使用自備授權 (BYOL) 解決方案啟用弱點掃描
適用於雲端的 Microsoft Defender 中適用於伺服器的 Defender 方案具有內建弱點評量工具。 弱點評量工具不需要任何外部授權,並支援已啟用 Azure Arc 的機器。
如果您不想使用整合式弱點評量工具,您可以從 Qualys 或 Rapid7 使用自己的私人授權弱點評量解決方案。 本文說明在屬於相同訂用帳戶的多個 VM (但不是已啟用 Azure Arc 的機器) 上,部署這其中一個合作夥伴解決方案所需的步驟。
可用性
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 公開上市 (GA) |
| 機器類型: |  Azure 虛擬機器 已啟用 Azure Arc 的機器 |
| 定價: | 免費 |
| 必要的角色和權限: | 資源擁有者可以部署掃描器 安全性讀者可以檢視結果 |
| 雲端: | 商業雲端 國家 (Azure Government、由 21Vianet 營運的 Microsoft Azure) |
從 Azure 入口網站部署 BYOL 解決方案
BYOL 選項是指支援的協力廠商弱點評量解決方案。 目前 Qualys 和 Rapid7 都是支援的提供者。
支援的解決方案會向合作夥伴的管理台回報弱點資料。 該平台轉而將弱點和狀況監控資料帶回給適用於雲端的 Defender。 您可以在工作負載保護儀表板上識別易受攻擊的 VM,並直接從適用於雲端的 Defender 切換至合作夥伴管理主控台,以取得報告和詳細資訊。
從 Azure 入口網站 開啟 [適用於雲端的 Defender]。
從適用於雲端的 Defender 功能表中,開啟 [建議] 頁面。
選取 [機器應該具有弱點評估解決方案] 建議。
![[虛擬機] 建議頁面上應啟用 [弱點評估解決方案] 中的機器群組**](media/deploy-vulnerability-assessment-vm/recommendation-page-machine-groupings.png)
您的 VM 會出現在下列一個或多個群組中:
- 良好資源 - 適用於雲端的 Defender 偵測到這些 VM 上正在執行的弱點評量解決方案。
- 狀況不良的資源 –弱點掃描器延伸模組可以部署到這些 VM 上。
- 不適用的資源 - 這些 VM 上無法部署弱點掃描器延伸模組。
從狀況不良的機器清單中,選取要接收弱點評估解決方案的機器,然後選取 [補救]。
重要
視您的設定而定,您可能只看到此清單的子集。
- 如果您尚未設定協力廠商弱點掃描器,則不會有部署掃描器的機會。
- 如果您選取的機器未由「適用於伺服器的 Microsoft Defender」保護,則不會提供適用於雲端的 Defender 整合式弱點掃描器選項。
![在您選取資源的 [修正] 按鈕之後,解決方案畫面的螢幕快照。](media/deploy-vulnerability-assessment-vm/select-vulnerability-solution.png)
如果您要設定新的 BYOL 設定,請依序選取 [設定新的協力廠商弱點掃描器]、相關的延伸模組及 [繼續],然後輸入來自提供者的詳細資料,如下所示:
- 針對 [資源群組],選取 [使用現有的]。 如果您稍後刪除此資源群組,將無法使用 BYOL 解決方案。
- 針對 [位置] ,選取此解決方案所在的地理位置。
- 針對 Qualys,在 [授權碼] 欄位中輸入 Qualys 提供的授權。
- 針對 Rapid7,上傳 Rapid7 組態檔。
- 在 [公開金鑰] 方塊中,輸入合作夥伴提供的公開金鑰資訊。
- 在此解決方案的訂用帳戶中探索到的所有 VM 上,若要自動安裝此弱點評量代理程式,請選取 [自動部署]。
- 選取 [確定]。
如果您已設定 BYOL 解決方案,請依序選取 [部署已設定的協力廠商弱點掃描器]、相關的延伸模組及 [繼續]。
![[虛擬機] 建議頁面上應啟用 [弱點評估解決方案] 中的機器群組**](media/deploy-vulnerability-assessment-vm/recommendation-page-machine-groupings.png#lightbox)
在目標機器上安裝弱點評量解決方案之後,適用於雲端的 Defender 會執行掃描來偵測及識別系統和應用程式中的弱點。 第一次掃描可能需要幾個小時才能完成。 之後,每小時執行一次。
使用 PowerShell 和 REST API 部署 BYOL 解決方案
若要以程式設計方式從 Qualys 或 Rapid7 部署您自己私人授權的弱點評量解決方案,請使用提供的指令碼 PowerShell > 弱點解決方案。 此指令碼使用 REST API 在適用於雲端的 Defender 中建立新的安全性解決方案。 您需要服務提供者 (Qualys 或 Rapid7) 提供的授權和金鑰。
重要
每個授權只能建立一個解決方案。 嘗試使用相同的名稱/授權/金鑰再多建立一個解決方案會失敗。
必要條件
必要的 PowerShell 模組:
- Install-module Az
- Install-module Az.security
執行指令碼
若要執行指令碼,您需要下列參數的相關資訊:
| 參數 | 必要 | 注意事項 |
|---|---|---|
| SubscriptionId | ✔ | Azure 訂用帳戶 (包含您想要分析的資源) 的 subscriptionID。 |
| ResourceGroupName | ✔ | 資源群組的名稱。 使用任何現有的資源群組,包括預設 ("DefaultResourceGroup-xxx")。 解決方案不是 Azure 資源,不會列在資源群組下,但仍會附加至該資源群組。 如果您稍後刪除此資源群組,將無法使用 BYOL 解決方案。 |
| vaSolutionName | ✔ | 新解決方案的名稱。 |
| vaType | ✔ | Qualys 或 Rapid7。 |
| licenseCode | ✔ | 廠商提供的授權字串。 |
| publicKey | ✔ | 廠商提供的公開金鑰。 |
| autoUpdate | - | 啟用 (true) 或停用 (false) 自動部署此 VA 解決方案。 啟用時,訂用帳戶上每個新的 VM 會自動嘗試連結至解決方案。 (預設值:False) |
語法:
.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>
範例 (此範例不包括有效的授權詳細資料):
.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'
深入了解如何在 Azure Marketplace 中取得 Qualys 虛擬掃描器設備。
下一步
- 補救弱點評估解決方案的發現結果
- 請查看這些有關弱點評量的常見問題。