Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Machinescans zonder agent in Microsoft Defender voor Cloud verbetert de beveiligingspostuur van machines die zijn verbonden met Defender voor Cloud.
Scannen zonder agent heeft geen geïnstalleerde agents of netwerkconnectiviteit nodig en heeft geen invloed op de prestaties van de machine. Scannen van machines zonder agent:
- Scans endpoint detection and response (EDR)-instellingen: Scan machines om te beoordelen of ze een EDR-oplossing uitvoeren en of instellingen juist zijn als machines integreren met Microsoft Defender voor Eindpunt. Meer informatie
- Scans software-inventaris: Scan uw software-inventaris met de geïntegreerde beheerfunctie van Microsoft Defender voor kwetsbaarheidsbeheer.
- Scans voor beveiligingsproblemen: Beoordeel machines op beveiligingsproblemen met gebruik van geïntegreerde Defender Vulnerability Management.
- Scant op geheimen op computers: zoek geheimen zonder opmaak in uw rekenomgeving met scannen van geheimen zonder agent.
- Scans voor malware: Scan apparaten op malware en virussen met behulp van Microsoft Defender Antivirus.
- Scans van VM's die draaien als Kubernetes-knooppunten: Kwetsbaarheidsbeoordeling en malwarescans zijn beschikbaar voor VM's die draaien als Kubernetes-knooppunten wanneer Defender voor Servers Plan 2 of het Defender voor Containers-plan is ingeschakeld. Alleen beschikbaar in commerciële clouds.
Scannen zonder agent is beschikbaar in de volgende Defender voor Cloud abonnementen:
- Defender CSPM (Cloud Security Posture Management).
- Defender voor Servers Plan 2.
- Malwarescans zijn alleen beschikbaar in Defender voor Servers Abonnement 2.
- Scannen zonder agent is beschikbaar voor Azure VM's, AWS EC2- en GCP-rekeninstanties die zijn verbonden met Defender voor Cloud.
Architectuur voor scannen zonder agent
Zo werkt scannen zonder agent:
Defender voor Cloud maakt momentopnamen van VM-schijven (root + gegevensschijf) en voert een out-of-band-analyse uit van de configuratie van het besturingssysteem en het bestandssysteem dat is opgeslagen in de momentopname.
- De gekopieerde momentopname blijft in dezelfde regio als de virtuele machine.
- De scan heeft geen invloed op de VIRTUELE machine.
Nadat Defender voor Cloud de benodigde metagegevens van de gekopieerde schijf heeft opgehaald, wordt de gekopieerde momentopname van de schijf onmiddellijk verwijderd en worden de metagegevens verzonden naar relevante Microsoft-engines om configuratieproblemen en mogelijke bedreigingen te detecteren. In de evaluatie van beveiligingsproblemen wordt de analyse bijvoorbeeld uitgevoerd door Defender Vulnerability Management.
Defender voor Cloud geeft scanresultaten weer, waarmee zowel de agentgebaseerde als agentloze resultaten op de pagina Beveiligingswaarschuwingen worden geconsolideerd.
Defender voor Cloud analyseert schijven in een scanomgeving die regionaal, vluchtig, geïsoleerd en zeer veilig is. Momentopnamen van schijven en gegevens die niet zijn gerelateerd aan de scan, worden niet langer opgeslagen dan nodig is om de metagegevens te verzamelen, meestal een paar minuten.
Machtigingen die worden gebruikt door scannen zonder agent
Defender voor Cloud specifieke rollen en machtigingen gebruikt om zonder agent te scannen.
- In Azure worden deze machtigingen automatisch toegevoegd aan uw abonnementen wanneer u scannen zonder agent inschakelt.
- In AWS worden deze machtigingen toegevoegd aan de CloudFormation-stack in uw AWS-connector.
- In GCP worden deze machtigingen toegevoegd aan het onboardingscript in uw GCP-connector.
Azure machtigingen
De ingebouwde rol VM-scanneroperator heeft alleen-lezenmachtigingen voor VM-schijven die vereist zijn voor het snapshotproces. De gedetailleerde lijst met machtigingen is:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Wanneer dekking voor versleutelde CMK-schijven is ingeschakeld, zijn er meer machtigingen vereist:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS-machtigingen
De rol VmScanner wordt toegewezen aan de scanner wanneer u scannen zonder agent inschakelt. Deze rol heeft de minimale machtigingen ingesteld voor het maken en opschonen van momentopnamen (scoped per tag) en om de huidige status van de virtuele machine te controleren. De gedetailleerde machtigingen zijn:
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Acties | ec2:DeleteSnapshot |
| Voorwaarden | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Middelen | arn:aws:ec2:::snapshot/ |
| Effect | Toestaan |
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerAccess |
| Acties | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Voorwaarden | Geen |
| Middelen | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Effect | Toestaan |
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerVerificationAccess |
| Acties | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Voorwaarden | Geen |
| Middelen | * |
| Effect | Toestaan |
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Acties | kms:SleutelAanmaken |
| Voorwaarden | Geen |
| Middelen | * |
| Effect | Toestaan |
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Acties | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Voorwaarden | Geen |
| Middelen | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Effect | Toestaan |
| Kenmerk | Weergegeven als |
|---|---|
| SID | VmScannerEncryptiesleutelgebruik |
| Acties | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Voorwaarden | Geen |
| Middelen | arn:aws:kms::${AWS::AccountId}: key/ |
| Effect | Toestaan |
GCP-machtigingen
Tijdens de onboarding wordt een nieuwe aangepaste rol gemaakt met minimale machtigingen die nodig zijn om de status van exemplaren op te halen en momentopnamen te maken.
Daarnaast worden machtigingen voor een bestaande GCP KMS-rol verleend ter ondersteuning van scanschijven die zijn versleuteld met CMEK. De rollen zijn:
- roles/MDCAgentlessScanningRole verleend aan het serviceaccount van Defender voor Cloud met machtigingen: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter verleend aan de compute engine-agent van Defender voor Cloud
Volgende stappen
Schakel machinescans zonder agent in.