Partilhar via

Habilite a verificação sem agente para VMs

  • Artigo

A verificação sem agente fornece visibilidade sobre o software instalado e as vulnerabilidades de software em suas cargas de trabalho para estender a cobertura de avaliação de vulnerabilidades para cargas de trabalho de servidor sem um agente de avaliação de vulnerabilidade instalado.

A avaliação de vulnerabilidades sem agente usa o mecanismo de Gerenciamento de Vulnerabilidades do Microsoft Defender para avaliar vulnerabilidades no software instalado em suas VMs, sem exigir que o Defender for Endpoint seja instalado. A avaliação de vulnerabilidade mostra o inventário de software e os resultados da vulnerabilidade no mesmo formato das avaliações baseadas em agente.

Compatibilidade com soluções de avaliação de vulnerabilidades baseadas em agente

O Defender for Cloud já suporta diferentes verificações de vulnerabilidade baseadas em agente, incluindo Microsoft Defender Vulnerability Management (MDVM), BYOL e Qualys. A verificação sem agente amplia a visibilidade do Defender for Cloud para alcançar mais dispositivos.

Quando você habilita a avaliação de vulnerabilidade sem agente:

  • Se você não tiver nenhuma solução integrada de avaliação de vulnerabilidades habilitada em nenhuma de suas VMs em sua assinatura, o Defender for Cloud habilitará automaticamente o MDVM por padrão.

  • Se você selecionar o Gerenciamento de Vulnerabilidades do Microsoft Defender como parte de uma integração com o Microsoft Defender for Endpoint, o Defender for Cloud mostrará uma exibição unificada e consolidada que otimiza a cobertura e a atualização.

    • As máquinas cobertas por apenas uma das fontes (Defender Vulnerability Management ou agentless) mostram os resultados dessa fonte.
    • As máquinas cobertas por ambas as fontes mostram os resultados baseados em agentes apenas para aumentar a frescura.

  • Se você selecionar Avaliação de vulnerabilidade com integrações Qualys ou BYOL, o Defender for Cloud mostrará os resultados baseados em agente por padrão. Os resultados da verificação sem agente são mostrados para máquinas que não têm um agente instalado ou de máquinas que não estão relatando descobertas corretamente.

    Para alterar o comportamento padrão para sempre exibir resultados do MDVM (independentemente de ser uma solução de agente de terceiros), selecione a configuração Gerenciamento de Vulnerabilidades do Microsoft Defender na solução de avaliação de vulnerabilidade.

Habilitando a varredura sem agente para máquinas

Quando você habilita o Defender Cloud Security Posture Management (CSPM) ou o Defender for Servers P2, a verificação sem agente é ativada por padrão.

Se você já tiver o Defender for Servers P2 ativado e a verificação sem agente estiver desativada, será necessário ativar a verificação sem agente manualmente.

Você pode ativar a verificação sem agente em

Nota

A verificação de malware sem agente só está disponível se você tiver ativado o plano 2 do Defender for Servers

Avaliação de vulnerabilidade sem agente no Azure

Para habilitar a avaliação de vulnerabilidade sem agente no Azure:

  1. No menu do Defender for Cloud, abra Configurações de ambiente.

  2. Selecione a subscrição relevante.

  3. Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.

    Captura de tela do link para as configurações dos planos do Defender para contas do Azure.

    As configurações de verificação sem agente são compartilhadas pelo Defender Cloud Security Posture Management (CSPM) ou pelo Defender for Servers P2. Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração é habilitada para ambos os planos.

  4. No painel de configurações, ative a verificação sem agente para máquinas.

    Captura de tela das configurações e da tela de monitoramento para ativar a verificação sem agente.

  5. Selecione Guardar.

Para habilitar a verificação de discos criptografados CMK no Azure (visualização):

Para que a verificação sem agente cubra VMs do Azure com discos criptografados CMK, você precisa conceder permissões adicionais ao Defender for Cloud para criar uma cópia segura desses discos. Para fazer isso, permissões adicionais são necessárias nos Cofres de Chaves usados para criptografia CMK para suas VMs.

Para atribuir manualmente as permissões, siga as instruções abaixo de acordo com o tipo de Cofre da Chave:

  • Para Cofres de Chaves que usam permissões que não sejam RBAC, atribua "Microsoft Defender for Cloud Servers Scanner Resource Provider" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) estas permissões: Key Get, Key Wrap, Key Unwrap.
  • Para Cofres de Chaves usando permissões RBAC, atribua "Microsoft Defender for Cloud Servers Scanner Resource Provider" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) a função interna Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves.

Para atribuir essas permissões em escala, você também pode usar esse script.

Para obter mais informações, consulte Permissões de verificação sem agente.

Avaliação de vulnerabilidade sem agente na AWS

  1. No menu do Defender for Cloud, abra Configurações de ambiente.

  2. Selecione a conta relevante.

  3. Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.

    Captura de tela do link para as configurações dos planos do Defender para contas da AWS.

    Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração se aplica a ambos os planos.

  4. No painel de configurações, ative a verificação sem agente para máquinas.

    Captura de tela do status da verificação sem agente para contas da AWS.

  5. Selecione Salvar e Avançar: Configurar o acesso.

  6. Faça o download do modelo CloudFormation.

  7. Usando o modelo do CloudFormation baixado, crie a pilha na AWS conforme as instruções na tela. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e StackSet. Conectores serão criados para as contas de membros até 24 horas após a integração.

  8. Selecione Seguinte: rever e gerar.

  9. Selecione Atualizar.

Depois de ativar a verificação sem agente, o inventário de software e as informações de vulnerabilidade são atualizados automaticamente no Defender for Cloud.

Habilite a verificação sem agente no GCP

  1. No Defender for Cloud, selecione Configurações de ambiente.

  2. Selecione o projeto ou organização relevante.

  3. Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.

    Captura de tela que mostra onde selecionar o plano para projetos GCP.

  4. Alterne a verificação sem agente para Ativado.

    Captura de tela que mostra onde selecionar a verificação sem agente.

  5. Selecione Salvar e Avançar: Configurar o acesso.

  6. Copie o script de integração.

  7. Execute o script de integração no escopo da organização/projeto do GCP (portal GCP ou CLI do gcloud).

  8. Selecione Seguinte: rever e gerar.

  9. Selecione Atualizar.

Teste a implantação do scanner de malware sem agente

Os alertas de segurança aparecem no portal apenas nos casos em que são detetadas ameaças no seu ambiente. Se você não tiver nenhum alerta, pode ser porque não há ameaças em seu ambiente. Você pode testar para ver se o dispositivo está integrado corretamente e relatar ao Defender for Cloud criando um arquivo de teste.

Criar um arquivo de teste para Linux

  1. Abra uma janela de terminal na VM.

  2. Execute o seguinte comando:

    # test string  
TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  

# File to be created  
FILE_PATH="/tmp/virus_test_file.txt"  

# Write the test string to the file  
echo -n $TEST_STRING > $FILE_PATH  

# Check if the file was created and contains the correct string  
if [ -f "$FILE_PATH" ]; then  
    if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
        echo "Virus test file created and validated successfully."  
    else  
        echo "Virus test file does not contain the correct string."  
    fi  
else  
    echo "Failed to create virus test file."  
fi

O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.

Captura de tela do alerta de teste que aparece no Defender for Cloud para Linux.

Criar um arquivo de teste para Windows

Criar um arquivo de teste com um documento de texto

  1. Crie um arquivo de texto em sua VM.

  2. Cole o texto $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ no arquivo de texto.

    Importante

    Verifique se não há espaços ou linhas extras no arquivo de texto.

  3. Guarde o ficheiro.

  4. Abra o arquivo para validar que ele contém o conteúdo do estágio 2.

O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.

Captura de ecrã do alerta de teste apresentado no Defender for Cloud para Windows devido ao ficheiro de texto que foi criado.

Criar um arquivo de teste com o PowerShell

  1. Abra o PowerShell em sua VM.

  2. Execute o seguinte script.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.

Captura de tela do alerta de teste que aparece no Defender for Cloud para Windows com devido ao script do PowerShell.

Excluir máquinas da digitalização

A verificação sem agente aplica-se a todas as máquinas qualificadas na assinatura. Para evitar que máquinas específicas sejam verificadas, você pode excluir máquinas da verificação sem agente com base em suas tags de ambiente pré-existentes. Quando o Defender for Cloud executa a descoberta contínua de máquinas, as máquinas excluídas são ignoradas.

Para configurar máquinas para exclusão:

  1. No Defender for Cloud, selecione Configurações de ambiente.

  2. Selecione a assinatura relevante ou o conector multicloud.

  3. Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.

  4. Para verificação sem agente, selecione Editar configuração.

    Captura de tela do link para editar a configuração de verificação sem agente.

  5. Insira o nome e o valor da tag que se aplica às máquinas que você deseja isentar. Você pode inserir multiple tag:value pares.

    Captura de tela dos campos de tag e valor para excluir máquinas da verificação sem agente.

  6. Selecione Guardar.

Conteúdos relacionados

Saiba mais sobre: