Examen de máquinas sin agente

  • Artículo

Microsoft Defender for Cloud mejora la posición de proceso para entornos de Azure, AWS y GCP con examen de máquinas. Para conocer los requisitos y la compatibilidad, consulte la matriz de compatibilidad de procesos en Defender for Cloud.

El examen sin agente de máquinas virtuales (VM) proporciona:

El examen sin agente le ayuda en el proceso de identificación de problemas de posición accionables sin necesidad de agentes instalados, conectividad de red o cualquier efecto en el rendimiento de la máquina. El examen sin agente está disponible a través del plan de Administración de la posición de seguridad en la nube (CSPM) de Defender y del plan Defender para servidores P2.

Disponibilidad

Aspecto Detalles
Estado de la versión: Disponibilidad general
Precios: Requiere la administración de la posición de seguridad en la nube (CSPM) de Defender o Microsoft Defender para servidores Plan 2.
Casos de uso admitidos: Evaluación de vulnerabilidades (con tecnología de la administración de vulnerabilidades de Defender)
Inventario de software (con tecnología de Administración de vulnerabilidades de Defender)
Examen de malware (versión preliminar)Solo disponible con el plan 2 de Defender para servidores
Nubes: Nubes comerciales de Azure
Azure Government
Microsoft Azure operado por 21Vianet
Cuentas de AWS conectadas
Proyectos de GCP conectados
Sistemas operativos: Windows
Linux
Tipos de instancia y disco: Azure
Máquinas virtuales estándar
Discos no administrados
Conjunto de escalado de máquinas virtuales: flexible
Conjunto de escalado de máquinas virtuales: uniforme

AWS
EC2
Instancias de escalado automático
Instancias con ProductCode (AMI de pago)

GCP
Instancias de proceso
Grupos de instancias (administrados y no administrados)
Cifrado: Azure
Sin cifrar
Cifrado: discos administrados mediante el cifrado de Azure Storage con claves administradas por la plataforma (PMK)
Cifrado: otros escenarios mediante claves administradas por la plataforma (PMK)
Cifradas: claves administradas por el cliente (CMK) (versión preliminar)

AWS
Sin cifrar
Cifrado: PMK
Cifrado: CMK

GCP
Clave de cifrado administrada por Google
Clave de cifrado administradas por el cliente (CMEK)
Clave de cifrado proporcionada por el cliente (CSEK)

Funcionamiento del examen sin agente

El análisis sin agente de máquinas virtuales usa las API en la nube para recopilar datos. Mientras que los métodos basados en agentes usan API de sistema operativo en runtime para recopilar continuamente datos relacionados con la seguridad. Defender for Cloud toma instantáneas de los discos de máquina virtual y realiza un análisis profundo y fuera de banda de la configuración del sistema operativo y del sistema de archivos almacenados en la instantánea. La instantánea copiada permanece en la misma región que la máquina virtual. La máquina virtual no se ve afectada por el examen.

Una vez adquiridos los metadatos necesarios desde el disco copiado, Defender for Cloud elimina inmediatamente la instantánea copiada del disco y envía los metadatos a los motores de Microsoft para detectar brechas de configuración y posibles amenazas. Por ejemplo, en la evaluación de vulnerabilidades, la administración de vulnerabilidades de Defender realiza el análisis. Los resultados se muestran en Defender for Cloud, que consolida los resultados basados en agente y sin agente en la página Alertas de seguridad.

El entorno de examen donde se analizan los discos es regional, volátil, aislado y altamente seguro. Las instantáneas de disco y los datos no relacionados con el examen no se almacenan más de lo necesario para recopilar los metadatos, normalmente unos minutos.

Diagrama del proceso para recopilar datos del sistema operativo mediante el examen sin agente.

Pasos siguientes

En este artículo, se explica cómo funciona el examen sin agente y cómo le ayuda a recopilar datos de las máquinas.