Azure およびハイブリッド マシンに対する Defender for Cloudの統合された Qualys 脆弱性評価スキャナー

すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。

接続されているマシンで脆弱性評価ツールが確実に実行されるように、Defender for Cloud によって定期的にチェックされます。

脆弱性評価ソリューションがデプロイされていないマシンが見つかった場合、Defender for Cloud によって次のようなセキュリティの推奨事項が生成されます。

マシンに脆弱性評価ソリューションを導入する必要がある

この推奨事項を使用して、ご使用の Azure 仮想マシンと Azure Arc 対応のハイブリッド マシンに脆弱性評価ソリューションをデプロイします。

ニーズと予算に最適な脆弱性評価ソリューションをデプロイします。

  • Microsoft Defender for Endpoint の脅威および脆弱性管理ツール - センサーを使用してリアルタイムで脆弱性と構成の誤りを発見します。エージェントや定期的なスキャンは必要ありません。 脅威のランドスケープ、組織での検出、脆弱性のあるデバイスに格納された機密情報、ビジネスのコンテキストに基づいて、脆弱性の優先順位が決定されます。 詳細については、「Microsoft Defender for Endpoint の脅威と脆弱性の管理を使用して弱点を調査する」を参照してください。

  • 統合された脆弱性評価 (Qualys を利用) - Defender for Cloud には、ご使用のマシンに対する脆弱性スキャンが含まれており、追加費用はかかりません。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。 このページでは、このスキャナーの詳細とデプロイする手順について説明します。

    ヒント

    統合された脆弱性評価ソリューションは、Azure 仮想マシンとハイブリッド マシンの両方に対応しています。 脆弱性評価スキャナーをオンプレミスとマルチクラウドのマシンにデプロイするには、「Azure 以外のマシンを Defender for Cloud に接続する」の説明に従って、Azure Arc を使用して最初にそれらを Azure に接続します。

    Defender for Cloud の統合された脆弱性評価ソリューションは、AzureArcとシームレスに連携します。Azure Arcをデプロイすると、Defender for Cloud にマシンが表示され、Log Analytics エージェントは必要ありません。

  • ライセンス持ち込み (BYOL) ソリューション - Defender for Cloudでは他のベンダーからのツールの統合がサポートされていますが、ライセンスのコスト、デプロイ、および構成について対処する必要があります。 Defender for Cloudでツールをデプロイすると、ツールが不足している Azure 仮想マシンについての情報が得られます。 また、Defender for Cloud 内で結果を表示することもできます。 Defender for Cloud で含まれている Qualys ライセンスではなく、組織のプライベート Qualys または Rapid7 ライセンスを使用する場合は、BYOL ソリューションをデプロイする方法に関するページを参照してください。

可用性

側面 詳細
リリース状態: 一般公開 (GA)
マシンの種類 (ハイブリッド シナリオ): Azure 仮想マシン
Azure Arc 対応マシン
価格: Microsoft Defender for Servers Plan 2 が必要
必要なロールとアクセス許可: 所有者 (リソース グループ レベル) はスキャナーをデプロイできます
セキュリティ閲覧者は、結果を表示できます
クラウド: 商用クラウド
各国 (Azure Government、Azure China 21Vianet)
接続されている AWS アカウント

統合された脆弱性スキャナーの概要

Microsoft Defender for Cloud に含まれる脆弱性スキャナーは、Qualys を搭載しています。 Qualys のスキャナーは、脆弱性をリアルタイムで識別するための主要なツールの 1 つです。 Microsoft Defender for Servers でのみ使用できます。 Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Defender for Cloud 内でシームレスに処理されます。

統合された脆弱性スキャナーの動作

脆弱性スキャナー拡張機能は、次のように機能します。

  1. デプロイ - AMicrosoft Defender でマシンが監視され、選択したマシンに Qualys 拡張機能をデプロイするための推奨事項が表示されます。

  2. 情報収集 - 拡張機能により成果物が収集され、定義されたリージョンの Qualys クラウド サービスでの分析用に送信されます。

  3. 分析 - Qualys のクラウド サービスにより脆弱性評価が実施され、その結果が Security Center に送信されます。

    重要

    Microsoft は、お客様のプライバシー、機密性、セキュリティを確保するために、お客様の詳細情報を Qualys と共有しません。 Azure に組み込まれているプライバシー基準の詳細については、こちらを参照してください

  4. レポート - 結果は Defender for Cloud で確認できます。

Process flow diagram for Microsoft Defender for Cloud's built-in vulnerability scanner.

統合されたスキャナーを Azure とハイブリッドのマシンにデプロイする

  1. Azure portal から、Defender for Cloud を開きます。

  2. Defender for Cloud のメニューから、推奨事項ページを開きます。

  3. 推奨事項 "マシンに脆弱性評価ソリューションを導入する必要がある" を選択します。

    The groupings of the machines in the recommendation page.

    ヒント

    上記のマシン "server16-test" は、Azure Arc 対応マシンです。 脆弱性評価スキャナーをオンプレミスとマルチクラウドのマシンにデプロイするには、「Azure 以外のマシンを Defender for Cloud に接続する」を参照してください。

    Defender for Cloudは、AzureArcとシームレスに連携します。 Azure Arcをデプロイすると、マシンはDefender for Cloudに表示され、LogAnalyticsエージェントは必要ありません。

    マシンは、次の 1 つ以上のグループに表示されます。

    • 正常なリソース - Defender for Cloud で、これらのマシンで実行されている脆弱性評価ソリューションが検出されました。

    • 異常なリソース - これらのマシンに脆弱性スキャナー拡張機能をデプロイできます。

    • 適用できないリソース - これらのマシンには、脆弱性スキャナー拡張機能をデプロイできません。 このタブにマシンが表示される理由は、AKS クラスター内のイメージであるか、仮想マシン スケール セットの一部であるか、統合された脆弱性スキャナーでサポートされているオペレーティング システムのいずれかが実行されていないためです。

      ベンダー名 OS サポートされているバージョン
      Microsoft Windows All
      Amazon Amazon Linux 2015.09-2018.03
      Amazon Amazon Linux 2 2017.03-2.0.2021
      Red Hat Enterprise Linux 5.4 以上、6、7 - 7.9、8 - 8.5、9 ベータ版
      Red Hat CentOS 5.4 - 5.11、6 - 6.7、7 - 7.8、8-8.5
      Red Hat Fedora 22 - 33
      SUSE Linux Enterprise Server (SLES) 11、12、15、15 SP1
      SUSE openSUSE 12、13、15.0 - 15.3
      SUSE Leap 42.1
      Oracle Enterprise Linux 5.11、6、7 - 7.9、8 - 8.5
      Debian Debian 7.x - 11.x
      Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS、19.10、20.04 LTS
  4. 異常なマシンの一覧から、脆弱性評価ソリューションを受信するマシンを選択し、 [修復] を選択ます。

    重要

    構成によっては、この一覧の表示が異なる場合があります。

    • サードパーティ製の脆弱性スキャナーが構成されていない場合は、デプロイすることができません。
    • 選択したマシンが Microsoft Defender for Servers によって保護されていない場合、Defender for Cloud の統合された脆弱性スキャナー オプションは使用できません。

    The options for which type of remediation flow you want to choose when responding to the recommendation ** Machines should have a vulnerability assessment solution** recommendation page

  5. 推奨されるオプションを選択し、統合脆弱性スキャナーをデプロイして続行します

  6. さらに確認が求められます。 [修復] を選択します。

    スキャナー拡張機能が、選択したすべてのマシンに数分以内にインストールされます。

    拡張機能が正常にデプロイされるとすぐに、スキャンが自動的に開始されます。 スキャンは 12 時間ごとに実行されます。 この間隔は構成できません。

    重要

    1 つ以上のマシンでデプロイが失敗した場合は、次の IP を許可リストに追加することで、ターゲット マシンが Qualys のクラウド サービスと通信できるようにします (ポート 443 経由 - HTTPS の既定値)。

    • https://qagpublic.qg3.apps.qualys.com - Qualys の米国のデータ センター

    • https://qagpublic.qg2.apps.qualys.eu - Qualys の欧州のデータ センター

    マシンが欧州の Azure リージョンにある場合、その成果物は Qualys の欧州のデータ センターで処理されます。 他の場所にある仮想マシンの成果物は、米国のデータ センターに送信されます。

大規模なデプロイを自動化する

Note

このセクションで説明されているすべてのツールは、Defender for Cloudの GitHub コミュニティ リポジトリから入手できます。 ここでは、Defender for Cloud デプロイ全体で使用するスクリプト、自動化、その他の有用なリソースを見つけることができます。

これらのツールの一部は、大規模なデプロイで有効にした後に接続された新しいマシンにのみ影響します。 それ以外は、既存のマシンにもデプロイされます。 複数のアプローチを組み合わせることができます。

統合スキャナーの大規模なデプロイを自動化するには、いくつかの方法があります。

  • [Azure Resource Manager] – この方法は、Azure portal の [推奨ロジックの表示] から使用できます。 修復スクリプトには、自動化に使用できる関連の ARM テンプレートが含まれています。The remediation script includes the relevant ARM template you can use for your automation.
  • DeployIfNotExists ポリシー – 新しく作成されたすべてのマシンでスキャナーを受信できるようにするためのカスタム ポリシーです。 [Azure へのデプロイ] を選択し、関連するパラメーターを設定します。 このポリシーは、リソース グループ、サブスクリプション、または管理グループのレベルで割り当てることができます。
  • PowerShell スクリプトUpdate qualys-remediate-unhealthy-vms.ps1 スクリプトを使用して、すべての異常な仮想マシンの拡張機能をデプロイします。 新しいリソース上にインストールするには、Azure Automation でスクリプトを自動化します。 このスクリプトは、推奨事項によって検出されたすべての異常なマシンを検索し、Azure Resource Manager の呼び出しを実行します。
  • Azure Logic Appsサンプル アプリに基づいてロジック アプリを構築します。 Defender for Cloud のワークフロー自動化ツールを使用してロジック アプリをトリガーし、リソースに対して "マシンに脆弱性評価ソリューションを導入する必要がある" の推奨事項が生成される場合には常にスキャナーがデプロイされるようにします。
  • REST API – Defender for Cloud REST API を使用して統合された脆弱性評価ソリューションをデプロイするには、次の URL の PUT 要求を行い、関連するリソース ID を追加します。https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview​

オンデマンド スキャンをトリガーする

ローカルまたはリモートで実行されたスクリプトまたはグループ ポリシー オブジェクト (GPO) を使用して、マシン自体からオンデマンド スキャンをトリガーできます。 また、パッチのデプロイ ジョブの最後に、ソフトウェア配布ツールにこれを統合することもできます。

次のコマンドを実行すると、オンデマンド スキャンがトリガーされます。

  • Windows マシン: REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux マシン: sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

FAQ -統合された脆弱性スキャナー (Qualys を利用)

Qualys ライセンスに対して追加料金は発生しますか?

いいえ。 組み込みのスキャナーは、すべての Microsoft Defender for Servers ユーザーに無料で提供されます。 この推奨事項では、スキャナーがライセンスと構成情報と共にデプロイされます。 追加のライセンスは必要ありません。

Qualys 拡張機能をインストールするために必要な前提条件とアクセス許可は何ですか。

拡張機能をデプロイするすべてのマシンに対する書き込みアクセス許可が必要です。

Microsoft Defender for Cloud 脆弱性評価拡張機能 (Qualys を利用) は、他の拡張機能と同様に、Azure 仮想マシン エージェント上で実行されます。 つまり、Windows ではローカル ホストとして、Linux では Root として実行されます。

セットアップ時に、Defender for Cloud によってマシンが次の 2 つの Qualys データ センターと通信できることが確認されます (ポート 443 経由 - HTTPS の既定値)。

  • https://qagpublic.qg3.apps.qualys.com - Qualys の米国のデータ センター
  • https://qagpublic.qg2.apps.qualys.eu - Qualys の欧州のデータ センター

現在、この拡張機能ではプロキシ構成の詳細が受け入れられません。

Defender for Cloud Qualys 拡張機能を削除できますか?

マシンから拡張機能を削除する場合は、手動で、または任意のプログラム ツールを使用して実行できます。

次の詳細情報が必要になります。

  • Linux では、拡張機能は "LinuxAgent.AzureSecurityCenter" と呼ばれ、パブリッシャー名は "Qualys" です
  • Windows では、拡張機能は "WindowsAgent.AzureSecurityCenter" と呼ばれ、プロバイダー名は "Qualys" です

拡張機能の更新はどのように行われますか?

Microsoft Defender for Cloud エージェント自体およびその他すべての Azure 拡張機能と同様に、Qualys スキャナーのマイナー更新はバックグラウンドで自動的に行われる場合があります。 すべてのエージェントと拡張機能は、自動的にデプロイされる前に広範囲にわたってテストされます。

推奨事項で自分のマシンが "適用不可" として表示されるのはなぜですか?

推奨事項の詳細ページでは、マシンが正常異常適用不可のリストにグループ化されます。

マシンが適用不可のリソース グループにある場合は、Defender for Cloud を使用してそれらのマシンに脆弱性スキャナー拡張機能をデプロイできないことを意味します。

次の理由により、マシンがこのタブに表示される場合があります。

  • Defender for Cloud によって保護されていません。前述のように、Microsoft Defender for Cloud に含まれる脆弱性スキャナーは、Microsoft Defender for Servers によって保護されているマシンでのみ使用できます。

  • AKS クラスター内のイメージであるか、仮想マシン スケール セットの一部である。この拡張機能は、PaaS リソースである VM をサポートしていません。

  • サポートされているオペレーティング システムのいずれかが実行されていない。

    ベンダー名 OS サポートされているバージョン
    Microsoft Windows All
    Amazon Amazon Linux 2015.09-2018.03
    Amazon Amazon Linux 2 2017.03-2.0.2021
    Red Hat Enterprise Linux 5.4 以上、6、7 - 7.9、8 - 8.5、9 ベータ版
    Red Hat CentOS 5.4 - 5.11、6 - 6.7、7 - 7.8、8-8.5
    Red Hat Fedora 22 - 33
    SUSE Linux Enterprise Server (SLES) 11、12、15、15 SP1
    SUSE openSUSE 12、13、15.0 - 15.3
    SUSE Leap 42.1
    Oracle Enterprise Linux 5.11、6、7 - 7.9、8 - 8.5
    Debian Debian 7.x - 11.x
    Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS、19.10、20.04 LTS

組み込みの脆弱性スキャナーでは何がスキャンされますか?

スキャナーはマシン上で実行され、マシン自体の脆弱性を探します。 マシンからネットワークをスキャンすることはできません。

スキャナーは既存の Qualys コンソールと統合されますか?

Defender for Cloud拡張機能は、既存の Qualys スキャナーとは別のツールです。 ライセンスの制限は、Microsoft Defender for Cloud 内でのみ使用できるという意味です。

新たに公開された重大な脆弱性はどのくらい迅速に特定されますか?

Qualys では、重大な脆弱性が公開されてから 48 時間以内に、その情報を処理に組み込み、影響を受けるマシンを特定できます。

次のステップ

Defender for Cloud には、次の脆弱性分析も用意されています。