A Defender for Cloud integrált Qualys biztonságirés-ellenőrzője azure-beli és hibrid gépekhez

Minden kiberkockázat és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. A Defender for Cloud rendszeresen ellenőrzi a csatlakoztatott gépeket, hogy biztonságirés-felmérési eszközöket futtasson.

Ha olyan gépet talál, amely nem rendelkezik telepített biztonságirés-felmérési megoldással, a Defender for Cloud létrehozza a biztonsági javaslatot: A gépeknek rendelkezniük kell egy sebezhetőségi felmérési megoldással. Ezzel a javaslatsal üzembe helyezheti a sebezhetőségi felmérési megoldást az Azure-beli virtuális gépeken és az Azure Arc-kompatibilis hibrid gépeken.

A Defender for Cloud további költségek nélkül tartalmazza a gépek biztonságirés-vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Felhőhöz készült Defenderben. Ez az oldal részletesen ismerteti ezt a szkennert, és útmutatást ad az üzembe helyezéséhez.

Tipp

Az integrált sebezhetőségi felmérési megoldás az Azure-beli virtuális gépeket és a hibrid gépeket is támogatja. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez először csatlakoztassa őket az Azure Archoz, a nem Azure-beli gépek csatlakoztatása a Felhőhöz készült Defenderhez című cikkben leírtak szerint.

A Defender for Cloud integrált sebezhetőségi felmérési megoldása zökkenőmentesen működik az Azure Arc használatával. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Felhőhöz készült Defenderben, és nincs szükség Log Analytics-ügynökre.

Ha nem szeretné használni a Qualys által működtetett sebezhetőségi felmérést, használhatja Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés, vagy üzembe helyezhet egy BYOL-megoldást a saját Qualys-licencével, Rapid7-licencével vagy más sebezhetőségi felmérési megoldással.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Géptípusok (hibrid forgatókönyvek): Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Árképzés: A 2. csomaghoz Microsoft Defender szükséges
Szükséges szerepkörök és engedélyek: A tulajdonos (erőforráscsoport szintje) üzembe helyezheti a szkennert
A biztonsági olvasó megtekintheti az eredményeket
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok

Az integrált biztonságirés-ellenőrző áttekintése

A Microsoft Defender for Cloud biztonságirés-ellenőrző eszközét a Qualys működteti. A Qualys szkennere a biztonsági rések valós idejű azonosításának egyik vezető eszköze. Csak a kiszolgálókhoz készült Microsoft Defender érhető el. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Felhőhöz készült Defenderben.

Az integrált biztonságirés-ellenőrző működése

A biztonságirés-ellenőrző bővítmény a következőképpen működik:

  1. Üzembe helyezés – Microsoft Defender a Felhőhöz monitorozza a gépeket, és javaslatokat tesz a Qualys-bővítmény a kiválasztott gépen/gépeken való üzembe helyezésére.

  2. Információgyűjtés – A bővítmény összegyűjti az összetevőket, és elemzésre küldi őket a qualysi felhőszolgáltatásban a meghatározott régióban.

  3. Elemzés – A Qualys felhőszolgáltatása elvégzi a sebezhetőségi felmérést, és elküldi az eredményeket a Defender for Cloudnak.

    Fontos

    Ügyfeleink adatainak védelme, titkossága és biztonsága érdekében nem osztjuk meg az ügyfelek adatait a Qualyssal. További információ az Azure-ba épített adatvédelmi szabványokról.

  4. Jelentés – Az eredmények a Felhőhöz készült Defenderben érhetők el.

Folyamatábra a felhő beépített biztonságirés-ellenőrzőjének Microsoft Defender.

Az integrált szkenner üzembe helyezése az Azure-ban és a hibrid gépeken

  1. A Azure Portal nyissa meg a Felhőhöz készült Defendert.

  2. A Felhőhöz készült Defender menüjében nyissa meg a Javaslatok lapot.

  3. Válassza ki azt a javaslatot , amely szerint a gépeknek biztonságirés-felmérési megoldással kell rendelkezniük.

    A gépek csoportosítása a javaslatoldalon.

    Tipp

    A fenti "server16-test" gép egy Azure Arc-kompatibilis gép. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez lásd: Nem Azure-beli gépek csatlakoztatása a Defender for Cloudhoz.

    A Defender for Cloud zökkenőmentesen együttműködik az Azure Arc szolgáltatással. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Felhőhöz készült Defenderben, és nincs szükség Log Analytics-ügynökre.

    A gépek az alábbi csoportok egyikében vagy többben jelennek meg:

    • Kifogástalan állapotú erőforrások – A Defender for Cloud sebezhetőségi felmérési megoldást észlelt ezeken a gépeken.
    • Nem megfelelő állapotú erőforrások – A biztonságirés-ellenőrző bővítmény üzembe helyezhető ezeken a gépeken.
    • Nem alkalmazható erőforrások – a biztonságirés-ellenőrző bővítmény nem támogatja ezeket a gépeket.
  4. A nem kifogástalan állapotú gépek listájából válassza ki azokat, amelyeken sebezhetőségi felmérési megoldást szeretne kapni, majd válassza a Szervizelés lehetőséget.

    Fontos

    A konfigurációtól függően előfordulhat, hogy ez a lista másként jelenik meg.

    • Ha nincs konfigurálva külső biztonságirés-ellenőrző, akkor nem kínáljuk fel a telepítésének lehetőségét.
    • Ha a kiválasztott gépeket nem védi a kiszolgálókhoz készült Microsoft Defender, a Defender for Cloud integrált biztonságirés-ellenőrzője nem lesz elérhető.

    Azon beállítások, hogy milyen típusú szervizelési folyamatot szeretne választani, amikor válaszol a javaslatra ** A gépeknek biztonságirés-felmérési megoldással kell rendelkezniük** javaslatoldal

  5. Válassza a javasolt lehetőséget, az Integrált biztonságirés-ellenőrző üzembe helyezése és a Folytatás lehetőséget.

  6. A rendszer egy további megerősítést kér. Válassza a Szervizelés lehetőséget.

    A szkennerbővítmény néhány percen belül települ az összes kijelölt gépre.

    A vizsgálat automatikusan megkezdődik, amint a bővítmény sikeresen üzembe lett helyezve. A vizsgálatok ezután 12 óránként lefutnak. Ez az időköz nem konfigurálható.

    Fontos

    Ha az üzembe helyezés egy vagy több gépen meghiúsul, győződjön meg arról, hogy a célgépek képesek kommunikálni a Qualys felhőszolgáltatásával a következő IP-címek engedélyezési listához való hozzáadásával (a 443-os porton keresztül – ez a HTTPS alapértelmezett beállítása):

    • https://qagpublic.qg3.apps.qualys.com - Qualys amerikai adatközpontja

    • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

    Ha a gépe egy európai Azure-beli földrajzi régióban (például Európa, Egyesült Királyság, Németország) található, az összetevők feldolgozása a Qualys európai adatközpontjában történik. A máshol található virtuális gépek összetevőit a rendszer elküldi az Amerikai Egyesült Államok adatközpontjába.

Nagy léptékű üzembe helyezés automatizálása

Megjegyzés

Az ebben a szakaszban ismertetett összes eszköz elérhető a Defender for Cloud GitHub-közösségi adattárában. Itt szkripteket, automatizálásokat és egyéb hasznos erőforrásokat találhat, amelyek a Felhőhöz készült Defender üzembe helyezése során használhatók.

Ezen eszközök némelyike csak a nagy léptékű üzembe helyezés engedélyezése után csatlakoztatott új gépeket érinti. Mások a meglévő gépeken is üzembe helyezhetők. Több megközelítést is kombinálhat.

Néhány módszer az integrált szkenner nagy léptékű üzembe helyezésének automatizálására:

  • Azure Resource Manager – Ez a módszer a Azure Portal javaslati logikájának megtekintéséből érhető el. A szervizelési szkript tartalmazza az automatizáláshoz használható megfelelő ARM-sablont: A szervizelési szkript tartalmazza az automatizáláshoz használható MEGFELELŐ ARM-sablont.
  • DeployIfNotExists szabályzatEgyéni szabályzat , amely biztosítja, hogy minden újonnan létrehozott gép megkapja a szkennert. Válassza az Üzembe helyezés az Azure-ban lehetőséget, és adja meg a megfelelő paramétereket. Ezt a szabályzatot erőforráscsoportok, előfizetések vagy felügyeleti csoportok szintjén rendelheti hozzá.
  • PowerShell-szkript – A szkript használatával Update qualys-remediate-unhealthy-vms.ps1 üzembe helyezheti a bővítményt az összes nem kifogástalan állapotú virtuális gépen. Ha új erőforrásokra szeretne telepíteni, automatizálja a szkriptet Azure Automation. A szkript megkeresi a javaslat által felderített összes nem megfelelő állapotú gépet, és végrehajt egy Azure-Resource Manager-hívást.
  • Azure Logic Apps – Logikai alkalmazás létrehozása a mintaalkalmazás alapján. A Defender for Cloud munkafolyamat-automatizálási eszközeivel aktiválja a logikai alkalmazást a szkenner üzembe helyezéséhez, amikor a gépeknek biztonságirés-felmérési megoldásra vonatkozó javaslatot kell létrehozniuk egy erőforráshoz.
  • REST API – Ha az integrált sebezhetőségi felmérési megoldást a Defender for Cloud REST API használatával szeretné üzembe helyezni, küldjön PUT kérést a következő URL-címre, és adja hozzá a megfelelő erőforrás-azonosítót: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Igény szerinti vizsgálat aktiválása

Igény szerinti vizsgálatot indíthat magáról a gépről helyileg vagy távolról végrehajtott szkriptek vagy Csoportházirend objektum (GPO) használatával. Másik lehetőségként a javítástelepítési feladat végén integrálhatja azt a szoftverterjesztési eszközökbe.

A következő parancsok igény szerinti vizsgálatot indítanak el:

  • Windows rendszerű gépek: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux rendszerű gépek: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

GYIK

Vannak további díjak a Qualys-licencért?

Nem. A beépített szkenner minden kiszolgálófelhasználó számára ingyenesen használható Microsoft Defender. A javaslat üzembe helyezi a szkennert annak licencelési és konfigurációs adataival. Nincs szükség további licencekre.

Milyen előfeltételek és engedélyek szükségesek a Qualys-bővítmény telepítéséhez?

Írási engedélyekre lesz szüksége minden olyan géphez, amelyen telepíteni szeretné a bővítményt.

A (Qualys által működtetett) felhőbeli biztonságirés-felmérési bővítmény Microsoft Defender a többi bővítményhez hasonlóan az Azure-beli virtuálisgép-ügynökön fut. Ezért Helyi gazdagépként fut Windows rendszeren, és Rootként Linuxon.

A telepítés során a Felhőhöz készült Defender ellenőrzi, hogy a gép képes-e HTTPS-en keresztül kommunikálni (alapértelmezett port: 443) a következő két Qualys-adatközponttal:

  • https://qagpublic.qg3.apps.qualys.com - Qualys amerikai adatközpontja
  • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

A bővítmény jelenleg nem fogad el proxykonfigurációs adatokat. A Qualys-ügynök proxybeállításait azonban helyileg is konfigurálhatja a virtuális gépen. Kövesse a Qualys dokumentációjában található útmutatást:

Eltávolíthatom a Defender for Cloud Qualys bővítményt?

Ha el szeretné távolítani a bővítményt egy gépről, manuálisan vagy bármely programozott eszközzel megteheti.

A következő részletekre lesz szüksége:

  • Linuxon a bővítmény neve "LinuxAgent.AzureSecurityCenter", a közzétevő neve pedig "Qualys".
  • Windows rendszeren a bővítmény neve "WindowsAgent.AzureSecurityCenter", a szolgáltató neve pedig "Qualys".

Hogyan ellenőrizhetem, hogy a Qualys-bővítmény megfelelően van-e telepítve?

curl Az paranccsal ellenőrizheti a megfelelő Qualys URL-címhez való kapcsolódást. Érvényes válasz lehet: {"code":404,"message":"HTTP 404 Not Found"}

Emellett győződjön meg arról, hogy az URL-címek DNS-feloldása sikeres, és hogy minden érvényes a használt hitelesítésszolgáltatónál .

Hogyan frissül a bővítmény?

A felhőügynökhöz Microsoft Defender és az összes többi Azure-bővítményhez hasonlóan a Qualys scanner kisebb frissítései is automatikusan a háttérben történhetnek. Az összes ügynököt és bővítményt alaposan teszteljük, mielőtt automatikusan üzembe helyeznénk őket.

Miért jelenik meg a gépem "nem alkalmazhatóként" a javaslatban?

Ha a gépek a nem alkalmazható erőforráscsoportban vannak, a Defender for Cloud nem tudja telepíteni a biztonságirés-ellenőrző bővítményt azokon a gépeken, mert:

  • A Microsoft Defender for Cloud biztonságirés-ellenőrzője csak a kiszolgálókhoz Microsoft Defender által védett gépeken érhető el.

  • Ez egy PaaS-erőforrás, például egy AKS-fürt rendszerképe vagy egy virtuálisgép-méretezési csoport egy része.

  • Nem a támogatott operációs rendszerek egyikét futtatja:

    Szállító OS Támogatott verziók
    Microsoft Windows Mind
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.5, 9 béta
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15, 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE Ugrás 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Talál-e biztonsági réseket a beépített biztonságirés-ellenőrző a virtuálisgép-hálózaton?

Nem. A szkenner a gépen fut, és nem a hálózatra, hanem magáról a gépről keres biztonsági réseket.

Integrálható a szkenner a meglévő Qualys-konzollal?

A Defender for Cloud bővítmény egy különálló eszköz a meglévő Qualys-szkennertől. A licencelési korlátozások azt jelentik, hogy csak a felhőhöz készült Microsoft Defender belül használható.

Milyen gyorsan azonosítja a szkenner az újonnan közzétett kritikus biztonsági réseket?

Egy kritikus biztonsági rés felfedését követő 48 órán belül a Qualys beépíti az adatokat a feldolgozásukba, és képes azonosítani az érintett gépeket.

Következő lépések

A Felhőhöz készült Defender biztonságirés-elemzést is kínál a következő célokra: