Geïntegreerde Qualys-scanner voor beveiligingsproblemen van Defender for Cloud voor Azure en hybride machines

Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. Defender for Cloud controleert regelmatig uw verbonden machines om er zeker van te zijn dat ze hulpprogramma's voor evaluatie van beveiligingsproblemen uitvoeren.

Wanneer er een computer wordt gevonden waarop geen oplossing voor de evaluatie van beveiligingsproblemen is geïmplementeerd, genereert Defender voor Cloud de beveiligingsaanveling: Machines moeten een oplossing voor de evaluatie van beveiligingsproblemen hebben. Gebruik deze aanbeveling om de oplossing voor de evaluatie van beveiligingsproblemen te implementeren op uw virtuele Azure-machines en uw hybride machines met Azure Arc.

Defender voor Cloud omvat het scannen van beveiligingsproblemen voor uw machines zonder extra kosten. U hebt geen Qualys-licentie of zelfs geen Qualys-account nodig. Alles wordt naadloos afgehandeld in Defender for Cloud. Op deze pagina vindt u details van deze scanner en instructies voor het implementeren ervan.

Tip

De geïntegreerde oplossing voor evaluatie van beveiligingsproblemen ondersteunt zowel virtuele Azure-machines als hybride machines. Als u de scanner voor evaluatie van beveiligingsproblemen wilt implementeren op uw on-premises machines en machines met meerdere clouds, verbindt u deze eerst met Azure Arc, zoals beschreven in Uw niet-Azure-machines verbinden met Defender for Cloud.

De geïntegreerde oplossing voor de evaluatie van beveiligingsproblemen van Defender for Cloud werkt naadloos samen met Azure Arc. Wanneer u Azure Arc hebt geïmplementeerd, worden uw machines weergegeven in Defender for Cloud en is er geen Log Analytics-agent vereist.

Als u de evaluatie van beveiligingsproblemen van Qualys niet wilt gebruiken, kunt u de Threat and Vulnerability Management van Microsoft Defender voor Eindpunt gebruiken of een BYOL-oplossing implementeren met uw eigen Qualys-licentie, Rapid7-licentie of een andere oplossing voor evaluatie van beveiligingsproblemen.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Machinetypen (hybride scenario's): Virtuele Azure-machines
Machines met Azure Arc
Prijzen: Vereist Microsoft Defender voor servers abonnement 2
Vereiste rollen en machtigingen: Eigenaar (resourcegroepniveau) kan de scanner implementeren
Beveiligingslezer kan bevindingen bekijken
Clouds: Commerciële clouds
Nationaal (Azure Government, Azure China 21Vianet)
Verbonden AWS-accounts

Overzicht van de geïntegreerde scanner voor beveiligingsproblemen

De scanner voor beveiligingsproblemen die deel uitmaakt van Microsoft Defender for Cloud, wordt mogelijk gemaakt door Qualys. De qualys-scanner is een van de toonaangevende hulpprogramma's voor realtime identificatie van beveiligingsproblemen. Het is alleen beschikbaar met Microsoft Defender voor servers. U hebt geen Qualys-licentie of zelfs geen Qualys-account nodig. Alles wordt naadloos afgehandeld in Defender for Cloud.

Hoe de geïntegreerde scanner voor beveiligingsproblemen werkt

De extensie voor de scanner voor beveiligingsproblemen werkt als volgt:

  1. Implementeren: Microsoft Defender for Cloud bewaakt uw machines en doet aanbevelingen voor het implementeren van de Qualys-extensie op de geselecteerde computer(s).

  2. Informatie verzamelen : de extensie verzamelt artefacten en verzendt deze voor analyse in de Qualys-cloudservice in de gedefinieerde regio.

  3. Analyseren : de cloudservice van Qualys voert de evaluatie van beveiligingsproblemen uit en verzendt de bevindingen naar Defender for Cloud.

    Belangrijk

    Om de privacy, vertrouwelijkheid en beveiliging van onze klanten te waarborgen, delen we geen klantgegevens met Qualys. Meer informatie over de ingebouwde privacystandaarden in Azure.

  4. Rapport : de bevindingen zijn beschikbaar in Defender for Cloud.

Processtroomdiagram voor Microsoft Defender voor de ingebouwde scanner voor beveiligingsproblemen van cloud.

De geïntegreerde scanner implementeren op uw Azure- en hybride machines

  1. Open Defender for Cloudin de Azure Portal.

  2. Open in het menu van Defender for Cloud de pagina Aanbevelingen .

  3. Selecteer de aanbeveling Machines moeten een oplossing voor de evaluatie van beveiligingsproblemen hebben.

    De groeperingen van de machines op de aanbevelingspagina.

    Tip

    De machine server16-test hierboven is een machine met Azure Arc. Zie Connect your non-Azure machines to Defender for Cloud (Uw niet-Azure-machines verbinden met Defender for Cloud) als u de scanner voor de evaluatie van beveiligingsproblemen wilt implementeren op uw on-premises machines en computers met meerdere clouds.

    Defender voor Cloud werkt naadloos samen met Azure Arc. Wanneer u Azure Arc hebt geïmplementeerd, worden uw machines weergegeven in Defender for Cloud en is er geen Log Analytics-agent vereist.

    Uw computers worden weergegeven in een of meer van de volgende groepen:

    • Resources in orde : Defender voor Cloud heeft een oplossing voor de evaluatie van beveiligingsproblemen gedetecteerd die op deze machines wordt uitgevoerd.
    • Resources die niet in orde zijn: er kan een extensie voor scanners voor beveiligingsproblemen worden geïmplementeerd op deze machines.
    • Niet van toepassing zijnde resources : deze machines worden niet ondersteund voor de extensie voor de scanner voor beveiligingsproblemen.
  4. Selecteer in de lijst met beschadigde machines de machines die een oplossing voor de evaluatie van beveiligingsproblemen moeten ontvangen en selecteer Herstellen.

    Belangrijk

    Afhankelijk van uw configuratie kan deze lijst er anders uitzien.

    • Als u geen scanner voor beveiligingsproblemen van derden hebt geconfigureerd, krijgt u niet de mogelijkheid om deze te implementeren.
    • Als uw geselecteerde machines niet worden beveiligd door Microsoft Defender voor servers, is de optie Geïntegreerde scanner voor beveiligingsproblemen in Defender for Cloud niet beschikbaar.

    De opties voor welk type herstelstroom u wilt kiezen wanneer u reageert op de aanbeveling ** Machines moeten een oplossing voor de evaluatie van beveiligingsproblemen** aanbevelingspagina hebben

  5. Kies de aanbevolen optie Geïntegreerde scanner voor beveiligingsproblemen implementeren en Doorgaan.

  6. U wordt om nog één bevestiging gevraagd. Selecteer Herstellen.

    De scannerextensie wordt binnen enkele minuten op alle geselecteerde computers geïnstalleerd.

    Het scannen begint automatisch zodra de extensie is geïmplementeerd. Scans worden vervolgens elke 12 uur uitgevoerd. Dit interval kan niet worden geconfigureerd.

    Belangrijk

    Als de implementatie op een of meer machines mislukt, zorgt u ervoor dat de doelcomputers kunnen communiceren met de cloudservice van Qualys door de volgende IP-adressen toe te voegen aan uw acceptatielijsten (via poort 443, de standaardinstelling voor HTTPS):

    • https://qagpublic.qg3.apps.qualys.com - Het Amerikaanse datacentrum van Qualys

    • https://qagpublic.qg2.apps.qualys.eu - Het Europese datacentrum van Qualys

    Als uw machine zich in een regio in een Europese Azure-geografie bevindt (zoals Europa, VK of Duitsland), worden de artefacten verwerkt in het Europese datacenter van Qualys. Artefacten voor virtuele machines die zich ergens anders bevinden, worden verzonden naar het Amerikaanse datacenter.

Implementaties op schaal automatiseren

Notitie

Alle hulpprogramma's die in deze sectie worden beschreven, zijn beschikbaar in de GitHub-communityopslagplaats van Defender for Cloud. Daar vindt u scripts, automatiseringen en andere nuttige resources die u in uw Defender for Cloud-implementatie kunt gebruiken.

Sommige van deze hulpprogramma's zijn alleen van invloed op nieuwe computers die zijn verbonden nadat u implementatie op schaal hebt ingeschakeld. Anderen implementeren ook op bestaande machines. U kunt meerdere benaderingen combineren.

Enkele manieren waarop u de implementatie op schaal van de geïntegreerde scanner kunt automatiseren:

  • Azure Resource Manager: deze methode is beschikbaar via de weergaveaanvelingslogica in de Azure Portal. Het herstelscript bevat de relevante ARM-sjabloon die u kunt gebruiken voor uw automatisering: het herstelscript bevat de relevante ARM-sjabloon die u voor uw automatisering kunt gebruiken.
  • DeployIfNotExists-beleid : een aangepast beleid om ervoor te zorgen dat alle nieuw gemaakte machines de scanner ontvangen. Selecteer Implementeren in Azure en stel de relevante parameters in. U kunt dit beleid toewijzen op het niveau van resourcegroepen, abonnementen of beheergroepen.
  • PowerShell-script : gebruik het Update qualys-remediate-unhealthy-vms.ps1 script om de extensie te implementeren voor alle beschadigde virtuele machines. Als u op nieuwe resources wilt installeren, automatiseert u het script met Azure Automation. Het script vindt alle beschadigde machines die door de aanbeveling zijn gedetecteerd en voert een Azure Resource Manager-aanroep uit.
  • Azure Logic Apps : bouw een logische app op basis van de voorbeeld-app. Gebruik de hulpprogramma's voor werkstroomautomatisering van Defender for Cloud om uw logische app te activeren voor het implementeren van de scanner wanneer de aanbeveling machines moeten beschikken over een oplossing voor de evaluatie van beveiligingsproblemen voor een resource wordt gegenereerd.
  • REST API : als u de geïntegreerde oplossing voor evaluatie van beveiligingsproblemen wilt implementeren met behulp van de Defender for Cloud REST API, dient u een PUT-aanvraag in voor de volgende URL en voegt u de relevante resource-id toe: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Een scan op aanvraag activeren

U kunt een scan op aanvraag activeren vanaf de computer zelf, met behulp van lokaal of extern uitgevoerde scripts of groepsbeleid Object (GPO). U kunt deze ook integreren in uw hulpprogramma's voor softwaredistributie aan het einde van een patch-implementatietaak.

Met de volgende opdrachten wordt een scan op aanvraag geactiveerd:

  • Windows-machines: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux-machines: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Veelgestelde vragen

Zijn er extra kosten voor de Qualys-licentie?

Nee. De ingebouwde scanner is gratis voor alle Microsoft Defender voor Servers-gebruikers. De aanbeveling implementeert de scanner met de licentie- en configuratiegegevens. Er zijn geen extra licenties nodig.

Welke vereisten en machtigingen zijn vereist voor het installeren van de Qualys-extensie?

U hebt schrijfmachtigingen nodig voor elke computer waarop u de extensie wilt implementeren.

De uitbreiding Microsoft Defender voor de evaluatie van beveiligingsproblemen in de cloud (mogelijk gemaakt door Qualys), net als andere extensies, wordt uitgevoerd op de Azure Virtual Machine-agent. Het wordt dus uitgevoerd als Lokale host in Windows en hoofdmap op Linux.

Tijdens de installatie controleert Defender for Cloud of de machine via HTTPS (standaardpoort 443) kan communiceren met de volgende twee Qualys-datacenters:

  • https://qagpublic.qg3.apps.qualys.com - Het datacenter van Qualys in de VS
  • https://qagpublic.qg2.apps.qualys.eu - Het Europese datacentrum van Qualys

De extensie accepteert momenteel geen proxyconfiguratiedetails. U kunt de proxy-instellingen van de Qualys-agent echter lokaal configureren in de virtuele machine. Volg de richtlijnen in de Qualys-documentatie:

Kan ik de Qualys-extensie van Defender for Cloud verwijderen?

Als u de extensie van een computer wilt verwijderen, kunt u dit handmatig doen of met een van uw programmatische hulpprogramma's.

U hebt de volgende gegevens nodig:

  • In Linux heet de extensie 'LinuxAgent.AzureSecurityCenter' en is de naam van de uitgever 'Qualys'.
  • In Windows heet de extensie 'WindowsAgent.AzureSecurityCenter' en de providernaam 'Qualys'.

Hoe kan ik controleren of de Qualys-extensie correct is geïnstalleerd?

U kunt de curl opdracht gebruiken om de connectiviteit met de relevante Qualys-URL te controleren. Een geldig antwoord is: {"code":404,"message":"HTTP 404 Not Found"}

Zorg er bovendien voor dat de DNS-omzetting voor deze URL's is geslaagd en dat alles geldig is bij de certificeringsinstantie die wordt gebruikt.

Hoe wordt de extensie bijgewerkt?

Net als de Microsoft Defender voor cloudagent zelf en alle andere Azure-extensies, kunnen kleine updates van de Qualys-scanner automatisch op de achtergrond plaatsvinden. Alle agents en extensies worden uitgebreid getest voordat ze automatisch worden geïmplementeerd.

Waarom wordt mijn computer weergegeven als 'niet van toepassing' in de aanbeveling?

Als u machines in de groep niet van toepassing zijnde resources hebt, kan Defender voor Cloud de extensie voor de scanner voor beveiligingsproblemen niet implementeren op deze computers, omdat:

  • De scanner voor beveiligingsproblemen die deel uitmaakt van Microsoft Defender for Cloud is alleen beschikbaar voor computers die worden beveiligd door Microsoft Defender voor servers.

  • Het is een PaaS-resource, zoals een installatiekopieën in een AKS-cluster of een deel van een virtuele-machineschaalset.

  • Er wordt geen van de ondersteunde besturingssystemen uitgevoerd:

    Leverancier Besturingssysteem Ondersteunde versies
    Microsoft Windows Alles
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.5, 9 beta
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15, 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE Sprong 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Kan de ingebouwde scanner voor beveiligingsproblemen beveiligingsproblemen vinden in het netwerk van virtuele machines?

Nee. De scanner wordt uitgevoerd op uw computer om te zoeken naar beveiligingsproblemen van de machine zelf, niet voor uw netwerk.

Is de scanner geïntegreerd met mijn bestaande Qualys-console?

De Defender for Cloud-extensie is een afzonderlijk hulpprogramma van uw bestaande Qualys-scanner. Licentiebeperkingen betekenen dat deze alleen kan worden gebruikt binnen Microsoft Defender voor cloud.

Hoe snel identificeert de scanner nieuw gemelde kritieke beveiligingsproblemen?

Binnen 48 uur na de openbaarmaking van een kritiek beveiligingsprobleem neemt Qualys de informatie op in hun verwerking en kan het betrokken machines identificeren.

Volgende stappen

Defender voor Cloud biedt ook analyse van beveiligingsproblemen voor uw: