Pemindai kerentanan Qualys terintegrasi Defender for Cloud untuk Azure dan mesin hibrid

Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Defender for Cloud secara teratur memeriksa mesin yang terhubung untuk memastikan mereka menjalankan alat penilaian kerentanan.

Ketika komputer yang ditemukan tidak memiliki solusi penilaian kerentanan yang diterapkan, Defender untuk Cloud menghasilkan rekomendasi keamanan berikut: Komputer harus memiliki solusi penilaian kerentanan. Gunakan rekomendasi ini untuk menyebarkan solusi penilaian kerentanan ke komputer virtual Azure dan komputer hibrid yang didukung Azure Arc Anda.

Defender untuk Cloud menyertakan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan lancar di dalam Defender for Cloud. Halaman ini menyediakan detail pemindai ini dan instruksi tentang cara menyebarkannya.

Tip

Solusi penilaian kerentanan terintegrasi mendukung komputer virtual Azure dan komputer hibrida. Untuk menyebarkan pemindai penilaian kerentanan ke mesin lokal dan multicloud Anda, hubungkan terlebih dahulu ke Azure dengan Azure Arc seperti yang dijelaskan dalam Menghubungkan mesin non-Azure Anda ke Defender untuk Cloud.

Solusi penilaian kerentanan terintegrasi Defender for Cloud bekerja dengan mulus dengan Azure Arc. Saat Anda telah menerapkan Azure Arc, mesin Anda akan muncul di Defender for Cloud dan tidak diperlukan agen Analitik Log.

Sebarkan solusi penilaian kerentanan yang paling sesuai dengan kebutuhan dan anggaran Anda:

Jika Anda tidak ingin menggunakan penilaian kerentanan yang didukung oleh Qualys, Anda dapat menggunakan Pengelolaan Ancaman dan Kerentanan Microsoft Defender untuk Titik Akhir atau menyebarkan solusi BYOL dengan lisensi Qualys Anda sendiri, lisensi Rapid7, atau solusi penilaian kerentanan lainnya.

Ketersediaan

Aspek Detail
Status rilis: Ketersediaan umum (GA)
Jenis komputer (skenario hibrid): Azure Virtual Machines
Komputer yang berkemampuan Azure Arc
Harga: Memerlukan Microsoft Defender untuk Server Paket 2
Peran dan izin akses yang diperlukan: Pemilik (level grup sumber daya) dapat menerapkan pemindai
Pembaca Keamanan dapat melihat temuan
Cloud: Cloud komersial
Nasional (Azure Government, Azure Tiongkok 21Vianet)
Akun AWS yang terhubung

Gambaran umum pemindai kerentanan terintegrasi

Pemindai kerentanan yang disertakan dengan Microsoft Defender for Cloud didukung oleh Qualys. Pemindai Qualys adalah salah satu alat terkemuka untuk identifikasi kerentanan secara real-time. Pemindai ini hanya tersedia dengan Microsoft Defender untuk Server. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan lancar di dalam Defender for Cloud.

Cara kerja pemindai kerentanan terintegrasi

Ekstensi pemindai kerentanan berfungsi sebagai berikut:

  1. Terapkan - Defender for Cloud memantau mesin Anda dan memberikan rekomendasi untuk menggunakan ekstensi Qualys pada mesin yang Anda pilih.

  2. Kumpulkan informasi - Ekstensi mengumpulkan artefak dan mengirimkannya untuk analisis di layanan cloud Qualys di wilayah yang ditentukan.

  3. Analisis - Layanan cloud Qualys melakukan penilaian kerentanan dan mengirimkan temuannya ke Defender for Cloud.

    Penting

    Untuk memastikan privasi, kerahasiaan, dan keamanan pelanggan kami, kami tidak membagikan detail pelanggan dengan Qualys. Pelajari selengkapnya tentang standar privasi yang disertakan dalam Azure.

  4. Laporan - Temuan ini tersedia di Defender for Cloud.

Diagram alur proses untuk pemindai kerentanan bawaan Microsoft Defender for Cloud.

Menerapkan pemindai terintegrasi ke komputer Azure dan hibrid Anda

  1. Dari portal Azure, buka Defender for Cloud.

  2. Dari menu Defender untuk Cloud, buka halaman Rekomendasi.

  3. Pilih rekomendasi Mesin harus memiliki solusi penilaian kerentanan.

    Pengelompokan mesin di halaman rekomendasi.

    Tip

    Komputer "server16-test" di atas, adalah komputer yang berkemampuan Azure Arc. Untuk menyebarkan pemindai penilaian kerentanan ke mesin lokal dan multicloud Anda, lihat Menghubungkan mesin non-Azure Anda ke Defender untuk Cloud.

    Defender for Cloud bekerja dengan mulus dengan Azure Arc. Saat Anda telah menerapkan Azure Arc, mesin Anda akan muncul di Defender for Cloud dan tidak diperlukan agen Analitik Log.

    Komputer virtual Anda akan muncul di satu atau beberapa grup berikut:

    • Sumber daya sehat - Defender untuk Cloud telah mendeteksi solusi penilaian kerentanan yang berjalan pada mesin virtual ini.
    • Sumber daya yang tidak sehat - Ekstensi pemindai kerentanan dapat digunakan ke komputer virtual ini.
    • Sumber daya yang tidak berlaku – komputer ini tidak didukung untuk ekstensi pemindai kerentanan.
  4. Dari daftar komputer yang tidak sehat, pilih komputer yang akan menerima solusi penilaian kerentanan dan pilih Remediasi.

    Penting

    Bergantung pada konfigurasi Anda, daftar ini mungkin muncul secara berbeda.

    • Jika Anda belum memiliki pemindai kerentanan pihak ketiga yang dikonfigurasi, Anda tidak akan ditawari kesempatan untuk menyebarkannya.
    • Jika mesin yang Anda pilih tidak dilindungi oleh Microsoft Defender untuk Server, opsi pemindai kerentanan terintegrasi dengan Defender untuk Cloud tidak akan tersedia.

    Opsi untuk jenis alur remediasi yang ingin Anda pilih saat merespons rekomendasi ** Komputer harus memiliki solusi penilaian kerentanan** halaman rekomendasi

  5. Pilih opsi yang direkomendasikan, Terapkan pemindai kerentanan terintegrasi, dan Lanjutkan.

  6. Anda akan diminta untuk satu konfirmasi lebih lanjut. Pilih Remediate.

    Ekstensi pemindai akan dipasang pada semua komputer yang dipilih dalam beberapa menit.

    Pemindaian dimulai secara otomatis segera setelah ekstensi berhasil diterapkan. Pemindaian kemudian akan berjalan setiap 12 jam. Interval ini tidak dapat dikonfigurasi.

    Penting

    Jika penyebaran gagal pada satu atau beberapa mesin, pastikan mesin target dapat berkomunikasi dengan layanan cloud Qualys dengan menambahkan IP berikut ke daftar yang diizinkan (melalui port 443 - default untuk HTTPS):

    • https://qagpublic.qg3.apps.qualys.com - Pusat data AS Qualys

    • https://qagpublic.qg2.apps.qualys.eu - Pusat data Eropa Qualys

    Jika komputer Anda berada di wilayah dalam geografi Azure Eropa (seperti Eropa, Inggris, Jerman), artefaknya akan diproses di pusat data Eropa Qualys. Artefak untuk mesin virtual yang terletak di tempat lain dikirim ke pusat data AS.

Mengotomatiskan penyebaran dalam skala besar

Catatan

Semua alat yang dijelaskan di bagian ini tersedia dari repositori komunitas GitHub Defender for Cloud. Di sana, Anda dapat menemukan skrip, otomatisasi, dan sumber daya berguna lainnya untuk digunakan selama penyebaran Defender for Cloud Anda.

Beberapa alat ini hanya mempengaruhi komputer baru yang terhubung setelah Anda mengaktifkan penyebaran dalam skala besar. Yang lain juga menyebarkan ke komputer yang ada. Anda dapat menggabungkan beberapa pendekatan.

Beberapa cara Anda dapat mengotomatiskan penyebaran dalam skala pemindai terintegrasi:

  • Azure Resource Manager - Metode ini tersedia dari lihat logika rekomendasi di portal Azure. Skrip perbaikan menyertakan template ARM relevan yang dapat Anda gunakan untuk otomatisasi: Skrip perbaikan menyertakan template ARM relevan yang dapat Anda gunakan untuk otomatisasi.
  • Kebijakan DeployIfNotExists Kebijakan khusus untuk memastikan semua komputer yang baru dibuat menerima pemindai. Pilih Terapkan ke Azure dan atur parameter yang relevan. Anda dapat menetapkan kebijakan ini di tingkat grup sumber daya, langganan, atau grup manajemen.
  • Skrip PowerShell - Gunakan skrip Update qualys-remediate-unhealthy-vms.ps1 untuk menyebarkan ekstensi untuk semua komputer virtual yang tidak sehat. Untuk memasang sumber daya baru, otomatiskan skrip dengan Azure Automation. Skrip menemukan semua komputer tidak sehat yang ditemukan oleh rekomendasi dan menjalankan panggilan Azure Resource Manager.
  • Azure Logic Apps - Buat aplikasi logika berdasarkan contoh aplikasi. Gunakan alat otomatisasi alur kerja Defender untuk Cloud guna memicu aplikasi logika Anda untuk menyebarkan pemindai setiap kali rekomendasi Mesin harus memiliki solusi penilaian kerentanan dibuat untuk sumber daya.
  • REST API – Untuk menyebarkan solusi penilaian kerentanan yang terintegrasi menggunakan REST API Defender for Cloud, buat permintaan PUT untuk URL berikut dan tambahkan ID sumber daya yang relevan: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

Memicu pemindaian sesuai permintaan

Anda dapat memicu pemindaian sesuai permintaan dari komputer itu sendiri, menggunakan skrip yang dieksekusi secara lokal atau jarak jauh atau Objek Kebijakan Grup (GPO). Atau, Anda dapat mengintegrasikannya ke dalam alat distribusi perangkat lunak Anda di akhir pekerjaan penyebaran patch.

Perintah berikut memicu pemindaian sesuai permintaan:

  • Komputer Windows: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Komputer Linux: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

FAQ

Apakah ada biaya tambahan untuk lisensi Qualys?

Nomor. Pemindai bawaan tersedia gratis bagi semua pengguna Microsoft Defender untuk Server. Rekomendasi menyebarkan pemindai dengan informasi lisensi dan konfigurasinya. Tidak diperlukan lisensi tambahan.

Prasyarat dan izin apa yang diperlukan untuk memasang ekstensi Qualys?

Anda akan memerlukan izin tulis untuk komputer apa pun yang ingin Anda terapkan ekstensinya.

Ekstensi penilaian kerentanan Defender for Cloud (didukung oleh Qualys), seperti ekstensi lainnya, berjalan di atas agen Azure Virtual Machine. Jadi itu berjalan sebagai Host Lokal di Windows, dan Root di Linux.

Selama pengaturan, Defender untuk Cloud memeriksa untuk memastikan bahwa mesin dapat berkomunikasi melalui HTTPS (port default 443) dengan dua pusat data Qualys berikut:

  • https://qagpublic.qg3.apps.qualys.com - Pusat data AS Qualys
  • https://qagpublic.qg2.apps.qualys.eu - Pusat data Eropa Qualys

Ekstensi saat ini tidak menerima detail konfigurasi proksi apa pun.

Bisakah saya menghapus ekstensi Qualys Defender for Cloud?

Jika Anda ingin menghapus ekstensi dari komputer, Anda dapat melakukannya secara manual atau dengan alat terprogram Anda.

Anda akan memerlukan detail berikut:

  • Di Linux, ekstensi ini disebut "LinuxAgent.AzureSecurityCenter" dan nama penerbitnya adalah "Qualys".
  • Di Windows, ekstensi ini disebut "WindowsAgent.AzureSecurityCenter" dan nama penyedianya adalah "Qualys".

Bagaimana ekstensi diperbarui?

Seperti agen Defender for Cloud itu sendiri dan semua ekstensi Azure lainnya, pembaruan kecil pemindai Qualys mungkin secara otomatis terjadi di latar belakang. Semua agen dan ekstensi diuji secara ekstensif sebelum secara otomatis disebarkan.

Mengapa komputer saya ditampilkan sebagai "tidak berlaku" dalam rekomendasi?

Jika Anda memiliki komputer dalam grup sumber daya tidak berlaku, Defender untuk Cloud tidak dapat menerapkan ekstensi pemindai kerentanan pada komputer tersebut karena:

  • Pemindai kerentanan yang disertakan dengan Microsoft Defender untuk Cloud hanya tersedia untuk komputer yang dilindungi oleh Microsoft Defender untuk Server.

  • Ini adalah sumber daya PaaS, seperti gambar dalam kluster AKS atau bagian dari set skala mesin virtual.

  • Ini tidak menjalankan salah satu sistem operasi yang didukung:

    Vendor OS Versi yang didukung
    Microsoft Windows Semua
    Amazon Linux Amazon 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.5, 9 beta
    Red Hat CentOS 5.4-5.11, 6-6.7, 7-7.8, 8-8.5
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15, 15 SP1
    SUSE openSUSE 12, 13, 15.0-15.3
    SUSE Lompat 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.5
    Debian Debian 7.x-11.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Dapatkah pemindai kerentanan bawaan menemukan kerentanan di jaringan VM?

Nomor. Pemindai berjalan pada komputer Anda untuk mencari kerentanan komputer itu sendiri, bukan untuk jaringan Anda.

Apakah pemindai terintegrasi dengan konsol Qualys saya yang ada?

Ekstensi Defender for Cloud adalah alat terpisah dari pemindai Qualys yang ada. Pembatasan lisensi berarti bahwa ini hanya dapat digunakan dalam Microsoft Defender for Cloud.

Seberapa cepat pemindai akan mengidentifikasi kerentanan kritis yang baru diungkapkan?

Dalam 48 jam dari pengungkapan kerentanan kritis, Qualys memasukkan informasi ke dalam pemrosesan mereka dan dapat mengidentifikasi komputer yang terkena dampak.

Langkah berikutnya

Defender for Cloud juga menawarkan analisis kerentanan bagi: