A Defender for Cloud integrált Qualys biztonságirés-ellenőrzője azure-beli és hibrid gépekhez

  • Cikk
  • 8 perc alatt elolvasható

Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. A Defender for Cloud rendszeresen ellenőrzi a csatlakoztatott gépeket, hogy biztonságirés-felmérési eszközöket futtasson.

Ha olyan gépet talál, amely nem rendelkezik telepített sebezhetőségi felmérési megoldással, a Defender for Cloud létrehozza a biztonsági javaslatot: A gépeknek sebezhetőségi felmérési megoldással kell rendelkezniük. Ezzel a javaslatsal üzembe helyezheti a sebezhetőségi felmérési megoldást az Azure-beli virtuális gépeken és az Azure Arc-kompatibilis hibrid gépeken.

A Defender for Cloud további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Defender for Cloudban. Ezen a lapon a képolvasó részletei és az üzembe helyezésre vonatkozó utasítások találhatók.

Tipp

Az integrált sebezhetőségi felmérési megoldás az Azure-beli virtuális gépeket és a hibrid gépeket egyaránt támogatja. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez először csatlakoztassa őket az Azure Archoz az Azure Arc használatával, a nem Azure-beli gépek csatlakoztatása a Defender for Cloudhoz című szakaszban leírtak szerint.

A Defender for Cloud integrált sebezhetőségi felmérési megoldása zökkenőmentesen működik az Azure Arc használatával. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Defender for Cloudban, és nincs szükség Log Analytics-ügynökre.

Telepítse az igényeinek és költségvetésének leginkább megfelelő sebezhetőségi felmérési megoldást:

Ha nem szeretné használni a Qualys által működtetett sebezhetőségi felmérést, használhatja Végponthoz készült Microsoft Defender Veszélyforrás- és biztonságirés-kezelés, vagy üzembe helyezhet egy BYOL-megoldást a saját Qualys-licencével, Rapid7-licencével vagy más sebezhetőségi felmérési megoldással.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Géptípusok (hibrid forgatókönyvek): Azure-beli virtuális gépek
Azure Arc-kompatibilis gépek
Árképzés: A Microsoft Defender for Servers 2. csomagjának szükséges
Szükséges szerepkörök és engedélyek: A tulajdonos (erőforráscsoport szintje) üzembe helyezheti a képolvasót
A Biztonsági olvasó megtekintheti az eredményeket
Felhők: Kereskedelmi felhők
Nemzeti (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok

Az integrált biztonságirés-ellenőrző áttekintése

A Microsoft Defender for Cloud biztonságirés-ellenőrzőt a Qualys működteti. A Qualys szkennere a biztonsági rések valós idejű azonosításának egyik vezető eszköze. Csak a Microsoft Defender for Servers szolgáltatásban érhető el. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Defender for Cloudban.

Az integrált biztonságirés-ellenőrző működése

A biztonságirés-ellenőrző bővítmény a következőképpen működik:

  1. Üzembe helyezés – A Microsoft Defender for Cloud figyeli a gépeket, és javaslatokat tesz a Qualys-bővítménynek a kiválasztott gépen/gépeken való üzembe helyezésére.

  2. Adatgyűjtés – A bővítmény összegyűjti az összetevőket, és elemzésre küldi őket a qualysi felhőszolgáltatásban a meghatározott régióban.

  3. Elemzés – A Qualys felhőszolgáltatása elvégzi a sebezhetőségi felmérést, és elküldi az eredményeket a Defender for Cloudnak.

    Fontos

    Ügyfeleink adatainak védelme, bizalmassága és biztonsága érdekében nem osztjuk meg az ügyfelek adatait a Qualys-nal. További információ az Azure-ba beépített adatvédelmi szabványokról.

  4. Jelentés – Az eredmények a Defender for Cloudban érhetők el.

Folyamatábra a Microsoft Defender for Cloud beépített biztonságirés-ellenőrzőjének folyamatábraihoz.

Az integrált szkenner üzembe helyezése azure-beli és hibrid gépeken

  1. A Azure Portal nyissa meg a Defender for Cloud alkalmazást.

  2. A Defender for Cloud menüjében nyissa meg a Javaslatok lapot.

  3. Válassza ki azt a javaslatot , amely szerint a gépeknek biztonságirés-felmérési megoldással kell rendelkezniük.

    A gépek csoportosítása a javaslati lapon.

    Tipp

    A fenti "server16-test" gép egy Azure Arc-kompatibilis gép. A biztonságirés-felmérési szkenner helyszíni és többfelhős gépeken való üzembe helyezéséhez lásd: Nem Azure-beli gépek csatlakoztatása a Defender for Cloudhoz.

    A Defender for Cloud zökkenőmentesen működik az Azure Arc használatával. Az Azure Arc üzembe helyezésekor a gépek megjelennek a Defender for Cloudban, és nincs szükség Log Analytics-ügynökre.

    A gépek a következő csoportok egy vagy több csoportjában jelennek meg:

    • Kifogástalan állapotú erőforrások – A Defender for Cloud sebezhetőségi felmérési megoldást észlelt ezeken a gépeken.
    • Nem megfelelő állapotú erőforrások – A biztonságirés-ellenőrző bővítmény üzembe helyezhető ezeken a gépeken.
    • Nem alkalmazható erőforrások – ezek a gépek nem támogatottak a biztonságirés-ellenőrző bővítményhez.

  4. A nem megfelelő állapotú gépek listájából válassza ki azokat, amelyek sebezhetőségi felmérési megoldást szeretnének kapni, majd válassza a Javítás lehetőséget.

    Fontos

    A konfigurációtól függően előfordulhat, hogy ez a lista másként jelenik meg.

    • Ha nincs konfigurálva külső biztonságirés-ellenőrző, akkor nem lesz lehetősége üzembe helyezni.
    • Ha a kiválasztott gépeket nem védi a Microsoft Defender for Servers, a Defender for Cloud integrált biztonságirés-ellenőrzője nem érhető el.

    A javaslatokra való válaszadáskor kiválasztandó szervizelési folyamat típusának beállításai ** A gépeknek biztonságirés-felmérési megoldással kell rendelkezniük** javaslatoldal

  5. Válassza az ajánlott lehetőséget, az Integrált biztonságirés-ellenőrző üzembe helyezése és a Folytatás lehetőséget.

  6. A rendszer egy további megerősítést kér. Válassza a Szervizelés lehetőséget.

    A képolvasó bővítmény néhány percen belül települ az összes kiválasztott gépre.

    A vizsgálat automatikusan megkezdődik, amint a bővítmény sikeresen üzembe lett helyezve. A vizsgálatok ezután 12 óránként futnak. Ez az időköz nem konfigurálható.

    Fontos

    Ha az üzembe helyezés egy vagy több gépen meghiúsul, győződjön meg arról, hogy a célgépek képesek kommunikálni a Qualys felhőszolgáltatásával, ha hozzáadja a következő IP-címeket az engedélyezési listákhoz (a 443-os porton keresztül – ez a HTTPS alapértelmezett beállítása):

    • https://qagpublic.qg3.apps.qualys.com - Qualys amerikai adatközpontja

    • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

    Ha a gépe egy azure-beli európai földrajzi régióban (például Európa, Egyesült Királyság, Németország) található, annak összetevői a Qualys európai adatközpontjában lesznek feldolgozva. A máshol található virtuális gépek összetevőit a rendszer elküldi az Amerikai Egyesült Államok adatközpontjának.

Nagy léptékű üzembe helyezés automatizálása

Megjegyzés

Az ebben a szakaszban ismertetett összes eszköz elérhető a Defender for Cloud GitHub közösségi adattárában. Itt szkripteket, automatizálásokat és más hasznos erőforrásokat találhat, amelyek a Defender for Cloud üzembe helyezéséhez használhatók.

Ezen eszközök némelyike csak a nagy léptékű üzembe helyezés engedélyezése után csatlakoztatott új gépeket érinti. Mások a meglévő gépeken is üzembe helyezhetők. Több módszert is kombinálhat.

Néhány módszer az integrált szkenner nagy léptékű üzembe helyezésének automatizálására:

  • Azure Resource Manager – Ez a módszer a Azure Portal javaslati logikájának megtekintéséből érhető el. A szervizelési szkript tartalmazza az automatizáláshoz használható megfelelő ARM-sablont: A szervizelési szkript tartalmazza az automatizáláshoz használható megfelelő ARM-sablont.
  • DeployIfNotExists szabályzatEgyéni szabályzat , amely biztosítja, hogy minden újonnan létrehozott gép megkapja a képolvasót. Válassza az Üzembe helyezés az Azure-ban lehetőséget, és állítsa be a megfelelő paramétereket. Ezt a szabályzatot erőforráscsoportok, előfizetések vagy felügyeleti csoportok szintjén rendelheti hozzá.
  • PowerShell-szkript – A szkripttel Update qualys-remediate-unhealthy-vms.ps1 üzembe helyezheti a bővítményt az összes nem kifogástalan virtuális gép esetében. Ha új erőforrásokra szeretne telepíteni, automatizálja a szkriptet Azure Automation. A szkript megkeresi a javaslat által észlelt összes nem kifogástalan gépet, és végrehajt egy Azure-Resource Manager hívást.
  • Azure Logic Apps – Logikai alkalmazás létrehozása a mintaalkalmazás alapján. A Defender for Cloud munkafolyamat-automatizálási eszközeivel aktiválhatja a logikai alkalmazást a szkenner üzembe helyezéséhez, amikor a gépeknek biztonságirés-felmérési megoldásra vonatkozó javaslatot kell létrehozniuk egy erőforráshoz.
  • REST API – Az integrált sebezhetőségi felmérési megoldásnak a Defender for Cloud REST API használatával történő üzembe helyezéséhez küldjön PUT kérést a következő URL-címre, és adja hozzá a megfelelő erőforrás-azonosítót: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Igény szerinti vizsgálat indítása

Igény szerinti vizsgálatot indíthat a gépről helyileg vagy távolról végrehajtott szkriptek vagy Csoportházirend objektum (GPO) használatával. Azt is megteheti, hogy a javítástelepítési feladat végén integrálja azt a szoftverterjesztési eszközökbe.

Az alábbi parancsok igény szerinti vizsgálatot indítanak el:

  • Windows rendszerű gépek: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux rendszerű gépek: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

GYIK

Vannak további díjak a Qualys-licencért?

Nem. A beépített szkenner ingyenesen használható a Microsoft Defender for Servers összes felhasználója számára. A javaslat üzembe helyezi a szkennert annak licencelési és konfigurációs adataival. Nincs szükség további licencekre.

Milyen előfeltételek és engedélyek szükségesek a Qualys-bővítmény telepítéséhez?

Írási engedélyekre lesz szüksége minden olyan géphez, amelyen telepíteni szeretné a bővítményt.

A Microsoft Defender for Cloud biztonságirés-felmérési bővítmény (qualys-alapú) más bővítményekhez hasonlóan az Azure-beli virtuálisgép-ügynökön fut. Ezért Helyi gazdagépként fut Windows rendszeren, rootként Linuxon.

A telepítés során a Defender for Cloud ellenőrzi, hogy a gép képes-e HTTPS protokollon keresztül kommunikálni (alapértelmezett port: 443) a következő két Qualys-adatközponttal:

  • https://qagpublic.qg3.apps.qualys.com - Qualys amerikai adatközpontja
  • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

A bővítmény jelenleg nem fogad el proxykonfigurációs adatokat.

Eltávolíthatom a Defender for Cloud Qualys bővítményt?

Ha el szeretné távolítani a bővítményt egy gépről, manuálisan vagy bármely programozott eszközzel megteheti.

A következő részletekre lesz szüksége:

  • Linuxon a bővítmény neve "LinuxAgent.AzureSecurityCenter", a közzétevő neve pedig "Qualys".
  • Windows rendszeren a bővítmény neve "WindowsAgent.AzureSecurityCenter", a szolgáltató neve pedig "Qualys".

Hogyan frissül a bővítmény?

A Microsoft Defender for Cloud ügynökhöz és az összes többi Azure-bővítményhez hasonlóan a Qualys scanner kisebb frissítései is automatikusan megjelenhetnek a háttérben. Az összes ügynököt és bővítményt alaposan teszteljük az automatikus üzembe helyezés előtt.

Miért jelenik meg a gépem "nem alkalmazhatóként" a javaslatban?

Ha a gépek a nem alkalmazható erőforráscsoportban vannak, a Defender for Cloud nem tudja üzembe helyezni a biztonságirés-ellenőrző bővítményt azokon a gépeken, mert:

  • A Microsoft Defender for Cloud biztonságirés-ellenőrző csak a Microsoft Defender for Servers által védett gépeken érhető el.

  • Ez egy PaaS-erőforrás, például egy AKS-fürt rendszerképe vagy egy virtuálisgép-méretezési csoport egy része.

  • Nem a támogatott operációs rendszerek egyikét futtatja:

    Szállító OS Támogatott verziók
    Microsoft Windows Mind
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.5, 9 béta
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15, 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE Ugrás 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Képes a beépített biztonságirés-ellenőrző biztonsági réseket találni a virtuálisgép-hálózaton?

Nem. A képolvasó a gépen fut, és nem a hálózatra, hanem magáról a gépről keres biztonsági réseket.

Integrálható a szkenner a meglévő Qualys-konzollal?

A Defender for Cloud bővítmény egy különálló eszköz a meglévő Qualys-szkennertől. A licencelési korlátozások azt jelentik, hogy csak a Microsoft Defender for Cloudban használható.

Milyen gyorsan azonosítja a szkenner az újonnan feltárt kritikus biztonsági réseket?

A kritikus biztonsági rés nyilvánosságra hozatala után 48 órán belül a Qualys beépíti az adatokat a feldolgozásukba, és képes azonosítani az érintett gépeket.

Következő lépések

A biztonságirés-felmérési megoldás eredményeinek kijavítása

A Defender for Cloud biztonságirés-elemzést is kínál a következő célokra: