Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Skanowanie maszyn bez agenta w Microsoft Defender dla Chmury poprawia stan zabezpieczeń maszyn połączonych z Defender dla Chmury. Skanowanie maszyn bez agentów obejmuje funkcje, takie jak skanowanie spisu oprogramowania, luki w zabezpieczeniach, wpisy tajne i złośliwe oprogramowanie.
- Skanowanie bez agenta nie wymaga zainstalowanych agentów ani łączności sieciowej i nie ma wpływu na wydajność maszyny.
- Skanowanie maszyn bez agenta można włączyć lub wyłączyć, ale nie można wyłączyć poszczególnych funkcji.
- Skanowanie jest uruchamiane tylko na uruchomionych maszynach wirtualnych. Maszyny wirtualne wyłączone podczas skanowania nie są skanowane.
- Skanowanie jest uruchamiane zgodnie z niekonfigurowalnym harmonogramem co 24 godziny.
Po włączeniu usługi Defender for Servers (plan 2) lub planu zarządzania stanem zabezpieczeń w chmurze w usłudze Defender (CSPM) skanowanie maszyn bez agenta jest domyślnie włączone. W razie potrzeby możesz użyć instrukcji w tym artykule, aby ręcznie włączyć bezagentowe skanowanie maszyn.
Wymagania wstępne
| Wymaganie | Szczegóły |
|---|---|
| Planowanie | Aby użyć skanowania bez agenta, plan Defender CSPM lub Defender for Servers Plan 2 musi być włączony. Po włączeniu skanowania bez agenta w ramach dowolnego planu ustawienie jest włączone dla obu planów. |
| Skanowanie złośliwego oprogramowania | Skanowanie w poszukiwaniu złośliwego oprogramowania jest dostępne tylko wtedy, gdy usługa Defender for Servers (plan 2) jest włączona. W celu skanowania pod kątem złośliwego oprogramowania na maszynach wirtualnych węzłów Kubernetes, wymagany jest plan Defender for Servers Plan 2 lub plan Defender for Containers. |
| Obsługiwane maszyny | Możesz skanować maszyny wirtualne platformy Azure, instancje Amazon Web Services (AWS) Elastic Compute Cloud (EC2) oraz instancje obliczeniowe platformy Google Cloud Platform (GCP) bez instalowania agenta, jeśli są połączone z usługą Microsoft Defender for Cloud. |
| Maszyny wirtualne platformy Azure | Skanowanie bez agenta jest dostępne na standardowych maszynach wirtualnych platformy Azure z: - Maksymalny całkowity rozmiar dysku o identyfikatorze 4 TB (suma wszystkich dysków). Uwaga: jeśli zostanie przekroczony, tylko dysk systemu operacyjnego jest skanowany, pod warunkiem, że jego rozmiar jest mniejszy niż 4 TB. - Maksymalna dozwolona liczba dysków: 6 — Zestaw skalowania maszyn wirtualnych — Flex Obsługa dysków, które są: -Niezaszyfrowane — Zaszyfrowane (dyski zarządzane przy użyciu szyfrowania usługi Azure Storage z kluczami zarządzanymi przez platformę (PMK)) — Szyfrowane przy użyciu kluczy zarządzanych przez klienta. |
| AWS | Wykrywanie bez agenta jest dostępne na instancjach EC2, instancjach Auto Scale oraz na dyskach, które są nieszyfrowane, szyfrowane (PMK) i szyfrowane (CMK). AMIs wymagające licencjonowania przez stronę trzecią, na przykład z AWS Marketplace, nie są obsługiwane. |
| GCP | Skanowanie bez agenta jest dostępne na instancjach obliczeniowych, grupach instancji (zarządzanych i niezarządzanych) z kluczami szyfrowania zarządzanymi przez Google oraz kluczem szyfrowania zarządzanym przez klienta (CMEK). |
| Węzły platformy Kubernetes | Dostępne jest skanowanie bez agenta pod kątem luk w zabezpieczeniach i złośliwego oprogramowania na maszynach wirtualnych węzłów Kubernetes. Do oceny luk w zabezpieczeniach wymagany jest plan Defender for Servers (Plan 2) lub Defender for Containers albo plan zarządzania stanem zabezpieczeń w chmurze (CSPM). W przypadku skanowania złośliwego oprogramowania wymagany jest plan 2 usługi Defender for Servers lub defender for Containers. |
| Uprawnienia | Przejrzyj uprawnienia używane przez Defender dla Chmury do skanowania bez agenta. |
| Nieobsługiwane | Typ dysku — jeśli którykolwiek z dysków maszyny wirtualnej znajduje się na tej liście, maszyna wirtualna nie jest skanowana: - UltraSSD_LRS - PremiumV2_LRS — Efemeryczne dyski systemu operacyjnego usługi Azure Kubernetes Service (AKS) Typ zasobu: Maszyna wirtualna Databricks Systemy plików: - UFS (System plików Unix) - ReFS (Odporny system plików) - ZFS (członek ZFS) Formaty przechowywania RAID i pamięci blokowej — OracleASM (Automatyczne zarządzanie magazynem Oracle) - DRBD (rozproszone replikowane urządzenie blokowe) - Linux_Raid_Member (członek RAID w Linuxie) Mechanizmy integralności: - DM_Verity_Hash -Zamiana |
Włączanie skanowania bez agenta na platformie Azure
W Defender dla Chmury otwórz pozycję Ustawienia środowiska.
Wybierz odpowiednią subskrypcję.
W przypadku planu CSPM w usłudze Defender lub usługi Defender for Servers (plan 2) wybierz pozycję Ustawienia.
W obszarze Ustawienia i monitorowanie włącz skanowanie bez agenta dla maszyn.
Wybierz pozycję Zapisz.
Włączanie dla maszyn wirtualnych platformy Azure z zaszyfrowanymi dyskami CMK
W przypadku skanowania maszyn wirtualnych Azure bez agenta i z dyskami zaszyfrowanymi za pomocą CMK, należy przyznać usłudze Defender for Cloud dodatkowe uprawnienia do Key Vaultów używanych do szyfrowania CMK dla tych maszyn wirtualnych, aby utworzyć bezpieczną kopię dysków.
Aby ręcznie przypisać uprawnienia do usługi Key Vault:
-
Magazyny kluczy z uprawnieniami spoza RBAC: przypisz "dostawcy zasobów skanera serwerów Microsoft Defender dla Chmury" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) następujące uprawnienia: Pobierz klucz, Owiń klucz, Rozwiń klucz. -
Magazyny kluczy korzystające z uprawnień RBAC: przypisz wbudowaną rolę "Microsoft Defender for Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) rolę Użytkownika szyfrowania usługi kryptograficznej Key Vault.
-
Magazyny kluczy z uprawnieniami spoza RBAC: przypisz "dostawcy zasobów skanera serwerów Microsoft Defender dla Chmury" (
Aby przypisać te uprawnienia na dużą skalę dla wielu magazynów kluczy, użyj tego skryptu.
Włączanie skanowania bez agenta na platformie AWS
W Defender dla Chmury otwórz pozycję Ustawienia środowiska.
Wybierz odpowiednie konto.
W przypadku planu Defender Cloud Security Posture Management (CSPM) lub planu Defender for Servers P2 wybierz pozycję Ustawienia.
Po włączeniu skanowania bez agenta w obu planach ustawienie ma zastosowanie do obu planów.
W okienku ustawień włącz skanowanie bez agenta dla maszyn.
Wybierz pozycję Zapisz i dalej: Skonfiguruj dostęp.
Pobierz szablon CloudFormation.
Korzystając z pobranego szablonu CloudFormation, utwórz stos na platformie AWS zgodnie z instrukcjami wyświetlanymi na ekranie. Jeśli integrujesz konto menedżerskie, musisz uruchomić szablon CloudFormation zarówno jako Stos, jak i StackSet. Łączniki zostaną utworzone dla kont członków do 24 godzin po dołączeniu.
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Aktualizuj.
Po włączeniu skanowania bez agenta spis oprogramowania i informacje o lukach w zabezpieczeniach są aktualizowane automatycznie w Defender dla Chmury.
Włączanie skanowania bez agenta na platformie GCP
W Defender dla Chmury wybierz pozycję Ustawienia środowiska.
Wybierz odpowiedni projekt lub organizację.
W przypadku planu Defender Cloud Security Posture Management (CSPM) lub planu Defender for Servers P2 wybierz pozycję Ustawienia.
Przełącz skanowanie bez agenta na włączone.
Wybierz pozycję Zapisz i dalej: Skonfiguruj dostęp.
Skopiuj skrypt wprowadzający.
Uruchom skrypt konfiguracji w zakresie organizacji/projektu GCP (portal GCP lub gcloud CLI).
Wybierz pozycję Dalej: Przeglądanie i generowanie.
Wybierz pozycję Aktualizuj.
Powiązana zawartość
Dowiedz się więcej na następujące tematy: