экземпляры вычислений Google Cloud Platform (GCP), не устанавливая агент, если они подключены к Microsoft Defender для Облака.
Виртуальные машины Azure Сканирование без агента доступно на стандартных виртуальных машинах Azure с помощью:

— максимальный общий размер диска размером 4 ТБ (сумма всех дисков). Если это ограничение превышено, то только диск ОС проверяется, если диск ОС меньше 4 ТБ.
— максимально допустимое число дисков: 14
— масштабируемый набор виртуальных машин — Flex

Поддержка дисков, которые:
-Незашифрованные
— Зашифрованные (управляемые диски с шифрованием службы хранилища Azure и платформенно управляемыми ключами (PMK))
— Зашифровано с помощью ключей, управляемых клиентом.
AWS Сканирование без агента доступно в EC2, экземплярах с автонастройкой и дисках, которые являются незашифрованными, зашифрованными (PMK) и зашифрованными (CMK). AMI, требующие стороннего лицензирования, например через AWS Marketplace, не поддерживаются.
GCP Сканирование без агента доступно в вычислительных экземплярах, группах экземпляров (управляемых и неуправляемых), с ключами шифрования, управляемыми Google, и ключами шифрования, управляемыми клиентом (CMEK)
Узлы Kubernetes Доступна бессерверная проверка уязвимостей и вредоносных программ на виртуальных машинах узла Kubernetes.

Для оценки уязвимостей необходим Defender for Servers Plan 2, план Defender для контейнеров или план Defender Cloud Security Posture Management (Defender CSPM).

Для сканирования вредоносных программ требуется Defender для серверов, План 2, или Defender для контейнеров.
Разрешения Просмотрите разрешения, используемые Defender для облака для сканирования без агента.
Unsupported Тип диска. Если какой-либо из дисков виртуальной машины находится в этом списке, виртуальная машина не сканируется:
- UltraSSD_LRS
- PremiumV2_LRS
— Эфемерные диски ОС Azure Kubernetes (AKS)

Тип ресурса:
— Виртуальная машина Databricks

Файловые системы:
— UFS (файловая система Unix)
— ReFS (устойчивая файловая система)
— ZFS (член ZFS)

RAID и блочные форматы хранилища:
— OracleASM (Oracle Automatic Storage Management)
— DRBD (распределенное реплицированное блочное устройство)
- Linux_Raid_Member

Механизмы целостности:
- DM_Verity_Hash
- Обменивать

Включение проверки без агента в Azure

Чтобы включить проверку без агента на Azure, выполните приведенные действия.

  1. В Defender для облака откройте параметры среды.

  2. Выберите соответствующую подписку.

  3. Для плана CSPM Defender или Defender для серверов плана 2 выберите "Параметры".

    Снимок экрана: ссылка на параметры планов Defender для учетных записей Azure.

  4. В параметрах и мониторинге включите проверку без агента для компьютеров.

    Снимок экрана: параметры и экран мониторинга для включения проверки без агента.

  5. Нажмите Сохранить.

Включите для виртуальных машин Azure диски с шифрованием CMK

Чтобы включить проверку без агента для виртуальных машин Azure с зашифрованными дисками, управляемыми клиентом (CMK), выполните указанные действия.

Для сканирования виртуальных машин Azure без агента с зашифрованными дисками CMK необходимо предоставить Защитнику для облака дополнительные разрешения в Key Vault, используемых для шифрования CMK для виртуальных машин, чтобы создать безопасную копию дисков.

  1. Чтобы вручную назначить разрешения в хранилище ключей, выполните следующие шаги.

    • Хранилища ключей без разрешений RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) следующие разрешения: Получение ключа, Обёртка ключа, Развёртка ключа.
    • Хранилища ключей с разрешениями RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) встроенную роль пользователя шифрования криптографической службы хранилища ключей.
  2. Чтобы назначить эти разрешения в масштабе для нескольких хранилищ ключей, используйте этот сценарий.

Включение проверки без агента в AWS

Чтобы включить сканирование без агента в AWS, выполните приведенные действия.

  1. В Defender для облака откройте параметры среды.

  2. Выберите соответствующую учетную запись.

  3. Для Defender Cloud Security Posture Management (Defender CSPM) или Defender для серверов, план 2, выберите Settings.

    Снимок экрана: ссылка на параметры планов Defender для учетных записей AWS.

    При включении сканирования без агента в любом из планов, настройка применяется ко всем планам.

  4. В области параметров включите проверку без агента для компьютеров.

    Снимок экрана: состояние сканирования без агента для учетных записей AWS.

  5. Нажмите кнопку "Сохранить" и "Далее": настройка доступа.

  6. Скачайте шаблон CloudFormation.

  7. С помощью скачанного шаблона CloudFormation создайте стек в AWS, как описано на экране. Если вы добавляете учетную запись управления, необходимо запустить шаблон CloudFormation как Stack, так и StackSet. Соединители будут созданы для учетных записей участников в течение 24 часов после интеграции.

  8. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  9. Выберите Обновить.

После включения проверки без агента данные инвентаризации программного обеспечения и уязвимостей обновляются автоматически в Defender для облака.

Включение сканирования без агента в GCP

Чтобы включить бессерверную проверку на Google Cloud Platform (GCP):

  1. В Defender для облака выберите параметры среды.

  2. Выберите соответствующий проект или организацию.

  3. Для Defender Cloud Security Posture Management (Defender CSPM) или Defender для серверов, план 2, выберите Settings.

    Снимок экрана, на котором показано, где выбрать план для проектов GCP.

  4. Задайте для проверки без агента значение "Вкл.".

    Снимок экрана, на котором показано, где выбрать сканирование без агента.

  5. Нажмите кнопку "Сохранить" и "Далее": настройка доступа.

  6. Скопируйте скрипт подключения.

  7. Запустите скрипт подключения в области организации или проекта GCP (портал GCP или gcloud CLI).

  8. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  9. Выберите Обновить.

Следующий шаг