Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’analyse des machines sans agent dans Microsoft Defender for Cloud améliore la posture de sécurité des machines connectées à Defender for Cloud.
L’analyse sans agent n’a pas besoin d’agents installés ni de connectivité réseau et n’affecte pas les performances des machines. Analyse des machines sans agent :
- Scans des paramètres de détection et de réponse sur les points de terminaison (EDR) : analyse des machines pour déterminer si elles exécutent une solution EDR et si les paramètres sont corrects lorsque les machines s'intègrent à Microsoft Defender pour Endpoint. Pour en savoir plus
- Inventaire des logiciels scanné : Scannez votre inventaire de logiciels avec la gestion des vulnérabilités intégrée de Microsoft Defender.
- Scans à la recherche de vulnérabilités : Évaluer les machines pour les vulnérabilités en utilisant la gestion des vulnérabilités de Defender intégrée.
- Recherche de secrets sur des machines : repérez les secrets en texte brut dans votre environnement Compute avec la recherche de secrets sans agent.
- Scans pour logiciels malveillants : Scanner les machines pour détecter les logiciels malveillants et les virus avec Microsoft Defender Antivirus.
- Scans des machines virtuelles s’exécutant en tant que nœuds Kubernetes : L'évaluation des vulnérabilités et l'analyse des programmes malveillants sont disponibles pour les machines virtuelles s’exécutant en tant que nœuds Kubernetes lorsque le plan Defender pour les serveurs Plan 2 ou le plan Defender pour les conteneurs est activé. Disponible dans les clouds commerciaux uniquement.
L’analyse sans agent est disponible dans les plans de Defender for Cloud suivants :
- Defender Cloud Security Posture Management (CSPM).
- Defender for Servers Plan 2.
- L’analyse des programmes malveillants n’est disponible que dans Defender pour les serveurs Plan 2.
- L’analyse sans agent est disponible pour les machines virtuelles Azure, les instances de calcul AWS EC2 et GCP connectées à Defender for Cloud.
Architecture de l’analyse sans agent
Voici le fonctionnement de l’analyse sans agent :
Defender for Cloud prend des captures instantanées de disques de machine virtuelle (disque racine + disque de données) et effectue une analyse approfondie de la configuration du système d’exploitation et du système de fichiers stockés dans l’instantané.
- L’instantané copié reste dans la même région que la machine virtuelle.
- L’analyse n’affecte pas la machine virtuelle.
Une fois Defender for Cloud obtenir les métadonnées nécessaires du disque copié, il supprime immédiatement l’instantané copié du disque et envoie les métadonnées aux moteurs de Microsoft pertinents pour détecter les lacunes de configuration et les menaces potentielles. Par exemple, dans l’évaluation des vulnérabilités, l’analyse est effectuée par Defender Vulnerability Management.
Defender for Cloud affiche les résultats d’analyse, qui consolident les résultats basés sur l’agent et sans agent sur la page Alertes de sécurité.
Defender for Cloud analyse les disques dans un environnement d'analyse qui est régional, volatile, isolé et hautement sécurisé. Les instantanés de disque et les données sans lien avec l’analyse ne sont pas stockés plus longtemps qu’il ne faut pour collecter les métadonnées, généralement quelques minutes.
Autorisations utilisées par l’analyse sans agent
Defender for Cloud utilisé des rôles et des autorisations spécifiques pour effectuer une analyse sans agent.
- Dans Azure, ces autorisations sont automatiquement ajoutées à vos abonnements lorsque vous activez l’analyse sans agent.
- Dans AWS, ces autorisations sont ajoutées à la pile CloudFormation dans votre connecteur AWS.
- Dans GCP, ces autorisations sont ajoutées au script d’intégration dans votre connecteur GCP.
autorisations de Azure
Le rôle intégré opérateur de scanner de VM dispose de permissions en lecture seule pour les disques VM requis pour le processus de création d’instantanés. Voici la liste détaillée des autorisations :
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Lorsque la couverture des disques chiffrés CMK est activée, d’autres autorisations sont requises :
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
Autorisations AWS
Le rôle VmScanner est affecté au scanneur lorsque vous activez l’analyse sans agent. Ce rôle dispose de l’ensemble d’autorisations minimal pour créer et nettoyer des instantanés (délimités par balise), et vérifier l’état actuel de la machine virtuelle. Les autorisations détaillées sont les suivantes :
| Attribut | Valeur |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Actions | ec2:DeleteSnapshot |
| Conditions | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Ressources | arn:aws:ec2:::snapshot/ |
| Résultat | Allow |
| Attribut | Valeur |
|---|---|
| SID | VmScannerAccess |
| Actions | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2 :CreateSnapshot |
| Conditions | Aucun |
| Ressources | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Résultat | Allow |
| Attribut | Valeur |
|---|---|
| SID | VmScannerVerificationAccess |
| Actions | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Conditions | Aucun |
| Ressources | * |
| Résultat | Allow |
| Attribut | Valeur |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Actions | kms :CreateKey |
| Conditions | Aucun |
| Ressources | * |
| Résultat | Allow |
| Attribut | Valeur |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Actions | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms :CreateAlias kms:ListResourceTags |
| Conditions | Aucun |
| Ressources | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Résultat | Allow |
| Attribut | Valeur |
|---|---|
| SID | Utilisation de la clé de chiffrement du scanner VM |
| Actions | kms:GenerateDataKeyWithoutPlaintext kms :DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Conditions | Aucun |
| Ressources | arn:aws:kms::${AWS::AccountId}: key/ |
| Résultat | Allow |
Autorisations GCP
Pendant l’intégration, un personnalisé est créé avec les autorisations minimales requises pour obtenir l’état des instances et créer des captures instantanées.
En outre, des autorisations à un rôle GCP KMS existant sont accordées pour prendre en charge l’analyse des disques chiffrés avec CMEK. Ces rôles sont les suivants :
- roles/MDCAgentlessScanningRole est attribué au compte de service de Defender for Cloud avec les autorisations suivantes : compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter est attribué à l’agent de service Compute Engine de Defender for Cloud