仮想マシン向けの統合された脆弱性スキャナー (Standard レベルのみ)Integrated vulnerability scanner for virtual machines (Standard tier only)

Azure Security Center に含まれている脆弱性スキャナーは、Qualys を利用しています。The vulnerability scanner included with Azure Security Center is powered by Qualys. Qualys のスキャナーは、Azure Virtual Machines の脆弱性をリアルタイムで識別するための主要なツールです。Qualys's scanner is the leading tool for real-time identification of vulnerabilities in your Azure Virtual Machines. これは、Standard 価格レベルのユーザーのみご利用いただけます。It's only available to users on the standard pricing tier. Qualys ライセンスも Qualys アカウントも必要ありません。すべてが Security Center 内でシームレスに処理されます。You don't need a Qualys license or even a Qualys account - everything's handled seamlessly inside Security Center.

注意

Security Center では他のベンダーからのツールの統合がサポートされていますが、ライセンスのコスト、デプロイ、および構成について対処する必要があります。Security Center supports the integration of tools from other vendors, but you'll need to handle the licensing costs, deployment, and configuration. 詳細については、「パートナーの脆弱性スキャン ソリューションをデプロイする」を参照してください。For more information, see Deploying a partner vulnerability scanning solution. Azure Security Center に含まれている組み込みの脆弱性スキャナーを使用しない場合は、これらの手順を使用して組織自体の Qualys ライセンスを統合することもできます。You can also use those instructions to integrate your organization's own Qualys license, if you choose not to use the built-in vulnerability scanner included with Azure Security Center.

可用性Availability

  • リリース状態: 一般提供Release state: Generally Available
  • 必要なロール: リソース所有者は、スキャナーをデプロイできます。Required roles: Resource owner can deploy the scanner. セキュリティ閲覧者は、結果を表示できます。Security reader can view findings.
  • クラウド:Clouds:
    • ✔ 商用クラウド✔ Commercial clouds
    • ✘ ナショナル/ソブリン (US Gov、China Gov、その他の Gov)✘ National/Sovereign (US Gov, China Gov, Other Gov)

統合された脆弱性スキャナーの概要Overview of the integrated vulnerability scanner

脆弱性スキャナー拡張機能は、次のように機能します。The vulnerability scanner extension works as follows:

  1. デプロイ - Azure Security Center により、選択した仮想マシンに Qualys 拡張機能が展開されます。Deploy - Azure Security Center deploys the Qualys extension to the selected virtual machine/s.

  2. 情報収集 - 拡張機能により成果物が収集され、定義されたリージョンの Qualys クラウド サービスでの分析用に送信されます。Gather information - The extension collects artifacts and sends them for analysis in the Qualys cloud service in the defined region.

  3. 分析 - Qualys のクラウド サービスにより脆弱性評価が実施され、その結果が Security Center に送信されます。Analyze - Qualys's cloud service conducts the vulnerability assessment and sends its findings to Security Center.

    重要

    Microsoft は、お客様のプライバシー、機密性、セキュリティを確保するために、お客様の詳細情報を Qualys に共有しません。To ensure the privacy, confidentiality, and security of our customers, Microsoft doesn't share customer details with Qualys. Azure に組み込まれているプライバシー基準の詳細については、こちらを参照してくださいLearn more about the privacy standards built into Azure.

  4. レポート - 結果は Security Center で確認できます。Report - The findings are available to you in Security Center.

Azure Security Center の組み込みの脆弱性スキャナーのプロセス フロー図Process flow diagram for Azure Security Center's built-in vulnerability scanner

Qualys の組み込み脆弱性スキャナーのデプロイDeploying the Qualys built-in vulnerability scanner

Azure ベースの仮想マシンの脆弱性をスキャンする最も簡単な方法は、組み込み脆弱性スキャナーを使用することです。The simplest way to scan your Azure-based virtual machines for vulnerabilities is to use the built-in vulnerability scanner.

脆弱性スキャナー拡張機能をデプロイするには、次のようにします。To deploy the vulnerability scanner extension:

  1. Azure Security Center を開き、Standard 価格レベルのサブスクリプションの [推奨事項] ページに進みます。Open Azure Security Center and go to the Recommendations page for a subscription on the standard pricing tier.

  2. [Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)](組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用)) という推奨事項を選択します。Select the recommendation named "Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)".

    フィルター処理されて Qualys の推奨事項が表示されている Azure Security Center の [推奨事項] ページRecommendations page in Azure Security Center filtered to Qualys recommendations

    VM は、次の 1 つ以上のグループに表示されます。Your VMs will appear in one or more of the following groups:

    • 正常なリソース – 脆弱性スキャナー拡張機能は、これらの VM にデプロイされています。Healthy resources – the vulnerability scanner extension has been deployed to these VMs.

    • 問題のあるリソース - これらの VM には、脆弱性スキャナー拡張機能をデプロイできます。Unhealthy resources – the vulnerability scanner extension can be deployed to these VMs.

    • 適用できないリソース - これらの VM では、脆弱性スキャナー拡張機能をデプロイできません。Not applicable resources – these VMs can't have the vulnerability scanner extension deployed. ご使用の VM がこのタブに表示される理由は、無料の価格レベルであるか、AKS クラスター内のイメージであるか、仮想マシン スケール セットの一部であるか、サポートされている以下の OS のいずれかが実行されていないためです。Your VM might be in this tab because it's on the free pricing tier, it's an image in an AKS cluster, it's part of a virtual machine scale set, or it's not running one of the supported OSes:

      ベンダー名Vendor OSOS サポートされているバージョンSupported versions
      MicrosoftMicrosoft WindowsWindows AllAll
      Red HatRed Hat Enterprise LinuxEnterprise Linux 5.4+、6、7.0-7.8、85.4+, 6, 7.0-7.8, 8
      Red HatRed Hat CentOSCentOS 5.4+、6、7.0-7.75.4+, 6, 7.0-7.7
      Red HatRed Hat FedoraFedora 22-2522-25
      SUSESUSE Linux Enterprise Server (SLES)Linux Enterprise Server (SLES) 11、12、1511, 12, 15
      SUSESUSE OpenSUSEOpenSUSE 12、1312, 13
      SUSESUSE LeapLeap 42.142.1
      OracleOracle Enterprise LinuxEnterprise Linux 5.11、6、7.0-7.55.11, 6, 7.0-7.5
      DebianDebian DebianDebian 7.x-9.x7.x-9.x
      UbuntuUbuntu UbuntuUbuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS
  3. [Unhealthy resources](正常でないリソース) タブで、Qualys スキャナーをデプロイする VM を選択し、 [修復] をクリックします。From the Unhealthy resources tab, select the VMs on which you want to deploy the Qualys scanner and click Remediate.

    Qualys スキャナーに対する VM の選択

    スキャナー拡張機能が、選択したすべての VM にインストールされます。The scanner extension will be installed on all of the selected VMs.

    拡張機能が正常にデプロイされるとすぐに、スキャンが自動的に開始されます。Scanning begins automatically as soon as the extension is successfully deployed. スキャンはその後、4 時間間隔で実行されます。Scans will then run at four-hour intervals. この間隔はハードコーディングされており、構成することはできません。This interval is hard-coded and not configurable.

  4. 1つ以上の VM でデプロイが失敗した場合は、ターゲット VM が次の 2 つの IP アドレスで Qualys のクラウド サービスと通信できることを確認します (ポート 443 経由 - HTTPS の規定値)。If the deployment fails on one or more VMs, ensure the target VMs can communicate with Qualys's cloud service on the following two IP addresses (via port 443 - the default for HTTPS):

    • 64.39.104.11364.39.104.113
    • 154.59.121.74154.59.121.74

検出された脆弱性の表示と修復Viewing and remediating discovered vulnerabilities

Security Center で脆弱性が識別されると、検出結果と推奨事項としての関連情報が提示されます。When Security Center identifies vulnerabilities, it presents findings and related information as recommendations. 関連情報には、修復手順、関連する CVE、CVSS のスコアなどが含まれます。The related information includes remediation steps, related CVEs, CVSS scores, and more. 1 つ以上のサブスクリプション、または特定の VM で識別された脆弱性を表示することができます。You can view the identified vulnerabilities for one or more subscriptions, or for a specific VM.

検出された脆弱性を確認して修復するには、次のようにします。To see the findings and remediate the identified vulnerability:

  1. Azure Security Center を開き、 [推奨事項] ページに進みます。Open Azure Security Center and go to the Recommendations page.

  2. [仮想マシンで検出された脆弱性を修復する (Qualys を利用)] を選択します。Select the recommendation named "Remediate vulnerabilities found on your virtual machines (powered by Qualys)".

    Security Center に、現在選択されているサブスクリプションのすべての VM に関する検出結果がすべて表示されます。Security Center shows you all the findings for all VMs in the currently selected subscriptions. 検出結果は重要度順に並んでいます。The findings are ordered by severity.

    選択されたすべてのサブスクリプションに関する Qualys からの検出結果の一覧List of findings from Qualys for all selected subscriptions

  3. 特定の VM で検出結果をフィルターに掛けるには、[影響を受けるリソース] セクションを開き、目的の VM をクリックします。To filter the findings by a specific VM, open the "Affected resources" section and click the VM that interests you. または、リソースの正常性ビューから VM を選択し、そのリソースに関連するすべての推奨事項を表示できます。Or you can select a VM from the resource health view, and view all relevant recommendations for that resource.

    Security Center に、その VM の検出結果が重要度順に表示されます。Security Center shows the findings for that VM, ordered by severity.

    特定の仮想マシンに関する検出結果Findings for a specific virtual machine

    この例では、94 個の脆弱性が検出され、そのうち 5 個が中程度の重大度であることがわかります。In this example, you can see that 94 vulnerabilities were discovered and that 5 of them are medium severity.

  4. 特定の脆弱性の詳細を確認するには、それを選択します。To learn more about a specific vulnerability, select it.

    脆弱性 #91426 の詳細ペインDetails pane for vulnerability #91426

    表示される詳細ペインには、次のような脆弱性に関する広範な情報が含まれています。The details pane that appears contains extensive information about the vulnerability, including:

    • 関連するすべての CVE へのリンク (使用可能な場合)Links to all relevant CVEs (where available)
    • 修復手順Remediation steps
    • その他の参照ページAny additional reference pages
  5. 検出結果を修復するには、この詳細ペインの修復手順に従います。To remediate a finding, follow the remediation steps from this details pane.

結果のエクスポートExporting results

脆弱性評価の結果をエクスポートするには、Azure Resource Graph (ARG) を使用する必要があります。To export vulnerability assessment results, you'll need to use Azure Resource Graph (ARG). このツールでは、堅牢なフィルター処理、グループ化、および並べ替え機能を使用して、クラウド環境全体のリソース情報にすばやくアクセスできます。This tool provides instant access to resource information across your cloud environments with robust filtering, grouping, and sorting capabilities. これは、Azure サブスクリプション全体の情報を、プログラムから、または Azure portal 内ですばやく効率的に照会する方法です。It's a quick and efficient way to query information across Azure subscriptions programmatically or from within the Azure portal.

完全な手順とサンプルの ARG クエリについては、次の技術コミュニティの投稿を参照してください: 「Exporting Vulnerability Assessment Results in Azure Security Center」 (Azure Security Center での脆弱性評価の結果のエクスポート)。For full instructions and a sample ARG query, see this Tech Community post: Exporting Vulnerability Assessment Results in Azure Security Center.

組み込み Qualys 脆弱性スキャナーに関するよくあるご質問Built-in Qualys vulnerability scanner FAQ

Qualys ライセンスに対して追加料金は発生しますか?Are there any additional charges for the Qualys license?

いいえ。No. すべての Standard レベルのユーザーが、組み込みスキャナーを無料でご利用いただけます。The built-in scanner is free to all standard tier users. [Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)](組み込みの脆弱性評価ソリューションを仮想マシンで有効にする (Qualys を利用)) という推奨事項でデプロイされるスキャナーには、ライセンスと構成情報が含まれています。The "Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)" recommendation deploys the scanner with its licensing and configuration information. 追加のライセンスは必要ありません。No additional licenses are required.

Qualys 拡張機能をインストールするために必要な前提条件とアクセス許可は何ですか。What prerequisites and permissions are required to install the Qualys extension?

拡張機能をデプロイするすべての VM に対する書き込みアクセス許可が必要です。You'll need write permissions for any VM on which you want to deploy the extension.

Azure Security Center 脆弱性評価拡張機能 (Qualys を利用) は、他の拡張機能と同様に、Azure 仮想マシン エージェント上で実行されます。The Azure Security Center Vulnerability Assessment extension (powered by Qualys), like other extensions, runs on top of the Azure Virtual Machine agent. つまり、Windows ではローカル ホストとして、Linux では Root として実行されます。So it runs as Local Host on Windows, and Root on Linux.

セットアップ中、Security Center では、次の 2 つの IP アドレスで VM が Qualys のクラウド サービスと通信できることを確認します (ポート 443 経由 - HTTPS の規定値)。During setup, Security Center checks to ensure that the VM can communicate with Qualys's cloud service on the following two IP addresses (via port 443 - the default for HTTPS):

  • 64.39.104.11364.39.104.113
  • 154.59.121.74154.59.121.74

Security Center の Qualys 拡張機能を削除できますか?Can I remove the Security Center Qualys extension?

VM から拡張機能を削除する場合は、手動で、または任意のプログラム ツールを使用して実行できます。If you want to remove the extensions from a VM, you can do it manually or with any of your programmatic tools.

次の詳細情報が必要になります。You'll need the following details:

  • Linux では、拡張機能は "LinuxAgent.AzureSecurityCenter" と呼ばれ、パブリッシャー名は "Qualys" ですOn Linux, the extension is called "LinuxAgent.AzureSecurityCenter" and the publisher name is "Qualys"
  • Windows では、拡張機能は "WindowsAgent.AzureSecurityCenter" と呼ばれ、プロバイダー名は "Qualys" ですOn Windows, the extension is called "WindowsAgent.AzureSecurityCenter" and the provider name is "Qualys"

拡張機能の更新はどのように行われますか?How does the extension get updated?

Azure Security Center エージェント自体およびその他すべての Azure 拡張機能と同様に、Qualys スキャナーのマイナー更新はバックグラウンドで自動的に行われる場合があります。Like the Azure Security Center agent itself and all other Azure extensions, minor updates of the Qualys scanner may automatically happen in the background. すべてのエージェントと拡張機能は、自動的にデプロイされる前に広範囲にわたってテストされます。All agents and extensions are tested extensively before being automatically deployed.

推奨事項で VM が「適用できません」と表示されるのはなぜですか?Why does my VM show as "not applicable" in the recommendation?

仮想マシンでの組み込みの脆弱性評価ソリューションの有効化 (Qualys により提供) 」の推奨事項の [推奨事項の詳細] ページでは、VM を次のリストのうち 1 つ以上にグループ化します。正常なリソース問題のあるリソース、および適用できないリソースThe recommendation details page for the "Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys)" recommendation groups your VMs in one or more of the following lists: Healthy resources, Unhealthy resources, and Not applicable resources.

適用できないリソース グループに VM がある場合は、Security Center がその VM に脆弱性スキャナー拡張機能をデプロイできないことを意味します。If you have VMs in the Not applicable resources group it means Security Center can't deploy the vulnerability scanner extension on those VMs.

次の理由により、VM がこのタブに表示される場合があります。Your VM might be in this tab because:

  • Free 価格レベルである。前述のように、Azure Security Center に含まれる脆弱性スキャナーは、Standard 価格レベルのユーザーのみご利用いただけます。It's on the free pricing tier - As explained above, the vulnerability scanner included with Azure Security Center is only available to users on the standard pricing tier.

  • AKS クラスター内のイメージであるか、仮想マシン スケール セットの一部である。この拡張機能は、PaaS リソースである VM をサポートしていません。It's an image in an AKS cluster or part of a virtual machine scale set - This extension doesn't support VMs that are PaaS resources.

  • サポートされているいずれかの OS が実行されていない。It's not running one of the supported OSes:

    ベンダー名Vendor OSOS サポートされているバージョンSupported versions
    MicrosoftMicrosoft WindowsWindows AllAll
    Red HatRed Hat Enterprise LinuxEnterprise Linux 5.4+、6、7.0-7.8、85.4+, 6, 7.0-7.8, 8
    Red HatRed Hat CentOSCentOS 5.4+、6、7.0-7.75.4+, 6, 7.0-7.7
    Red HatRed Hat FedoraFedora 22-2522-25
    SUSESUSE Linux Enterprise Server (SLES)Linux Enterprise Server (SLES) 11、12、1511, 12, 15
    SUSESUSE OpenSUSEOpenSUSE 12、1312, 13
    SUSESUSE LeapLeap 42.142.1
    OracleOracle Enterprise LinuxEnterprise Linux 5.11、6、7.0-7.55.11, 6, 7.0-7.5
    DebianDebian DebianDebian 7.x-9.x7.x-9.x
    UbuntuUbuntu UbuntuUbuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS

組み込みの脆弱性スキャナーでは何がスキャンされますか?What is scanned by the built-in vulnerability scanner?

スキャナーは仮想マシンで実行されており、その VM 自体の脆弱性を探します。The scanner is running on your virtual machine and looking for vulnerabilities of the VM itself. 仮想マシンからネットワークをスキャンすることはできません。From the virtual machine, it can't scan your network.

スキャナーは既存の Qualys コンソールと統合されますか?Does the scanner integrate with my existing Qualys console?

Security Center 拡張機能は、既存の Qualys スキャナーとは別のツールです。The Security Center extension is a separate tool from your existing Qualys scanner. ライセンス制限は、Azure Security Center 内でのみ使用できることを意味します。Licensing restrictions mean that it can only be used within Azure Security Center.

Microsoft Defender Advanced Threat Protection にも、脅威および脆弱性管理 (TVM) が含まれています。Microsoft Defender Advanced Threat Protection also includes Threat & Vulnerability Management (TVM). Security Center 脆弱性評価拡張機能はどのように異なりますか?How is the Security Center Vulnerability Assessment extension different?

Microsoft では、Windows に組み込まれている Microsoft Defender ATP の脅威および脆弱性管理ソリューションを使用して、世界クラスの脆弱性管理を積極的に開発しています。Microsoft is actively developing world-class vulnerability management with Microsoft Defender ATP's Threat & Vulnerability Management solution, built into Windows.

現在、Azure Security Center の脆弱性評価拡張機能では Qualys を利用しています。Today, Azure Security Center's Vulnerability Assessment extension is powered by Qualys. Qualys の拡張機能により、Windows と Linux 両方の VM が確実にサポートされます。The Qualys extension ensures support for both Windows and Linux VMs. また、この拡張機能は、まだ CVE を持たない脆弱性に関する Qualys 独自の知識の恩恵も得ることができます。The extension also benefits from Qualys's own knowledge of vulnerabilities that don't yet have CVEs.

次のステップNext steps

この記事では、VM をスキャンするための Azure Security Center 脆弱性評価拡張機能 (Qualys を利用) について説明しました。This article described the Azure Security Center Vulnerability Assessment extension (powered by Qualys) for scanning your VMs. 関連資料については、次の記事をご覧ください。For related material, see the following articles: