الماسح الضوئي المتكامل للثغرات الأمنية Qualys من Defender for Cloud للأجهزة المختلطة وAzure

  • مقالة
  • قراءة خلال 9 دقائق

يرد من المكونات الأساسية للمخاطر والأمن السيبراني تحديد وتحليل الثغرات الأمنية.

يتحقق Defender for Cloud بانتظام من أجهزتك المتصلة للتأكد من أنها تقوم بتشغيل أدوات تقييم الثغرات الأمنية.

عند العثور على جهاز لا يحتوي على حل تقييم الثغرات الأمنية المنشور، ينشئ Defender for Cloud توصية الأمان التالية:

يجب أن يكون لدى الأجهزة حل تقييم الثغرات الأمنية

استخدم هذه التوصية لنشر حل تقييم الثغرات الأمنية على أجهزة Azure الظاهرية والأجهزة المختلطة التي تدعم Azure Arc.

نشر حل تقييم الثغرات الأمنية الذي يلبي احتياجاتك وميزانيتك على أفضل نحو:

  • أدوات إدارة المخاطر والثغرات الأمنية Microsoft Defender لنقطة النهاية - اكتشف الثغرات الأمنية والتكوينات الخاطئة في الوقت الفعلي باستخدام أدوات الاستشعار، ودون الحاجة إلى عوامل أو عمليات فحص دورية. فهو يعطي الأولوية لنقاط الضعف القائمة على وضع التهديد الأفقي، وعمليات الكشف في مؤسستك، والمعلومات الحساسة حول الأجهزة المُعرضة للخطر، والسياق التجاري. تعرف على المزيد في التحقيق في نقاط الضعف مع تهديدات Microsoft Defender لنقطة النهاية للحصول على إدارة المخاطر والثغرات الأمنية

  • حل تقييم الثغرات الأمنية المتكامل (مدعوم من Qualys) - يتضمن Defender for Cloud فحص الثغرات الأمنية لأجهزتك دون أي تكلفة إضافية. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Defender for Cloud. توفر هذه الصفحة تفاصيل هذا الماسح الضوئي وإرشادات حول كيفية نشره.

    تلميح

    يدعم حل تقييم الثغرات الأمنية المتكامل كلا من أجهزة Azure الظاهرية والأجهزة المختلطة. لنشر الماسح الضوئي لتقييم الثغرات الأمنية على الأجهزة المحلية والمتعددة السحابة، قم بتوصيلها ب Azure أولا باستخدام Azure Arc كما هو موضح في الاتصال الأجهزة غير التابعة ل Azure إلى Defender for Cloud.

    يعمل حل تقييم الثغرات الأمنية المتكاملة ل Defender for Cloud بسلاسة مع Azure Arc. عند نشر Azure Arc، ستظهر أجهزتك في Defender for Cloud ولا يلزم وجود عامل Log Analytics.

  • إحضار حلول الترخيص (BYOL) الخاصة بك - يدعم Defender for Cloud تكامل الأدوات من موردين آخرين، ولكنك ستحتاج إلى التعامل مع تكاليف الترخيص والنشر والتكوين. من خلال نشر الأداة الخاصة بك مع Defender for Cloud، ستحصل على معلومات حول أجهزة Azure الظاهرية التي تفتقد الأداة. ستتمكن أيضا من عرض النتائج داخل Defender for Cloud. إذا كنت تفضل استخدام ترخيص Qualys أو Rapid7 الخاص لمؤسستك بدلا من ترخيص Qualys المضمن مع Defender for Cloud، فشاهد كيفية نشر حل BYOL.

التوفر

الجانب التفاصيل
حالة الإصدار: التوافر العام (GA)
أنواع الأجهزة (سيناريوهات مختلطة): أجهزة Azure الظاهرية
الأجهزة التي تدعم Azure Arc
التسعير: يتطلب Microsoft Defender for Servers الخطة 2
الأدوار والأذونات المطلوبة: يمكن للمالك (مستوى مجموعة الموارد) نشر الماسح الضوئي
يمكن لقارئ الأمان عرض النتائج
سحب: ⁩ السحب التجارية
National (Azure Government، Azure China 21Vianet)
حسابات AWS المتصلة

نظرة عامة على الماسح الضوئي المتكامل للثغرات الأمنية

يتم تشغيل الماسح الضوئي للثغرات الأمنية المضمن مع Microsoft Defender for Cloud بواسطة Qualys. الماسح الضوئي Qualys هو واحد من الأدوات الرائدة لتحديد نقاط الضعف في الوقت الحقيقي. وهو متوفر فقط مع Microsoft Defender for Servers. لا تحتاج إلى ترخيص Qualys أو حتى حساب Qualys - يتم التعامل مع كل شيء بسلاسة داخل Defender for Cloud.

كيفية عمل الماسح الضوئي المتكامل للثغرات الأمنية

يعمل ملحق الماسح الضوئي للثغرات الأمنية كما يلي:

  1. Deploy - يراقب Microsoft Defender for Cloud أجهزتك ويقدم توصيات لنشر ملحق Qualys على جهازك/أجهزتك المحددة.

  2. جمع المعلومات - يجمع الملحق البيانات الاصطناعية ويرسلها للتحليل في خدمة Qualys السحابية في المنطقة المحددة.

  3. تحليل - تجري خدمة Qualys السحابية تقييم الثغرات الأمنية وترسل نتائجها إلى Defender for Cloud.

    هام

    لضمان الخصوصية والسرية والأمان لعملائنا، لا نشارك تفاصيل العملاء مع Qualys. تعرف على المزيد حول معايير الخصوصية المضمنة في Azure.

  4. تقرير - النتائج متاحة في Defender for Cloud.

Process flow diagram for Microsoft Defender for Cloud's built-in vulnerability scanner.

نشر الماسح الضوئي المتكامل إلى أجهزة Azure والهجينة

  1. من مدخل Microsoft Azure، حدد Defender for Cloud.

  2. من قائمة Defender for Cloud، افتح صفحة التوصيات.

  3. حدد التوصية يجب أن يكون لدى الأجهزة حل تقييم الثغرات الأمنية.

    The groupings of the machines in the recommendation page.

    تلميح

    الجهاز "server16-test" أعلاه، هو جهاز يدعم Azure Arc. لنشر الماسح الضوئي لتقييم الثغرات الأمنية على الأجهزة المحلية والمتعددة السحابة، راجع الاتصال الأجهزة غير التابعة ل Azure إلى Defender for Cloud.

    يعمل Defender for Cloud بسلاسة مع Azure Arc. عند نشر Azure Arc، ستظهر أجهزتك في Defender for Cloud ولا يلزم وجود عامل Log Analytics.

    ستظهر أجهزتك في مجموعة واحدة أو أكثر من المجموعات التالية:

    • الموارد الصحية - اكتشف Defender for Cloud حلا لتقييم الثغرات الأمنية يعمل على هذه الأجهزة.

    • الموارد غير السليمة - يمكن نشر ملحق الماسح الضوئي للثغرات الأمنية على هذه الأجهزة.

    • الموارد غير القابلة للتطبيق - لا يمكن نشر ملحق الماسح الضوئي للثغرات الأمنية لهذه الأجهزة. قد يكون جهازك في علامة التبويب هذه لأنه صورة في نظام مجموعة AKS، أو أنه جزء من مجموعة مقياس الجهاز الظاهري، أو أنه لا يشغل أحد أنظمة التشغيل المدعومة للماسح الضوئي المتكامل للثغرات الأمنية:

      المورد نظام التشغيل الإصدارات المدعومة
      Microsoft Windows الكل
      Amazon Amazon Linux 2015.09-2018.03
      Amazon Amazon Linux 2 2017.03-2.0.2021
      Red Hat Enterprise Linux 5.4+، 6، 7-7.9، 8-8.5، 9 بيتا
      Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
      Red Hat Fedora 22-33
      SUSE Linux Enterprise Server (SLES) 11، 12، 15، 15 SP1
      SUSE openSUSE 12, 13, 15.0-15.3
      SUSE قفزه 42.1
      Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
      Debian Debian 7.x-11.x
      Ubuntu Ubuntu 12.04 LTS، 14.04 LTS، 15.x، 16.04 LTS، 18.04 LTS، 19.10، 20.04 LTS

  4. من قائمة الأجهزة غير الصحية، حدد الأجهزة لتلقي حل تقييم الثغرات الأمنية وحدد معالجة.

    هام

    اعتمادا على التكوين الخاص بك، قد تظهر هذه القائمة بشكل مختلف.

    • إذا لم يتم تكوين ماسح ضوئي للثغرات الأمنية تابع لجهة خارجية، فلن تتاح لك الفرصة لنشره.
    • إذا لم تكن الأجهزة المحددة محمية بواسطة Microsoft Defender for Servers، فلن يتوفر خيار الماسح الضوئي المتكامل للثغرات الأمنية ل Defender for Cloud.

    The options for which type of remediation flow you want to choose when responding to the recommendation ** Machines should have a vulnerability assessment solution** recommendation page

  5. اختر الخيار الموصى به، ونشر الماسح الضوئي المتكامل للثغرات الأمنية، والمتابعة.

  6. ستتم مطالبتك بتأكيد آخر. حدد معالجة.

    سيتم تثبيت ملحق الماسح الضوئي على جميع الأجهزة المحددة في غضون بضع دقائق.

    يبدأ الفحص تلقائيا بمجرد نشر الملحق بنجاح. ثم سيتم تشغيل عمليات الفحص كل 12 ساعة. هذا الفاصل الزمني غير قابل للتكوين.

    هام

    إذا فشل النشر على جهاز واحد أو أكثر، فتأكد من أن الأجهزة المستهدفة يمكنها الاتصال بخدمة Qualys السحابية عن طريق إضافة عناوين IP التالية إلى قوائم السماح الخاصة بك (عبر المنفذ 443 - الافتراضي ل HTTPS):

    • https://qagpublic.qg3.apps.qualys.com - مركز بيانات Qualys في الولايات المتحدة

    • https://qagpublic.qg2.apps.qualys.eu - مركز البيانات الأوروبي Qualys

    إذا كان جهازك في منطقة Azure الأوروبية، فستتم معالجة البيانات الاصطناعية الخاصة به في مركز البيانات الأوروبي في Qualys. يتم إرسال البيانات الاصطناعية للأجهزة الظاهرية الموجودة في مكان آخر إلى مركز البيانات الأمريكي.

أتمتة عمليات النشر على نطاق واسع

ملاحظة

تتوفر جميع الأدوات الموضحة في هذا القسم من مستودع مجتمع Defender for Cloud GitHub. هناك، يمكنك العثور على البرامج النصية والأتمتة والموارد المفيدة الأخرى لاستخدامها في جميع أنحاء نشر Defender for Cloud.

تؤثر بعض هذه الأدوات فقط على الأجهزة الجديدة المتصلة بعد تمكين النشر على نطاق واسع. وينشر آخرون أيضا على الأجهزة الموجودة. يمكنك الجمع بين نهج متعددة.

بعض الطرق التي يمكنك من خلالها أتمتة النشر على نطاق الماسح الضوئي المتكامل:

  • Azure Resource Manager – يتوفر هذا الأسلوب من منطق توصية العرض في مدخل Microsoft Azure. يتضمن البرنامج النصي للمعالجة قالب ARM ذي الصلة الذي يمكنك استخدامه للأتمتة الخاصة بك: The remediation script includes the relevant ARM template you can use for your automation.
  • نهج DeployIfNotExists - نهج مخصص لضمان تلقي جميع الأجهزة التي تم إنشاؤها حديثا الماسح الضوئي. حدد Deploy to Azure وقم بتعيين المعلمات ذات الصلة. يمكنك تعيين هذا النهج على مستوى مجموعات الموارد أو الاشتراكات أو مجموعات الإدارة.
  • برنامج PowerShell النصي - استخدم Update qualys-remediate-unhealthy-vms.ps1 البرنامج النصي لنشر الملحق لجميع الأجهزة الظاهرية غير السليمة. للتكوين على موارد جديدة، قم بأتمتة البرنامج النصي باستخدام Azure Automation. يعثر البرنامج النصي على جميع الأجهزة غير السليمة التي تم اكتشافها بواسطة التوصية وينفذ استدعاء Resource Manager Azure.
  • Azure Logic Apps - إنشاء تطبيق منطقي استنادا إلى نموذج التطبيق. استخدم أدوات أتمتة سير عمل Defender for Cloud لتشغيل تطبيق المنطق لنشر الماسح الضوئي كلما كان يجب أن يكون لدى الأجهزة توصية حل تقييم الثغرات الأمنية لمورد.
  • REST API - لنشر حل تقييم الثغرات الأمنية المتكاملة باستخدام Defender for Cloud REST API، قم بإجراء طلب PUT ل URL التالي وإضافة معرف المورد ذي الصلة: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

تشغيل فحص عند الطلب

يمكنك تشغيل فحص عند الطلب من الجهاز نفسه، باستخدام البرامج النصية المنفذة محليا أو عن بعد أو نهج المجموعة Object (GPO). بدلا من ذلك، يمكنك دمجه في أدوات توزيع البرامج في نهاية مهمة نشر التصحيح.

تؤدي الأوامر التالية إلى إجراء فحص عند الطلب:

  • Windows الأجهزة:REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • أجهزة Linux: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

الأسئلة المتداولة - ماسح ضوئي متكامل للثغرات الأمنية (مدعوم من Qualys)

هل هناك أي رسوم إضافية لترخيص Qualys؟

كلا. الماسح الضوئي المضمن مجاني لجميع مستخدمي Microsoft Defender for Servers. تنشر التوصية الماسح الضوئي بمعلومات الترخيص والتكوين الخاصة به. لا يلزم الحصول على تراخيص إضافية.

ما المتطلبات الأساسية والأذونات المطلوبة لتثبيت ملحق Qualys؟

ستحتاج إلى أذونات الكتابة لأي جهاز تريد نشر الملحق عليه.

يتم تشغيل ملحق تقييم الثغرات الأمنية في Microsoft Defender for Cloud (مدعوم من Qualys)، مثل الملحقات الأخرى، أعلى عامل Azure Virtual Machine. لذلك يتم تشغيله كمضيف محلي على Windows، والجذر على Linux.

أثناء الإعداد، يتحقق Defender for Cloud للتأكد من أن الجهاز يمكنه الاتصال بمركزي بيانات Qualys التاليين (عبر المنفذ 443 - الافتراضي ل HTTPS):

  • https://qagpublic.qg3.apps.qualys.com - مركز بيانات Qualys في الولايات المتحدة
  • https://qagpublic.qg2.apps.qualys.eu - مركز البيانات الأوروبي Qualys

لا يقبل الملحق حاليا أي تفاصيل تكوين الوكيل.

هل يمكنني إزالة ملحق Defender for Cloud Qualys؟

إذا كنت تريد إزالة الملحق من جهاز، يمكنك القيام بذلك يدويا أو باستخدام أي من الأدوات البرمجية الخاصة بك.

ستحتاج إلى التفاصيل التالية:

  • على Linux، يسمى الملحق "LinuxAgent.AzureSecurityCenter" واسم الناشر هو "Qualys"
  • في Windows، يسمى الملحق "WindowsAgent.AzureSecurityCenter" واسم الموفر هو "Qualys"

كيف يتم تحديث الملحق؟

مثل عامل Microsoft Defender for Cloud نفسه وجميع ملحقات Azure الأخرى، قد تحدث التحديثات الثانوية للماسح الضوئي Qualys تلقائيا في الخلفية. يتم اختبار جميع العوامل والملحقات على نطاق واسع قبل نشرها تلقائيا.

لماذا يظهر جهازي على أنه "غير قابل للتطبيق" في التوصية؟

تجمع صفحة تفاصيل التوصية أجهزتك في القوائم التالية: سليمة وغير صحيةوغير قابلة للتطبيق.

إذا كانت لديك أجهزة في مجموعة الموارد غير القابلة للتطبيق ، فهذا يعني أنه لا يمكن ل Defender for Cloud نشر ملحق الماسح الضوئي للثغرات الأمنية على تلك الأجهزة.

قد يكون جهازك في علامة التبويب هذه بسبب:

  • إنه غير محمي بواسطة Defender for Cloud - كما هو موضح أعلاه، يتوفر الماسح الضوئي للثغرات الأمنية المضمن في Microsoft Defender for Cloud فقط للأجهزة المحمية بواسطة Microsoft Defender for Servers.

  • إنها صورة في مجموعة AKS أو جزء من مجموعة مقياس الجهاز الظاهري - لا يدعم هذا الملحق الأجهزة الظاهرية التي هي موارد PaaS.

  • لا يعمل بأحد أنظمة التشغيل المدعومة:

    المورد نظام التشغيل الإصدارات المدعومة
    Microsoft Windows الكل
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+، 6، 7-7.9، 8-8.5، 9 بيتا
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11، 12، 15، 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE قفزه 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS، 14.04 LTS، 15.x، 16.04 LTS، 18.04 LTS، 19.10، 20.04 LTS

ما الذي يتم مسحه ضوئيا بواسطة الماسح الضوئي المضمن للثغرات الأمنية؟

يعمل الماسح الضوئي على جهازك للبحث عن الثغرات الأمنية للجهاز نفسه. من الجهاز، لا يمكنه مسح شبكتك ضوئيا.

هل يتكامل الماسح الضوئي مع وحدة تحكم Qualys الموجودة؟

ملحق Defender for Cloud هو أداة منفصلة عن الماسح الضوئي Qualys الحالي. تعني قيود الترخيص أنه لا يمكن استخدامها إلا داخل Microsoft Defender for Cloud.

ما مدى سرعة تحديد الماسح الضوئي للثغرات الأمنية الحرجة التي تم الكشف عنها حديثا؟

في غضون 48 ساعة من الكشف عن ثغرة أمنية حرجة، يدمج Qualys المعلومات في معالجتها ويمكنه تحديد الأجهزة المتأثرة.

الخطوات التالية

معالجة النتائج من حل تقييم الثغرات الأمنية

يوفر Defender for Cloud أيضا تحليل الثغرات الأمنية ل: