Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Pemindaian mesin tanpa agen di Microsoft Defender untuk Cloud meningkatkan postur keamanan komputer yang terhubung ke Defender untuk Cloud.
Pemindaian tanpa agen tidak memerlukan agen atau konektivitas jaringan yang diinstal, dan tidak memengaruhi performa komputer. Pemindaian mesin tanpa agen:
- Scans pengaturan deteksi dan respons titik akhir (EDR): Memindai perangkat untuk menilai apakah perangkat tersebut menjalankan solusi EDR, dan apakah pengaturannya sudah benar jika perangkat berintegrasi dengan Microsoft Defender untuk Titik Akhir. Pelajari lebih lanjut
- Memindai persediaan perangkat lunak: Memindai persediaan perangkat lunak Anda dengan terintegrasi Pengelolaan Kerentanan Microsoft Defender.
- Pemindaian kerentanan: Menilai mesin untuk kerentanan menggunakan Pengelolaan Kerentanan Defender terintegrasi.
- Pemindaian rahasia pada komputer: Temukan rahasia teks biasa di lingkungan komputasi Anda dengan pemindaian rahasia yang tidak memerlukan agen.
- Pemindaian malware: Memindai mesin terhadap malware dan virus menggunakan Microsoft Defender Antivirus.
- Memindai VM yang berjalan sebagai simpul Kubernetes: Penilaian kerentanan dan pemindaian malware tersedia untuk VM yang berjalan sebagai simpul Kubernetes saat Defender untuk Server Paket 2 atau paket Defender untuk Kontainer diaktifkan. Hanya tersedia di cloud komersial.
Pemindaian tanpa agen tersedia dalam paket Defender untuk Cloud berikut:
- Defender Cloud Security Posture Management (CSPM).
- Defender untuk Server Paket 2.
- Pemindaian malware hanya tersedia di Defender untuk Server Paket 2.
- Pemindaian tanpa agen tersedia untuk VM Azure, instans komputasi AWS EC2, dan GCP yang terhubung ke Defender untuk Cloud.
Arsitektur pemindaian tanpa agen
Berikut cara kerja pemindaian tanpa agen:
Defender untuk Cloud mengambil rekam jepret disk VM (root + disk data) dan melakukan analisis mendalam dari konfigurasi sistem operasi dan sistem file yang disimpan dalam rekam jepret.
- Rekam jepret yang disalin tetap berada di wilayah yang sama dengan VM.
- Pemindaian tidak memengaruhi VM.
Setelah Defender untuk Cloud mendapatkan metadata yang diperlukan dari disk yang disalin, ia segera menghapus snapshot disk yang disalin tersebut dan mengirim metadata ke mesin Microsoft yang relevan untuk mendeteksi kesenjangan konfigurasi dan potensi ancaman. Misalnya, dalam penilaian kerentanan, analisis dilakukan oleh Pengelolaan Kerentanan Defender.
Defender untuk Cloud menampilkan hasil pemindaian, yang mengonsolidasikan hasil berbasis agen dan tanpa agen di halaman Pemberitahuan keamanan.
Defender untuk Cloud menganalisis disk di lingkungan pemindaian yang regional, volatil, terisolasi, dan sangat aman. Rekam jepret disk dan data yang tidak terkait dengan pemindaian tidak disimpan lebih lama dari yang diperlukan untuk mengumpulkan metadata, biasanya beberapa menit.
Izin yang digunakan oleh pemindaian tanpa agen
Defender untuk Cloud menggunakan peran dan izin tertentu untuk melakukan pemindaian tanpa agen.
- Dalam Azure, izin ini secara otomatis ditambahkan ke langganan Anda saat Anda mengaktifkan pemindaian tanpa agen.
- Di AWS, izin ini ditambahkan ke tumpukan CloudFormation pada konektor AWS Anda.
- Di GCP, izin ini ditambahkan ke skrip onboarding di konektor GCP Anda.
Izin akses Azure
Peran bawaan operator pemindai VM memiliki izin baca-saja untuk disk VM yang diperlukan untuk proses pemotretan. Daftar izin terperinci adalah:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Ketika cakupan untuk disk terenkripsi CMK diaktifkan, lebih banyak izin diperlukan:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Izin AWS
Peran VmScanner ditetapkan ke pemindai saat Anda mengaktifkan pemindaian tanpa agen. Peran ini memiliki izin minimal yang ditetapkan untuk membuat dan membersihkan rekam jepret (dicakup oleh tag) dan untuk memverifikasi status VM saat ini. Izin terperinci adalah:
| Atribut | Nilai |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Tindakan | ec2:DeleteSnapshot |
| Kondisi | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Sumber | arn:aws:ec2:::snapshot/ |
| Efek | Izinkan |
| Atribut | Nilai |
|---|---|
| SID | VmScannerAccess |
| Tindakan | ec2:ModifySnapshotAttribute ec2:HapusTag ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Kondisi | Tidak |
| Sumber | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Efek | Izinkan |
| Atribut | Nilai |
|---|---|
| SID | VmScannerVerificationAccess |
| Tindakan | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Kondisi | Tidak |
| Sumber | * |
| Efek | Izinkan |
| Atribut | Nilai |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Tindakan | kms:MembuatKunci |
| Kondisi | Tidak |
| Sumber | * |
| Efek | Izinkan |
| Atribut | Nilai |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Tindakan | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Kondisi | Tidak |
| Sumber | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Efek | Izinkan |
| Atribut | Nilai |
|---|---|
| SID | Penggunaan Kunci Enkripsi VmScanner |
| Tindakan | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Kondisi | Tidak |
| Sumber | arn:aws:kms::${AWS::AccountId}: key/ |
| Efek | Izinkan |
Izin GCP
Selama proses orientasi, peran kustom baru dibuat dengan izin minimal yang diperlukan untuk mendapatkan status instansi dan membuat cuplikan.
Selain itu, izin untuk peran KMS GCP yang ada diberikan untuk mendukung pemindaian disk yang dienkripsi dengan CMEK. Perannya adalah:
- roles/MDCAgentlessScanningRole diberikan ke akun layanan Defender untuk Cloud dengan izin: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter diberikan kepada agen layanan mesin komputasi Defender untuk Cloud
Langkah berikutnya
Aktifkan pemindaian mesin tanpa agen.