Biztonságirés-vizsgálat engedélyezése az integrált Qualys-szkennerrel (elavult)

  • Cikk

Fontos

A Defender for Server Qualys által üzemeltetett sebezhetőségi felmérési megoldása egy 2024. május 1-jén befejezett nyugdíjazási útvonalon van. Ha jelenleg a Qualys által működtetett beépített sebezhetőségi felmérést használja, érdemes áttérni a Microsoft Defender biztonságirés-kezelés biztonságirés-ellenőrzési megoldásra.

A sebezhetőségi felmérési ajánlat Microsoft Defender biztonságirés-kezelés való egységesítéséről szóló döntésünkről ebben a blogbejegyzésben olvashat bővebben.

Tekintse meg a Microsoft Defender biztonságirés-kezelés való áttéréssel kapcsolatos gyakori kérdéseket.

Azok az ügyfelek, akik folytatni szeretnék a Qualys használatát, ezt a Saját licenc (BYOL) metódussal tehetik meg.

Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Felhőhöz készült Defender rendszeresen ellenőrzi a csatlakoztatott gépeket, hogy biztonságirés-felmérési eszközöket futtasson.

Ha olyan gépet talál, amely nem rendelkezik telepített sebezhetőségi felmérési megoldással, Felhőhöz készült Defender létrehozza a biztonsági javaslatot: A gépeknek rendelkezniük kell egy sebezhetőségi felmérési megoldással. Ezzel a javaslatsal üzembe helyezheti a sebezhetőségi felmérési megoldást az Azure-beli virtuális gépeken és az Azure Arc-kompatibilis hibrid gépeken.

Felhőhöz készült Defender a gépek biztonsági réseinek vizsgálatát is tartalmazza. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Felhőhöz készült Defender belül. Ez az oldal részletesen ismerteti ezt a képolvasót, és útmutatást nyújt az üzembe helyezéshez.

Tipp.

Az integrált sebezhetőségi értékelési megoldás támogatja az Azure virtuális gépeket és a hibrid gépeket is. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez először csatlakoztassa őket az Azure Archoz az Azure Arctal, Csatlakozás a nem Azure-beli gépek Felhőhöz készült Defender.

Felhőhöz készült Defender integrált sebezhetőségi felmérési megoldása zökkenőmentesen működik az Azure Arctal. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Felhőhöz készült Defender, és nincs szükség Log Analytics-ügynökre.

Ha nem szeretné használni a Qualys által működtetett sebezhetőségi felmérést, használhatja Microsoft Defender biztonságirés-kezelés vagy üzembe helyezhet egy BYOL-megoldást saját Qualys-licencével, Rapid7-licencével vagy más sebezhetőségi felmérési megoldással.

Elérhetőség

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Géptípusok (hibrid forgatókönyvek): Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Díjszabás: A Microsoft Defender for Servers 2. csomagjának megköveteléséhez
Szükséges szerepkörök és engedélyek: A tulajdonos (erőforráscsoport szintje) üzembe helyezheti a képolvasót
A Biztonsági olvasó megtekintheti az eredményeket
Felhők: Kereskedelmi felhők
National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet)
Csatlakozás AWS-fiókok

Az integrált biztonságirés-ellenőrző áttekintése

A Felhőhöz készült Microsoft Defender részét képező biztonságirés-ellenőrzőt a Qualys működteti. A Qualys szkennere a biztonsági rések valós idejű azonosításának egyik vezető eszköze. Ez csak a Microsoft Defender for Servers szolgáltatásban érhető el. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Felhőhöz készült Defender belül.

Az integrált biztonságirés-ellenőrző működése

A biztonságirés-ellenőrző bővítmény a következőképpen működik:

  1. Üzembe helyezés – Felhőhöz készült Microsoft Defender figyeli a gépeket, és javaslatokat tesz a Qualys-bővítménynek a kiválasztott gépen/gépeken való üzembe helyezésére.

  2. Információgyűjtés – A bővítmény összegyűjti az összetevőket, és elemzésre küldi őket a meghatározott régióban található Qualys felhőszolgáltatásban.

  3. Elemzés – A Qualys felhőszolgáltatása elvégzi a sebezhetőségi felmérést, és elküldi az eredményeket Felhőhöz készült Defender.

    Fontos

    Ügyfeleink adatainak védelme, bizalmassága és biztonsága érdekében nem osztjuk meg az ügyfelek adatait a Qualyssal. További információ az Azure-ba beépített adatvédelmi szabványokról.

  4. Jelentés – Az eredmények Felhőhöz készült Defender érhetők el.

Folyamatábra Felhőhöz készült Microsoft Defender beépített biztonságirés-szkenneréhez.

Az integrált szkenner üzembe helyezése az Azure-ban és a hibrid gépeken

  1. Az Azure Portalon nyissa meg a Felhőhöz készült Defender.

  2. A Felhőhöz készült Defender menüjében nyissa meg a Javaslatok lapot.

  3. Válassza ki azt a javaslatot , amely szerint a gépeknek rendelkezniük kell egy sebezhetőségi felmérési megoldással.

    A gépek csoportosítása a javaslati lapon.

    Tipp.

    A gép server16-testegy Azure Arc-kompatibilis gép. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez tekintse meg a nem Azure-beli gépek Felhőhöz készült Defender Csatlakozás.

    Felhőhöz készült Defender zökkenőmentesen működik az Azure Arctal. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Felhőhöz készült Defender, és nincs szükség Log Analytics-ügynökre.

    A gépek a következő csoportok egyikében vagy többben jelennek meg:

  4. A nem megfelelő gépek listájában válassza ki azokat, amelyeket sebezhetőségi felmérési megoldáshoz szeretne kapni, és válassza a Szervizelés lehetőséget.

    Fontos

    A konfigurációtól függően előfordulhat, hogy ez a lista másként jelenik meg.

    • Ha nincs konfigurálva egy külső biztonságirés-ellenőrző, akkor nem fog lehetőséget kínálni annak üzembe helyezésére.
    • Ha a kijelölt gépeket nem védi a Microsoft Defender a kiszolgálókhoz, a Felhőhöz készült Defender integrált biztonságirés-ellenőrző funkció nem érhető el.

    A javasolt lapra való válaszadáskor kiválasztandó szervizelési folyamat beállításai

  5. Válassza az ajánlott beállítást, az integrált biztonságirés-ellenőrző üzembe helyezését és a Folytatást.

  6. A rendszer még egy megerősítést kér. Válassza a Szervizelés lehetőséget.

    A képolvasó bővítmény néhány percen belül települ az összes kiválasztott gépre.

    A bővítmény sikeres üzembe helyezése után a vizsgálat automatikusan megkezdődik. A vizsgálatok 12 óránként futnak. Ez az időköz nem konfigurálható.

    Fontos

    Ha az üzembe helyezés egy vagy több gépen meghiúsul, győződjön meg arról, hogy a célgépek képesek kommunikálni a Qualys felhőszolgáltatásával az alábbi IP-címekkel az engedélyezési listákhoz (a HTTPS alapértelmezett portján, a 443-ason keresztül):

    • https://qagpublic.qg3.apps.qualys.com - Qualys amerikai adatközpontja

    • https://qagpublic.qg2.apps.qualys.eu – Qualys európai adatközpontja

    Ha a gépe egy európai Azure-régióban (például Európa, Egyesült Királyság, Németország) található, az összetevők a Qualys európai adatközpontjában lesznek feldolgozva. A máshol található virtuális gépekhez tartozó összetevőket a rendszer elküldi az Amerikai Egyesült Államok adatközpontjának.

Nagy léptékű üzembe helyezés automatizálása

Feljegyzés

Az ebben a szakaszban ismertetett összes eszköz elérhető Felhőhöz készült Defender GitHub-közösségi adattárából. Itt szkripteket, automatizálásokat és más hasznos erőforrásokat találhat, amelyek a Felhőhöz készült Defender üzembe helyezése során használhatók.

Ezen eszközök némelyike csak a nagy léptékű üzembe helyezés engedélyezése után csatlakoztatott új gépeket érinti. Mások meglévő gépeken is üzembe helyezhetők. Több megközelítést is kombinálhat.

Néhány módszer az integrált szkenner nagy léptékű üzembe helyezésének automatizálására:

  • Azure Resource Manager – Ez a módszer az Azure Portal javaslati logikájának megtekintéséből érhető el. A szervizelési szkript tartalmazza a megfelelő ARM-sablont, amelyet az automatizáláshoz használhat: A szervizelési szkript tartalmazza a megfelelő ARM-sablont, amelyet az automatizáláshoz használhat.
  • DeployIfNotExists szabályzatEgyéni szabályzat , amely biztosítja, hogy minden újonnan létrehozott gép megkapja a képolvasót. Válassza az Üzembe helyezés az Azure-ban lehetőséget, és adja meg a megfelelő paramétereket. Ezt a szabályzatot erőforráscsoportok, előfizetések vagy felügyeleti csoportok szintjén rendelheti hozzá.
  • PowerShell-szkript – A szkript használatával Update qualys-remediate-unhealthy-vms.ps1 üzembe helyezheti a bővítményt az összes nem kifogástalan virtuális géphez. Ha új erőforrásokra szeretne telepíteni, automatizálja a szkriptet az Azure Automation használatával. A szkript megkeresi a javaslat által felderített összes nem megfelelő gépet, és végrehajt egy Azure Resource Manager-hívást.
  • Azure Logic Apps – Logikai alkalmazás létrehozása a mintaalkalmazás alapján. A Felhőhöz készült Defender munkafolyamat-automatizálási eszközeivel aktiválhatja a logikai alkalmazást a képolvasó üzembe helyezéséhez, amikor a gépeknek biztonságirés-felmérési megoldásra vonatkozó javaslatot kell létrehozniuk egy erőforráshoz.
  • REST API – Az integrált sebezhetőségi felmérési megoldás Felhőhöz készült Defender REST API-val történő üzembe helyezéséhez küldjön PUT-kérelmet a következő URL-címre, és adja hozzá a megfelelő erőforrás-azonosítót:https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Igény szerinti vizsgálat indítása

Igény szerinti vizsgálatot indíthat a gépről helyileg vagy távolról végrehajtott szkriptek vagy csoportházirend-objektum (GPO) használatával. Azt is megteheti, hogy a javítás üzembe helyezési feladatának végén integrálja azt a szoftverterjesztési eszközökbe.

A következő parancsok igény szerinti vizsgálatot indítanak el:

  • Windows rendszerű gépek: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux rendszerű gépek: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Következő lépések

A sebezhetőségi felmérési megoldás eredményeinek szervizelése

Felhőhöz készült Defender sebezhetőségi elemzést is kínál a következőhöz: