Bagikan melalui


Mengaktifkan pemindaian tanpa agen untuk VM

Pemindaian tanpa agen memberikan visibilitas ke dalam kerentanan perangkat lunak dan perangkat lunak yang diinstal pada beban kerja Anda untuk memperluas cakupan penilaian kerentanan ke beban kerja server tanpa agen penilaian kerentanan yang diinstal.

Penilaian kerentanan tanpa agen menggunakan mesin Pengelolaan Kerentanan Microsoft Defender untuk menilai kerentanan dalam perangkat lunak yang diinstal pada VM Anda, tanpa mengharuskan Defender untuk Titik Akhir diinstal. Penilaian kerentanan menunjukkan inventaritas dan kerentanan perangkat lunak menghasilkan format yang sama dengan penilaian berbasis agen.

Kompatibilitas dengan solusi penilaian kerentanan berbasis agen

Defender untuk Cloud sudah mendukung pemindaian kerentanan berbasis agen yang berbeda, termasuk Pengelolaan Kerentanan Microsoft Defender (MDVM), BYOL. Pemindaian tanpa agen memperluas visibilitas Defender untuk Cloud untuk menjangkau lebih banyak perangkat.

Saat Anda mengaktifkan penilaian kerentanan tanpa agen:

  • Jika Anda tidak memiliki solusi penilaian kerentanan terintegrasi yang diaktifkan pada salah satu VM Anda pada langganan Anda, Defender untuk Cloud secara otomatis mengaktifkan MDVM secara default.

  • Jika Anda memilih Pengelolaan Kerentanan Microsoft Defender sebagai bagian dari integrasi dengan Microsoft Defender untuk Titik Akhir, Defender untuk Cloud menampilkan tampilan terpadu dan terkonsolidasi yang mengoptimalkan cakupan dan Kesegaran.

    • Mesin yang hanya dicakup oleh salah satu sumber (Manajemen Kerentanan Defender atau tanpa agen) menunjukkan hasil dari sumber tersebut.
    • Mesin yang dicakup oleh kedua sumber menunjukkan hasil berbasis agen hanya untuk peningkatan kesegaran.
  • Jika Anda memilih Penilaian kerentanan dengan integrasi BYOL - Defender untuk Cloud menunjukkan hasil berbasis agen secara default. Hasil dari pemindaian tanpa agen ditampilkan untuk mesin yang tidak memiliki agen yang terinstal atau dari mesin yang tidak melaporkan temuan dengan benar.

    Untuk mengubah perilaku default agar selalu menampilkan hasil dari MDVM (terlepas dari solusi agen pihak ketiga), pilih pengaturan Pengelolaan Kerentanan Microsoft Defender dalam solusi penilaian kerentanan.

Mengaktifkan pemindaian tanpa agen untuk komputer

Saat Anda mengaktifkan Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2, pemindaian tanpa agen diaktifkan secara default.

Jika Anda memiliki Defender untuk Server P2 yang sudah diaktifkan dan pemindaian tanpa agen dinonaktifkan, Anda perlu mengaktifkan pemindaian tanpa agen secara manual.

Anda dapat mengaktifkan pemindaian tanpa agen pada

Catatan

Pemindaian malware tanpa agen hanya tersedia jika Anda telah mengaktifkan Defender untuk Server paket 2

Penilaian kerentanan tanpa agen di Azure

Untuk mengaktifkan penilaian kerentanan tanpa agen di Azure:

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih langganan yang relevan.

  3. Untuk paket Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2, pilih Pengaturan.

    Cuplikan layar tautan untuk pengaturan paket Defender untuk akun Azure.

    Pengaturan pemindaian tanpa agen dibagikan oleh Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2. Saat Anda mengaktifkan pemindaian tanpa agen pada salah satu paket, pengaturan diaktifkan untuk kedua paket.

  4. Di panel pengaturan, aktifkan Pemindaian tanpa agen untuk komputer.

    Cuplikan layar pengaturan dan pemantauan untuk mengaktifkan pemindaian tanpa agen.

  5. Pilih Simpan.

Untuk mengaktifkan pemindaian disk terenkripsi CMK di Azure (pratinjau):

Agar pemindaian tanpa agen mencakup Azure VM dengan disk terenkripsi CMK, Anda perlu memberikan izin tambahan Defender untuk Cloud untuk membuat salinan aman disk ini. Untuk melakukannya, izin tambahan diperlukan pada Key Vault yang digunakan untuk enkripsi CMK untuk VM Anda.

Untuk menetapkan izin secara manual, ikuti instruksi di bawah ini sesuai dengan jenis Key Vault Anda:

  • Untuk Key Vault yang menggunakan izin non-RBAC, tetapkan "Penyedia Sumber Daya Pemindai Server Microsoft Defender untuk Cloud" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) izin ini: Key Get, Key Wrap, Key Unwrap.
  • Untuk Key Vault yang menggunakan izin RBAC, tetapkan "Penyedia Sumber Daya Pemindai Server Microsoft Defender untuk Cloud" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) peran bawaan Pengguna Enkripsi Layanan Kripto Key Vault.

Untuk menetapkan izin ini dalam skala besar, Anda juga dapat menggunakan skrip ini.

Untuk informasi selengkapnya, lihat izin pemindaian tanpa agen.

Penilaian kerentanan tanpa agen di AWS

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih akun yang relevan.

  3. Untuk paket Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2, pilih Pengaturan.

    Cuplikan layar tautan untuk pengaturan paket Defender untuk akun AWS.

    Saat Anda mengaktifkan pemindaian tanpa agen pada salah satu paket, pengaturan berlaku untuk kedua paket.

  4. Di panel pengaturan, aktifkan Pemindaian tanpa agen untuk komputer.

    Cuplikan layar status pemindaian tanpa agen untuk akun AWS.

  5. Pilih Simpan dan Berikutnya: Konfigurasikan Akses.

  6. Unduh templat CloudFormation.

  7. Menggunakan templat CloudFormation yang diunduh, buat tumpukan di AWS seperti yang diinstruksikan di layar. Jika Anda melakukan onboarding akun manajemen, Anda perlu menjalankan templat CloudFormation baik sebagai Stack maupun sebagai StackSet. Konektor akan dibuat untuk akun anggota hingga 24 jam setelah onboarding.

  8. Pilih Berikutnya: Tinjau dan buat.

  9. Pilih Perbarui.

Setelah Anda mengaktifkan pemindaian tanpa agen, inventori perangkat lunak dan informasi kerentanan diperbarui secara otomatis dalam Defender untuk Cloud.

Mengaktifkan pemindaian tanpa agen di GCP

  1. Di Defender untuk Cloud, pilih Pengaturan lingkungan.

  2. Pilih proyek atau organisasi yang relevan.

  3. Untuk paket Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2, pilih Pengaturan.

    Cuplikan layar yang memperlihatkan tempat memilih paket untuk proyek GCP.

  4. Alihkan pemindaian Tanpa Agen ke Aktif.

    Cuplikan layar yang memperlihatkan tempat memilih pemindaian tanpa agen.

  5. Pilih Simpan dan Berikutnya: Konfigurasikan Akses.

  6. Salin skrip onboarding.

  7. Jalankan skrip onboarding di lingkup organisasi/proyek GCP (portal GCP atau CLI gcloud).

  8. Pilih Berikutnya: Tinjau dan buat.

  9. Pilih Perbarui.

Menguji penyebaran pemindai malware tanpa agen

Pemberitahuan keamanan muncul di portal hanya jika ancaman terdeteksi di lingkungan Anda. Jika Anda tidak memiliki pemberitahuan apa pun, itu mungkin karena tidak ada ancaman di lingkungan Anda. Anda dapat menguji untuk melihat bahwa perangkat di-onboard dengan benar dan melaporkan ke Defender untuk Cloud dengan membuat file pengujian.

Membuat file pengujian untuk Linux

  1. Buka jendela terminal pada VM.

  2. Jalankan perintah berikut:

    # test string  
    TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  
    
    # File to be created  
    FILE_PATH="/tmp/virus_test_file.txt"  
    
    # Write the test string to the file  
    echo -n $TEST_STRING > $FILE_PATH  
    
    # Check if the file was created and contains the correct string  
    if [ -f "$FILE_PATH" ]; then  
        if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
            echo "Virus test file created and validated successfully."  
        else  
            echo "Virus test file does not contain the correct string."  
        fi  
    else  
        echo "Failed to create virus test file."  
    fi
    

Pemberitahuan MDC_Test_File malware was detected (Agentless) akan muncul dalam waktu 24 jam di halaman Pemberitahuan Defender untuk Cloud dan di portal Defender XDR.

Cuplikan layar pemberitahuan pengujian yang muncul di Defender untuk Cloud untuk Linux.

Membuat file pengujian untuk Windows

Membuat file pengujian dengan dokumen teks

  1. Buat file teks di VM Anda.

  2. Tempelkan teks $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ ke dalam file teks.

    Penting

    Pastikan tidak ada spasi atau baris tambahan dalam file teks.

  3. Simpan file.

  4. Buka file untuk memvalidasi bahwa file berisi konten dari tahap 2.

Pemberitahuan MDC_Test_File malware was detected (Agentless) akan muncul dalam waktu 24 jam di halaman Pemberitahuan Defender untuk Cloud dan di portal Defender XDR.

Cuplikan layar pemberitahuan pengujian yang muncul di Defender untuk Cloud untuk Windows karena file teks yang dibuat.

Membuat file pengujian dengan PowerShell

  1. Buka PowerShell di VM Anda.

  2. Jalankan skrip berikut.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

Pemberitahuan MDC_Test_File malware was detected (Agentless) akan muncul dalam waktu 24 jam di halaman Pemberitahuan Defender untuk Cloud dan di portal Defender XDR.

Cuplikan layar pemberitahuan pengujian yang muncul di Defender untuk Cloud untuk Windows dengan karena skrip PowerShell.

Mengecualikan komputer dari pemindaian

Pemindaian tanpa agen berlaku untuk semua komputer yang memenuhi syarat dalam langganan. Untuk mencegah komputer tertentu dipindai, Anda dapat mengecualikan mesin dari pemindaian tanpa agen berdasarkan tag lingkungan yang sudah ada sebelumnya. Ketika Defender untuk Cloud melakukan penemuan berkelanjutan untuk mesin, komputer yang dikecualikan dilewati.

Untuk mengonfigurasi komputer untuk pengecualian:

  1. Di Defender untuk Cloud, pilih Pengaturan lingkungan.

  2. Pilih langganan atau konektor multicloud yang relevan.

  3. Untuk paket Defender Cloud Security Posture Management (CSPM) atau Defender for Servers P2, pilih Pengaturan.

  4. Untuk pemindaian tanpa agen, pilih Edit konfigurasi.

    Cuplikan layar tautan untuk mengedit konfigurasi pemindaian tanpa agen.

  5. Masukkan nama dan nilai tag yang berlaku untuk komputer yang ingin Anda kecualikan. Anda dapat memasukkan multiple tag:value pasangan.

    Cuplikan layar bidang tag dan nilai untuk mengecualikan mesin dari pemindaian tanpa agen.

  6. Pilih Simpan.

Pelajari lebih lanjut tentang: