使用整合式 Qualys 掃描器 (已過時) 啟用弱點掃描
注意
此方案自 2024 年 5 月 1 日起已被取代。
每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 適用於雲端的 Defender 會定期檢查連線的機器,以確保其正在執行弱點評估工具。
適用於雲端的 Defender 在發現未部署弱點評估解決方案的機器時,會產生安全性建議:機器應該有弱點評量解決方案。 請使用此建議,將弱點評估解決方案部署到 Azure 虛擬機器和已啟用 Azure Arc 的混合式機器。
適用於雲端的 Microsoft Defender 包含機器的弱點掃描。 您不需要 Qualys 授權或甚至 Qualys 帳戶 - 一切都可以在適用於雲端的 Defender 內順暢地處理。 此頁面提供此掃描器的詳細資料,以及部署方式的指示。
提示
整合式弱點評定解決方案同時支援 Azure 虛擬機器和混合式機器。 若要將弱點評估掃描器部署到您的內部部署和多雲端機器,請先使用 Azure Arc 將其連線到 Azure,如將非 Azure 機器連線至適用於雲端的 Defender 中所述。
適用於雲端的 Defender 整合式弱點評估解決方案可無縫地與 Azure Arc 搭配運作。當您部署 Azure Arc 時,您的機器會出現在適用於雲端的 Defender 中,而且不需要 Log Analytics 代理程式。
如果您不想使用 Qualys 所提供的弱點評估,您可以使用 Microsoft Defender 弱點管理,或搭配您自己的 Qualys 授權、Rapid7 授權或其他弱點評估解決方案來部署 BYOL 解決方案。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) |
| 機器類型 (混合式案例): |  Azure 虛擬機器 已啟用 Azure Arc 的機器 |
| 定價: | 需要適用於伺服器的 Microsoft Defender 方案 2 |
| 必要的角色和權限: | 擁有者 (資源群組層級) 可以部署掃描器 安全性讀者可以檢視結果 |
| 雲端: | 商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure) 已連線的 AWS 帳戶 |
整合式弱點掃描器的概觀
「適用於雲端的 Microsoft Defender」隨附的弱點掃描器是由 Qualys 提供支援。 Qualys 的掃描器是用來即時識別弱點的頂級工具之一。 其僅能夠搭配適用於伺服器的 Microsoft Defender使用。 您不需要 Qualys 授權或甚至 Qualys 帳戶 - 一切都可以在適用於雲端的 Defender 內順暢地處理。
整合式弱點掃描器的運作方式
弱點掃描器擴充功能的運作方式如下:
部署 - 適用於雲端的 Microsoft Defender 會監視您的機器,並提供在所選機器上部署 Qualys 擴充功能的建議。
收集資訊 - 此擴充功能會收集成品,並將其傳送至已定義區域中的 Qualys 雲端服務以進行分析。
分析 - Qualys 的雲端服務會執行弱點評估,並將其發現結果傳送給適用於雲端的 Defender。
重要
為確保客戶的隱私權、機密性和安全性,我們不會與 Qualys 分享客戶的詳細資料。 深入了解 Azure 內建的隱私權標準。
報告 - 可在適用於雲端的 Defender 中看到結果。
將整合式掃描器部署至 Azure 和混合式機器
從 Azure 入口網站 開啟 [適用於雲端的 Defender]。
從適用於雲端的 Defender 功能表中,開啟 [建議] 頁面。
選取 [機器應該具有弱點評估解決方案] 建議。
提示
機器
server16-test是已啟用 Azure Arc 的機器。 若要將弱點評估掃描器部署至內部部署和多雲端機器,請參閱將非 Azure 機器連線至適用於雲端的 Defender。適用於雲端的 Defender 可無縫地與 Azure Arc 搭配運作。當您部署 Azure Arc 時,您的機器會出現在適用於雲端的 Defender 中,而且不需要 Log Analytics 代理程式。
您的虛擬機器會出現在下列一個或多個群組中:
- 狀況良好的資源 – 適用於雲端的 Defender 偵測到這些機器上有正在執行的弱點評估解決方案。
- 狀況不良的資源 –弱點掃描器擴充功能可以部署到這些機器上。
- 不適用的資源 – 弱點掃描器延伸模組不支援這些機器 。
從狀況不良的機器清單中,選取要接收弱點評估解決方案的機器,然後選取 [補救]。
重要
視您的設定而定,此清單可能會以不同的方式顯示。
- 如果您尚未設定協力廠商弱點掃描器,則不會有部署掃描器的機會。
- 如果您選取的機器未由「適用於伺服器的 Microsoft Defender」保護,則不會提供適用於雲端的 Defender 整合式弱點掃描器選項。
選擇建議的選項 [部署整合式弱點掃描器],然後選取 [繼續]。
系統會要求您進一步確認。 選取 [補救]。
掃描器擴充功能會在幾分鐘內安裝在所有選取的機器上。
掃描作業會在成功部署擴充功能之後自動開始。 掃描會每 12 小時執行一次。 此間隔無法設定。
重要
如果一個或多個機器上的部署失敗,請確定目標機器可以藉由將下列 IP 新增至允許清單來與 Qualys 的雲端服務通訊 (透過連接埠 443 - HTTPS 的預設值):
https://qagpublic.qg3.apps.qualys.com- Qualys 的美國資料中心https://qagpublic.qg2.apps.qualys.eu- Qualys 的歐洲資料中心
如果您的電腦位於 Azure 歐洲地理位置的區域 (例如:歐洲、英國、德國),其成品將會在 Qualys 的歐洲資料中心進行處理。 如果虛擬機器位於其他地方,其成品會傳送至美國資料中心。
自動進行大規模部署
注意
本節所述的所有工具都可從適用於雲端的 Defender GitHub 社群存放庫取得。 您可以在該處找到指令碼、自動化和其他有用的資源,以在整個適用於雲端的 Defender 部署中使用。
其中有些工具只會影響在啟用大規模部署後連線的新機器。 其他一些工具也會部署到現有的機器。 您可以結合多種方法。
可以大規模自動部署整合式掃描器的一些方式:
- Azure Resource Manager – 此方法可從Azure 入口網站中的檢視建議邏輯中取得。 補救指令碼包含您可用於自動化的相關 ARM 範本:
- DeployIfNotExists 原則 – 自訂原則,可確保所有新建立的機器都會收到掃描器。 選取 [部署至 Azure],然後設定相關的參數。 您可以在資源群組、訂用帳戶或管理群組的層級上指派此原則。
- PowerShell 指令碼 – 使用
Update qualys-remediate-unhealthy-vms.ps1指令碼來為所有狀況不良的虛擬機器部署擴充功能。 若要在新資源上安裝,請使用 Azure 自動化將指令碼自動化。 指令碼會尋找建議探索到的所有狀況不良機器,並執行 Azure Resource Manager 呼叫。 - Azure Logic Apps – 根據範例應用程式建置邏輯應用程式。 使用「適用於雲端的 Defender」的工作流程自動化工具來觸發邏輯應用程式,以在資源上產生 [電腦應具有弱點評估解決方案] 建議時,為資源部署掃描器。
- REST API – 若要使用適用於雲端的 Defender REST API 部署整合式弱點評估解決方案,請針對下列 URL 提出的 PUT 要求,並新增相關的資源識別碼:
https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview
觸發隨選掃描
您可以使用本機或遠端執行的指令碼或群組原則物件 (GPO),從機器本身觸發隨選掃描。 或者,您可以在修補部署作業結束時將其整合到軟體發佈工具。
下列命令會觸發隨選掃描:
- Windows 機器:
REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f - Linux 機器:
sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm
下一步
適用於雲端的 Defender 也會為您提供弱點分析:
- SQL 資料庫 - 探索弱點評量儀表板中的弱點評量報告
- Azure Container Registry 映射 - 具有 Microsoft Defender 弱點管理 的 Azure 弱點評估