Zintegrowany skaner luk w zabezpieczeniach qualys usługi Defender for Cloud dla platformy Azure i maszyn hybrydowych

Podstawowym składnikiem każdego programu ds. zagrożeń cybernetycznych i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Usługa Defender for Cloud regularnie sprawdza połączone maszyny, aby upewnić się, że uruchamiają narzędzia do oceny luk w zabezpieczeniach.

Po znalezieniu maszyny, która nie ma wdrożonego rozwiązania do oceny luk w zabezpieczeniach, usługa Defender for Cloud generuje zalecenie dotyczące zabezpieczeń: Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach. Użyj tego zalecenia, aby wdrożyć rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych platformy Azure i maszynach hybrydowych z obsługą usługi Azure Arc.

Usługa Defender for Cloud obejmuje skanowanie luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Defender for Cloud. Ta strona zawiera szczegółowe informacje o tym skanerze i instrukcje dotyczące sposobu wdrażania tego skanera.

Porada

Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach obsługuje zarówno maszyny wirtualne platformy Azure, jak i maszyny hybrydowe. Aby wdrożyć skaner oceny luk w zabezpieczeniach na maszynach lokalnych i wielochmurowych, najpierw połącz je z platformą Azure za pomocą usługi Azure Arc zgodnie z opisem w temacie Łączenie maszyn spoza platformy Azure z usługą Defender for Cloud.

Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach usługi Defender for Cloud bezproblemowo współpracuje z usługą Azure Arc. Po wdrożeniu usługi Azure Arc maszyny będą wyświetlane w usłudze Defender for Cloud i nie jest wymagany żaden agent usługi Log Analytics.

Jeśli nie chcesz korzystać z oceny luk w zabezpieczeniach obsługiwanej przez firmę Qualys, możesz użyć Zarządzanie zagrożeniami i lukami Ochrona punktu końcowego w usłudze Microsoft Defender lub wdrożyć rozwiązanie BYOL z własną licencją Qualys, licencją Rapid7 lub inną luką w zabezpieczeniach rozwiązanie do oceny.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Typy maszyn (scenariusze hybrydowe): Maszyny wirtualne platformy Azure
Maszyny z obsługą usługi Azure Arc
Ceny: Wymaga usługi Microsoft Defender dla serwerów (plan 2)
Wymagane role i uprawnienia: Właściciel (poziom grupy zasobów) może wdrożyć skaner
Czytelnik zabezpieczeń może wyświetlać wyniki
Chmury: Chmury komercyjne
National (Azure Government, Azure China 21Vianet)
Połączone konta platformy AWS

Omówienie zintegrowanego skanera luk w zabezpieczeniach

Skaner luk w zabezpieczeniach dołączony do usługi Microsoft Defender for Cloud jest obsługiwany przez firmę Qualys. Skaner Qualys jest jednym z wiodących narzędzi do identyfikacji luk w zabezpieczeniach w czasie rzeczywistym. Jest ona dostępna tylko w usłudze Microsoft Defender for Servers. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Defender for Cloud.

Jak działa zintegrowany skaner luk w zabezpieczeniach

Rozszerzenie skanera luk w zabezpieczeniach działa w następujący sposób:

  1. Wdrażanie — usługa Microsoft Defender for Cloud monitoruje maszyny i udostępnia zalecenia dotyczące wdrażania rozszerzenia Qualys na wybranej maszynie/s.

  2. Zbieranie informacji — rozszerzenie zbiera artefakty i wysyła je do analizy w usłudze Qualys w chmurze w zdefiniowanym regionie.

  3. Analizuj — usługa Qualys w chmurze przeprowadza ocenę luk w zabezpieczeniach i wysyła wyniki do usługi Defender for Cloud.

    Ważne

    Aby zapewnić prywatność, poufność i bezpieczeństwo naszych klientów, nie udostępniamy danych klientów firmie Qualys. Dowiedz się więcej o standardach prywatności wbudowanych na platformie Azure.

  4. Raport — wyniki są dostępne w usłudze Defender for Cloud.

Diagram przepływu procesów dla wbudowanego skanera luk w zabezpieczeniach usługi Microsoft Defender for Cloud.

Wdrażanie zintegrowanego skanera na platformie Azure i maszynach hybrydowych

  1. W Azure Portal otwórz usługę Defender for Cloud.

  2. W menu usługi Defender for Cloud otwórz stronę Zalecenia .

  3. Wybierz rekomendację Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach.

    Grupowanie maszyn na stronie rekomendacji.

    Porada

    Maszyna "server16-test" powyżej jest maszyną z obsługą usługi Azure Arc. Aby wdrożyć skaner oceny luk w zabezpieczeniach na maszynach lokalnych i wielochmurowych, zobacz Łączenie maszyn spoza platformy Azure z usługą Defender for Cloud.

    Usługa Defender for Cloud bezproblemowo współpracuje z usługą Azure Arc. Po wdrożeniu usługi Azure Arc maszyny będą wyświetlane w usłudze Defender for Cloud i nie jest wymagany żaden agent usługi Log Analytics.

    Maszyny będą wyświetlane w co najmniej jednej z następujących grup:

  4. Z listy maszyn w złej kondycji wybierz te, które mają otrzymać rozwiązanie do oceny luk w zabezpieczeniach i wybierz pozycję Koryguj.

    Ważne

    W zależności od konfiguracji ta lista może wyglądać inaczej.

    • Jeśli nie skonfigurowano skanera luk w zabezpieczeniach innej firmy, nie będzie można go wdrożyć.
    • Jeśli wybrane maszyny nie są chronione przez usługę Microsoft Defender for Servers, opcja skanera luk w zabezpieczeniach zintegrowana z usługą Defender for Cloud nie będzie dostępna.

    Opcje, dla którego typu przepływu korygowania chcesz wybrać podczas odpowiadania na zalecenie ** Maszyny powinny mieć stronę rekomendacji dotyczącej oceny luk w zabezpieczeniach**

  5. Wybierz zalecaną opcję, Wdróż zintegrowany skaner luk w zabezpieczeniach i Kontynuuj.

  6. Zostanie wyświetlony monit o kolejne potwierdzenie. Wybierz pozycję Koryguj.

    Rozszerzenie skanera zostanie zainstalowane na wszystkich wybranych maszynach w ciągu kilku minut.

    Skanowanie rozpoczyna się automatycznie po pomyślnym wdrożeniu rozszerzenia. Skanowanie będzie następnie uruchamiane co 12 godzin. Ten interwał nie jest konfigurowalny.

    Ważne

    Jeśli wdrożenie zakończy się niepowodzeniem na co najmniej jednej maszynie, upewnij się, że maszyny docelowe mogą komunikować się z usługą firmy Qualys w chmurze, dodając następujące adresy IP do listy dozwolonych (za pośrednictwem portu 443 — wartość domyślna dla protokołu HTTPS):

    • https://qagpublic.qg3.apps.qualys.com - Amerykańskie centrum danych Qualys

    • https://qagpublic.qg2.apps.qualys.eu - Europejskie centrum danych Qualys

    Jeśli maszyna znajduje się w regionie w europejskiej lokalizacji geograficznej platformy Azure (na przykład Europa, Wielka Brytania, Niemcy), jego artefakty zostaną przetworzone w europejskim centrum danych Firmy Qualys. Artefakty maszyn wirtualnych znajdujących się w innym miejscu są wysyłane do amerykańskiego centrum danych.

Automatyzowanie wdrożeń na dużą skalę

Uwaga

Wszystkie narzędzia opisane w tej sekcji są dostępne w repozytorium społeczności usługi GitHub usługi Defender for Cloud. W tym miejscu można znaleźć skrypty, automatyzacje i inne przydatne zasoby do użycia w całym wdrożeniu usługi Defender for Cloud.

Niektóre z tych narzędzi wpływają tylko na nowe maszyny połączone po włączeniu wdrożenia na dużą skalę. Inne osoby wdrażają również na istniejących maszynach. Można połączyć wiele podejść.

Niektóre sposoby automatyzacji wdrażania na dużą skalę zintegrowanego skanera:

  • Azure Resource Manager — ta metoda jest dostępna z poziomu logiki rekomendacji w Azure Portal. Skrypt korygowania zawiera odpowiedni szablon usługi ARM, którego można użyć do automatyzacji: skrypt korygowania zawiera odpowiedni szablon usługi ARM, którego można użyć do automatyzacji.
  • Zasady DeployIfNotExistszasady niestandardowe zapewniające odbieranie skanera przez wszystkie nowo utworzone maszyny. Wybierz pozycję Wdróż na platformie Azure i ustaw odpowiednie parametry. Te zasady można przypisać na poziomie grup zasobów, subskrypcji lub grup zarządzania.
  • Skrypt programu PowerShell — użyj skryptu Update qualys-remediate-unhealthy-vms.ps1 , aby wdrożyć rozszerzenie dla wszystkich maszyn wirtualnych w złej kondycji. Aby zainstalować nowe zasoby, zautomatyzuj skrypt przy użyciu Azure Automation. Skrypt znajduje wszystkie maszyny w złej kondycji wykryte przez zalecenie i wykonuje wywołanie usługi Azure Resource Manager.
  • Azure Logic Apps — tworzenie aplikacji logiki na podstawie przykładowej aplikacji. Użyj narzędzi automatyzacji przepływu pracy usługi Defender for Cloud, aby wyzwolić aplikację logiki w celu wdrożenia skanera za każdym razem, gdy w przypadku zasobu zostanie wygenerowane zalecenie dotyczące rozwiązania do oceny luk w zabezpieczeniach .
  • Interfejs API REST — aby wdrożyć zintegrowane rozwiązanie do oceny luk w zabezpieczeniach przy użyciu interfejsu API REST usługi Defender for Cloud, utwórz żądanie PUT dla następującego adresu URL i dodaj odpowiedni identyfikator zasobu: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Wyzwalanie skanowania na żądanie

Możesz wyzwolić skanowanie na żądanie z poziomu samej maszyny przy użyciu skryptów lokalnie lub zdalnie wykonanych skryptów lub obiektu zasady grupy (GPO). Alternatywnie można zintegrować go z narzędziami dystrybucji oprogramowania na końcu zadania wdrażania poprawek.

Następujące polecenia wyzwalają skanowanie na żądanie:

  • Maszyny z systemem Windows: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Maszyny z systemem Linux: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Często zadawane pytania

Czy są naliczane dodatkowe opłaty za licencję Qualys?

Nie. Wbudowany skaner jest bezpłatny dla wszystkich użytkowników usługi Microsoft Defender dla serwerów. Zalecenie wdraża skaner z informacjami o licencjonowaniu i konfiguracji. Żadne dodatkowe licencje nie są wymagane.

Jakie wymagania wstępne i uprawnienia są wymagane do zainstalowania rozszerzenia Qualys?

Musisz mieć uprawnienia do zapisu dla każdej maszyny, na której chcesz wdrożyć rozszerzenie.

Rozszerzenie do oceny luk w zabezpieczeniach usługi Microsoft Defender for Cloud (obsługiwane przez firmę Qualys), podobnie jak inne rozszerzenia, jest uruchamiane na szczycie agenta maszyny wirtualnej platformy Azure. Dlatego działa jako host lokalny w systemie Windows i root w systemie Linux.

Podczas instalacji usługa Defender for Cloud sprawdza, czy maszyna może komunikować się za pośrednictwem protokołu HTTPS (domyślny port 443) z następującymi dwoma centrami danych Qualys:

  • https://qagpublic.qg3.apps.qualys.com - Amerykańskie centrum danych firmy Qualys
  • https://qagpublic.qg2.apps.qualys.eu - Europejskie centrum danych Firmy Qualys

Rozszerzenie nie akceptuje obecnie żadnych szczegółów konfiguracji serwera proxy.

Czy mogę usunąć rozszerzenie Defender for Cloud Qualys?

Jeśli chcesz usunąć rozszerzenie z maszyny, możesz to zrobić ręcznie lub przy użyciu dowolnego narzędzia programowego.

Potrzebne będą następujące szczegóły:

  • W systemie Linux rozszerzenie nosi nazwę "LinuxAgent.AzureSecurityCenter", a nazwa wydawcy to "Qualys".
  • W systemie Windows rozszerzenie nosi nazwę "WindowsAgent.AzureSecurityCenter", a nazwa dostawcy to "Qualys".

Jak sprawdzić, czy rozszerzenie Qualys jest poprawnie zainstalowane?

Możesz użyć curl polecenia , aby sprawdzić łączność z odpowiednim adresem URL qualys. Prawidłową odpowiedzią będzie: {"code":404,"message":"HTTP 404 Not Found"}

Ponadto upewnij się, że rozpoznawanie nazw DNS dla tych adresów URL zakończyło się pomyślnie i że wszystkie elementy są prawidłowe w używanym urzędzie certyfikacji .

Jak rozszerzenie jest aktualizowane?

Podobnie jak sam agent usługi Microsoft Defender for Cloud i wszystkie inne rozszerzenia platformy Azure, drobne aktualizacje skanera Qualys mogą się automatycznie zdarzyć w tle. Wszyscy agenci i rozszerzenia są testowani w szerokim zakresie przed automatycznym wdrożeniem.

Dlaczego moja maszyna jest wyświetlana jako "nie dotyczy" w rekomendacji?

Jeśli masz maszyny w grupie zasobów, które nie mają zastosowania , usługa Defender for Cloud nie może wdrożyć rozszerzenia skanera luk w zabezpieczeniach na tych maszynach, ponieważ:

  • Skaner luk w zabezpieczeniach dołączony do usługi Microsoft Defender for Cloud jest dostępny tylko dla maszyn chronionych przez usługę Microsoft Defender dla serwerów.

  • Jest to zasób PaaS, taki jak obraz w klastrze usługi AKS lub część zestawu skalowania maszyn wirtualnych.

  • Nie jest uruchomiony jeden z obsługiwanych systemów operacyjnych:

    Dostawca System operacyjny Obsługiwane wersje
    Microsoft Windows Wszystko
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.5, 9 beta
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15, 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE Skok 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Czy wbudowany skaner luk w zabezpieczeniach może znaleźć luki w zabezpieczeniach w sieci maszyn wirtualnych?

Nie. Skaner działa na maszynie, aby wyszukać luki w zabezpieczeniach samej maszyny, a nie dla sieci.

Czy skaner jest zintegrowany z istniejącą konsolą Qualys?

Rozszerzenie Defender for Cloud jest oddzielnym narzędziem od istniejącego skanera Qualys. Ograniczenia licencjonowania oznaczają, że można go używać tylko w usłudze Microsoft Defender for Cloud.

Jak szybko skaner zidentyfikuje nowo ujawnione krytyczne luki w zabezpieczeniach?

W ciągu 48 godzin od ujawnienia krytycznej luki w zabezpieczeniach qualys dołącza informacje do ich przetwarzania i może identyfikować maszyny, których dotyczy problem.

Następne kroki

Usługa Defender for Cloud oferuje również analizę luk w zabezpieczeniach: