Azure Defender geïntegreerde oplossing voor de evaluatie van beveiligingsleed van Azure en hybride machines

Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.

Security Center controleert regelmatig uw verbonden computers om er zeker van te zijn dat er hulpprogramma's voor de evaluatie van beveiligingsleed worden uitgevoerd.

Wanneer er een computer wordt gevonden waarop geen oplossing voor de evaluatie van beveiligingsleed is geïmplementeerd, Security Center de volgende beveiligingsaanbeveling gegenereerd:

A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)

Gebruik deze aanbeveling om de oplossing voor de evaluatie van beveiligingsleed te implementeren op uw virtuele Azure-machines en uw Azure Arc voor hybride machines.

Implementeer de oplossing voor de evaluatie van beveiligingsles die het beste voldoet aan uw behoeften en budget:

  • Geïntegreerde oplossing voor de evaluatie van beveiligingsleed (powered by Qualys) - Azure Defender omvat het scannen van beveiligingsprobleem voor uw computers zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Deze pagina bevat details van deze scanner en instructies voor het implementeren ervan.

    Tip

    De geïntegreerde oplossing voor de evaluatie van beveiligingsleed biedt ondersteuning voor zowel virtuele Azure-machines als hybride machines. Als u de scanner voor de evaluatie van beveiligingsleed wilt implementeren op uw on-premises en multi-cloudmachines, verbindt u deze eerst met Azure met Azure Arc zoals beschreven in Verbinding maken uw niet-Azure-machinesmet Security Center .

    Security Center geïntegreerde oplossing voor de evaluatie van beveiligingsleed werkt naadloos samen met Azure Arc. Wanneer u een Azure Arc geïmplementeerd, worden uw machines weergegeven in Security Center en is er geen Log Analytics-agent vereist.

  • ByOL-oplossingen (Bring Your Own License) - Security Center ondersteunt de integratie van hulpprogramma's van andere leveranciers, maar u moet de licentiekosten, implementatie en configuratie afhandelen. Door uw hulpprogramma te implementeren met Security Center, krijgt u informatie over welke virtuele Azure-machines het hulpprogramma niet hebben. U kunt ook bevindingen in de Security Center. Zie How to deploy a BYOL solution(Een BYOL-oplossing implementeren) als u liever de persoonlijke Qualys- of Rapid7-licentie van uw organisatie gebruikt in plaats van de Qualys-licentie die is opgenomen in Azure Defender.

Beschikbaarheid

Aspect Details
Releasestatus: Algemene beschikbaarheid (GA)
Machinetypen (hybride scenario's): Virtuele Azure-machines
Azure Arc ingeschakelde machines
Prijzen: Azure Defender voor servers is vereist
Vereiste rollen en machtigingen: De resource-eigenaar kan de scanner implementeren
Beveiligingslezer kunt bevindingen bekijken
Clouds: Commerciële clouds
National/Sovereign (US Gov, Azure China)

Overzicht van de geïntegreerde scanner voor beveiligingsleed

De scanner voor beveiligingsprobleem die deel Azure Security Center is powered by Qualys. De scanner van Qualys is een van de toonaangevende hulpprogramma's voor het in realtime identificeren van beveiligingsproblemen. Deze is alleen beschikbaar met Azure Defender voor servers. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center.

Hoe de geïntegreerde scanner voor beveiligingsles werkt

De extensie voor de scanner voor beveiligingsles werkt als volgt:

  1. Implementeren: Azure Security Center machines bewaakt en aanbevelingen doet om de Qualys-extensie te implementeren op de geselecteerde machine/s.

  2. Informatie verzamelen: de extensie verzamelt artefacten en verzendt deze voor analyse in de Qualys-cloudservice in de gedefinieerde regio.

  3. Analyseren: de cloudservice van Qualys voert de evaluatie van beveiligingsleed uit en verzendt de bevindingen naar Security Center.

    Belangrijk

    Om de privacy, vertrouwelijkheid en beveiliging van onze klanten te garanderen, delen we geen klantgegevens met Qualys. Meer informatie over de privacystandaarden die zijn ingebouwd in Azure.

  4. Rapport: de resultaten zijn beschikbaar in Security Center.

Processtroomdiagram voor Azure Security Center van de ingebouwde scanner voor beveiligingsleed.

De geïntegreerde scanner implementeren op uw Azure- en hybride machines

  1. Ga naar Azure Portal en open Security Center.

  2. Open Security Center pagina in Aanbevelingen menu.

  3. Selecteer de aanbeveling Een oplossing voor de evaluatie van beveiligingsleed moet zijn ingeschakeld op uw virtuele machines.

    De groeperingen van de machines op de aanbevelingspagina.

    Tip

    De computer 'server16-test' hierboven is een Azure Arc ingeschakelde machine. Als u de scanner voor de evaluatie van beveiligingsleed wilt implementeren op uw on-premises en multi-cloudmachines, Verbinding maken niet-Azure-machines implementeren naar Security Center.

    Security Center werkt naadloos met Azure Arc. Wanneer u een Azure Arc geïmplementeerd, worden uw machines weergegeven in Security Center en is er geen Log Analytics-agent vereist.

    Uw machines worden weergegeven in een of meer van de volgende groepen:

    • Resources in orde: Security Center heeft een oplossing voor de evaluatie van beveiligingsleed gedetecteerd die op deze computers wordt uitgevoerd.

    • Resources met slechte status: er kan een scannerextensie voor beveiligingsleed worden geïmplementeerd op deze computers.

    • Niet van toepassing zijnde resources: op deze machines kan geen scannerextensie voor beveiligingsleed worden geïmplementeerd. Mogelijk staat uw computer op dit tabblad omdat het een afbeelding in een AKS-cluster is, omdat deze deel uitmaakt van een virtuele-machineschaalset of niet een van de ondersteunde besturingssystemen voor de geïntegreerde scanner voor beveiligingslekken gebruikt:

      Leverancier Besturingssysteem Ondersteunde versies
      Microsoft Windows Alles
      Red Hat Enterprise Linux 5.4+, 6, 7.0-7.8, 8.0-8.1
      Red Hat CentOS 5.4+, 6, 7.0-7.7, 8.0-8.1
      Red Hat Fedora 22-31
      SUSE Linux Enterprise Server (SLES) 11, 12, 15
      SUSE OpenSUSE 12, 13, 15.0-15.2
      SUSE Sprong 42.1
      Oracle Enterprise Linux 5.11, 6, 7.0-7.5
      Debian Debian 7.x-10.x
      Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS
  4. Selecteer in de lijst met computers die niet in orde zijn de machines die een oplossing voor de evaluatie van beveiligingsleed ontvangen en selecteer Herstellen.

    Belangrijk

    Afhankelijk van uw configuratie kan deze lijst er anders uit zien.

    • Als u nog geen scanner voor beveiligingsprobleem van derden hebt geconfigureerd, krijgt u niet de mogelijkheid om deze te implementeren.
    • Als uw geselecteerde machines niet worden beveiligd door Azure Defender, is de optie geïntegreerde ASC-scanner voor beveiligingsleed niet beschikbaar.

    De opties voor het type herstelstroom dat u wilt kiezen wanneer u reageert op de aanbeveling **Er moet een oplossing voor de evaluatie van beveiligingsleed worden ingeschakeld op de aanbevelingspagina van uw virtuele machines**

  5. Kies de aanbevolen optie Scanner voor geïntegreerde ASC-beveiligingsprobleem implementeren en Ga door.

  6. U wordt gevraagd om nog een bevestiging. Selecteer Herstellen.

    De scannerextensie wordt binnen enkele minuten op alle geselecteerde machines geïnstalleerd.

    Het scannen wordt automatisch gestart zodra de extensie is geïmplementeerd. Scans worden vervolgens uitgevoerd met intervallen van vier uur. Dit interval kan niet worden geconfigureerd.

    Belangrijk

    Als de implementatie op een of meer computers mislukt, moet u ervoor zorgen dat de doelmachines kunnen communiceren met de cloudservice van Qualys door de volgende IP's toe te voegen aan uw toegestane lijsten (via poort 443- de standaardinstelling voor HTTPS):

    • 64.39.104.113 - Qualys' datacentrum in de VS
    • 154.59.121.74 - Europese datacentrum van Qualys

    Als uw computer zich in een Europese Azure-regio, worden de artefacten verwerkt in het Europese datacenter van Qualys. Artefacten voor virtuele machines die zich elders bevinden, worden verzonden naar het datacenter in de VERENIGDE Staten.

Implementaties op schaal automatiseren

Notitie

Alle hulpprogramma's die in deze sectie worden beschreven, zijn beschikbaar Security Center van GitHub community-opslagplaats. Hier vindt u scripts, automatiseringen en andere nuttige resources die u in uw ASC-implementatie kunt gebruiken.

Sommige van deze hulpprogramma's zijn alleen van invloed op nieuwe machines die zijn verbonden nadat u de implementatie op schaal hebt ingeschakeld. Andere implementeren ook op bestaande machines. U kunt meerdere benaderingen combineren.

Enkele manieren waarop u implementatie op schaal van de geïntegreerde scanner kunt automatiseren:

  • Azure Resource Manager: deze methode is beschikbaar via aanbevelingslogica weergeven in de Azure Portal. Het herstelscript bevat de relevante ARM-sjabloon die u kunt gebruiken voor uw automatisering: het herstelscript bevat de relevante ARM-sjabloon die u voor uw automatisering kunt gebruiken.
  • DeployIfNotExists-beleid: een aangepast beleid om ervoor te zorgen dat alle nieuwe machines de scanner ontvangen. Selecteer Implementeren in Azure en stel de relevante parameters in. U kunt dit beleid toewijzen op het niveau van resourcegroepen, abonnementen of beheergroepen.
  • PowerShell-script: gebruik het script om de extensie te implementeren voor alle virtuele machines die Update qualys-remediate-unhealthy-vms.ps1 niet in orde zijn. Als u wilt installeren op nieuwe resources, automatiseert u het script met Azure Automation. Het script zoekt alle computers met slechte status die door de aanbeveling zijn ontdekt en voert een aanroep Azure Resource Manager uit.
  • Azure Logic Apps: bouw een logische app op basis van de voorbeeld-app. Gebruik de hulpprogramma's voor werkstroomautomatisering van Security Center om uw logische app te activeren om de scanner te implementeren wanneer de aanbeveling A vulnerability assessment solution should be enabled on your virtual machines wordt gegenereerd voor een resource.
  • REST API: als u de geïntegreerde oplossing voor de evaluatie van beveiligingslesources wilt implementeren met behulp van de REST API van Security Center, doet u een PUT-aanvraag voor de volgende URL en voegt u de relevante resource-id toe: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview

Een scan op aanvraag activeren

U kunt een scan op aanvraag activeren vanaf de computer zelf, met behulp van lokaal of extern uitgevoerde scripts of groepsbeleid Object (GPO). U kunt deze ook integreren in uw hulpprogramma's voor softwaredistributie aan het einde van een patchimplementatie.

Met de volgende opdrachten wordt een scan op aanvraag uitgevoerd:

  • Windows machines:REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux-machines:sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Veelgestelde vragen - Geïntegreerde scanner voor beveiligingsle powered by Qualys)

Zijn er extra kosten verbonden aan de Qualys-licentie?

Nee. De ingebouwde scanner is gratis voor alle Azure Defender gebruikers. De aanbeveling implementeert de scanner met de licentie- en configuratiegegevens. Er zijn geen extra licenties nodig.

Welke vereisten en machtigingen zijn vereist om de Qualys-extensie te installeren?

U hebt schrijfmachtigingen nodig voor elke computer waarop u de extensie wilt implementeren.

De Azure Security Center extensie voor de evaluatie van beveiligingsle gegevens (powered by Qualys), net als andere extensies, wordt uitgevoerd boven op de Azure Virtual Machine-agent. Deze wordt dus uitgevoerd als lokale host op Windows en Root on Linux.

Tijdens de installatie controleert Security Center of de machine kan communiceren met de volgende twee Qualys-datacenters (via poort 443 - de standaardinstelling voor HTTPS):

  • 64.39.104.113 - Qualys' datacentrum in de VS
  • 154.59.121.74 - Europese datacentrum van Qualys

De extensie accepteert momenteel geen proxyconfiguratiegegevens.

Kan ik de Security Center Qualys-extensie verwijderen?

Als u de extensie van een computer wilt verwijderen, kunt u dit handmatig doen of met een van uw programmatische hulpprogramma's.

U hebt de volgende details nodig:

  • In Linux heet de extensie 'LinuxAgent.AzureSecurityCenter' en de naam van de uitgever is Qualys
  • Op Windows heeft de extensie de naam WindowsAgent.AzureSecurityCenter en is de providernaam Qualys

Hoe wordt de extensie bijgewerkt?

Net als Azure Security Center agent zelf en alle andere Azure-extensies, kunnen kleine updates van de Qualys-scanner automatisch op de achtergrond plaatsvinden. Alle agents en extensies worden uitgebreid getest voordat ze automatisch worden geïmplementeerd.

Waarom wordt mijn computer in de aanbeveling als 'niet van toepassing' weer gegeven?

Op de pagina met aanbevelingsdetails worden uw machines in de volgende lijsten weergegeven: in orde, niet in orde en niet van toepassing.

Als u machines in de niet van toepassing zijnde resourcesgroep hebt, betekent dit Security Center de extensie voor de scanner voor beveiligingsprobleem niet op deze machines kan implementeren.

Uw computer staat mogelijk op dit tabblad omdat:

  • Het wordt niet beveiligd door Azure Defender: zoals hierboven is uitgelegd, is de scanner voor beveiligingsleeds in Azure Security Center alleen beschikbaar voor computers die zijn beveiligd door Azure Defender voor servers.

  • Het is een afbeelding in een AKS-cluster of onderdeel van een virtuele-machineschaalset: deze extensie biedt geen ondersteuning voor VM's die PaaS-resources zijn.

  • Er wordt geen van de ondersteunde besturingssystemen uitgevoerd:

    Leverancier Besturingssysteem Ondersteunde versies
    Microsoft Windows Alles
    Red Hat Enterprise Linux 5.4+, 6, 7.0-7.8, 8.0-8.1
    Red Hat CentOS 5.4+, 6, 7.0-7.7, 8.0-8.1
    Red Hat Fedora 22-31
    SUSE Linux Enterprise Server (SLES) 11, 12, 15
    SUSE OpenSUSE 12, 13, 15.0-15.2
    SUSE Sprong 42.1
    Oracle Enterprise Linux 5.11, 6, 7.0-7.5
    Debian Debian 7.x-10.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Wat wordt gescand door de ingebouwde scanner voor beveiligingsprobleem?

De scanner wordt uitgevoerd op uw computer om te zoeken naar beveiligingsproblemen van de machine zelf. Vanaf de computer kan uw netwerk niet worden gescand.

Integreert de scanner met mijn bestaande Qualys-console?

De Security Center is een afzonderlijk hulpprogramma van uw bestaande Qualys-scanner. Licentiebeperkingen betekenen dat deze alleen kunnen worden gebruikt binnen Azure Security Center.

Microsoft Defender voor Eindpunt bevat ook Threat & Vulnerability Management (TVM). Hoe verschilt Azure Defender van beveiligingsprobleembeoordeling?

We zijn actief bezig met het ontwikkelen van een vulnerability management-service van wereldklasse met de oplossing Threat & Vulnerability Management van Microsoft Defender for Endpoint, ingebouwd in Windows.

Momenteel is Azure Security Center uitbreiding van de evaluatie van beveiligingsle powered by Qualys. De extensie profiteert ook van de eigen kennis van Qualys over beveiligingsproblemen die nog geen CVE's hebben.

Hoe snel identificeert de scanner nieuwe kritieke beveiligingsproblemen?

Binnen 48 uur na de openbaarmaking van een kritiek beveiligingsprobleem neemt Qualys de informatie op in hun verwerking en kan het betrokken computers identificeren.

Volgende stappen

Security Center biedt ook een beveiligingsanalyse voor uw: