Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’analyse de machine sans agent dans Microsoft Defender for Cloud améliore la posture de sécurité des machines connectées à Defender for Cloud.
L’analyse sans agent n’a pas besoin d’agents installés ni de connectivité réseau et n’affecte pas les performances des machines. Analyse des machines sans agent :
- Analyse les paramètres de détection et de réponse du point de terminaison (EDR) : analyse les machines pour déterminer si elles exécutent une solution EDR et si les paramètres sont corrects si les machines s’intègrent à Microsoft Defender pour point de terminaison. Pour en savoir plus
- Analyse l’inventaire logiciel : analysez votre inventaire logiciel avec la gestion intégrée des vulnérabilités de Microsoft Defender.
- Analyse les vulnérabilités : évaluez les machines pour détecter les vulnérabilités à l’aide de la gestion intégrée des vulnérabilités Defender.
- Recherche de secrets sur des machines : repérez les secrets en texte brut dans votre environnement Compute avec la recherche de secrets sans agent.
- Analyses des programmes malveillants : analysez les ordinateurs pour détecter les programmes malveillants et les virus à l’aide de l’antivirus Microsoft Defender.
- Analyse les machines virtuelles s’exécutant en tant que nœuds Kubernetes : l’évaluation des vulnérabilités et l’analyse des programmes malveillants sont disponibles pour les machines virtuelles s’exécutant en tant que nœuds Kubernetes lorsque Defender pour serveurs Plan 2 ou le plan Defender pour conteneurs est activé. Disponible dans les clouds commerciaux uniquement.
L’analyse sans agent est disponible dans les plans Defender for Cloud suivants :
- Defender Cloud Security Posture Management (CSPM)
- Defender pour serveurs Plan 2.
- Analyse des programmes malveillants est uniquement disponible dans Defender pour serveurs Plan 2.
- L’analyse sans agent est disponible pour les machines virtuelles Azure et les instances de calcul AWS EC2 et GCP connectées à Defender for Cloud.
Architecture de l’analyse sans agent
Voici le fonctionnement de l’analyse sans agent :
Defender pour le cloud prend des instantanés de disques de machine virtuelle et procède à une analyse hors bande approfondie de la configuration du système d’exploitation et du système de fichiers stocké dans l’instantané.
- L’instantané copié reste dans la même région que la machine virtuelle.
- L’analyse n’affecte pas la machine virtuelle.
Après obtention par Defender for Cloud des métadonnées nécessaires à partir du disque copié, ce service supprime immédiatement la capture instantanée copiée du disque et envoie les métadonnées aux moteurs Microsoft pertinents pour détecter les écarts de configuration et les menaces potentielles. Par exemple, dans l’évaluation des vulnérabilités, l’analyse est effectuée par la Gestion des vulnérabilités Defender.
Les résultats d’analyse sont affichés par Defender pour le cloud, qui regroupe les résultats basés sur l’agent et les résultats sans agent dans la page Alertes de sécurité.
Defender for Cloud analyse les disques dans un environnement d’analyse régional, volatile, isolé et hautement sécurisé. Les instantanés de disque et les données sans lien avec l’analyse ne sont pas stockés plus longtemps qu’il ne faut pour collecter les métadonnées, généralement quelques minutes.
Autorisations utilisées par l’analyse sans agent
Defender for Cloud utilisait des rôles et autorisations spécifiques pour effectuer une analyse sans agent.
- Dans Azure, ces autorisations sont automatiquement ajoutées à vos abonnements lorsque vous activez l’analyse sans agent.
- Dans AWS, ces autorisations sont ajoutées à la pile CloudFormation dans votre connecteur AWS.
- Dans GCP, ces autorisations sont ajoutées au script d’intégration dans votre connecteur GCP.
Autorisations Azure
Le rôle intégré opérateur de scanner de VM dispose de permissions en lecture seule pour les disques VM requis pour le processus de création d’instantanés. Voici la liste détaillée des autorisations :
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Lorsque la couverture des disques chiffrés CMK est activée, d’autres autorisations sont requises :
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Autorisations AWS
Le rôle VmScanner est affecté au scanneur lorsque vous activez l’analyse sans agent. Ce rôle dispose de l’ensemble d’autorisations minimal pour créer et nettoyer des instantanés (délimités par balise), et vérifier l’état actuel de la machine virtuelle. Les autorisations détaillées sont les suivantes :
| Attribut | Valeur |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Actions | ec2:DeleteSnapshot |
| Conditions | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Ressources | arn:aws:ec2:::snapshot/ |
| Effet | Autoriser |
| Attribut | Valeur |
|---|---|
| SID | VmScannerAccess |
| Actions | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2 :CreateSnapshot |
| Conditions | Aucun |
| Ressources | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Effet | Autoriser |
| Attribut | Valeur |
|---|---|
| SID | VmScannerVerificationAccess |
| Actions | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Conditions | Aucun |
| Ressources | * |
| Effet | Autoriser |
| Attribut | Valeur |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Actions | kms :CreateKey |
| Conditions | Aucun |
| Ressources | * |
| Effet | Autoriser |
| Attribut | Valeur |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Actions | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms :CreateAlias kms:ListResourceTags |
| Conditions générales | Aucun |
| Ressources | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Effet | Autoriser |
| Attribut | Valeur |
|---|---|
| SID | Utilisation de la clé de chiffrement du scanner VM |
| Actions | kms:GenerateDataKeyWithoutPlaintext kms :DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Conditions | Aucun |
| Ressources | arn:aws:kms::${AWS::AccountId}: key/ |
| Effet | Autoriser |
Autorisations GCP
Pendant l’intégration, un personnalisé est créé avec les autorisations minimales requises pour obtenir l’état des instances et créer des captures instantanées.
En outre, des autorisations à un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK. Ces rôles sont les suivants :
- roles/MDCAgentlessScanningRole accordé au compte de service Defender pour le cloud avec les autorisations : compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter accordé à l’agent de service du moteur de calcul de Defender pour le cloud