Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Agentlös maskingenomsökning i Microsoft Defender för molnet förbättrar säkerhetsstatusen för datorer som är anslutna till Defender för molnet.
Agentlös genomsökning behöver inga installerade agenter eller nätverksanslutningar och påverkar inte datorns prestanda. Agentlös datorgenomsökning:
- Skannar inställningar för slutpunktsdetektering och åtgärd (EDR): Skanna enheter för att bedöma om de kör en EDR-lösning och om inställningarna är korrekta om enheterna är integrerade med Microsoft Defender för Endpoint. Läs mer
- Skanna programvaruinventariet: Skanna ditt programvaruinventarie med integrerad Microsoft Defender sårbarhetshantering.
- Skannar efter sårbarheter: Bedöm maskiners sårbarheter med integrerad Defender – hantering av säkerhetsrisker.
- Söker efter hemligheter på maskiner: Leta upp okrypterade hemligheter i klartext i din beräkningsmiljö genom agentlös hemlighetsskanning.
- Scans for malware: Skanna datorer efter skadlig programvara och virusar using Microsoft Defender Antivirus.
- Skannar virtuella maskiner som körs som Kubernetes-noder: Sårbarhetsbedömning och skanning efter skadlig programvara är tillgänglig för virtuella maskiner som körs som Kubernetes-noder när Defender för servrar plan 2 eller Defender för containers-planen är aktiverad. Endast tillgängligt i kommersiella moln.
Agentlös genomsökning är tillgänglig i följande Defender för molnet planer:
- Defender CSPM (Cloud Security Posture Management) .
- Defender för serverplan 2.
- Genomsökning av skadlig kod är endast tillgängligt i Defender för serverplan 2.
- Agentlös genomsökning är tillgänglig för Azure virtuella datorer, AWS EC2- och GCP-beräkningsinstanser som är anslutna till Defender för molnet.
Arkitektur för agentlös genomsökning
Så här fungerar agentlös genomsökning:
Defender för molnet tar ögonblicksbilder av virtuella datordiskar (rot - och datadisk) och utför en out-of-band, djupanalys av operativsystemets konfiguration och filsystem som lagras i ögonblicksbilden.
- Den kopierade ögonblicksbilden finns kvar i samma region som den virtuella datorn.
- Genomsökningen påverkar inte den virtuella datorn.
När Defender för molnet hämtar nödvändiga metadata från den kopierade disken tar den omedelbart bort den kopierade ögonblicksbilden av disken och skickar metadata till relevanta Microsoft motorer för att identifiera konfigurationsluckor och potentiella hot. I sårbarhetsbedömning görs till exempel analysen av Defender – hantering av säkerhetsrisker.
Defender för molnet visar genomsökningsresultat, vilket konsoliderar både agentbaserade och agentlösa resultat på sidan Säkerhetsaviseringar.
Defender för molnet analyserar diskar i en genomsökningsmiljö som är regional, instabil, isolerad och mycket säker. Diskögonblicksbilder och data som inte är relaterade till genomsökningen lagras inte längre än vad som är nödvändigt för att samla in metadata, vanligtvis några minuter.
Behörigheter som används vid agentlös genomsökning
Defender för molnet använde specifika roller och behörigheter för att utföra agentlös genomsökning.
- I Azure läggs dessa behörigheter automatiskt till i dina prenumerationer när du aktiverar agentlös genomsökning.
- I AWS läggs dessa behörigheter till i CloudFormation-stacken i AWS-anslutningstjänsten.
- I GCP läggs dessa behörigheter till i registreringsskriptet i GCP-anslutningsappen.
Azure behörigheter
Den inbyggda rollen VM-skanneroperatör har skrivskyddade behörigheter för VM-diskar som krävs för snapshot-processen. Den detaljerade listan över behörigheter är:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
När täckning för CMK-krypterade diskar är aktiverat krävs fler behörigheter:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS-behörigheter
Rollen VmScanner tilldelas skannern när du aktiverar agentlös genomsökning. Den här rollen har den minsta behörighetsuppsättningen för att skapa och rensa ögonblicksbilder (omfångsbegränsade efter tagg) och för att verifiera den virtuella datorns aktuella tillstånd. De detaljerade behörigheterna är:
| Attribut | Värde |
|---|---|
| SID | VmScannerTaBortSnapshotÅtkomst |
| Åtgärder | ec2:DeleteSnapshot |
| Villkor | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Resurser | arn:aws:ec2:::snapshot/ |
| Effekt | Tillåt |
| Attribut | Värde |
|---|---|
| SID | VmScannerAccess |
| Åtgärder | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Villkor | Ingen |
| Resurser | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Effekt | Tillåt |
| Attribut | Värde |
|---|---|
| SID | VmScannerVerificationAccess |
| Åtgärder | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Villkor | Ingen |
| Resurser | * |
| Effekt | Tillåt |
| Attribut | Värde |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Åtgärder | kms:CreateKey |
| Villkor | Ingen |
| Resurser | * |
| Effekt | Tillåt |
| Attribut | Värde |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Åtgärder | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Villkor | Ingen |
| Resurser | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Effekt | Tillåt |
| Attribut | Värde |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| Åtgärder | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Villkor | Ingen |
| Resurser | arn:aws:kms::${AWS::AccountId}: key/ |
| Effekt | Tillåt |
GCP-behörigheter
Under registrering skapas en ny anpassad roll med minimal behörighet som krävs för att hämta instansstatus och skapa ögonblicksbilder.
Dessutom beviljas behörigheter till en befintlig GCP KMS-roll för att stödja genomsökning av diskar som är krypterade med CMEK. Rollerna är:
- roles/MDCAgentlessScanningRole som har beviljats till Defender för molnet's tjänstkonto med behörigheter med rollen: compute.disks.createSnapshot, compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter beviljat till Defender för molnets Compute Engine-tjänstagent