Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A varredura de máquinas sem agentes ajuda-o a descobrir vulnerabilidades, segredos, sinais de malware e inventário de software em máquinas cloud sem necessidade de implementar agentes de endpoint. No Microsoft Defender para a Cloud, esta funcionalidade passa pelos seus conectores cloud para que as equipas de segurança possam escalar a cobertura com baixo overhead operacional e impacto mínimo no desempenho. Este artigo explica como ativar e gerir a análise nos ambientes Azure, AWS e GCP para que possa configurar a proteção rapidamente e começar a investigar os resultados. Se o seu ambiente tiver dependências de planos ou permissões, reveja os pré-requisitos antes de começar.
Overview
A verificação de máquinas sem agente no Microsoft Defender para a Cloud melhora a postura de segurança das máquinas conectadas ao Defender para a Cloud. A verificação de máquinas sem agente inclui recursos como a verificação de inventário de software, vulnerabilidades, segredos e malware.
- A verificação sem agente não requer agentes instalados ou conectividade de rede e não afeta o desempenho da máquina.
- Você pode ativar ou desativar a verificação de máquinas sem agente, mas não pode desativar funcionalidades individuais.
- As verificações só são executadas em VMs em execução. As VMs que estão desativadas durante uma verificação não são verificadas.
- A verificação é executada num programa não configurável a cada 24 horas.
Quando ativa o Defender for Servers Plan 2 ou a gestão da postura de segurança na cloud do Defender (GPSC do Defender), a análise de máquinas sem agente está ativada por predefinição. Se necessário, utilize os procedimentos deste artigo para permitir a varredura manual de máquinas sem agente.
Pré-requisitos
| Requisito | Detalhes |
|---|---|
| Plano | Para usar a varredura sem agente, o plano de gestão de postura de segurança na nuvem Defender (GPSC do Defender) ou o plano Defender para o Plano de Servidores 2 deve estar ativado. Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração é habilitada para ambos os planos. |
| Verificação de malware | A verificação de malware só está disponível quando o Defender for Servers Plan 2 está ativado. Para a análise de malware nos nós de VMs do Kubernetes, é necessário ter o Defender para Servidores Plano 2 ou o plano Defender para Contentores. |
| Máquinas suportadas | Você pode verificar máquinas virtuais (VMs) do Azure, instâncias do Amazon Web Services (AWS) Elastic Compute Cloud (EC2) e instâncias de computação do Google Cloud Platform (GCP) sem instalar um agente, se elas estiverem conectadas ao Microsoft Defender para a Cloud. |
| Máquinas virtuais do Azure | A verificação sem agente está disponível em VMs padrão do Azure com: - Tamanho máximo total do disco de 4 TB (soma de todos os discos). Se este limite for ultrapassado, apenas o disco do sistema operativo é analisado, caso o disco do sistema operativo tenha menos de 4 TB. - Número máximo de discos permitidos: seis - Conjunto de escala de máquina virtual - Flex Suporte para discos que são: - Não criptografado - Criptografado (discos gerenciados usando criptografia de Armazenamento do Azure com chaves gerenciadas por plataforma (PMK)) - Criptografado com chaves gerenciadas pelo cliente. |
| AWS | A verificação sem agente está disponível no EC2, em instâncias de dimensionamento automático e em discos não criptografados, criptografados (PMK) e criptografados (CMK). As AMIs que exigem licenciamento de terceiros, por exemplo, do AWS Marketplace, não são suportadas. |
| GCP | A verificação sem agente está disponível em instâncias de computação, grupos de instâncias (gerenciadas e não gerenciadas), com chaves de criptografia gerenciadas pelo Google e chave de criptografia gerenciada pelo cliente (CMEK) |
| Nodos do Kubernetes | A verificação sem agente de vulnerabilidades e malware em VMs de nó do Kubernetes está disponível. Para a avaliação de vulnerabilidades, é necessário o Defender para Servidores Plano 2, o plano Defender para Containers ou o plano Defender para gestão da postura de segurança na cloud (GPSC do Defender). Para a verificação de malware, é necessário o Defender for Servers Plan 2 ou o Defender for Containers. |
| Permissões | Analise as permissões usadas pelo Defender para a Cloud para verificação sem agente. |
| Não suportado | Tipo de disco - Se algum dos discos da VM estiver nessa lista, a VM não será verificada: - UltraSSD_LRS - PremiumV2_LRS - Azure Kubernetes Service (AKS) Discos Efémeros do Sistema Operativo Tipo de recurso: - VM Databricks Sistemas de ficheiros: - UFS (Sistema de Arquivos Unix) - ReFS (Sistema de Arquivos Resiliente) - ZFS (Membro ZFS) Formatos de armazenamento RAID e Block: - OracleASM (Oracle Automatic Storage Management) - DRBD (Dispositivo de Bloco Replicado Distribuído) - Linux_Raid_Member Mecanismos de integridade: - DM_Verity_Hash - Troca |
Habilitar a verificação sem agente no Azure
Para permitir a análise sem agente no Azure:
No Defender para a Cloud, abra Configurações de ambiente.
Selecione a subscrição relevante.
Para o plano GPSC do Defender ou Defender for Servers Plan 2, selecione Configurações.
Em Definições e monitorização, ative a análise sem agente para máquinas.
Selecione Guardar.
Habilitar para VMs do Azure com discos criptografados CMK
Para permitir a varredura sem agente para VMs do Azure com discos encriptados com chave gerida pelo cliente (CMK):
Para a verificação sem agente de VMs do Azure com discos criptografados CMK, você precisa conceder permissões extras ao Defender para a Cloud nos Cofres de Chaves usados para criptografia CMK para as VMs, para criar uma cópia segura dos discos.
Para atribuir manualmente as permissões num Key Vault:
-
Cofres de chaves com permissões não RBAC: Atribua "Microsoft Defender para a Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) estas permissões: Key Get, Key Wrap, Key Unwrap. -
Cofres de chaves usando permissões RBAC: Atribua "Microsoft Defender para a Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) à função interna Key Vault Crypto Service Encryption User.
-
Cofres de chaves com permissões não RBAC: Atribua "Microsoft Defender para a Cloud Servers Scanner Resource Provider" (
Para atribuir essas permissões em escala para vários Cofres de Chaves, use este script.
Habilite a verificação sem agente na AWS
Para permitir a varredura sem agente na AWS:
No Defender para a Cloud, abra Configurações de ambiente.
Selecione a conta relevante.
Para o Defender para gestão da postura de segurança na cloud (GPSC do Defender) ou o Defender para Servidores Plano 2, selecione Definições.
Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração se aplica a ambos os planos.
No painel de configurações, ative a verificação sem agente para máquinas.
Selecione Salvar e Avançar: Configurar o acesso.
Faça o download do modelo CloudFormation.
Usando o modelo do CloudFormation baixado, crie a pilha na AWS conforme as instruções na tela. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e StackSet. Conectores serão criados para as contas dos membros até 24 horas após o processo de integração.
Selecione Seguinte: Rever e Gerar.
Selecione Atualizar.
Depois de ativar a verificação sem agente, o inventário de software e as informações de vulnerabilidade são atualizados automaticamente no Defender para a Cloud.
Ative a análise sem agente no GCP
Para permitir a análise sem agente na Google Cloud Platform (GCP):
No Defender para a Cloud, selecione Configurações de ambiente.
Selecione o projeto ou organização relevante.
No Defender cloud security posture management (GPSC do Defender) ou no Defender para Servidores Plano 2, selecione Definições.
Defina a varredura sem agente em Ativada.
Selecione Salvar e Avançar: Configurar o acesso.
Copie o script de integração.
Execute o script de integração no escopo da organização/projeto do GCP (portal GCP ou CLI do gcloud).
Selecione Seguinte: Rever e Gerar.
Selecione Atualizar.
