Включение сканирования без агента

Статья
2025-04-10

Сканирование без агента в Microsoft Defender для облака повышает уровень безопасности компьютеров, подключенных к Defender для облака. Сканирование без использования агента включает в себя такие функции, как инвентаризация программного обеспечения, обнаружение уязвимостей, секретов и вредоносного ПО.

Для проверки без агента не требуются установленные агенты или сетевое подключение, и это не влияет на производительность компьютера.
Вы можете включить или отключить сканирование машин без агента, но невозможно отключить отдельные функции.
Сканирует только на работающих виртуальных машинах. Если виртуальная машина отключена во время проверки, она не будет сканирована.
Сканирование выполняется в не настраиваемом расписании каждые 24 часа.

Если включить план Defender для серверов План 2 или план Cloud Security Posture Management (CSPM) Defender, сканирование без агента включено по умолчанию. При необходимости можно использовать инструкции, описанные в этой статье, чтобы включить безагентное машинное сканирование вручную.

Предварительные условия

Требование	Сведения
План	Чтобы использовать безагентное сканирование, необходимо включить план Defender CSPM или Defender for Servers Plan 2. Если включить проверку без агента в любом плане, параметр включен для обоих планов.
Сканирование вредоносных программ	Сканирование вредоносных программ доступно только в том случае, если включен план 2 Defender для серверов. Для сканирования вредоносных программ виртуальных машин узлов Kubernetes требуется план Defender для серверов 2 или план Defender для контейнеров.
Поддерживаемые компьютеры	Сканирование без агента доступно для виртуальных машин Azure, AWS EC2 и GCP вычислительных экземпляров, подключенных к Defender для облака.
Виртуальные машины Azure	Сканирование без агента доступно на стандартных виртуальных машинах Azure с помощью: — максимальный общий размер диска: 4 ТБ (сумма всех дисков) — максимально допустимое число дисков: 6 — масштабируемый набор виртуальных машин — Flex Поддержка дисков, которые: -Незашифрованные — Зашифрованные (управляемые диски с шифрованием службы хранилища Azure и платформенно управляемыми ключами (PMK)) — Зашифровано с помощью ключей, управляемых клиентом (предварительная версия).
AWS	Сканирование без агента доступно в EC2, экземплярах с автонастройкой и дисках, которые являются незашифрованными, зашифрованными (PMK) и зашифрованными (CMK).
GCP	Сканирование без агента доступно в вычислительных экземплярах, группах экземпляров (управляемых и неуправляемых), с ключами шифрования, управляемыми Google, и ключами шифрования, управляемыми клиентом (CMEK)
Узлы Kubernetes	Доступна бессерверная проверка уязвимостей и вредоносных программ на виртуальных машинах узла Kubernetes. Для оценки уязвимостей требуется план Defender для серверов 2 или план Defender для контейнеров или план управления облачными службами безопасности Defender (CSPM). Для сканирования вредоносных программ требуется Defender для серверов, План 2, или Defender для контейнеров.
Разрешения	Просмотрите разрешения, используемые Defender для облака для сканирования без агента.
Не поддерживается	Тип диска. Если какой-либо из дисков виртуальной машины находится в этом списке, виртуальная машина не будет сканирована: - UltraSSD_LRS - PremiumV2_LRS Тип ресурса: — Виртуальная машина Databricks Файловые системы: — UFS (файловая система Unix) — ReFS (устойчивая файловая система) — ZFS (член ZFS) RAID и блочные форматы хранилища: — OracleASM (Oracle Automatic Storage Management) — DRBD (распределенное реплицированное блочное устройство) - Linux_Raid_Member Механизмы целостности: - DM_Verity_Hash - Обменивать

Включение проверки без агента в Azure

В Defender для облака откройте параметры среды.
Выберите соответствующую подписку.
Для плана CSPM Defender или Defender для серверов плана 2 выберите "Параметры".
В параметрах и мониторинге включите проверку без агента для компьютеров.
Выберите Сохранить.

Включите для виртуальных машин Azure диски с шифрованием CMK

Для сканирования виртуальных машин Azure без агента с зашифрованными дисками CMK необходимо предоставить Defender for Cloud дополнительные разрешения в хранилищах ключей Key Vault, используемых для шифрования CMK в виртуальных машинах, чтобы создать безопасную копию дисков.

Чтобы вручную назначить разрешения в Key Vault, сделайте следующее:
- Хранилища ключей без разрешений RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) следующие разрешения: Получение ключа, Обёртка ключа, Развёртка ключа.
- Хранилища ключей с разрешениями RBAC: назначьте "поставщику ресурсов сканера Microsoft Defender для облачных серверов" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) встроенную роль пользователя шифрования криптографической службы хранилища ключей.
Чтобы назначить эти разрешения в масштабе для нескольких хранилищ ключей, используйте этот сценарий.

Включение проверки без агента в AWS

В Defender для облака откройте параметры среды.
Выберите соответствующую учетную запись.
Для управления безопасностью в Defender Cloud Security Posture Management (CSPM) или для плана Defender для серверов P2 выберите параметры.

При включении сканирования без агента в любом из планов, настройка применяется ко всем планам.
В области параметров включите проверку без агента для компьютеров.
Нажмите кнопку "Сохранить" и "Далее": настройка доступа.
Скачайте шаблон CloudFormation.
С помощью скачанного шаблона CloudFormation создайте стек в AWS, как описано на экране. Если вы добавляете учетную запись управления, необходимо запустить шаблон CloudFormation как Stack, так и StackSet. Соединители будут созданы для учетных записей участников в течение 24 часов после интеграции.
Нажмите кнопку Next: Review and generate (Далее: проверка и создание).
Выберите Обновить.

После включения проверки без агента данные инвентаризации программного обеспечения и уязвимостей обновляются автоматически в Defender для облака.