Udostępnij za pośrednictwem


Włączanie skanowania luk w zabezpieczeniach za pomocą zintegrowanego skanera Qualys (przestarzałe)

Uwaga

Ten plan jest przestarzały od 1 maja 2024 r.

Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Defender dla Chmury regularnie sprawdza połączone maszyny, aby upewnić się, że są uruchomione narzędzia do oceny luk w zabezpieczeniach.

Po znalezieniu maszyny, która nie ma wdrożonego rozwiązania do oceny luk w zabezpieczeniach, Defender dla Chmury generuje zalecenie dotyczące zabezpieczeń: Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach. Użyj tego zalecenia, aby wdrożyć rozwiązanie do oceny luk w zabezpieczeniach na maszynach wirtualnych platformy Azure i maszynach hybrydowych z obsługą usługi Azure Arc.

Defender dla Chmury obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane wewnątrz Defender dla Chmury. Ta strona zawiera szczegółowe informacje o tym skanerze i instrukcje dotyczące sposobu jego wdrażania.

Napiwek

Zintegrowane rozwiązanie do oceny luk w zabezpieczeniach obsługuje maszyny wirtualne platformy Azure i maszyny hybrydowe. Aby wdrożyć skaner oceny luk w zabezpieczeniach na maszynach lokalnych i wielochmurowych, najpierw połącz je z platformą Azure za pomocą usługi Azure Arc zgodnie z opisem w temacie Łączenie maszyn spoza platformy Azure w celu Defender dla Chmury.

zintegrowane rozwiązanie do oceny luk w zabezpieczeniach Defender dla Chmury bezproblemowo współpracuje z usługą Azure Arc. Po wdrożeniu usługi Azure Arc maszyny będą wyświetlane w Defender dla Chmury i żaden agent usługi Log Analytics nie jest wymagany.

Jeśli nie chcesz używać oceny luk w zabezpieczeniach obsługiwanej przez firmę Qualys, możesz użyć Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender lub wdrożyć rozwiązanie BYOL z własną licencją Qualys, licencją Rapid7 lub innym rozwiązaniem do oceny luk w zabezpieczeniach.

Dostępność

Aspekt Szczegóły
Stan wydania: Ogólna dostępność
Typy maszyn (scenariusze hybrydowe): Maszyny wirtualne platformy Azure
Maszyny z obsługą usługi Azure Arc
Cennik: Wymaga usługi Microsoft Defender dla serwerów (plan 2)
Wymagane role i uprawnienia: Właściciel (poziom grupy zasobów) może wdrożyć skaner
Czytelnik zabezpieczeń może wyświetlać wyniki
Chmury: Chmury komercyjne
National (Azure Government, Microsoft Azure obsługiwane przez firmę 21Vianet)
Połączone konta platformy AWS

Omówienie zintegrowanego skanera luk w zabezpieczeniach

Skaner luk w zabezpieczeniach dołączony do Microsoft Defender dla Chmury jest obsługiwany przez firmę Qualys. Skaner Qualysa jest jednym z wiodących narzędzi do identyfikacji luk w zabezpieczeniach w czasie rzeczywistym. Jest ona dostępna tylko w usłudze Microsoft Defender dla serwerów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane wewnątrz Defender dla Chmury.

Jak działa zintegrowany skaner luk w zabezpieczeniach

Rozszerzenie skanera luk w zabezpieczeniach działa w następujący sposób:

  1. Wdrażanie — Microsoft Defender dla Chmury monitoruje maszyny i udostępnia zalecenia dotyczące wdrażania rozszerzenia Qualys na wybranej maszynie/s.

  2. Zbieranie informacji — rozszerzenie zbiera artefakty i wysyła je do analizy w usłudze Qualys w chmurze w zdefiniowanym regionie.

  3. Analizuj — usługa qualys w chmurze przeprowadza ocenę luk w zabezpieczeniach i wysyła wyniki do Defender dla Chmury.

    Ważne

    Aby zapewnić prywatność, poufność i bezpieczeństwo naszych klientów, nie udostępniamy informacji o klientach firmie Qualys. Dowiedz się więcej o standardach prywatności wbudowanych na platformie Azure.

  4. Raport — wyniki są dostępne w Defender dla Chmury.

Diagram przepływu procesów dla wbudowanego skanera luk w zabezpieczeniach Microsoft Defender dla Chmury.

Wdrażanie zintegrowanego skanera na platformie Azure i maszynach hybrydowych

  1. W witrynie Azure Portal otwórz Defender dla Chmury.

  2. W menu Defender dla Chmury otwórz stronę Zalecenia.

  3. Wybierz rekomendację Maszyny powinny mieć rozwiązanie do oceny luk w zabezpieczeniach.

    Grupy maszyn na stronie rekomendacji.

    Napiwek

    Maszyna jest maszyną server16-testz obsługą usługi Azure Arc. Aby wdrożyć skaner oceny luk w zabezpieczeniach na maszynach lokalnych i wielochmurowych, zobacz Łączenie maszyn spoza platformy Azure z Defender dla Chmury.

    Defender dla Chmury bezproblemowo współpracuje z usługą Azure Arc. Po wdrożeniu usługi Azure Arc maszyny będą wyświetlane w Defender dla Chmury i żaden agent usługi Log Analytics nie jest wymagany.

    Maszyny są wyświetlane w co najmniej jednej z następujących grup:

    • Zasoby w dobrej kondycji — Defender dla Chmury wykrył rozwiązanie do oceny luk w zabezpieczeniach uruchomione na tych maszynach.
    • Zasoby w złej kondycji — na tych maszynach można wdrożyć rozszerzenie skanera luk w zabezpieczeniach.
    • Nie dotyczy zasobówte maszyny nie są obsługiwane w przypadku rozszerzenia skanera luk w zabezpieczeniach.
  4. Z listy maszyn w złej kondycji wybierz te, które mają otrzymać rozwiązanie do oceny luk w zabezpieczeniach, a następnie wybierz pozycję Koryguj.

    Ważne

    W zależności od konfiguracji ta lista może wyglądać inaczej.

    • Jeśli nie skonfigurowano skanera luk w zabezpieczeniach innej firmy, nie będzie można go wdrożyć.
    • Jeśli wybrane maszyny nie są chronione przez usługę Microsoft Defender for Servers, opcja zintegrowanego skanera luk w zabezpieczeniach Defender dla Chmury nie będzie dostępna.

    Opcje dotyczące typu przepływu korygowania, który chcesz wybrać podczas odpowiadania na stronę rekomendacji

  5. Wybierz zalecaną opcję, Wdróż zintegrowany skaner luk w zabezpieczeniach i Kontynuuj.

  6. Zostanie wyświetlony monit o kolejne potwierdzenie. Wybierz pozycję Koryguj.

    Rozszerzenie skanera jest instalowane na wszystkich wybranych maszynach w ciągu kilku minut.

    Skanowanie rozpoczyna się automatycznie po pomyślnym wdrożeniu rozszerzenia. Skanowania są uruchamiane co 12 godzin. Ten interwał nie jest konfigurowalny.

    Ważne

    Jeśli wdrożenie zakończy się niepowodzeniem na co najmniej jednej maszynie, upewnij się, że maszyny docelowe mogą komunikować się z usługą w chmurze firmy Qualys, dodając następujące adresy IP do list dozwolonych (za pośrednictwem portu 443 — ustawienie domyślne dla protokołu HTTPS):

    • https://qagpublic.qg3.apps.qualys.com - Amerykańskie centrum danych Qualys

    • https://qagpublic.qg2.apps.qualys.eu - Europejskie centrum danych Qualys

    Jeśli Twoja maszyna znajduje się w regionie w europejskiej lokalizacji geograficznej platformy Azure (takiej jak Europa, Wielka Brytania, Niemcy), jego artefakty będą przetwarzane w europejskim centrum danych firmy Qualys. Artefakty dla maszyn wirtualnych znajdujących się w innym miejscu są wysyłane do amerykańskiego centrum danych.

Automatyzowanie wdrożeń na dużą skalę

Uwaga

Wszystkie narzędzia opisane w tej sekcji są dostępne w repozytorium społeczności usługi GitHub Defender dla Chmury. W tym miejscu można znaleźć skrypty, automatyzacje i inne przydatne zasoby do użycia w całym wdrożeniu Defender dla Chmury.

Niektóre z tych narzędzi mają wpływ tylko na nowe maszyny połączone po włączeniu wdrożenia na dużą skalę. Inne osoby są również wdrażane na istniejących maszynach. Można połączyć wiele podejść.

Niektóre sposoby automatyzacji wdrażania na dużą skalę zintegrowanego skanera:

  • Azure Resource Manager — ta metoda jest dostępna z poziomu logiki rekomendacji widoku w witrynie Azure Portal. Skrypt korygowania zawiera odpowiedni szablon usługi ARM, którego można użyć do automatyzacji: Skrypt korygowania zawiera odpowiedni szablon usługi ARM, którego można użyć do automatyzacji.
  • Zasady DeployIfNotExistszasady niestandardowe zapewniające, że wszystkie nowo utworzone maszyny otrzymają skaner. Wybierz pozycję Wdróż na platformie Azure i ustaw odpowiednie parametry. Te zasady można przypisać na poziomie grup zasobów, subskrypcji lub grup zarządzania.
  • Skrypt programu PowerShell — użyj skryptu Update qualys-remediate-unhealthy-vms.ps1 , aby wdrożyć rozszerzenie dla wszystkich maszyn wirtualnych w złej kondycji. Aby zainstalować nowe zasoby, zautomatyzuj skrypt za pomocą usługi Azure Automation. Skrypt znajduje wszystkie maszyny w złej kondycji wykryte przez zalecenie i wykonuje wywołanie usługi Azure Resource Manager.
  • Azure Logic Apps — tworzenie aplikacji logiki na podstawie przykładowej aplikacji. Użyj narzędzi automatyzacji przepływu pracy Defender dla Chmury, aby wyzwolić aplikację logiki w celu wdrożenia skanera za każdym razem, gdy dla zasobu zostanie wygenerowane zalecenie dotyczące rozwiązania do oceny luk w zabezpieczeniach.
  • Interfejs API REST — aby wdrożyć zintegrowane rozwiązanie do oceny luk w zabezpieczeniach przy użyciu interfejsu API REST Defender dla Chmury, utwórz żądanie PUT dla następującego adresu URL i dodaj odpowiedni identyfikator zasobu:https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Wyzwalanie skanowania na żądanie

Skanowanie na żądanie można wyzwolić z samej maszyny przy użyciu skryptów wykonywanych lokalnie lub zdalnie lub obiektu zasad grupy (GPO). Alternatywnie możesz zintegrować go z narzędziami dystrybucji oprogramowania na końcu zadania wdrażania poprawek.

Następujące polecenia wyzwalają skanowanie na żądanie:

  • Maszyny z systemem Windows: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Maszyny z systemem Linux: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Następne kroki

Defender dla Chmury oferuje również analizę luk w zabezpieczeniach: