你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

部署自带许可 (BYOL) 漏洞评估解决方案

如果已启用 Microsoft Defender for Servers,可以使用 Microsoft Defender for Cloud 的内置漏洞评估工具,如用于虚拟机的集成 Qualys 漏洞扫描程序中所述。 此工具已集成到 Defender for Cloud 中,无需任何外部许可 - 所有内容都在 Defender for Cloud 内部无缝处理。 此外,集成扫描程序还支持已启用 Azure Arc 的计算机。

或者,可能想要从 QualysRapid7 部署自己的专用许可漏洞评估解决方案。 可以在属于同一订阅(但不能是已启用 Azure Arc 的计算机)的多个 VM 上安装这些合作伙伴解决方案之一。

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
计算机类型: Azure 虚拟机
已启用 Azure Arc 的计算机
定价: 免费
所需角色和权限: 资源所有者可以部署扫描程序
安全读取者可以查看结果
云: 商用云
国家(Azure 政府、Azure 中国世纪互联)

从 Azure 门户部署 BYOL 解决方案

BYOL 选项是指受支持的第三方漏洞评估解决方案。 目前,Qualys 和 Rapid7 都是受支持的提供程序。

支持的解决方案会向合作伙伴的管理平台报告漏洞数据。 反过来,该平台也会向 Defender for Cloud 提供漏洞和运行状况监视数据。 可以在工作负载保护仪表板上标识易受攻击的 VM,并直接从 Defender for Cloud 切换到合作伙伴管理控制台,以获取报告和详细信息。

  1. Azure 门户中打开“Defender for Cloud”。

  2. 在 Defender for Cloud 的菜单中,打开“建议”页。

  3. 选择建议“计算机应具有漏洞评估解决方案”。

    The groupings of the machines in the **A vulnerability assessment solution should be enabled on your virtual machines** recommendation page

    你的 VM 将出现在以下一个或多个组中:

    • 正常的资源 – Defender for Cloud 检测到这些 VM 上正在运行漏洞评估解决方案。
    • 不正常的资源 - 可将漏洞扫描程序扩展部署到这些 VM。
    • 不适用的资源 - 这些 VM 上不能部署漏洞扫描程序扩展。
  4. 在不正常的计算机列表中,选择要接收漏洞评估解决方案的计算机,然后选择“修正”。

    重要

    根据配置不同,可能只会看到此列表的子集。

    • 如果没有配置第三方漏洞扫描程序,则没有部署机会。
    • 如果所选 VM 不受 Microsoft Defender for Servers 的保护,则 Defender for Cloud 集成式漏洞扫描程序选项将不可用。

    The options for which type of remediation flow you want to choose when responding to the recommendation **A vulnerability assessment solution should be enabled on your virtual machines** recommendation page

  5. 如果要设置新的 BYOL 配置,请选择“配置新的第三方漏洞扫描程序”并选择相关扩展,然后选择“继续”并输入提供程序中的详细信息,如下所示:

    1. 对于“资源组”,请选择“使用现有资源组”。 如果以后删除此资源组,则 BYOL 解决方案将不可用。
    2. 对于“位置”,请选择解决方案所在的地理位置。
    3. 对于 Qualys,请在“许可证代码”字段中输入 Qualys 提供的许可证。
    4. 对于 Rapid7,请上传“Rapid7 配置文件”。
    5. 在“公钥”框中,输入合作伙伴提供的公钥信息。
    6. 若要在此解决方案的订阅中的所有已发现 VM 上自动安装此漏洞评估代理,请选择“自动部署”。
    7. 选择“确定”。
  6. 如果已设置 BYOL 解决方案,请选择“部署已配置的第三方漏洞扫描程序”并选择相关扩展,然后选择“继续”。

在目标计算机上安装了漏洞评估解决方案后,Defender for Cloud 将运行扫描,以检测并识别系统和应用程序中的漏洞。 完成第一次扫描可能需要数小时。 之后每小时运行一次。

使用 PowerShell 和 REST API 部署 BYOL 解决方案

若要以编程方式从 QualysRapid7 部署自己的专用许可漏洞评估解决方案,请使用提供的脚本 PowerShell >“漏洞解决方案”。 此脚本使用 REST API 在 Defender for Cloud 中创建新的安全解决方案。 需要有服务提供商(Qualys 或 Rapid7)提供的许可证和密钥。

重要

每个许可证只能创建一个解决方案。 尝试使用同一名称/许可证/密钥创建另一个解决方案时将会失败。

先决条件

所需的 PowerShell 模块:

  • Install-module Az
  • Install-module Az.security

运行脚本

若要运行脚本,需要以下参数的相关信息。

参数 必需 备注
SubscriptionId 包含要分析资源的 Azure 订阅的 subscriptionID。
ResourceGroupName 资源组的名称。 使用任何现有的资源组,包括默认资源组(“DefaultResourceGroup-xxx”)。
由于解决方案不是 Azure 资源,因此不会在资源组下列出,但仍附加到组中。 如果以后删除资源组,BYOL 解决方案将不可用。
vaSolutionName 新解决方案的名称。
vaType Qualys 或 Rapid7。
licenseCode 供应商提供的许可证字符串。
publicKey 供应商提供的公钥。
autoUpdate - 启用 (true) 或禁用 (false) 此 VA 解决方案的自动部署。 启用后,订阅中的每个新 VM 都将自动尝试链接到此解决方案。
(默认值:False)

语法:

.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>

示例(本示例不包括有效的许可证详细信息):

.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'

常见问题解答 - BYOL 漏洞扫描程序

如果部署 Qualys 代理,需要哪些通信设置?

Qualys 云代理旨在定期与 Qualys 的 SOC 通信以获取更新,并设计为执行产品功能所需的各种操作。 若要允许代理与 SOC 无缝通信,请将网络安全配置为允许入站和出站流量进入 Qualys SOC CIDR 和 URL。

不同的地理位置上有多个 Qualys 平台。 SOC CIDR 和 URLL 将有所不同,具体取决于 Qualys 订阅的主机平台。 若要识别 Qualys 主机平台,请使用此页 https://www.qualys.com/platform-identification/

为什么在配置 BYOL 解决方案时必须指定资源组?

设置解决方案时,必须选择要附加到的资源组。 此解决方案不是 Azure 资源,因此不会包含在资源组的资源列表中。 不过依然可以附加到该资源组。 如果以后删除资源组,BYOL 解决方案将不可用。

后续步骤

Defender for Cloud 还针对以下各项提供漏洞分析: