A verificação de máquinas sem agente no Microsoft Defender for Cloud melhora a postura de segurança das máquinas conectadas ao Defender for Cloud.
A verificação sem agente não precisa de agentes instalados ou conectividade de rede e não afeta o desempenho da máquina. Digitalização de máquina sem agente:
Analisa as definições de deteção e resposta de terminais (EDR): Analise as máquinas para avaliar se estão a executar uma solução EDR e se as definições estão corretas se as máquinas se integrarem com o Microsoft Defender for Endpoint.
Mais informações
Analisa o inventário de software: analise o seu inventário de software com a Gestão de Vulnerabilidades integrada do Microsoft Defender.
A verificação de malware só está disponível no Defender for Servers Plan 2.
A verificação sem agente está disponível para VMs do Azure, instâncias de computação do AWS EC2 e GCP conectadas ao Defender for Cloud.
Arquitetura de varredura sem agente
Veja como funciona a verificação sem agente:
O Defender for Cloud tira instantâneos de discos de VM e realiza uma análise profunda e fora de banda da configuração do sistema operacional e do sistema de arquivos armazenado no instantâneo.
O instantâneo copiado permanece na mesma região que a VM.
A verificação não afeta a VM.
Depois que o Defender for Cloud obtém os metadados necessários do disco copiado, ele exclui imediatamente o instantâneo copiado do disco e envia os metadados para mecanismos relevantes da Microsoft para detetar lacunas de configuração e ameaças potenciais. Por exemplo, na avaliação de vulnerabilidade, a análise é feita pelo Defender Vulnerability Management.
O Defender for Cloud exibe os resultados da verificação, o que consolida os resultados baseados e sem agente na página Alertas de segurança.
O Defender for Cloud analisa discos em um ambiente de varredura regional, volátil, isolado e altamente seguro. Os instantâneos de disco e os dados não relacionados à verificação não são armazenados por mais tempo do que o necessário para coletar os metadados, geralmente alguns minutos.
Permissões usadas pela verificação sem agente
O Defender for Cloud usou funções e permissões específicas para executar verificações sem agente.
No Azure, essas permissões são adicionadas automaticamente às suas assinaturas quando você habilita a verificação sem agente.
O operador de scanner de VM de função interna tem permissões somente leitura para discos de VM que são necessárias para o processo de instantâneo. A lista detalhada de permissões é:
Quando a cobertura para discos criptografados CMK está habilitada, mais permissões são usadas:
Microsoft.KeyVault/vaults/keys/read
Microsoft.KeyVault/vaults/keys/wrap/action
Microsoft.KeyVault/vaults/keys/unwrap/action
Permissões da AWS
A função VmScanner é atribuída ao scanner quando você habilita a verificação sem agente. Essa função tem a permissão mínima definida para criar e limpar instantâneos (com escopo por tag) e verificar o estado atual da VM. As permissões detalhadas são:
Atributo
Value
SID
VmScannerDeleteSnapshotAccess
Ações
ec2:DeleteSnapshot
Condições
"StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"}
Durante a integração, uma nova função personalizada é criada com permissões mínimas necessárias para obter o status das instâncias e criar instantâneos.
Além disso, permissões para uma função KMS existente do GCP são concedidas para dar suporte à verificação de discos criptografados com CMEK. As funções são:
roles/MDCAgentlessScanningRole concedido à conta de serviço do Defender for Cloud com permissões: compute.disks.createSnapshot, compute.instances.get
roles/cloudkms.cryptoKeyEncrypterDecrypter concedido ao agente de serviço do mecanismo de computação do Defender for Cloud
Descubra como aproveitar o Microsoft Defender for Cloud por meio do portal do Azure para garantir a segurança de seus serviços e cargas de trabalho do Azure, oferecendo deteção e prevenção contínuas de ameaças.
