適用於雲端的 Microsoft Defender 中的無代理程式機器掃描可改善連線至適用於雲端的 Microsoft Defender 之機器的安全性態勢。 無代理程式機器掃描包含許多功能,裡如掃描軟體清查、弱點、秘密和惡意程式碼。
- 無代理程式掃描不需要已安裝的代理程式或網路連線,而且也不會影響機器的效能。
- 您可以開啟或關閉無代理程式機器掃描,但無法停用個別功能。
- 掃描只會在正在執行的 VM 上執行。 掃描期間關閉的 VM 不會被掃描。
- 掃描會以不可配置的排程每 24 小時執行一次。
當您開啟適用於伺服器的 Microsoft Defender 方案 2 或 Microsoft Defender 雲端安全性態勢管理 (CSPM) 方案時,預設會啟用無代理程式機器掃描。 如有需要,您可以使用本文中的指示,手動啟用無代理程式機器掃描。
先決條件
| 需求 | 詳細資料 |
|---|---|
| 規劃 | 若要使用無代理程式掃描,就必須啟用 Defender CSPM 方案或適用於伺服器的 Microsoft Defender 方案 2 (部分機器翻譯)。 當您在任一個方案中啟用無代理程式掃描時,這兩個方案都會啟用該設定。 |
| 惡意程式碼掃描 | 只有在已啟用適用於伺服器的 Microsoft Defender 方案 2 時,才能使用惡意程式碼掃描。 若為 Kubernetes 節點 VM 的惡意程式碼掃描,則需要適用於伺服器的 Microsoft Defender 方案 2 或適用於容器的 Microsoft Defender 方案。 |
| 支援的機器 | 如果 Azure 虛擬機器 (VM) 、Amazon Web Services (AWS) 彈性計算雲端 (EC2) 執行個體和 Google Cloud Platform (GCP) 計算執行個體連線到適用於 雲端的 Microsoft Defender,則無需安裝代理程式,即可掃描它們。 |
| Azure VM | 無代理程式掃描可在以下條件的 Azure 標準 VM 上使用: - 最大總磁碟容量為 4TB(所有磁碟的總和)。 注意:若超出,僅掃描作業系統磁碟,且大小不超過4TB。 - 允許的磁碟數目上限:6 個 - 虛擬機器擴展集 - 彈性 支援以下磁碟: - 未加密 - 加密 (使用 Azure 儲存體加密和平台代控金鑰 (PMK) 的受控磁碟) - 使用客戶管理的金鑰加密。 |
| AWS | 無代理程式掃描適用於 EC2、自動縮放執行個體,以及未加密、加密 (PMK) 和加密 (CMK) 的磁碟。 不支援需要第三方授權的 AMI (例如來自 AWS Marketplace)。 |
| GCP | 無代理程式掃描適用於計算執行個體、執行個體群組 (受控和非受控),使用 Google 管理的加密金鑰和客戶自控加密金鑰 (CMEK) |
| Kubernetes 節點 | 在 Kubernetes 節點 VM 中可以使用無代理程式掃描來掃描弱點和惡意程式碼。 如需進行弱點評估 (部分機器翻譯),則需要適用於伺服器的 Microsoft Defender 方案 2、適用於容器的 Microsoft Defender 方案或 Defender 雲端安全性態勢管理 (CSPM) 方案。 如需進行惡意程式碼掃描 (部分機器翻譯),則需要適用於伺服器的 Microsoft Defender 方案 2 或適用於容器的 Microsoft Defender。 |
| 權限 | 檢閱適用於雲端的 Microsoft Defender 用於無代理程式掃描的權限。 |
| 不支援 | 磁碟類型 - 如果任何 VM 的磁碟在此清單上,則不會掃描 VM: - UltraSSD_LRS - PremiumV2_LRS - Azure Kubernetes Service (AKS) 暫時性 OS 磁碟 資源類型: - Databricks VM 檔案系統: - UFS (Unix 檔案系統) - ReFS (復原檔案系統) - ZFS (ZFS 成員) RAID 和區塊存放裝置格式: - OracleASM(Oracle 自動存儲管理) - DRBD (分散式複寫區塊裝置) - Linux_Raid_Member 完整性機制: - DM_Verity_Hash - 交換 |
在 Azure 上啟用無代理程式掃描
在適用於雲端的 Microsoft Defender 中,開啟 [環境設定]。
選取相關的訂用帳戶。
針對 Defender CSPM 方案或適用於伺服器的 Microsoft Defender 方案 2,選取 [設定]。
在 [設定和監視] 中,開啟 [機器的無代理程式掃描]。
選取 [儲存]。
針對具有 CMK 加密磁碟的 Azure VM 啟用
若要使用 CMK 加密磁碟對 Azure VM 進行無代理程式掃描,您必須將用於 VM CMK 加密的金鑰保存庫的額外許可權授與適用於雲端的 Defender,以建立磁碟的安全複本。
若要手動指派金鑰保存庫的許可權:
-
使用非 RBAC 權限的金鑰保存庫:為「適用於雲端的 Microsoft Defender 伺服器掃描程式資源提供者」(
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) 指派這些權限:金鑰取得、金鑰包裝、金鑰解除包裝。 -
使用 RBAC 權限的金鑰保存庫:為「適用於雲端的 Microsoft Defender 伺服器掃描程式資源提供者」(
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) 指派 Key Vault 密碼編譯服務加密使用者 (部分機器翻譯) 內建角色。
-
使用非 RBAC 權限的金鑰保存庫:為「適用於雲端的 Microsoft Defender 伺服器掃描程式資源提供者」(
若要大規模地為多個 Key Vault 指派這些權限,請使用此指令碼 (英文)。
在 AWS 上啟用無代理程式掃描
在適用於雲端的 Microsoft Defender 中,開啟 [環境設定]。
選取相關帳戶。
針對 Defender 雲端安全性態勢管理 (CSPM) 或 Defender for Servers P2 方案,選取 [設定]。
當您在任一個方案中啟用無代理程式掃描時,這兩個方案都會套用該設定。
在 [設定] 窗格中,開啟 [Agentless scanning for machines] \(適用於機器的無代理程式掃描\)。
選取 [Save and Next: Configure Access] \(儲存和下一步:設定存取\)。
下載 CloudFormation 範本。
使用下載的 CloudFormation 範本,依畫面上的指示,在 AWS 中建立堆疊。 如果要將管理帳戶上線,您必須以 Stack 和 StackSet 兩種形式執行 CloudFormation 範本。 在上線之後,最晚 24 小時內會針對成員帳戶建立連接器。
選取 [下一步:檢閱並產生]。
選取 [更新]。
啟用無代理程式掃描之後,適用於雲端的 Defender 中會自動更新軟體清查與弱點資訊。
在 GCP 上啟用無代理程式掃描
在適用於雲端的 Defender 中,選取 [環境設定]。
選取相關的專案或組織。
針對 Defender 雲端安全性態勢管理 (CSPM) 或 Defender for Servers P2 方案,選取 [設定]。
將無代理程式掃描切換為 [開啟]。
選取 [Save and Next: Configure Access] \(儲存和下一步:設定存取\)。
複製上線指令碼。
在 GCP 組織/專案範圍內 (GCP 入口網站或 gcloud CLI) 執行上線指令碼。
選取 [下一步:檢閱並產生]。
選取 [更新]。
相關內容
深入了解: