Поделиться через


Включение проверки без агента для виртуальных машин

Сканирование без агента обеспечивает видимость установленных уязвимостей программного обеспечения и программного обеспечения в рабочих нагрузках, чтобы расширить охват оценки уязвимостей для рабочих нагрузок сервера без установленного агента оценки уязвимостей.

Оценка уязвимостей без агента использует подсистему Управление уязвимостями Microsoft Defender для оценки уязвимостей в программном обеспечении, установленном на виртуальных машинах, без необходимости установки Defender для конечной точки. Оценка уязвимостей показывает, что инвентаризация программного обеспечения и уязвимость приводят к тому же формату, что и оценки на основе агента.

Совместимость с решениями оценки уязвимостей на основе агента

Defender для облака уже поддерживает различные проверки уязвимостей на основе агента, включая Управление уязвимостями Microsoft Defender (MDVM), BYOL. Сканирование без агента расширяет видимость Defender для облака для доступа к нескольким устройствам.

При включении оценки уязвимостей без агента:

  • Если в вашей подписке нет встроенных решений для оценки уязвимостей, Defender для облака автоматически включает MDVM по умолчанию.

  • При выборе Управление уязвимостями Microsoft Defender в рамках интеграции с Microsoft Defender для конечной точки Defender для облака отображается единое и консолидированное представление, оптимизирующее покрытие. и свежесть.

    • Компьютеры, на которые распространяется только один из источников (Управление уязвимостями Defender или без агента), отображают результаты из этого источника.
    • Компьютеры, охваченные обоими источниками, показывают результаты на основе агента только для повышения свежести.
  • Если выбрать оценку уязвимостей с помощью интеграции BYOL, Defender для облака отображает результаты на основе агента по умолчанию. Результаты проверки без агента отображаются для компьютеров, у которых нет агента, установленного или на компьютерах, которые неправильно сообщают о результатах.

    Чтобы изменить поведение по умолчанию, чтобы всегда отображать результаты из MDVM (независимо от того, является ли сторонним решением агента), выберите параметр Управление уязвимостями Microsoft Defender в решении оценки уязвимостей.

Включение проверки без агента для компьютеров

Если включить управление posture в Defender Cloud Security (CSPM) или Defender для серверов P2, по умолчанию включена безагентная проверка.

Если у вас уже включена функция Defender для серверов P2 и отключена проверка без агента, необходимо включить проверку без агента вручную.

Вы можете включить проверку без агента

Примечание.

Сканирование вредоносных программ без агента доступно только в том случае, если вы включили Defender для серверов 2

Оценка уязвимостей без агента в Azure

Чтобы включить оценку уязвимостей без агента в Azure, выполните следующее:

  1. В меню Defender for Cloud выберите Параметры среды.

  2. Выберите соответствующую подписку.

  3. Для плана управления posture в Defender Cloud Security (CSPM) или Defender для серверов P2 выберите параметры.

    Снимок экрана: ссылка на параметры планов Defender для учетных записей Azure.

    Параметры проверки без агента совместно используются как службами Управления posture Defender Cloud Security (CSPM) или Defender для серверов P2. Если включить проверку без агента в любом плане, параметр включен для обоих планов.

  4. В области параметров включите проверку без агента для компьютеров.

    Снимок экрана: параметры и экран мониторинга для включения проверки без агента.

  5. Выберите Сохранить.

Чтобы включить сканирование зашифрованных дисков CMK в Azure (предварительная версия):

Для сканирования без агента для покрытия виртуальных машин Azure с зашифрованными дисками CMK необходимо предоставить Defender для облака дополнительные разрешения для создания безопасной копии этих дисков. Для этого требуются дополнительные разрешения в Key Vault, используемых для шифрования CMK для виртуальных машин.

Чтобы вручную назначить разрешения, следуйте приведенным ниже инструкциям в соответствии с типом Key Vault:

  • Для хранилищ ключей, использующих разрешения, отличные от RBAC, назначьте "поставщик ресурсов сканера серверов Microsoft Defender для облака" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) эти разрешения: Key Get, Key Wrap, Key Unwrap.
  • Для хранилищ ключей с помощью разрешений RBAC назначьте "поставщик ресурсов сканера серверов Microsoft Defender для облака" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) встроенной роли пользователя шифрования шифрования службы шифрования key Vault.

Чтобы назначить эти разрешения в масштабе, можно также использовать этот скрипт.

Дополнительные сведения см. в статье о разрешениях сканирования без агента.

Оценка уязвимостей без агента в AWS

  1. В меню Defender for Cloud выберите Параметры среды.

  2. Выберите соответствующую учетную запись.

  3. Для плана управления posture в Defender Cloud Security (CSPM) или Defender для серверов P2 выберите параметры.

    Снимок экрана: ссылка на параметры планов Defender для учетных записей AWS.

    При включении проверки без агента в любом плане параметр применяется к обоим планам.

  4. В области параметров включите проверку без агента для компьютеров.

    Снимок экрана: состояние сканирования без агента для учетных записей AWS.

  5. Нажмите кнопку "Сохранить" и "Далее": настройка доступа.

  6. Скачайте шаблон CloudFormation.

  7. С помощью скачанного шаблона CloudFormation создайте стек в AWS, как описано на экране. Если вы подключены к учетной записи управления, необходимо запустить шаблон CloudFormation как Stack, так и stackSet. Соединители будут созданы для учетных записей участников в течение 24 часов после подключения.

  8. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  9. Выберите Обновить.

После включения проверки без агента данные инвентаризации программного обеспечения и уязвимостей обновляются автоматически в Defender для облака.

Включение проверки без агента в GCP

  1. В Defender для облака выберите параметры среды.

  2. Выберите соответствующий проект или организацию.

  3. Для плана управления posture в Defender Cloud Security (CSPM) или Defender для серверов P2 выберите параметры.

    Снимок экрана, на котором показано, где выбрать план для проектов GCP.

  4. Переключение проверки без агента на вкл.

    Снимок экрана, на котором показано, где выбрать сканирование без агента.

  5. Нажмите кнопку "Сохранить" и "Далее": настройка доступа.

  6. Скопируйте скрипт подключения.

  7. Запустите скрипт подключения в области организации или проекта GCP (портал GCP или gcloud CLI).

  8. Нажмите кнопку Next: Review and generate (Далее: проверка и создание).

  9. Выберите Обновить.

Тестирование развертывания сканера вредоносных программ без агента

Оповещения системы безопасности отображаются на портале только в тех случаях, когда угрозы обнаружены в вашей среде. Если у вас нет оповещений, это может быть вызвано отсутствием угроз в вашей среде. Вы можете проверить, правильно ли подключено устройство и сообщить о Defender для облака, создав тестовый файл.

Создание тестового файла для Linux

  1. Откройте окно терминала на виртуальной машине.

  2. Выполните следующую команду:

    # test string  
    TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  
    
    # File to be created  
    FILE_PATH="/tmp/virus_test_file.txt"  
    
    # Write the test string to the file  
    echo -n $TEST_STRING > $FILE_PATH  
    
    # Check if the file was created and contains the correct string  
    if [ -f "$FILE_PATH" ]; then  
        if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
            echo "Virus test file created and validated successfully."  
        else  
            echo "Virus test file does not contain the correct string."  
        fi  
    else  
        echo "Failed to create virus test file."  
    fi
    

Оповещение MDC_Test_File malware was detected (Agentless) появится в течение 24 часов на странице оповещений Defender для облака и на портале XDR Defender.

Снимок экрана: тестовое оповещение, которое отображается в Defender для облака для Linux.

Создание тестового файла для Windows

Создание тестового файла с текстовым документом

  1. Создайте текстовый файл на виртуальной машине.

  2. Вставьте текст $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ в текстовый файл.

    Внимание

    Убедитесь, что в текстовом файле нет дополнительных пробелов или строк.

  3. Сохраните файл.

  4. Откройте файл, чтобы убедиться, что он содержит содержимое с этапа 2.

Оповещение MDC_Test_File malware was detected (Agentless) появится в течение 24 часов на странице оповещений Defender для облака и на портале XDR Defender.

Снимок экрана: тестовое оповещение, которое отображается в Defender для облака для Windows из-за созданного текстового файла.

Создание тестового файла с помощью PowerShell

  1. Откройте PowerShell на виртуальной машине.

  2. Выполните следующий скрипт.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

Оповещение MDC_Test_File malware was detected (Agentless) появится в течение 24 часов на странице оповещений Defender для облака и на портале XDR Defender.

Снимок экрана: тестовое оповещение, которое отображается в Defender для облака для Windows из-за скрипта PowerShell.

Исключение компьютеров из сканирования

Сканирование без агента применяется ко всем соответствующим компьютерам в подписке. Чтобы предотвратить сканирование определенных компьютеров, можно исключить компьютеры из бессерверного сканирования на основе существующих тегов среды. Когда Defender для облака выполняет непрерывное обнаружение компьютеров, исключенные компьютеры пропускаются.

Чтобы настроить компьютеры для исключения, выполните приведенные ниже действия.

  1. В Defender для облака выберите параметры среды.

  2. Выберите соответствующую подписку или соединитель multicloud.

  3. Для плана управления posture в Defender Cloud Security (CSPM) или Defender для серверов P2 выберите параметры.

  4. Для сканирования без агента выберите "Изменить конфигурацию".

    Снимок экрана: ссылка на изменение конфигурации без агента.

  5. Введите имя и значение тега, которое применяется к компьютерам, которые требуется исключить. Вы можете ввести multiple tag:value пары.

    Снимок экрана: поля тега и значения для исключения компьютеров из проверки без агента.

  6. Выберите Сохранить.

См. также: