تمكين الفحص بدون عامل للأجهزة الظاهرية

  • مقالة

يوفر الفحص بدون عامل رؤية للثغرات الأمنية للبرامج والبرامج المثبتة على أحمال العمل الخاصة بك لتوسيع تغطية تقييم الثغرات الأمنية إلى أحمال عمل الخادم دون تثبيت عامل تقييم الثغرات الأمنية.

يستخدم تقييم الثغرات الأمنية بدون عامل محرك إدارة الثغرات الأمنية في Microsoft Defender لتقييم الثغرات الأمنية في البرنامج المثبت على الأجهزة الظاهرية الخاصة بك، دون الحاجة إلى تثبيت Defender لنقطة النهاية. يظهر تقييم الثغرات الأمنية مخزون البرامج ونتائج الثغرات الأمنية بنفس تنسيق التقييمات المستندة إلى العامل.

التوافق مع حلول تقييم الثغرات الأمنية المستندة إلى العامل

يدعم Defender for Cloud بالفعل عمليات فحص الثغرات الأمنية المختلفة المستندة إلى العامل، بما في ذلك إدارة الثغرات الأمنية في Microsoft Defender (MDVM) و BYOL و Qualys. يعمل الفحص بدون عامل على توسيع رؤية Defender for Cloud للوصول إلى المزيد من الأجهزة.

عند تمكين تقييم الثغرات الأمنية بدون عامل:

  • إذا لم يكن لديك حلول تقييم الثغرات الأمنية المتكاملة الحالية الممكنة على أي من الأجهزة الظاهرية على اشتراكك، فإن Defender for Cloud يقوم تلقائيا بتمكين MDVM بشكل افتراضي.

  • إذا حددت إدارة الثغرات الأمنية في Microsoft Defender كجزء من التكامل مع Microsoft Defender لنقطة النهاية، يعرض Defender for Cloud طريقة عرض موحدة ومدمجة تعمل على تحسين التغطية والطازجة.

    • تظهر الأجهزة التي يغطيها أحد المصادر فقط (Defender Vulnerability Management أو بدون عامل) النتائج من هذا المصدر.
    • تظهر الأجهزة التي يغطيها كلا المصدرين النتائج المستندة إلى العامل فقط لزيادة الحداثة.

  • إذا حددت تقييم الثغرات الأمنية باستخدام تكامل Qualys أو BYOL - يعرض Defender for Cloud النتائج المستندة إلى العامل بشكل افتراضي. تظهر النتائج من الفحص بدون عامل للأجهزة التي ليس لديها عامل مثبت أو من الأجهزة التي لا تبلغ عن النتائج بشكل صحيح.

    لتغيير السلوك الافتراضي لعرض النتائج دائما من MDVM (بغض النظر عما إذا كان حل عامل تابع لجهة خارجية)، حدد إعداد إدارة الثغرات الأمنية في Microsoft Defender في حل تقييم الثغرات الأمنية.

تمكين الفحص بدون عامل للأجهزة

عند تمكين Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2، يتم تمكين الفحص بدون عامل بشكل افتراضي.

إذا كان لديك Defender for Servers P2 ممكنا بالفعل وتم إيقاف تشغيل الفحص بدون عامل، فستحتاج إلى تشغيل الفحص بدون عامل يدويا.

يمكنك تمكين الفحص بدون عامل على

إشعار

لا يتوفر مسح البرامج الضارة بدون عامل إلا إذا قمت بتمكين Defender for Servers الخطة 2

تقييم الثغرات الأمنية بدون عامل على Azure

لتمكين تقييم الثغرات الأمنية بدون عامل على Azure:

  1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

  2. حدد الاشتراك ذا الصلة.

  3. بالنسبة إلى خطة Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2، حدد الإعدادات.

    لقطة شاشة لرابط لإعدادات خطط Defender لحسابات Azure.

    تتم مشاركة إعدادات الفحص بدون عامل من قبل كل من Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2. عند تمكين الفحص بدون عامل على أي من الخطتين، يتم تمكين الإعداد لكلتا الخطتين.

  4. في جزء الإعدادات، قم بتشغيل الفحص بدون عامل للأجهزة.

    لقطة شاشة للإعدادات وشاشة المراقبة لتشغيل الفحص بدون عامل.

  5. حدد حفظ.

لتمكين فحص الأقراص المشفرة CMK في Azure (معاينة):

للمسح الضوئي بدون عامل لتغطية أجهزة Azure الظاهرية باستخدام أقراص CMK المشفرة، تحتاج إلى منح Defender for Cloud أذونات إضافية لإنشاء نسخة آمنة من هذه الأقراص. للقيام بذلك، هناك حاجة إلى أذونات إضافية على Key Vaults المستخدمة لتشفير CMK للأجهزة الظاهرية الخاصة بك.

لتعيين الأذونات يدويا، اتبع الإرشادات أدناه وفقا لنوع Key Vault الخاص بك:

  • بالنسبة إلى Key Vaults التي تستخدم أذونات غير RBAC، قم بتعيين "Microsoft Defender for Cloud Servers Scanner Resource Provider" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) هذه الأذونات: Key Get وKey Wrap وKey Unwrap.
  • بالنسبة إلى Key Vaults باستخدام أذونات RBAC، قم بتعيين "Microsoft Defender for Cloud Servers Scanner Resource Provider" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) الدور المضمن لمستخدم تشفير خدمة تشفير Key Vault.

لتعيين هذه الأذونات على نطاق واسع، يمكنك أيضا استخدام هذا البرنامج النصي.

لمزيد من المعلومات، راجع أذونات الفحص بدون عامل.

تقييم الثغرات الأمنية بدون عامل على AWS

  1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

  2. حدد الحساب ذي الصلة.

  3. بالنسبة إلى خطة Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2، حدد الإعدادات.

    لقطة شاشة لرابط لإعدادات خطط Defender لحسابات AWS.

    عند تمكين الفحص بدون عامل على أي من الخطتين، ينطبق الإعداد على كلتا الخطتين.

  4. في جزء الإعدادات، قم بتشغيل الفحص بدون عامل للأجهزة.

    لقطة شاشة لحالة الفحص بدون عامل لحسابات AWS.

  5. حدد Save and Next: Configure Access.

  6. قم بتنزيل قالب CloudFormation.

  7. باستخدام قالب CloudFormation الذي تم تنزيله، قم بإنشاء المكدس في AWS كما هو موضح على الشاشة. إذا كنت تقوم بإلحاق حساب إدارة، فستحتاج إلى تشغيل قالب CloudFormation ك Stack و StackSet. سيتم إنشاء الموصلات لحسابات الأعضاء حتى 24 ساعة بعد الإلحاق.

  8. حدد التالي:مراجعة وإنشاء.

  9. حدد تحديث.

بعد تمكين الفحص بدون عامل، يتم تحديث مخزون البرامج ومعلومات الثغرات الأمنية تلقائيا في Defender for Cloud.

تمكين الفحص بدون عامل في GCP

  1. في Defender for Cloud، حدد Environment settings.

  2. حدد المشروع أو المؤسسة ذات الصلة.

  3. بالنسبة إلى خطة Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2، حدد الإعدادات.

    لقطة شاشة توضح مكان تحديد خطة مشاريع GCP.

  4. قم بتبديل الفحص بدون عامل إلى تشغيل.

    لقطة شاشة توضح مكان تحديد الفحص بدون عامل.

  5. حدد Save and Next: Configure Access.

  6. انسخ البرنامج النصي للإلحاق.

  7. تشغيل البرنامج النصي للإلحاق في نطاق مؤسسة/مشروع GCP (مدخل GCP أو gcloud CLI).

  8. حدد التالي:مراجعة وإنشاء.

  9. حدد تحديث.

اختبار نشر الماسح الضوئي للبرامج الضارة بدون عامل

تظهر تنبيهات الأمان على المدخل فقط في الحالات التي يتم فيها الكشف عن التهديدات على البيئة الخاصة بك. إذا لم يكن لديك أي تنبيهات، فقد يكون ذلك بسبب عدم وجود تهديدات على بيئتك. يمكنك الاختبار لمعرفة أن الجهاز تم إلحاقه بشكل صحيح وإعداد التقارير إلى Defender for Cloud عن طريق إنشاء ملف اختبار.

إنشاء ملف اختبار ل Linux

  1. افتح نافذة طرفية على الجهاز الظاهري.

  2. تنفيذ الأمر التالي:

    # test string  
TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  

# File to be created  
FILE_PATH="/tmp/virus_test_file.txt"  

# Write the test string to the file  
echo -n $TEST_STRING > $FILE_PATH  

# Check if the file was created and contains the correct string  
if [ -f "$FILE_PATH" ]; then  
    if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
        echo "Virus test file created and validated successfully."  
    else  
        echo "Virus test file does not contain the correct string."  
    fi  
else  
    echo "Failed to create virus test file."  
fi

سيظهر التنبيه MDC_Test_File malware was detected (Agentless) في غضون 24 ساعة في صفحة Defender for Cloud Alerts وفي مدخل Defender XDR.

لقطة شاشة لتنبيه الاختبار الذي يظهر في Defender for Cloud for Linux.

إنشاء ملف اختبار لنظام التشغيل Windows

إنشاء ملف اختبار باستخدام مستند نصي

  1. إنشاء ملف نصي على الجهاز الظاهري الخاص بك.

  2. الصق النص $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ في الملف النصي.

    هام

    تأكد من عدم وجود مسافات أو أسطر إضافية في الملف النصي.

  3. حفظ الملف.

  4. افتح الملف للتحقق من أنه يحتوي على المحتوى من المرحلة 2.

سيظهر التنبيه MDC_Test_File malware was detected (Agentless) في غضون 24 ساعة في صفحة Defender for Cloud Alerts وفي مدخل Defender XDR.

لقطة شاشة لتنبيه الاختبار الذي يظهر في Defender for Cloud لنظام التشغيل Windows بسبب الملف النصي الذي تم إنشاؤه.

إنشاء ملف اختبار باستخدام PowerShell

  1. افتح PowerShell على جهازك الظاهري.

  2. تنفيذ البرنامج النصي التالي.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

سيظهر التنبيه MDC_Test_File malware was detected (Agentless) في غضون 24 ساعة في صفحة Defender for Cloud Alerts وفي مدخل Defender XDR.

لقطة شاشة لتنبيه الاختبار الذي يظهر في Defender for Cloud for Windows مع بسبب البرنامج النصي PowerShell.

استبعاد الأجهزة من الفحص

ينطبق الفحص بدون عامل على جميع الأجهزة المؤهلة في الاشتراك. لمنع فحص أجهزة معينة، يمكنك استبعاد الأجهزة من الفحص بدون عامل استنادا إلى علامات البيئة الموجودة مسبقا. عندما يقوم Defender for Cloud بإجراء الاكتشاف المستمر للأجهزة، يتم تخطي الأجهزة المستبعدة.

لتكوين الأجهزة للاستبعاد:

  1. في Defender for Cloud، حدد Environment settings.

  2. حدد الاشتراك ذي الصلة أو موصل متعدد السحابات.

  3. بالنسبة إلى خطة Defender Cloud Security Posture Management (CSPM) أو Defender for Servers P2، حدد الإعدادات.

  4. للمسح الضوئي بدون عامل، حدد تحرير التكوين.

    لقطة شاشة للارتباط لتحرير تكوين الفحص بدون عامل.

  5. أدخل اسم العلامة والقيمة التي تنطبق على الأجهزة التي تريد إعفائها. يمكنك إدخال multiple tag:value أزواج.

    لقطة شاشة لحقول العلامة والقيمة لاستبعاد الأجهزة من الفحص بدون عامل.

  6. حدد حفظ.

المحتوى ذو الصلة

تعلم المزيد عن: