Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A verificação de computadores sem agente no Microsoft Defender para Nuvem aprimora a postura de segurança dos computadores conectados ao Defender para Nuvem. A verificação de computadores sem agente inclui recursos como a verificação de inventário de software, vulnerabilidades, segredos e malware.
- A verificação sem agente não requer agentes instalados nem conectividade de rede e não afeta o desempenho do computador.
- Você pode ativar ou desativar a verificação de computadores sem agente, mas não pode desabilitar os recursos individuais.
- As verificações só são executadas em VMs em execução. As VMs que estão desativadas durante uma verificação não são verificadas.
- A verificação é executada em um agendamento não configurável uma vez a cada 24 horas.
Quando você ativa o Defender para Servidores Plano 2 ou o plano GPSN (Gerenciamento da Postura de Segurança na Nuvem), a verificação de computadores sem agente é habilitado por padrão. Se necessário, você pode usar as instruções incluídas neste artigo para habilitar manualmente a verificação de computadores sem agente.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Plano | Para usar a verificação sem agente, o plano do GPSN do Defender ou o Plano 2 do Defender para Servidores precisam estar habilitados. Quando você habilita a verificação sem agente em qualquer plano, a configuração está habilitada para ambos os planos. |
| Verificação de Malware | A verificação de malware só estará disponível quando o Plano 2 do Defender para Servidores estiver habilitado. Para a verificação de malware das VMs de nós do Kubernetes, você precisa ter o Plano 2 do Defender para Servidores ou o plano Defender para Contêineres. |
| Computadores compatíveis | Você pode verificar as VMs (máquinas virtuais) do Azure, as instâncias de EC2 (Elastic Compute Cloud) do Amazon Web Services (AWS) e as instâncias de computação do GCP (Google Cloud Platform) sem instalar um agente, se elas estiverem conectadas ao Microsoft Defender para Nuvem. |
| VMs do Azure | A verificação sem agente está disponível nas VMs padrão do Azure que tenham: - O tamanho total máximo do disco é 4 TB (soma de todos os discos). Observação: se excedido, somente o disco do sistema operacional é verificado, desde que seu tamanho seja menor que 4 TB. - Número máximo de discos permitido: 6 - Conjunto de dimensionamento de máquinas virtuais: Flex Compatível com discos que sejam: - Não criptografado - Criptografados (discos gerenciados usando a criptografia do Armazenamento do Microsoft Azure com chaves gerenciadas pela plataforma [PMK]) - Criptografado com chaves gerenciadas pelo cliente. |
| AWS | A verificação sem agente está disponível no EC2, em instâncias de Dimensionamento Automático e em discos não criptografados, criptografados com PMK e criptografados com CMK. As AMIs que exigem licenciamento de terceiros, por exemplo, do AWS Marketplace, não têm suporte. |
| GCP | A verificação sem agente está disponível em instâncias de computação, grupos de instâncias (gerenciados e não gerenciados), com chaves de criptografia gerenciadas pelo Google e chave de criptografia gerenciada pelo cliente (CMEK) |
| Nós do Kubernetes | A verificação sem agente para detectar vulnerabilidades e malware em VMs de nós do Kubernetes está disponível. Para a avaliação de vulnerabilidades, o Plano 2 do Defender para Servidores, o plano Defender para Contêineres ou o plano de Gerenciamento de Postura de Segurança de Nuvem do Defender (GPSN) são obrigatórios. Para a verificação de malware, o Plano 2 do Defender para Servidores ou o Defender para Contêineres são obrigatórios. |
| Permissões | Reveja as permissões usadas pelo Defender para Nuvem para a verificação sem agente. |
| Sem suporte | Tipo de disco – se qualquer um dos discos da VM estiver nessa lista, a VM não será verificada: – UltraSSD_LRS – PremiumV2_LRS - Discos de SO Efêmeros do Serviço de Kubernetes do Azure (AKS) Tipo de recurso: – VM do Databricks Sistemas de arquivos: - UFS (Sistema de Arquivos Unix) ReFS (Sistema de Arquivos Resiliente) - ZFS (Membro do ZFS) Formatos de armazenamento RAID e Block: - Gerenciamento de armazenamento automático do Oracle (ASM) - DRBD (Dispositivo de Bloco Replicado Distribuído) - Linux_Raid_Member Mecanismos de integridade: - DM_Verity_Hash -Trocar |
Você pode habilitar a verificação sem agente no Azure
No Defender para Nuvem, abra Configurações de ambiente.
Selecione a assinatura relevante.
Para o plano GPSN do Defender ou o Plano 2 do Defender para Servidores, selecione Configurações.
Em Configurações e monitoramento, ative a Verificação sem agente para computadores.
Clique em Salvar.
Habilitar para VMs do Azure com discos criptografados por CMK
Para verificação sem agente de VMs do Azure com discos criptografados com CMK, você precisa conceder permissões extras ao Defender for Cloud nos Key Vaults usados para criptografia CMK das VMs, para criar uma cópia segura dos discos.
Para atribuir manualmente as permissões em um Key Vault:
-
Para os Key Vaults que usam permissões não RBAC: atribua ao "Provedor de Recursos de Verificação para Servidores do Microsoft Defender para Nuvem" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) as seguintes permissões: Key Get, Key Wrap, Key Unwrap. -
Para os Key Vaults que usam permissões RBAC: atribua ao "Provedor de Recursos de Verificação para Servidores do Microsoft Defender para Nuvem" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) a função integrada de Usuário de Criptografia do Serviço de Criptografia do Key Vault.
-
Para os Key Vaults que usam permissões não RBAC: atribua ao "Provedor de Recursos de Verificação para Servidores do Microsoft Defender para Nuvem" (
Para atribuir essas permissões em larga escala para diversos Key Vaults, use esse script.
Habilitar a verificação sem agente na AWS
No Defender para Nuvem, abra Configurações de ambiente.
Selecione a conta relevante.
Para o plano de CSPM (gerenciamento da postura de segurança na nuvem) do Defender ou Defender para Servidores P2, selecione Configurações.
Quando você habilita a verificação sem agente em qualquer plano, a configuração se aplica a ambos os planos.
No painel de configurações, ative a Verificação sem agente para computadores.
Selecione Salvar e Avançar: Configurar Acesso.
Baixe o modelo CloudFormation.
Usando o modelo CloudFormation baixado, crie a pilha na AWS conforme indicado na tela. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e como StackSet. Os conectores serão criados para as contas membro até 24 horas após a integração.
Selecione Avançar: examinar e criar.
Selecione Atualização.
Depois de habilitar a verificação sem agente, a informação de inventário e vulnerabilidade do software é atualizada automaticamente no Defender para Nuvem.
Habilitar a verificação sem agente no GCP
No Defender para Nuvem, selecione Configurações de ambiente.
Selecione o projeto ou a organização relevante.
Para o plano de CSPM (gerenciamento da postura de segurança na nuvem) do Defender ou Defender para Servidores P2, selecione Configurações.
Alterne a verificação sem agente para Ativada.
Selecione Salvar e Avançar: Configurar Acesso.
Copie o script de integração.
Execute o script de integração no escopo da organização/projeto GCP (portal GCP ou CLI gcloud).
Selecione Avançar: examinar e criar.
Selecione Atualização.
Conteúdo relacionado
Saiba mais sobre: