Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A verificação de computadores sem agente no Microsoft Defender para Nuvem aprimora a postura de segurança dos computadores conectados ao Defender para Nuvem.
A verificação sem agente não precisa de nenhum agente instalado nem de conectividade de rede e não afeta o desempenho do computador. Verificação de computador sem agente:
- Examinar as configurações de EDR (detecção e resposta de ponto de extremidade): examinar os computadores para verificar se estão executando uma solução EDR e verificar se as configurações estão corretas caso os computadores estejam integrados ao Microsoft Defender para Ponto de Extremidade. Saiba mais
- Verifica o inventário de software: verifique seu inventário de software com o Gerenciamento de Vulnerabilidades do Microsoft Defender integrado.
- Verifica se há vulnerabilidades: avaliar computadores quanto a vulnerabilidades usando o Gerenciamento de Vulnerabilidades do Microsoft Defender integrado.
- Verifica se há segredos em computadores: localize segredos de texto sem formatação em seu ambiente de computação com a verificação de segredos sem agente.
- Verificações de malware: verifique se há malware e vírus nos computadores usando o Microsoft Defender Antivírus.
- Verifica as VMs rodando como nós do Kubernetes: A avaliação de vulnerabilidades e a verificação de malware estão disponíveis para VMs operando como nós do Kubernetes quando o Defender para Servidores Plano 2 ou o Defender para Contêineres está habilitado. Disponível somente em nuvens comerciais.
A verificação sem agente está disponível nos seguintes planos do Defender para Nuvem:
- GSPM (gerenciamento da postura de segurança na nuvem) do Defender.
- Plano 2 do Defender para servidores.
- A verificação de malware só está disponível no Plano 2 do Defender para Servidores.
- A verificação sem agente está disponível para VMs do Azure, instâncias de computação do AWS EC2 e GCP conectadas ao Defender para Nuvem.
Arquitetura de análise sem agente
Como funciona a verificação sem agente:
O Defender para Nuvem tira instantâneos dos discos da VM (disco raiz + disco de dados) e executa uma análise profunda, realizada fora de banda, da configuração do sistema operacional e do sistema de arquivos armazenados no instantâneo.
- O instantâneo copiado permanece na mesma região que a VM.
- A verificação não afeta a VM.
Após o Defender para Nuvem adquirir os metadados necessários do disco copiado, ele exclui imediatamente o instantâneo copiado do disco e envia os metadados aos mecanismos da Microsoft relevantes para detectar lacunas de configuração e possíveis ameaças. Por exemplo, na avaliação de vulnerabilidade, a análise é feita pelo Gerenciamento de Vulnerabilidades do Defender.
O Defender para Nuvem exibe os resultados da verificação, que consolida os resultados baseados em agente e sem agente na página alertas de segurança.
O Defender para Nuvem analisa discos em um ambiente de verificação regional, volátil, isolado e altamente seguro. Instantâneos de disco e dados não relacionados à verificação não são armazenados por mais tempo do que o necessário para coletar os metadados, normalmente alguns minutos.
Permissões usadas pela verificação sem agente
O Defender para Nuvem usou funções e permissões específicas para executar a verificação sem agente.
- No Azure, essas permissões são adicionadas automaticamente às suas assinaturas quando você habilita a verificação sem agente.
- Na AWS, essas permissões são adicionadas à pilha CloudFormation no conector da AWS.
- No GCP, essas permissões são adicionadas ao script de integração em seu conector GCP.
Permissões do Azure
A função interna de operador de verificação da VM tem permissões somente de leitura para discos de VM necessários para o processo de instantâneo. A lista detalhada de permissões é:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Quando a cobertura para discos criptografados cmk está habilitada, mais permissões são necessárias:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Permissões do AWS
A função VmScanner é atribuída ao scanner quando você habilita a verificação sem agente. Essa função tem o conjunto mínimo de permissões para criar e limpar instantâneos (limitados por marca) e verificar o estado atual da VM. As permissões detalhadas são:
| Atributo | Valor |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Ações | ec2:DeleteSnapshot |
| Condições | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Recursos | arn:aws:ec2:::snapshot/ |
| Efeito | Permitir |
| Atributo | Valor |
|---|---|
| SID | VmScannerAccess |
| Ações | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Condições | Nenhum |
| Recursos | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Efeito | Permitir |
| Atributo | Valor |
|---|---|
| SID | VmScannerVerificationAccess |
| Ações | ec2:DescribeSnapshots ec2:DescribeInstanceStatus (DescreverStatusDaInstância) |
| Condições | Nenhum |
| Recursos | * |
| Efeito | Permitir |
| Atributo | Valor |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Ações | kms:CreateKey |
| Condições | Nenhum |
| Recursos | * |
| Efeito | Permitir |
| Atributo | Valor |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Ações | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Condições | Nenhum |
| Recursos | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Efeito | Permitir |
| Atributo | Valor |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| Ações | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Condições | Nenhum |
| Recursos | arn:aws:kms::${AWS::AccountId}: chave/ |
| Efeito | Permitir |
Permissões GCP
Durante a integração, uma nova função personalizada é criada com as permissões mínimas necessárias para obter o status de instâncias e criar instantâneos.
Além disso, as permissões para uma função de KMS do GCP existente são concedidas para dar suporte à verificação de discos criptografados com CMEK. As funções são:
- roles/MDCAgentlessScanningRole concedido à conta de serviço do Defender para Nuvem com as permissões: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter concedido ao agente de serviço do mecanismo de computação do Defender para Nuvem