Share via

Virtuális gépek ügynök nélküli vizsgálatának engedélyezése

  • Cikk

Az ügynök nélküli vizsgálat betekintést nyújt a telepített szoftver- és szoftveres biztonsági résekbe a számítási feladatokon, így a sebezhetőség-felmérési lefedettséget kiterjesztheti a kiszolgálói számítási feladatokra a sebezhetőség-felmérési ügynök telepítése nélkül.

Az ügynök nélküli sebezhetőség-felmérés a Microsoft Defender biztonságirés-kezelés motort használja a virtuális gépekre telepített szoftverek biztonsági réseinek felmérésére anélkül, hogy a Defendert telepíteni kellene. A sebezhetőségi felmérés a szoftverleltárat és a biztonsági réseket az ügynökalapú értékelésekkel megegyező formátumban jeleníti meg.

Kompatibilitás ügynökalapú sebezhetőségi felmérési megoldásokkal

Felhőhöz készült Defender már támogatja a különböző ügynökalapú biztonságirés-vizsgálatokat, beleértve a Microsoft Defender biztonságirés-kezelés (MDVM), a BYOL és a Qualys szolgáltatást. Az ügynök nélküli vizsgálat kibővíti a Felhőhöz készült Defender láthatóságát, hogy több eszközt érjen el.

Ha engedélyezi az ügynök nélküli biztonságirés-felmérést:

  • Ha az előfizetésében lévő virtuális gépeken nincs engedélyezve meglévő integrált biztonságirés-felmérési megoldás, Felhőhöz készült Defender alapértelmezés szerint automatikusan engedélyezi az MDVM-et.

  • Ha Végponthoz készült Microsoft Defender integráció részeként választja ki a Microsoft Defender biztonságirés-kezelés, Felhőhöz készült Defender egységes és összevont nézetet jelenít meg, amely optimalizálja a lefedettséget és frissességet.

    • Az egyik forrás által lefedett gépek (Defender sebezhetőségi kezelése vagy ügynök nélküli) az adott forrásból származó eredményeket jelenítik meg.
    • A két forrás által lefedett gépek csak az ügynökalapú eredményeket jelenítik meg a nagyobb frissesség érdekében.

  • Ha a Qualys- vagy BYOL-integrációval rendelkező sebezhetőségi felmérést választja , alapértelmezés szerint az ügynökalapú eredményeket Felhőhöz készült Defender. Az ügynök nélküli vizsgálat eredményei olyan gépeken jelennek meg, amelyeken nincs ügynök telepítve, vagy olyan gépekről, amelyek nem megfelelően jelentik az eredményeket.

    Ha módosítani szeretné az alapértelmezett viselkedést, hogy mindig megjelenjenek az MDVM eredményei (függetlenül attól, hogy külső ügynökmegoldásról van-e szó), válassza a Microsoft Defender biztonságirés-kezelés beállítást a biztonságirés-felmérési megoldásban.

Gépek ügynök nélküli vizsgálatának engedélyezése

A Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers P2 engedélyezésekor alapértelmezés szerint engedélyezve van az ügynök nélküli vizsgálat.

Ha a Defender for Servers P2 már engedélyezve van, és az ügynök nélküli vizsgálat ki van kapcsolva, manuálisan kell bekapcsolnia az ügynök nélküli vizsgálatot.

Engedélyezheti az ügynök nélküli vizsgálatot a

Feljegyzés

Ügynök nélküli kártevő-vizsgálat csak akkor érhető el, ha engedélyezte a Defender for Servers 2 csomagot

Ügynök nélküli sebezhetőségi felmérés az Azure-ban

Ügynök nélküli sebezhetőségi felmérés engedélyezése az Azure-ban:

  1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

  2. Válassza ki az adott előfizetést.

  3. A Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers P2 csomag esetében válassza a Gépház.

    Képernyőkép az Azure-fiókok Defender-csomagjainak beállításaira mutató hivatkozásról.

    Az ügynök nélküli vizsgálati beállításokat a Defender Cloud Security Posture Management (CSPM) és a Defender for Servers P2 is megosztja. Ha mindkét csomagon engedélyezi az ügynök nélküli vizsgálatot, a beállítás mindkét csomag esetében engedélyezve van.

  4. A beállítások panelen kapcsolja be a gépek ügynök nélküli vizsgálatát.

    Képernyőkép a beállításokról és a monitorozási képernyőről az ügynök nélküli vizsgálat bekapcsolásához.

  5. Válassza a Mentés lehetőséget.

A CMK által titkosított lemezek vizsgálatának engedélyezése az Azure-ban (előzetes verzió):

Ahhoz, hogy az ügynök nélküli vizsgálat CMK-titkosított lemezekkel fedje le az Azure-beli virtuális gépeket, további engedélyeket kell adnia Felhőhöz készült Defender a lemezek biztonságos másolatának létrehozásához. Ehhez további engedélyekre van szükség a virtuális gépek CMK-titkosításához használt Key Vaultokon.

Az engedélyek manuális hozzárendeléséhez kövesse az alábbi utasításokat a Key Vault típusának megfelelően:

Ha nagy méretekben szeretné hozzárendelni ezeket az engedélyeket, használhatja ezt a szkriptet is.

További információkért tekintse meg az ügynök nélküli vizsgálati engedélyeket.

Ügynök nélküli sebezhetőségi felmérés az AWS-en

  1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

  2. Válassza ki a megfelelő fiókot.

  3. A Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers P2 csomag esetében válassza a Gépház.

    Képernyőkép az AWS-fiókok Defender-csomagjainak beállításaira mutató hivatkozásról.

    Ha engedélyezi az ügynök nélküli vizsgálatot bármelyik csomagon, a beállítás mindkét csomagra érvényes.

  4. A beállítások panelen kapcsolja be a gépek ügynök nélküli vizsgálatát.

    Képernyőkép az AWS-fiókok ügynök nélküli vizsgálatának állapotáról.

  5. Válassza a Mentés és tovább: Hozzáférés konfigurálása lehetőséget.

  6. Töltse le a CloudFormation sablont.

  7. A letöltött CloudFormation-sablonnal hozza létre a vermet az AWS-ben a képernyőn leírtak szerint. Ha felügyeleti fiókot hoz létre, a CloudFormation sablont stackként és StackSetként is futtatnia kell. Csatlakozás orok létrehozása a tagfiókok számára az előkészítést követő 24 órán belül.

  8. Válassza a Tovább: Ellenőrzés és előállítás lehetőséget.

  9. Válassza a Frissítés lehetőséget.

Az ügynök nélküli vizsgálat engedélyezése után a szoftverleltár és a biztonságirés adatai automatikusan frissülnek Felhőhöz készült Defender.

Ügynök nélküli vizsgálat engedélyezése a GCP-ben

  1. A Felhőhöz készült Defender válassza a Környezeti beállítások lehetőséget.

  2. Válassza ki a megfelelő projektet vagy szervezetet.

  3. A Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers P2 csomag esetében válassza a Gépház.

    Képernyőkép a GCP-projektek tervének kiválasztásáról.

  4. Az ügynök nélküli vizsgálat bekapcsolva állásba váltása.

    Képernyőkép az ügynök nélküli vizsgálat helyének kiválasztásáról.

  5. Válassza a Mentés és tovább: Hozzáférés konfigurálása lehetőséget.

  6. Másolja ki az előkészítési szkriptet.

  7. Futtassa az előkészítési szkriptet a GCP-szervezet/projekt hatókörében (GCP-portál vagy gcloud CLI).

  8. Válassza a Tovább: Ellenőrzés és előállítás lehetőséget.

  9. Válassza a Frissítés lehetőséget.

Az ügynök nélküli kártevőolvasó üzembe helyezésének tesztelése

A biztonsági riasztások csak olyan esetekben jelennek meg a portálon, amikor fenyegetéseket észlelnek a környezetben. Ha nem rendelkezik riasztásokkal, annak az lehet az oka, hogy nincsenek fenyegetések a környezetben. Tesztfájl létrehozásával tesztelheti, hogy az eszköz megfelelően van-e előkészítve, és jelentést készít-e Felhőhöz készült Defender.

Tesztfájl létrehozása Linuxhoz

  1. Nyisson meg egy terminálablakot a virtuális gépen.

  2. Hajtsa végre a következő parancsot:

    # test string  
TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  

# File to be created  
FILE_PATH="/tmp/virus_test_file.txt"  

# Write the test string to the file  
echo -n $TEST_STRING > $FILE_PATH  

# Check if the file was created and contains the correct string  
if [ -f "$FILE_PATH" ]; then  
    if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
        echo "Virus test file created and validated successfully."  
    else  
        echo "Virus test file does not contain the correct string."  
    fi  
else  
    echo "Failed to create virus test file."  
fi

A riasztás MDC_Test_File malware was detected (Agentless) 24 órán belül megjelenik a Felhőhöz készült Defender Riasztások lapján és a Defender XDR portálon.

Képernyőkép a linuxos Felhőhöz készült Defender megjelenő tesztriasztásról.

Tesztfájl létrehozása Windowshoz

Tesztfájl létrehozása szöveges dokumentummal

  1. Hozzon létre egy szövegfájlt a virtuális gépen.

  2. Illessze be a szöveget $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ a szövegfájlba.

    Fontos

    Győződjön meg arról, hogy nincsenek további szóközök vagy sorok a szövegfájlban.

  3. Mentse a fájlt.

  4. Nyissa meg a fájlt annak ellenőrzéséhez, hogy tartalmazza-e a 2. szakasz tartalmát.

A riasztás MDC_Test_File malware was detected (Agentless) 24 órán belül megjelenik a Felhőhöz készült Defender Riasztások lapján és a Defender XDR portálon.

Képernyőkép a windowsos Felhőhöz készült Defender a létrehozott szövegfájl miatt megjelenő tesztriasztásról.

Tesztfájl létrehozása a PowerShell-lel

  1. Nyissa meg a PowerShellt a virtuális gépen.

  2. Hajtsa végre a következő szkriptet.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

A riasztás MDC_Test_File malware was detected (Agentless) 24 órán belül megjelenik a Felhőhöz készült Defender Riasztások lapján és a Defender XDR portálon.

Képernyőkép a Windows Felhőhöz készült Defender- és PowerShell-szkript miatt megjelenő tesztriasztásról.

Gépek kizárása a vizsgálatból

Az ügynök nélküli vizsgálat az előfizetés összes jogosult gépére vonatkozik. Ha meg szeretné akadályozni bizonyos gépek vizsgálatát, kizárhatja a gépeket az ügynök nélküli vizsgálatból a már meglévő környezetcímkék alapján. Ha Felhőhöz készült Defender végzi el a gépek folyamatos felderítését, a kizárt gépek kimaradnak.

Gépek kizárásra való konfigurálása:

  1. A Felhőhöz készült Defender válassza a Környezeti beállítások lehetőséget.

  2. Válassza ki a megfelelő előfizetést vagy többfelhős összekötőt.

  3. A Defender Cloud Security Posture Management (CSPM) vagy a Defender for Servers P2 csomag esetében válassza a Gépház.

  4. Ügynök nélküli vizsgálathoz válassza a Konfiguráció szerkesztése lehetőséget.

    Képernyőkép az ügynök nélküli vizsgálat konfigurációjának szerkesztésére szolgáló hivatkozásról.

  5. Adja meg a mentesítendő gépekre vonatkozó címkenevet és értéket. Beírhat multiple tag:value párokat.

    Képernyőkép a címke- és értékmezőkről, amelyek kizárják a gépeket az ügynök nélküli vizsgálatból.

  6. Válassza a Mentés lehetőséget.

Kapcsolódó tartalom

További információk: