Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
El examen de máquinas sin agente en Microsoft Defender for Cloud mejora la posición de seguridad de las máquinas conectadas a Defender for Cloud.
El examen sin agente no necesita ningún agente instalado ni conectividad de red y no afecta al rendimiento de la máquina. Examen de máquinas sin agente:
- Escanea las configuraciones de detección y respuesta en puntos de conexión (EDR): Analiza las máquinas para comprobar si están ejecutando una solución EDR y si la configuración es correcta cuando las máquinas se integran con Microsoft Defender para Endpoint. Más información
- Escanee su inventario de software: Escanee su inventario de software con Administración de vulnerabilidades de Microsoft Defender integrado.
- Escaneos de vulnerabilidades: Evaluar máquinas para vulnerabilidades usando el sistema de gestión de vulnerabilidades integrado de Defender.
- Busca secretos en máquinas: localice secretos en texto sin formato en su entorno de proceso con el examen de secretos sin agente.
- Exploraciones de malware: Escanear equipos en busca de malware y virus utilizando Microsoft Defender Antivirus.
- Analiza las máquinas virtuales que se ejecutan como nodos de Kubernetes: La evaluación de vulnerabilidades y el examen de malware están disponibles para las máquinas virtuales que se ejecutan como nodos de Kubernetes cuando se habilita Defender for Servers Plan 2 o Defender for Containers. Disponible solo en nubes comerciales.
El examen sin agente está disponible en los siguientes planes Defender for Cloud:
- Defender Cloud Security Posture Management (CSPM).
- Defender for Servers Plan 2.
- El examen de malware solo está disponible en Defender para servidores plan 2.
- El análisis sin agente está disponible para máquinas virtuales de Azure, instancias de proceso de AWS EC2 y GCP conectadas a Defender for Cloud.
Arquitectura de examen sin agente
Este es el funcionamiento del análisis sin agente:
Defender for Cloud toma instantáneas de discos de máquina virtual (raíz + disco de datos) y realiza un análisis profundo y fuera de banda de la configuración del sistema operativo y el sistema de archivos almacenados en la instantánea.
- La instantánea copiada permanece en la misma región que la máquina virtual.
- El examen no afecta a la máquina virtual.
Después de Defender for Cloud obtiene los metadatos necesarios del disco copiado, elimina inmediatamente la instantánea copiada del disco y envía los metadatos a los motores de Microsoft pertinentes para detectar brechas de configuración y posibles amenazas. Por ejemplo, en la evaluación de vulnerabilidades, el análisis se realiza mediante Administración de vulnerabilidades de Defender.
Defender for Cloud muestra los resultados del examen, que consolida los resultados basados en agente y sin agente en la página Alertas de seguridad.
Defender for Cloud analiza los discos en un entorno de examen que es regional, volátil, aislado y altamente seguro. Las instantáneas de disco y los datos no relacionados con el examen no se almacenan más de lo necesario para recopilar los metadatos, normalmente unos minutos.
Permisos usados por el examen sin agente
"Defender for Cloud" utiliza roles y permisos específicos para realizar el escaneo sin agentes.
- En Azure, estos permisos se agregan automáticamente a tus suscripciones al habilitar el escaneo sin agente.
- En AWS, estos permisos se agregan a la pila de CloudFormation en el conector de AWS.
- En GCP, estos permisos se agregan al script de incorporación en su conector GCP.
permisos de Azure
El rol integrado Operador de escáner de VM tiene permisos de solo lectura para los discos de máquina virtual que son necesarios para el proceso de instantáneas. La lista detallada de permisos es:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Cuando se habilita la cobertura de los discos cifrados de CMK, se requieren más permisos:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Permisos de AWS
El rol VmScanner se asigna al analizador al habilitar el examen sin agente. Este rol tiene el conjunto de permisos mínimo para crear y limpiar instantáneas (con ámbito por etiqueta) y para comprobar el estado actual de la máquina virtual. Los permisos detallados son:
| Atributo | Value |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Acciones | ec2:DeleteSnapshot |
| Condiciones | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Recursos | arn:aws:ec2:::snapshot/ |
| Efecto | Allow |
| Atributo | Value |
|---|---|
| SID | VmScannerAccess |
| Acciones | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Condiciones | None |
| Recursos | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Efecto | Allow |
| Atributo | Value |
|---|---|
| SID | VmScannerVerificationAccess |
| Acciones | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Condiciones | None |
| Recursos | * |
| Efecto | Allow |
| Atributo | Value |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Acciones | kms:CreateKey |
| Condiciones | None |
| Recursos | * |
| Efecto | Allow |
| Atributo | Value |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Acciones | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Condiciones | None |
| Recursos | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Efecto | Allow |
| Atributo | Value |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| Acciones | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Condiciones | None |
| Recursos | arn:aws:kms::${AWS::AccountId}: key/ |
| Efecto | Allow |
Permisos de GCP
Durante la incorporación, se crea un nuevo rol personalizado con los permisos mínimos necesarios para obtener el estado de las instancias y crear instantáneas.
Además, se conceden permisos a un rol existente de GCP KMS para que sea compatible con el examen de discos cifrados con CMEK. Los roles son:
- roles/MDCAgentlessScanningRole concedido a la cuenta de servicio de Defender for Cloud con permisos: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter concedido al agente de servicio del motor de proceso de Defender for Cloud