ライセンス持ち込み (BYOL) ソリューションで脆弱性スキャンを有効にする
Microsoft Defender for Cloud の Defender for Servers プランには、 組み込みの脆弱性評価ツールがあります。 脆弱性評価ツールは、外部ライセンスを必要とせず、Azure Arc 対応マシンをサポートします。
統合された脆弱性評価ツールを使用しない場合は、Qualys または Rapid7 からプライベートライセンスを取得した独自の脆弱性評価ソリューションを使用できます。 この記事では、これらのパートナー ソリューションの 1 つを同じサブスクリプションに属する複数の VM にデプロイするために必要な手順について説明します (ただし、Azure Arc 対応マシンにはデプロイできません)。
可用性
| 側面 | 詳細 |
|---|---|
| リリース状態: | 一般公開 (GA) |
| マシンの種類: |  Azure 仮想マシン Azure Arc 対応マシン |
| 価格: | Free |
| 必要なロールとアクセス許可: | リソース所有者は、スキャナーをデプロイできます セキュリティ閲覧者は、結果を表示できます |
| クラウド: | 商用クラウド国 (Azure Government、21Vianet によって運営される Microsoft Azure) |
Azure portal からソリューションをデプロイする
BYOL オプションでは、サポートされているサードパーティの脆弱性評価ソリューションが参照されます。 現在、Qualys と Rapid7 の両方のプロバイダーがサポートされています。
サポートされているソリューションは、パートナーの管理プラットフォームに脆弱性データをレポートします。 さらに、このプラットフォームは、クラウドに対して、脆弱性と正常性の監視データを Defender に戻します。 ワークロード保護ダッシュボードで脆弱な VM を特定し、Defender for Cloud から直接、パートナー管理コンソールに切り替え、レポートやその他の情報を入手できます。
Azure portal から、Defender for Cloud を開きます。
Defender for Cloud のメニューから、推奨事項ページを開きます。
推奨事項 "マシンに脆弱性評価ソリューションを導入する必要がある" を選択します。
VM は、次の 1 つ以上のグループに表示されます。
- 正常なリソース – Defender for Cloud は、これらの VM で実行されている脆弱性評価ソリューションを検出しました。
- 異常なリソース - これらの VM に脆弱性スキャナー拡張機能をデプロイできます。
- 適用できないリソース - これらの VM では、脆弱性スキャナー拡張機能をデプロイできません。
異常なマシンの一覧から、脆弱性評価ソリューションを受信するマシンを選択し、 [修復] を選択ます。
重要
構成によっては、このリストの一部しか表示されない場合があります。
- サードパーティ製の脆弱性スキャナーが構成されていない場合は、デプロイすることができません。
- 選択した VM が Microsoft Defender for Servers によって保護されていない場合、Defender for Cloud の統合された脆弱性スキャナー オプションは使用できません。
新しい BYOL 構成を設定する場合は、 [サード パーティの新しい脆弱性スキャナーの構成] 、関連する拡張機能、 [続行] の順に選択して、プロバイダーから詳細を次のように入力します。
- [リソース グループ] では、 [既存のものを使用] を選択します。 後でこのリソース グループを削除すると、BYOL ソリューションは使用できなくなります。
- [場所] では、そのソリューションが地理的に配置されている場所を選択します。
- Qualys の場合は、 [ライセンスコード] フィールドに、Qualys から提供されたライセンスを入力します。
- Rapid7 の場合は、Rapid7 構成ファイルをアップロードします。
- [公開キー] ボックスに、パートナーから提供された公開キー情報を入力します。
- このソリューションのサブスクリプション内で検出されたすべての VM に脆弱性評価エージェントを自動的にインストールするには、 [自動デプロイ] を選択します。
- [OK] を選択します。
BYOL ソリューションを既に設定している場合は、[サード パーティの構成された脆弱性スキャナーのデプロイ]、関連する拡張機能、[続行] の順に選択します。
ターゲットコンピューターに脆弱性評価ソリューションがインストールされると、Defender for Cloud はスキャンを実行して、システムとアプリケーションの脆弱性を検出して特定します。 最初のスキャンが完了するまでに数時間かかる場合があります。 その後は、毎時に実行されます。
PowerShell と REST API を使用して BYOL ソリューションをデプロイする
Qualys または Rapid7 から、プライベートにライセンス供与された独自の脆弱性評価ソリューションをプログラムでデプロイするには、提供されているスクリプト PowerShell > 脆弱性ソリューションを使います。 このスクリプトでは、REST API を使用して、Defender for Cloud に新しいセキュリティソリューションを作成します。 サービス プロバイダーから提供されたライセンスとキー (Qualys または Rapid7) が必要です。
重要
ライセンスごとに作成できるソリューションは 1 つだけです。 同じ名前/ライセンス/キーを使用して別のソリューションを作成しようとすると、失敗します。
前提条件
以下の PowerShell モジュールが必要です。
- Install-module Az
- Install-module Az.security
スクリプトを実行する
スクリプトを実行するには、以下のパラメーターに関連する情報が必要です。
| パラメーター | 必須 | メモ |
|---|---|---|
| SubscriptionId | ✔ | 分析するリソースを含む Azure サブスクリプションの subscriptionID。 |
| ResourceGroupName | ✔ | リソース グループの名前。 既定値 ("DefaultResourceGroup-xxx") を含む既存のリソース グループを使用します。 このソリューションは Azure リソースではないため、リソース グループの下には表示されませんが、アタッチされています。 後でリソース グループを削除すると、BYOL ソリューションは使用できなくなります。 |
| vaSolutionName | ✔ | 新しいソリューションの名前。 |
| vaType | ✔ | Qualys または Rapid7。 |
| licenseCode | ✔ | ベンダーから提供されたライセンス文字列。 |
| publicKey | ✔ | ベンダーから提供された公開キー。 |
| autoUpdate | - | この VA ソリューションの自動デプロイを有効 (true) または無効 (false) にします。 有効にすると、サブスクリプションのすべての新しい VM が自動的にソリューションへのリンクを試みます。 (既定値:false) |
構文:
.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>
例 (この例には、有効なライセンスの詳細は含まれていません):
.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'
Azure Marketplace で Qualys 仮想スキャナー アプライアンスを取得する方法の詳細について説明します。
次のステップ
- 脆弱性評価ソリューションの結果を修復する
- 脆弱性評価に関するこちらの一般的な質問を確認する
Defender for Cloud には、次の脆弱性分析も用意されています。
- SQL データベース - 脆弱性評価ダッシュボードで脆弱性評価レポートを確認する
- Azure Container Registry イメージ - コンテナー レジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする
- Amazon AWS Elastic Container Registry イメージ - コンテナー レジストリ用の Microsoft Defender を使用してイメージの脆弱性をスキャンする