Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сканирование без агента помогает обнаруживать уязвимости, секреты, сигналы вредоносных программ и инвентаризацию программного обеспечения на облачных компьютерах без развертывания агентов конечных точек. В Microsoft Defender для облака эта возможность выполняется через облачные соединители, чтобы группы безопасности могли масштабировать охват с низкими эксплуатационными издержками и минимальным влиянием на производительность. В этой статье объясняется, как включить сканирование и управлять ими в средах Azure, AWS и GCP, чтобы быстро подключить защиту и начать исследование результатов. Если ваша среда зависит от плана или разрешений, ознакомьтесь с предварительными требованиями, прежде чем начать.
Overview
Сканирование без агента в Microsoft Defender для облака повышает уровень безопасности компьютеров, подключенных к Defender для облака. Сканирование без использования агента включает в себя такие функции, как инвентаризация программного обеспечения, обнаружение уязвимостей, секретов и вредоносного ПО.
- Для проверки без агента не требуются установленные агенты или сетевое подключение, и это не влияет на производительность компьютера.
- Вы можете включить или отключить сканирование машин без агента, но невозможно отключить отдельные функции.
- Сканирует только на работающих виртуальных машинах. Виртуальные машины, отключенные во время проверки, не сканируются.
- Проверка выполняется в неконфигурируемом расписании каждые 24 часа.
При включении плана 2 Defender для серверов или Defender для управления состоянием безопасности облака (Defender CSPM) безагентное сканирование компьютеров включается по умолчанию. При необходимости используйте процедуры, описанные в этой статье, чтобы вручную включить безагентное сканирование компьютеров.
Prerequisites
| Требование | Подробности |
|---|---|
| План | Чтобы использовать безагентное сканирование, необходимо включить план Defender cloud security posture management (Defender CSPM) или Defender for Servers, план 2. Если включить проверку без агента в любом плане, параметр включен для обоих планов. |
| Сканирование вредоносных программ | Сканирование вредоносных программ доступно только в том случае, если включен план 2 Defender для серверов. Для сканирования вредоносных программ виртуальных машин узлов Kubernetes требуется план Defender для серверов 2 или план Defender для контейнеров. |
| Поддерживаемые компьютеры | Вы можете сканировать виртуальные машины Azure (VM), экземпляры Amazon Web Services (AWS) Elastic Compute Cloud (EC2) и экземпляры вычислений Google Cloud Platform (GCP), не устанавливая агент, если они подключены к Microsoft Defender для Облака. |
| Виртуальные машины Azure | Сканирование без агента доступно на стандартных виртуальных машинах Azure с помощью: — максимальный общий размер диска размером 4 ТБ (сумма всех дисков). Если это ограничение превышено, то только диск ОС проверяется, если диск ОС меньше 4 ТБ. — максимально допустимое число дисков: 14 — масштабируемый набор виртуальных машин — Flex Поддержка дисков, которые: -Незашифрованные — Зашифрованные (управляемые диски с шифрованием службы хранилища Azure и платформенно управляемыми ключами (PMK)) — Зашифровано с помощью ключей, управляемых клиентом. |
| AWS | Сканирование без агента доступно в EC2, экземплярах с автонастройкой и дисках, которые являются незашифрованными, зашифрованными (PMK) и зашифрованными (CMK). AMI, требующие стороннего лицензирования, например через AWS Marketplace, не поддерживаются. |
| GCP | Сканирование без агента доступно в вычислительных экземплярах, группах экземпляров (управляемых и неуправляемых), с ключами шифрования, управляемыми Google, и ключами шифрования, управляемыми клиентом (CMEK) |
| Узлы Kubernetes | Доступна бессерверная проверка уязвимостей и вредоносных программ на виртуальных машинах узла Kubernetes. Для оценки уязвимостей необходим Defender for Servers Plan 2, план Defender для контейнеров или план Defender Cloud Security Posture Management (Defender CSPM). Для сканирования вредоносных программ требуется Defender для серверов, План 2, или Defender для контейнеров. |
| Разрешения | Просмотрите разрешения, используемые Defender для облака для сканирования без агента. |
| Unsupported | Тип диска. Если какой-либо из дисков виртуальной машины находится в этом списке, виртуальная машина не сканируется: - UltraSSD_LRS - PremiumV2_LRS — Эфемерные диски ОС Azure Kubernetes (AKS) Тип ресурса: — Виртуальная машина Databricks Файловые системы: — UFS (файловая система Unix) — ReFS (устойчивая файловая система) — ZFS (член ZFS) RAID и блочные форматы хранилища: — OracleASM (Oracle Automatic Storage Management) — DRBD (распределенное реплицированное блочное устройство) - Linux_Raid_Member Механизмы целостности: - DM_Verity_Hash - Обменивать |
Включение проверки без агента в Azure
Чтобы включить проверку без агента на Azure, выполните приведенные действия.
В Defender для облака откройте параметры среды.
Выберите соответствующую подписку.
Для плана CSPM Defender или Defender для серверов плана 2 выберите "Параметры".
В параметрах и мониторинге включите проверку без агента для компьютеров.
Нажмите Сохранить.
Включите для виртуальных машин Azure диски с шифрованием CMK
Чтобы включить проверку без агента для виртуальных машин Azure с зашифрованными дисками, управляемыми клиентом (CMK), выполните указанные действия.
Для сканирования виртуальных машин Azure без агента с зашифрованными дисками CMK необходимо предоставить Защитнику для облака дополнительные разрешения в Key Vault, используемых для шифрования CMK для виртуальных машин, чтобы создать безопасную копию дисков.
Чтобы вручную назначить разрешения в хранилище ключей, выполните следующие шаги.
-
Хранилища ключей без разрешений RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) следующие разрешения: Получение ключа, Обёртка ключа, Развёртка ключа. -
Хранилища ключей с разрешениями RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) встроенную роль пользователя шифрования криптографической службы хранилища ключей.
-
Хранилища ключей без разрешений RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (
Чтобы назначить эти разрешения в масштабе для нескольких хранилищ ключей, используйте этот сценарий.
Включение проверки без агента в AWS
Чтобы включить сканирование без агента в AWS, выполните приведенные действия.
В Defender для облака откройте параметры среды.
Выберите соответствующую учетную запись.
Для Defender Cloud Security Posture Management (Defender CSPM) или Defender для серверов, план 2, выберите Settings.
При включении сканирования без агента в любом из планов, настройка применяется ко всем планам.
В области параметров включите проверку без агента для компьютеров.
Нажмите кнопку "Сохранить" и "Далее": настройка доступа.
Скачайте шаблон CloudFormation.
С помощью скачанного шаблона CloudFormation создайте стек в AWS, как описано на экране. Если вы добавляете учетную запись управления, необходимо запустить шаблон CloudFormation как Stack, так и StackSet. Соединители будут созданы для учетных записей участников в течение 24 часов после интеграции.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Обновить.
После включения проверки без агента данные инвентаризации программного обеспечения и уязвимостей обновляются автоматически в Defender для облака.
Включение сканирования без агента в GCP
Чтобы включить бессерверную проверку на Google Cloud Platform (GCP):
В Defender для облака выберите параметры среды.
Выберите соответствующий проект или организацию.
Для Defender Cloud Security Posture Management (Defender CSPM) или Defender для серверов, план 2, выберите Settings.
Задайте для проверки без агента значение "Вкл.".
Нажмите кнопку "Сохранить" и "Далее": настройка доступа.
Скопируйте скрипт подключения.
Запустите скрипт подключения в области организации или проекта GCP (портал GCP или gcloud CLI).
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Обновить.