ライセンス持ち込み (BYOL) 脆弱性評価ソリューションをデプロイする
Microsoft Defender for Servers を有効にした場合は、Integrated Qualys の仮想マシン用の脆弱性スキャナーに関するページで説明されているように、Microsoft Defender for Cloud の組み込みの脆弱性評価ツールを使用できます。 このツールは、クラウドの Defender に統合されており、外部ライセンスは必要ありません。すべてがクラウドの Defender 内でシームレスに処理されます。 さらに、統合されたスキャナーは Azure Arc 対応のマシンをサポートしています。
あるいは、Qualys または Rapid7 から、プライベートにライセンス供与された独自の脆弱性評価ソリューションをデプロイすることもできます。 これらのパートナー ソリューションの 1 つを、同じサブスクリプションに属する複数の VM (ただし、Azure Arc 対応のマシン以外) にインストールできます。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般公開 (GA) |
| マシンの種類: |  Azure 仮想マシン Azure Arc 対応マシン |
| 価格: | Free |
| 必要なロールとアクセス許可: | リソース所有者は、スキャナーをデプロイできます セキュリティ閲覧者は、結果を表示できます |
| クラウド: | 商用クラウド 各国 (Azure Government、Azure China 21Vianet) |
Azure portal からソリューションをデプロイする
BYOL オプションでは、サポートされているサードパーティの脆弱性評価ソリューションが参照されます。 現在、Qualys と Rapid7 の両方のプロバイダーがサポートされています。
サポートされているソリューションは、パートナーの管理プラットフォームに脆弱性データをレポートします。 さらに、このプラットフォームは、クラウドに対して、脆弱性と正常性の監視データを Defender に戻します。 ワークロード保護ダッシュボードで脆弱な VM を特定し、Defender for Cloud から直接、パートナー管理コンソールに切り替え、レポートやその他の情報を入手できます。
Azure portal から、Defender for Cloud を開きます。
Defender for Cloud のメニューから、推奨事項ページを開きます。
推奨事項 "マシンに脆弱性評価ソリューションを導入する必要がある" を選択します。
![[脆弱性評価ソリューションを仮想マシンで有効にする必要がある]推奨事項ページでマシンをグループ化する](media/deploy-vulnerability-assessment-vm/recommendation-page-machine-groupings.png)
VM は、次の 1 つ以上のグループに表示されます。
- 正常なリソース - Security Center で、これらの VM で実行されている脆弱性評価ソリューションが検出されました。
- 異常なリソース - これらの VM に脆弱性スキャナー拡張機能をデプロイできます。
- 適用できないリソース - これらの VM では、脆弱性スキャナー拡張機能をデプロイできません。
異常なマシンの一覧から、脆弱性評価ソリューションを受信するマシンを選択し、 [修復] を選択ます。
重要
構成によっては、このリストの一部しか表示されない場合があります。
- サードパーティ製の脆弱性スキャナーが構成されていない場合は、デプロイすることができません。
- 選択した VM が Microsoft Defender for Servers によって保護されていない場合、Defender for Cloud の統合された脆弱性スキャナー オプションは使用できません。
![[脆弱性評価ソリューションを仮想マシンで有効にする必要がある] 推奨事項ページへの応答時に選択する推奨事項フローの種類のオプション](media/deploy-vulnerability-assessment-vm/recommendation-remediation-options.png)
新しい BYOL 構成を設定する場合は、 [サード パーティの新しい脆弱性スキャナーの構成] 、関連する拡張機能、 [続行] の順に選択して、プロバイダーから詳細を次のように入力します。
- [リソース グループ] では、 [既存のものを使用] を選択します。 後でこのリソース グループを削除すると、BYOL ソリューションは使用できなくなります。
- [場所] では、そのソリューションが地理的に配置されている場所を選択します。
- Qualys の場合は、 [ライセンスコード] フィールドに、Qualys から提供されたライセンスを入力します。
- Rapid7 の場合は、Rapid7 構成ファイルをアップロードします。
- [公開キー] ボックスに、パートナーから提供された公開キー情報を入力します。
- このソリューションのサブスクリプション内で検出されたすべての VM に脆弱性評価エージェントを自動的にインストールするには、 [自動デプロイ] を選択します。
- [OK] を選択します。
BYOL ソリューションを既に設定している場合は、 [サード パーティの構成された脆弱性スキャナーのデプロイ] 、関連する拡張機能、 [続行] の順に選択します。
![[脆弱性評価ソリューションを仮想マシンで有効にする必要がある]推奨事項ページでマシンをグループ化する](media/deploy-vulnerability-assessment-vm/recommendation-page-machine-groupings.png#lightbox)
ターゲットコンピューターに脆弱性評価ソリューションがインストールされると、Defender for Cloud はスキャンを実行して、システムとアプリケーションの脆弱性を検出して特定します。 最初のスキャンが完了するまでに数時間かかる場合があります。 その後は、毎時に実行されます。
PowerShell と REST API を使用して BYOL ソリューションをデプロイする
Qualys または Rapid7 から、プライベートにライセンス供与された独自の脆弱性評価ソリューションをプログラムでデプロイするには、提供されているスクリプト PowerShell > 脆弱性ソリューションを使います。 このスクリプトでは、REST API を使用して、Defender for Cloud に新しいセキュリティソリューションを作成します。 サービス プロバイダーから提供されたライセンスとキー (Qualys または Rapid7) が必要です。
重要
ライセンスごとに作成できるソリューションは 1 つだけです。 同じ名前/ライセンス/キーを使用して別のソリューションを作成しようとすると、失敗します。
前提条件
以下の PowerShell モジュールが必要です。
- Install-module Az
- Install-module Az.security
スクリプトを実行する
スクリプトを実行するには、以下のパラメーターに関連する情報が必要です。
| パラメーター | 必須 | メモ |
|---|---|---|
| SubscriptionId | ✔ | 分析するリソースを含む Azure サブスクリプションの subscriptionID。 |
| ResourceGroupName | ✔ | リソース グループの名前。 既定値 ("DefaultResourceGroup-xxx") を含む既存のリソース グループを使用します。 このソリューションは Azure リソースではないため、リソース グループの下には表示されませんが、アタッチされています。 後でリソース グループを削除すると、BYOL ソリューションは使用できなくなります。 |
| vaSolutionName | ✔ | 新しいソリューションの名前。 |
| vaType | ✔ | Qualys または Rapid7。 |
| licenseCode | ✔ | ベンダーから提供されたライセンス文字列。 |
| publicKey | ✔ | ベンダーから提供された公開キー。 |
| autoUpdate | - | この VA ソリューションの自動デプロイを有効 (true) または無効 (false) にします。 有効にすると、サブスクリプションのすべての新しい VM が自動的にソリューションへのリンクを試みます。 (既定値:false) |
構文:
.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>
例 (この例には、有効なライセンスの詳細は含まれていません):
.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'
FAQ - BYOL の脆弱性スキャナー
Qualys エージェントをデプロイする場合、どのような通信設定が必要ですか。
Qualys Cloud エージェントは、Qualys の SOC と定期的に通信して更新を行い、製品の機能に必要なさまざまな操作を実行するように設計されています。 エージェントが SOC とシームレスに通信できるようにするには、ネットワーク セキュリティを構成し、Qualys SOC CIDR および URL への受信および送信のトラフィックを許可します。
さまざまな地域に複数の Qualys プラットフォームがあります。 SOC CIDR と URL は、Qualys サブスクリプションのホスト プラットフォームによって異なります。 Qualys ホスト プラットフォームを特定するには、このページ https://www.qualys.com/platform-identification/ を参照してください。
BYOL ソリューションを構成するときに、リソース グループを指定する必要があるのはなぜですか。
このソリューションを設定するときは、ソリューションをアタッチするリソース グループを選択する必要があります。 このソリューションは Azure リソースではないため、リソース グループのリソースの一覧には含まれません。 ただし、そのリソース グループにアタッチされてはいます。 後でリソース グループを削除すると、BYOL ソリューションは使用できなくなります。
次のステップ
Defender for Cloud には、次の脆弱性分析も用意されています。
- SQL データベース - 脆弱性評価ダッシュボードで脆弱性評価レポートを確認する
- Azure Container Registry イメージ - コンテナー レジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする
- Amazon AWS Elastic Container Registry イメージ - コンテナー レジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする