A Defender for Cloud integrált Qualys biztonsági réseket ellenőrző ellenőrzőeszköze Azure-beli és hibrid gépekhez

Megjegyzés

Azure Security Center és Azure Defender neve Microsoft Defender for Cloud. A csomagokat Microsoft Defender-csomagokra Azure Defenderát. A microsoftos Azure Defender például Storage Microsoft Defender for Storage. További információ a Microsoft biztonsági szolgáltatásainak legutóbbi átnanatálásáról.

Minden kiberkockázati és biztonsági program egyik fő összetevője a biztonsági rések azonosítása és elemzése.

A Defender for Cloud rendszeresen ellenőrzi a csatlakoztatott gépeket, és ellenőrzi, hogy futtatnak-e sebezhetőségi felmérési eszközöket.

Ha olyan gépet talál, amely nem telepített sebezhetőségi felmérési megoldást, a Defender for Cloud a következő biztonsági javaslatot hozza létre:

Engedélyezni kell egy sebezhetőségi felmérési megoldást a virtuális gépeken

Ezzel a javaslattal üzembe helyezheti a sebezhetőség-felmérési megoldást az Azure-beli virtuális gépeken és a Azure Arc kompatibilis hibrid gépeken.

Az igényeinek és költségvetésének leginkább megfelelő sebezhetőségi felmérési megoldás üzembe helyezése:

  • Microsoft Defender a végpontok biztonsági Veszélyforrás- és biztonságirés-kezelés eszközeihez – Valós időben derítheti fel a biztonsági réseket és a helytelen konfigurációkat az érzékelőkkel, ügynökök vagy rendszeres vizsgálatok nélkül. A biztonsági réseket a fenyegetések környezete, a szervezet észlelései, a sebezhető eszközökön található bizalmas adatok és az üzleti környezet alapján rangsorol. További információ: A Microsoft Defender gyenge pontjainak kivizsgálása az EndpointVeszélyforrás- és biztonságirés-kezelés.

  • Integrált biztonsági résfelmérési megoldás (a Qualys működteti) – A Defender for Cloud többletköltség nélkül tartalmazza a biztonsági rések keresését a gépeken. Nincs szükség Qualys-licencre vagy Akár Qualys-fiókra sem – a Defender for Cloud mindene zökkenőmentesen kezelhető. Ez az oldal részletesen bemutatja ezt a beolvasót, és útmutatást nyújt az üzembe helyezéséhez.

    Tipp

    Az integrált sebezhetőségi felmérési megoldás az Azure-beli virtuális gépeket és a hibrid gépeket is támogatja. A biztonságirés-felmérési ellenőrzőeszköz helyszíni és többfelhős gépeken való üzembe helyezéséhez először csatlakoztassa őket az Azure-hoz az Azure Arc-val a Csatlakozás nem Azure-beli gépeit a Defender for Cloud szolgáltatásban.

    A Defender for Cloud integrált sebezhetőségi felmérési megoldása zökkenőmentesen működik a Azure Arc. Miután üzembe helyezett egy Azure Arc, a gépek megjelennek a Defender for Cloudban, és nincs szükség Log Analytics-ügynökre.

  • Saját licenc használata (BYOL) megoldások – A Defender for Cloud támogatja más gyártók eszközeinek integrációját, de önnek kell kezelnie a licencelési költségeket, az üzembe helyezést és a konfigurációt. Az eszköz a Defender for Cloud használatával való üzembe helyezésével információt kap arról, hogy mely Azure-beli virtuális gépek hiányoznak az eszközből. Az eredményeket a Defender for Cloudban is megtekintheti. Ha inkább a szervezet privát Qualys- vagy Rapid7-licencét szeretné használni a Defender for Cloudhoz mellékelt Qualys-licenc helyett, tekintse meg a BYOL-megoldásüzembe helyezését.

Rendelkezésre állás

Szempont Részletek
Kiadási állapot: Általános rendelkezésre állás (GA)
Géptípusok (hibrid forgatókönyvek): Azure-beli virtuális gépek
Azure Arc gépek
Árképzés: A kiszolgálókhoz a Microsoft Defender szükséges
Szükséges szerepkörök és engedélyek: A tulajdonos (erőforráscsoport-szint) üzembe helyezheti a scannert
A biztonsági olvasó megtekintheti az eredményeket
Felhők: Kereskedelmi felhők
Országos (Azure Government, Azure China 21Vianet)
Csatlakoztatott AWS-fiókok

Az integrált biztonsági rések ellenőrzőeszközének áttekintése

A Microsoft Defender for Cloud biztonsági rések ellenőrzőeszközét a Qualys működteti. Qualys szkennere az egyik vezető eszköz a biztonsági rések valós idejű azonosításához. Csak a Kiszolgálókhoz használható Microsoft Defenderben érhető el. Nincs szükség Qualys-licencre vagy Akár Qualys-fiókra sem – a Defender for Cloud mindene zökkenőmentesen kezelhető.

Az integrált biztonsági rések ellenőrzőeszközének működése

A biztonsági réseket ellenőrző képolvasó bővítmény a következőképpen működik:

  1. Üzembe helyezés – A Microsoft Defender for Cloud figyeli a gépeket, és javaslatokat tesz a Qualys bővítmény üzembe helyezésére a kiválasztott gépen/gépeken.

  2. Információgyűjtés – A bővítmény összegyűjti az összetevők adatait, és elemzésre elküldi őket a Qualys felhőszolgáltatásban a meghatározott régióban.

  3. Elemzés – A Qualys felhőszolgáltatása végez biztonsági rések felmérését, és az eredményeket elküldi a Defender for Cloudnak.

    Fontos

    Ügyfeleink adatvédelmének, titkosságának és biztonságának biztosítása érdekében nem osztjuk meg az ügyfelek adatait a Qualys-sal. További információ az Azure-ba épített adatvédelmi szabványokról.

  4. Jelentés – Az eredmények a Defender for Cloudban érhetők el.

Process flow diagram for Microsoft Defender for Cloud's built-in vulnerability scanner.

Az integrált szkenner üzembe helyezése az Azure-ban és a hibrid gépeken

  1. A Azure Portalnyissa meg a Felhőhöz való Defendert.

  2. A Defender a Felhőhöz menüben nyissa meg a Javaslatok oldalt.

  3. Válassza a Következő javaslatot: A gépeknek biztonsági rések felmérésére kell megoldást találniuk.

    The groupings of the machines in the recommendation page.

    Tipp

    A fenti "server16-test" gép egy Azure Arc gép. A biztonságirés-felmérési ellenőrzőeszköz helyszíni és többfelhős gépeken való üzembe helyezéséről lásd: Csatlakozás a nem Azure-beli gépeket a Defender for Cloudban.

    A Defender for Cloud zökkenőmentesen működik a Azure Arc. Miután üzembe helyezett egy Azure Arc, a gépek megjelennek a Defender for Cloudban, és nincs szükség Log Analytics-ügynökre.

    A gépek az alábbi csoportok közül egy vagy többben jelennek meg:

    • Kifogástalan állapotú erőforrások – A Defender for Cloud egy ezeken a gépeken futó sebezhetőségi felmérési megoldást észlelt.

    • Nem megfelelő erőforrások – Ezeken a gépeken biztonsági réseket olvasó bővítmény helyezhető üzembe.

    • Nem alkalmazható erőforrások – ezeknek a gépeknek nem lehet telepítve biztonsági réseket ellenőrző olvasó bővítménye. Előfordulhat, hogy a gép azért van ezen a lapon, mert egy AKS-fürt rendszerképe, egy virtuálisgép-méretezési csoport része, vagy nem futtatja az integrált biztonsági rések ellenőrzőeszközéhez támogatott operációs rendszerek valamelyikét:

      Szállító OS Támogatott verziók
      Microsoft Windows Mind
      Amazon Amazon Linux 2015.09-2018.03
      Amazon Amazon Linux 2 2017.03-2.0.2021
      Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.3
      Red Hat CentOS 5.4+, 6, 7, 7.1-7.8, 8-8.4
      Red Hat Fedora 22-33
      SUSE Linux Enterprise Server (SLES) 11, 12, 15
      SUSE openSUSE 12, 13, 15.0-15.2
      SUSE Ugrás 42.1
      Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.4
      Debian Debian 7.x-10.x
      Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS
  4. A nem megfelelő számítógépek listájából válassza ki azokat, amelyek biztonsági rések felmérésére vonatkozó megoldást kapnak, majd válassza a Szervizek lehetőséget.

    Fontos

    A lista a konfigurációtól függően eltérő módon jelenik meg.

    • Ha nincs konfigurálva külső biztonsági rések ellenőrzőeszköze, nem lesz lehetősége a telepítésre.
    • Ha a kiválasztott gépeket nem védi a kiszolgálókhoz a Microsoft Defender, a Defender for Cloud integrált biztonsági réseket ellenőrző ellenőrzőeszköze nem lesz elérhető.

    The options for which type of remediation flow you want to choose when responding to the recommendation ** Machines should have a vulnerability assessment solution** recommendation page

  5. Válassza az ajánlott lehetőséget, az Integrált biztonsági rések beolvasó üzembe helyezése ésa Folytatás lehetőséget.

  6. Egy további megerősítést kell kérnie. Válassza a Szervizek lehetőséget.

    A scanner bővítmény néhány percen belül az összes kiválasztott gépre telepítve lesz.

    A vizsgálat a bővítmény sikeres üzembe helyezése után automatikusan elindul. A vizsgálatok ezután 12 óránként futnak le. Ez az időköz nem konfigurálható.

    Fontos

    Ha az üzembe helyezés meghiúsul egy vagy több gépen, győződjön meg arról, hogy a célgépek tudnak kommunikálni a Qualys felhőszolgáltatásával. Adja hozzá a következő IP-címeket az engedélyező listákhoz (a HTTPS alapértelmezett portján, a 443-as porton keresztül):

    • https://qagpublic.qg3.apps.qualys.com - Qualys USA-ban található adatközpontja

    • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

    Ha a gépe egy európai Azure-régióban található, az összetevők a Qualys európai adatközpontjában lesznek feldolgozva. A máshol található virtuális gépekhez szükséges összetevők az USA adatközpontba vannak küldve.

Nagy léptékű üzembe helyezések automatizálása

Megjegyzés

Az ebben a szakaszban leírt összes eszköz elérhető a Defender for Cloud GitHub közösségi adattárában. Itt szkripteket, automatizálásokat és egyéb hasznos erőforrásokat találhat, amelyek a Defender for Cloud üzembe helyezéséhez használhatók.

Ezen eszközök némelyike csak a nagy léptékű üzembe helyezés engedélyezése után csatlakoztatott új gépekre van hatással. Mások is telepítve vannak a meglévő gépeken. Több megközelítés is kombinálható.

Néhány módszer az üzembe helyezés automatizálásra az integrált olvasó méretének skálázható módon:

  • Azure Resource Manager – Ez a metódus a javaslati logika megtekintéséből érhető el a Azure Portal. A szervizelési szkript tartalmazza az automatizáláshoz használható arm-sablont: The remediation script includes the relevant ARM template you can use for your automation.
  • DeployIfNotExists szabályzat Egyéni szabályzat, amely biztosítja, hogy az összes újonnan létrehozott gép megkapja a scannert. Válassza az Üzembe helyezés az Azure-ban lehetőséget, és állítsa be a megfelelő paramétereket. Ezt a szabályzatot erőforráscsoportok, előfizetések vagy felügyeleti csoportok szintjén rendelheti hozzá.
  • PowerShell-szkript – A szkript használatával telepítse a bővítményt az összes nem megfelelő virtuális gépre. Az új erőforrásokra való telepítéshez automatizálja a szkriptet a Azure Automation. A szkript megkeresi a javaslat által felderített összes nem megfelelő gépet, és végrehajt egy Azure Resource Manager hívást.
  • Azure Logic Apps – Logikai alkalmazás összeállítása a mintaalkalmazás alapján. A Defender for Cloud munkafolyamat-automatizálási eszközeivel aktiválhatja a logikai alkalmazást a scanner üzembe helyezéséhez, amikor a biztonsági rések felmérésére vonatkozó megoldást engedélyezni kell a virtuális gépekre vonatkozó javaslathoz egy erőforráshoz.
  • REST API – Az integrált sebezhetőség-felmérési megoldás a Defender for Cloud REST API használatával való üzembe helyezéséhez put kérést kell kérnie a következő URL-címre, és hozzá kell adni a megfelelő erőforrás-azonosítót:

Igény szerinti vizsgálat aktiválása

Elindíthat egy igény szerinti vizsgálatot a gépről helyileg vagy távolról futtatott szkriptek vagy Csoportházirend objektum (GPO) használatával. Másik lehetőségként integrálhatja a szoftverterjesztési eszközökbe a javítástelepítési feladat végén.

Az alábbi parancsok elindítják az igény szerinti vizsgálatot:

  • Windows gépek:
  • Linux rendszerű gépek:

Gyakori kérdések – Integrált biztonságirés-ellenőrző (Qualys-alapú)

Vannak további díjak a Qualys-licencért?

Nem. A beépített beolvasó a kiszolgálók felhasználói számára ingyenesen letölthető a Microsoft Defender számára. A javaslat telepíti a scannert a licencelési és konfigurációs adataival együtt. Nincs szükség további licencre.

Milyen előfeltételek és engedélyek szükségesek a Qualys bővítmény telepítéséhez?

Minden olyan géphez rendelkeznie kell írási engedéllyel, amelyen üzembe szeretné helyezni a bővítményt.

A (Qualys által működtetett) Microsoft Defender for Cloud biztonsági rések felmérésére vonatkozó bővítmény a többi bővítményhez hasonló módon az Azure-beli virtuálisgép-ügynökre fut. Ezért helyi gazdagépként fut a Windows, a Root pedig Linuxon.

A telepítés során a Defender for Cloud ellenőrzi, hogy a gép képes-e kommunikálni a következő két Qualys-adatközponttal (a HTTPS alapértelmezés szerinti 443-as porton keresztül):

  • https://qagpublic.qg3.apps.qualys.com - Qualys USA-ban található adatközpontja
  • https://qagpublic.qg2.apps.qualys.eu - Qualys európai adatközpontja

A bővítmény jelenleg nem fogadja el a proxykonfiguráció részleteit.

Eltávolítható a Defender for Cloud Qualys bővítmény?

Ha el szeretné távolítani a bővítményt egy gépről, azt manuálisan vagy bármely programozott eszközzel is használhatja.

A következő részletekre lesz szüksége:

  • Linux rendszeren a bővítmény neve "LinuxAgent.AzureSecurityCenter", a közzétevő neve pedig "Qualys"
  • A Windows neve "WindowsAgent.AzureSecurityCenter", a szolgáltató neve pedig "Qualys".

Hogyan frissül a bővítmény?

A Microsoft Defender felhőalapú ügynökhöz és az összes többi Azure-bővítményhez hasonló, a Qualys Scanner kisebb frissítései is automatikusan megtörténhetnek a háttérben. Az összes ügynököt és bővítményt alaposan tesztelik az automatikus üzembe helyezés előtt.

Miért "nem alkalmazható" a gépem a javaslatban?

A javaslat részletei lap a következő listákba sorolja a gépeket: kifogástalan,nem megfelelő ,és nem alkalmazható.

Ha a gépek a nem alkalmazható erőforráscsoportban vannak, az azt jelenti, hogy a Defender for Cloud nem tudja üzembe helyezni a biztonsági rések beolvasó bővítményét az adott gépeken.

Előfordulhat, hogy ezen a lapon van a gépe, mert:

  • A Defender for Cloud nem védi – Ahogy azt a fentiekben is kifejtettük, a Microsoft Defender for Cloud biztonsági rések ellenőrzőeszköze csak a kiszolgálókhoz a Microsoft Defender által védett gépeken érhető el.

  • Ez egy rendszerkép egy AKS-fürtben vagy egy virtuálisgép-méretezési csoport része – Ez a bővítmény nem támogatja a PaaS-erőforrásként nyújtott virtuális gépeket.

  • Nem a támogatott operációs rendszerek valamelyikét futtatja:

    Szállító OS Támogatott verziók
    Microsoft Windows Mind
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.3
    Red Hat CentOS 5.4+, 6, 7, 7.1-7.8, 8-8.4
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15
    SUSE openSUSE 12, 13, 15.0-15.2
    SUSE Ugrás 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.4
    Debian Debian 7.x-10.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Mit vizsgál meg a beépített biztonsági rések ellenőrzőeszköze?

A scanner a gépen fut, és a gép biztonsági réseit is keresnie kell. A gépről nem tudja beolvasni a hálózatot.

Integrálható a szkenner a meglévő Qualys-konzollal?

A Defender for Cloud bővítmény egy különálló eszköz a meglévő Qualys Scannertől. A licencelési korlátozások azt jelentik, hogy csak a Microsoft Defender for Cloudban használható.

Milyen gyorsan azonosítja a scanner az újonnan felfedett kritikus biztonsági réseket?

A kritikus biztonsági rés felfedése után 48 órán belül a Qualys beépíti az információkat a feldolgozásukba, és képes azonosítani az érintett gépeket.

Következő lépések

A Defender for Cloud biztonsági rések elemzését is kínálja a következő szolgáltatásokhoz: