マシンのエージェントレス スキャン (プレビュー)

Microsoft Defender for Cloud では、OS ポスチャの問題に対するカバレッジを最大化し、エージェントベースの評価の範囲を超えて拡張します。 VM のエージェントレス スキャンを使用すると、インストールされているエージェント、ネットワーク接続要件、またはマシンのパフォーマンスに影響を与えることなく、実行可能なポスチャの問題を、円滑、広範、即時に可視化できます。

VM のエージェントレス スキャンは、Azure と Amazon AWS 環境で、Microsoft Defender 脆弱性の管理を利用した脆弱性評価とソフトウェア インベントリを提供します。 エージェントレス スキャンは、Defender Cloud Security Posture Management (CSPM)Defender for Servers P2 の両方で利用できます。

可用性

側面 詳細
リリース状態: プレビュー
価格: Defender Cloud Security Posture Management (CSPM) または Microsoft Defender for Servers Plan 2 のどちらかが必要です
サポートされているユース ケース: 脆弱性評価 (Defender 脆弱性の管理を利用)
ソフトウェア インベントリ (Defender 脆弱性の管理を利用)
クラウド: Azure 商用クラウド
Azure Government
Azure China 21Vianet
接続されている AWS アカウント
接続されている GCP アカウント
オペレーティング システム: Windows
Linux
インスタンスの種類: Azure
標準 VM
仮想マシン スケール セット - Flex
仮想マシン スケール セット - Uniform

AWS
EC2
自動スケール インスタンス
ProductCode (有料 AMI) を持つインスタンス
暗号化: Azure
非暗号化
暗号化済み – プラットフォームマネージド キー (PMK) と Azure Storage 暗号化を使用したマネージド ディスク
暗号化 – プラットフォームマネージド キー (PMK) を使用するその他のシナリオ
暗号化 – カスタマーマネージド キー (CMK)

AWS
非暗号化
暗号化

VM のエージェントレス スキャンのしくみ

エージェントベースのメソッドでは実行時に OS API を使用してセキュリティ関連データを継続的に収集しますが、VM のエージェントレス スキャンではクラウド API を使用してデータを収集します。 Defender for Cloud では、VM ディスクのスナップショットを撮影し、スナップショットに保存された OS 構成およびファイル システムの帯域外の詳細分析を行います。 コピーされたスナップショットは、VM の元のコンピューティング リージョンから離れず、VM はスキャンの影響を受けません。

必要なメタデータがディスクから取得されると、Defender for Cloud では、ディスクのコピーされたスナップショットが直ちに削除され、メタデータが Microsoft エンジンに送信されて、構成のギャップと潜在的な脅威が分析されます。 たとえば、脆弱性評価では、Defender 脆弱性の管理によって分析が行われます。 その結果は、エージェントベースの結果とエージェントレスの結果をシームレスに統合して、Defender for Cloud に表示されます。

ディスクを分析するスキャン環境は、一定の区域に限定され、揮発性で、隔離され、非常に安全になっています。 スキャンに関連しないディスク スナップショットとデータは、メタデータの収集に必要な時間 (通常は数分) より長く保存されることはありません。

エージェントレス スキャンを使用してオペレーティング システム データを収集するプロセスの図。

よく寄せられる質問

スキャンはインスタンスにどのように影響しますか?

スキャン プロセスはスナップショットの帯域外分析であるため、実際のワークロードには影響せず、ゲスト オペレーティング システムには表示されません。

スキャンはアカウント/サブスクリプションにどのように影響しますか?

スキャン プロセスのアカウントとサブスクリプションでの占有領域は最小限に抑えられています。

クラウド プロバイダー [変更点]
Azure - "VM スキャナー オペレーター" ロールの割り当てを追加します
- スキャン プロセスの管理に使用される関連した構成を含んだ "vmScanners" リソースを追加します
AWS - ロールの割り当てを追加します
- 許可されているユーザーを OpenIDConnect プロバイダーに追加します
- スキャン中 (通常は数分間) に、スキャンされたボリュームの横に同じアカウントでスナップショットが作成されます

スキャンの鮮度はどのようになっていますか?

各 VM は 24 時間ごとにスキャンされます。

どのアクセス許可がエージェントレス スキャンで使用されますか?

Azure および AWS 環境でエージェントレス スキャンを実行するために Defender for Cloud で使用されるロールとアクセス許可は、こちらに一覧表示されています。 Azure では、エージェントレス スキャンを有効にしたときに、これらのアクセス許可がサブスクリプションに自動的に追加されます。 AWS では、これらのアクセス許可が AWS コネクタの CloudFormation スタックに追加されます。

  • Azure のアクセス許可 - 組み込みロール "VM スキャナー オペレーター" には、スナップショット プロセスに必要な VM ディスクの読み取り専用アクセス許可があります。 アクセス許可の詳細な一覧は次のとおりです。

    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/beginGetAccess/action
    • Microsoft.Compute/virtualMachines/instanceView/read
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
    • Microsoft.Compute/virtualMachineScaleSets/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
    • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
  • AWS のアクセス許可 - エージェントレス スキャンを有効にしたときに、ロール "VmScanner" がスキャナーに割り当てられます。 このロールには、スナップショット (タグによってスコープ指定) を作成およびクリーンアップし、VM の現在の状態を確認するための最小限のアクセス許可が設定されています。 アクセス許可の詳細な一覧は次のとおりです。

    • ec2:DeleteSnapshot
    • ec2:ModifySnapshotAttribute
    • ec2:DeleteTags
    • ec2:CreateTags
    • ec2:CreateSnapshots
    • ec2:CreateSnapshot
    • ec2:DescribeSnapshots
    • ec2:DescribeInstanceStatus

どのデータがスナップショットから収集されますか?

エージェントレス スキャンでは、エージェントで同じ分析を実行するために収集するデータと同様のデータが収集されます。 生データ、PII、または機密性の高いビジネス データは収集されず、メタデータの結果だけが Defender for Cloud に送信されます。

エージェントレス スキャンは、Defender Cloud Security Posture Management (CSPM) プランと Defender for Servers P2 プランに含まれています。 Defender for Cloud を有効にしたときに発生する他のコストはありません。

Note

AWS では、ディスク スナップショットの保有に料金がかかります。 Defender for Cloud スキャン プロセスでは、スナップショットがアカウントに格納される時間を最小限に抑えようと積極的に試みていますが (通常は最大数分)、ディスク スナップショット ストレージの最小限のオーバーヘッドコストが AWS から請求される場合があります。

VM スナップショットはどのように保護されますか?

エージェントレス スキャンでは、Microsoft の最高セキュリティ標準に従ってディスク スナップショットが保護されます。 分析プロセス中に VM スナップショットを秘密で安全にするために、実行される対策の一部は次のとおりです。

  • 保存データと転送中のデータは暗号化されます。
  • 分析プロセスが完了するとすぐにスナップショットは削除されます。
  • スナップショットは、元の AWS または Azure リージョン内に残ります。 EC2 スナップショットは Azure にコピーされません。
  • 顧客アカウント/サブスクリプションごとに環境が分離されます。
  • 分離されたスキャン環境の外部では、スキャン結果を含むメタデータのみが送信されます。
  • すべての操作が監査されます。

エージェントレス スキャンは暗号化されたディスクをサポートしていますか?

エージェントレス スキャンでは現在、プラットフォームマネージド キー (PMK) と Azure Storage 暗号化を使用する Azure マネージド ディスクを除いて、暗号化されたディスクはサポートされていません。

次の手順

この記事では、エージェントレス スキャンのしくみと、マシンからのデータの収集に役立つしくみについて説明します。

エージェントレス スキャンを使用した脆弱性評価を有効にする方法の詳細については、こちらをご覧ください。