Azure およびハイブリッド マシンに対する Defender for Cloudの統合された Qualys 脆弱性評価スキャナー

  • [アーティクル]

すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 接続されているマシンで脆弱性評価ツールが確実に実行されるように、Defender for Cloud によって定期的にチェックされます。

脆弱性評価ソリューションがデプロイされていないマシンが見つかった場合、Defender for Cloud によってセキュリティの推奨事項が生成されます: マシンに脆弱性評価ソリューションを導入する必要がある. この推奨事項を使用して、ご使用の Azure 仮想マシンと Azure Arc 対応のハイブリッド マシンに脆弱性評価ソリューションをデプロイします。

Defender for Cloud では、追加費用なしでお使いのマシンの脆弱性をスキャンできます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。 このページでは、このスキャナーの詳細とデプロイする手順について説明します。

ヒント

統合された脆弱性評価ソリューションは、Azure 仮想マシンとハイブリッド マシンの両方に対応しています。 脆弱性評価スキャナーをオンプレミスとマルチクラウドのマシンにデプロイするには、「Azure 以外のマシンを Defender for Cloud に接続する」の説明に従って、Azure Arc を使用して最初にそれらを Azure に接続します。

Defender for Cloud の統合された脆弱性評価ソリューションは、AzureArcとシームレスに連携します。Azure Arcをデプロイすると、Defender for Cloud にマシンが表示され、Log Analytics エージェントは必要ありません。

Qualys を利用した脆弱性評価を使用しない場合、Microsoft Defender 脆弱性の管理を使用することも、独自の Qualys ライセンス、Rapid7 ライセンスを使用して BYOL ソリューションをデプロイすることも、あるいは別の脆弱性評価ソリューションをデプロイすることもできます。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
マシンの種類 (ハイブリッド シナリオ): Azure 仮想マシン
Azure Arc 対応マシン
価格: Microsoft Defender for Servers Plan 2 が必要
必要なロールとアクセス許可: 所有者 (リソース グループ レベル) はスキャナーをデプロイできます
セキュリティ閲覧者は、結果を表示できます
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)
接続されている AWS アカウント

統合された脆弱性スキャナーの概要

Microsoft Defender for Cloud に含まれる脆弱性スキャナーは、Qualys を搭載しています。 Qualys のスキャナーは、脆弱性をリアルタイムで識別するための主要なツールの 1 つです。 Microsoft Defender for Servers でのみ使用できます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。

統合された脆弱性スキャナーの動作

脆弱性スキャナー拡張機能は、次のように機能します。

  1. デプロイ - AMicrosoft Defender でマシンが監視され、選択したマシンに Qualys 拡張機能をデプロイするための推奨事項が表示されます。

  2. 情報収集 - 拡張機能により成果物が収集され、定義されたリージョンの Qualys クラウド サービスでの分析用に送信されます。

  3. 分析 - Qualys のクラウド サービスにより脆弱性評価が実施され、その結果が Security Center に送信されます。

    重要

    Microsoft は、お客様のプライバシー、機密性、セキュリティを確保するために、お客様の詳細情報を Qualys と共有しません。 Azure に組み込まれているプライバシー基準の詳細については、こちらを参照してください

  4. レポート - 結果は Defender for Cloud で確認できます。

Microsoft Defender for Cloud の組み込みの脆弱性スキャナーのプロセスフロー図。

統合されたスキャナーを Azure とハイブリッドのマシンにデプロイする

  1. Azure portal から、Defender for Cloud を開きます。

  2. Defender for Cloud のメニューから、推奨事項ページを開きます。

  3. 推奨事項 "マシンに脆弱性評価ソリューションを導入する必要がある" を選択します。

    [推奨事項] ページ内のマシンのグループ。

    ヒント

    上記のマシン "server16-test" は、Azure Arc 対応マシンです。 脆弱性評価スキャナーをオンプレミスとマルチクラウドのマシンにデプロイするには、「Azure 以外のマシンを Defender for Cloud に接続する」を参照してください。

    Defender for Cloudは、AzureArcとシームレスに連携します。 Azure Arcをデプロイすると、マシンはDefender for Cloudに表示され、LogAnalyticsエージェントは必要ありません。

    マシンは、次の 1 つ以上のグループに表示されます。

    • 正常なリソース - Defender for Cloud で、これらのマシンで実行されている脆弱性評価ソリューションが検出されました。
    • 異常なリソース - これらのマシンに脆弱性スキャナー拡張機能をデプロイできます。
    • 適用できないリソース – これらのマシンは、脆弱性スキャナー拡張機能ではサポートされません

  4. 異常なマシンの一覧から、脆弱性評価ソリューションを受信するマシンを選択し、 [修復] を選択ます。

    重要

    構成によっては、この一覧の表示が異なる場合があります。

    • サードパーティ製の脆弱性スキャナーが構成されていない場合は、デプロイすることができません。
    • 選択したマシンが Microsoft Defender for Servers によって保護されていない場合、Defender for Cloud の統合された脆弱性スキャナー オプションは使用できません。

    [マシンに脆弱性評価ソリューションを導入する必要がある] 推奨事項ページへの応答時に選択する推奨事項フローの種類のオプション

  5. 推奨されるオプションを選択し、統合脆弱性スキャナーをデプロイして続行します

  6. さらに確認が求められます。 [修復] を選択します。

    スキャナー拡張機能が、選択したすべてのマシンに数分以内にインストールされます。

    拡張機能が正常にデプロイされるとすぐに、スキャンが自動的に開始されます。 スキャンは 12 時間ごとに実行されます。 この間隔は構成できません。

    重要

    1 つ以上のマシンでデプロイが失敗した場合は、次の IP を許可リストに追加することで、ターゲット マシンが Qualys のクラウド サービスと通信できるようにします (ポート 443 経由 - HTTPS の既定値)。

    • https://qagpublic.qg3.apps.qualys.com - Qualys の米国のデータ センター

    • https://qagpublic.qg2.apps.qualys.eu - Qualys の欧州のデータ センター

    お使いのマシンが Azure ヨーロッパ地域 (ヨーロッパ、英国、ドイツなど) のリージョンにある場合、その成果物は Qualys のヨーロッパ データ センターで処理されます。 他の場所にある仮想マシンの成果物は、米国のデータ センターに送信されます。

大規模なデプロイを自動化する

Note

このセクションで説明されているすべてのツールは、Defender for Cloudの GitHub コミュニティ リポジトリから入手できます。 ここでは、Defender for Cloud デプロイ全体で使用するスクリプト、自動化、その他の有用なリソースを見つけることができます。

これらのツールの一部は、大規模なデプロイで有効にした後に接続された新しいマシンにのみ影響します。 それ以外は、既存のマシンにもデプロイされます。 複数のアプローチを組み合わせることができます。

統合スキャナーの大規模なデプロイを自動化するには、いくつかの方法があります。

  • [Azure Resource Manager] – この方法は、Azure portal の [推奨ロジックの表示] から使用できます。 修復スクリプトには、自動化に使用できる関連の ARM テンプレートが含まれています。修復スクリプトには、自動化に使用できる関連の ARM テンプレートが含まれています。
  • DeployIfNotExists ポリシー – 新しく作成されたすべてのマシンでスキャナーを受信できるようにするためのカスタム ポリシーです。 [Azure へのデプロイ] を選択し、関連するパラメーターを設定します。 このポリシーは、リソース グループ、サブスクリプション、または管理グループのレベルで割り当てることができます。
  • PowerShell スクリプトUpdate qualys-remediate-unhealthy-vms.ps1 スクリプトを使用して、すべての異常な仮想マシンの拡張機能をデプロイします。 新しいリソース上にインストールするには、Azure Automation でスクリプトを自動化します。 このスクリプトは、推奨事項によって検出されたすべての異常なマシンを検索し、Azure Resource Manager の呼び出しを実行します。
  • Azure Logic Appsサンプル アプリに基づいてロジック アプリを構築します。 Defender for Cloud のワークフロー自動化ツールを使用してロジック アプリをトリガーし、リソースに対して "マシンに脆弱性評価ソリューションを導入する必要がある" の推奨事項が生成される場合には常にスキャナーがデプロイされるようにします。
  • REST API – Defender for Cloud REST API を使用して統合された脆弱性評価ソリューションをデプロイするには、次の URL の PUT 要求を行い、関連するリソース ID を追加します。https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

オンデマンド スキャンをトリガーする

ローカルまたはリモートで実行されたスクリプトまたはグループ ポリシー オブジェクト (GPO) を使用して、マシン自体からオンデマンド スキャンをトリガーできます。 また、パッチのデプロイ ジョブの最後に、ソフトウェア配布ツールにこれを統合することもできます。

次のコマンドを実行すると、オンデマンド スキャンがトリガーされます。

  • Windows マシン: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux マシン: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

よく寄せられる質問

Qualys ライセンスに対して追加料金は発生しますか?

いいえ。 組み込みのスキャナーは、すべての Microsoft Defender for Servers ユーザーに無料で提供されます。 この推奨事項では、スキャナーがライセンスと構成情報と共にデプロイされます。 追加のライセンスは必要ありません。

Qualys 拡張機能をインストールするために必要な前提条件とアクセス許可は何ですか。

拡張機能をデプロイするすべてのマシンに対する書き込みアクセス許可が必要です。

Microsoft Defender for Cloud 脆弱性評価拡張機能 (Qualys を利用) は、他の拡張機能と同様に、Azure 仮想マシン エージェント上で実行されます。 つまり、Windows ではローカル ホストとして、Linux では Root として実行されます。

セットアップ時に、Defender for Cloud によって、マシンが次の 2 つの Qualys データ センターと HTTPS (既定ポート 443) を介して通信できることが確認されます。

  • https://qagpublic.qg3.apps.qualys.com - Qualys の米国のデータ センター
  • https://qagpublic.qg2.apps.qualys.eu - Qualys の欧州のデータ センター

現在、この拡張機能ではプロキシ構成の詳細が受け入れられません。 ただし、Qualys エージェントのプロキシ設定は、仮想マシンでローカルに構成できます。 Qualys ドキュメントのガイダンスに従ってください。

Defender for Cloud Qualys 拡張機能を削除できますか?

マシンから拡張機能を削除する場合は、手動で、または任意のプログラム ツールを使用して実行できます。

次の詳細情報が必要になります。

  • Linux では、拡張機能は "LinuxAgent.AzureSecurityCenter" という名前で、パブリッシャー名は "Qualys" です。
  • Windows では、拡張機能は "WindowsAgent.AzureSecurityCenter" という名前で、プロバイダー名は "Qualys" です。

Qualys 拡張機能が正しくインストールされていることを確認するにはどうすればよいですか?

curl コマンドを使用して、関連する Qualys URL への接続を確認できます。 有効な応答は {"code":404,"message":"HTTP 404 Not Found"} のようになります。

さらに、これらの URL の DNS 解決が成功し、使用されている証明機関ですべてが有効であることを確認します。

拡張機能の更新はどのように行われますか?

Microsoft Defender for Cloud エージェント自体およびその他すべての Azure 拡張機能と同様に、Qualys スキャナーのマイナー更新はバックグラウンドで自動的に行われる場合があります。 すべてのエージェントと拡張機能は、自動的にデプロイされる前に広範囲にわたってテストされます。

推奨事項で自分のマシンが "適用不可" として表示されるのはなぜですか?

マシンが適用不可のリソース グループにある場合、次の理由により、Defender for Cloud はそれらのマシンに脆弱性スキャナー拡張機能をデプロイできません。

  • Microsoft Defender for Cloud に含まれる脆弱性スキャナーは、Microsoft Defender for Servers によって保護されているマシンでしか使用できない。

  • AKS クラスター内のイメージや仮想マシン スケール セットの一部など、PaaS リソースである。

  • サポートされているオペレーティング システムのいずれかが実行されていない。

    ベンダー名 OS サポートされているバージョン
    Microsoft Windows All
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4 以上、6、7 - 7.9、8 - 8.5、9 ベータ版
    Red Hat CentOS 5.4 - 5.11、6 - 6.7、7 - 7.8、8-8.5
    Red Hat Fedora 22 - 33
    SUSE Linux Enterprise Server (SLES) 11、12、15、15 SP1
    SUSE openSUSE 12、13、15.0 - 15.3
    SUSE Leap 42.1
    Oracle Enterprise Linux 5.11、6、7 - 7.9、8 - 8.5
    Debian Debian 7.x - 11.x
    Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS、19.10、20.04 LTS

組み込みの脆弱性スキャナーは、VM ネットワークで脆弱性を見つけることができますか?

いいえ。 スキャナーはマシンで実行され、ネットワークではなく、マシン自体の脆弱性を探します。

スキャナーは既存の Qualys コンソールと統合されますか?

Defender for Cloud拡張機能は、既存の Qualys スキャナーとは別のツールです。 ライセンスの制限は、Microsoft Defender for Cloud 内でのみ使用できるという意味です。

新たに公開された重大な脆弱性はどのくらい迅速に特定されますか?

Qualys では、重大な脆弱性が公開されてから 48 時間以内に、その情報を処理に組み込み、影響を受けるマシンを特定できます。

次のステップ

脆弱性評価ソリューションの結果を修復する

Defender for Cloud には、次の脆弱性分析も用意されています。