Включение сканирования уязвимостей с помощью решения BYOL

  • Статья

План Defender для серверов в Microsoft Defender для облака имеет встроенное средство оценки уязвимостей. Средство оценки уязвимостей не требует внешних лицензий и поддерживает компьютеры с поддержкой Azure Arc.

Если вы не хотите использовать интегрированное средство оценки уязвимостей, вы можете использовать собственное решение для оценки уязвимостей с частной лицензией из Qualys или Rapid7. В этой статье описываются шаги, необходимые для развертывания одного из этих партнерских решений на нескольких виртуальных машинах, принадлежащих одной подписке (но не к компьютерам с поддержкой Azure Arc).

Availability

Аспект Сведения
Состояние выпуска: Общедоступная версия
Типы машин Виртуальные машины Azure
Компьютеры с поддержкой Azure Arc
Цены. Бесплатно
Требуемые роли и разрешения Владелец ресурса может развертывать средство проверки
Читатель сведений о безопасности может просматривать результаты
Облако. Коммерческие облака
National (Azure для государственных организаций, Microsoft Azure, управляемый 21Vianet)

Развертывание решения с использованием собственной лицензии с портала Azure

Варианты с использованием собственной лицензии относятся к поддерживаемым решениям для оценки уязвимостей сторонних производителей. На данный момент поддерживаются поставщики Qualys и Rapid7.

Поддерживаемые решения позволяют передавать данные об уязвимостях на платформу управления партнера, которая, в свою очередь, возвращает данные мониторинга уязвимостей и работоспособности в Defender для облака. Вы можете определить уязвимые виртуальные машины на панели мониторинга защиты рабочей нагрузки и перейти на консоль управления партнера непосредственно из Defender для облака для отчетов и получения дополнительных сведений.

  1. На портале Azure откройте службу Defender для облака.

  2. В меню Defender для облака откройте страницу Рекомендации.

  3. Выберите рекомендацию На компьютерах должно быть доступно решение для оценки уязвимостей.

    Группы компьютеров на странице с рекомендацией **Необходимо включить решение для оценки уязвимостей на виртуальных машинах**

    Виртуальные машины отображаются в одной или нескольких из следующих групп:

    • Работоспособные ресурсы— Defender для облака обнаружили решение для оценки уязвимостей, работающее на этих виртуальных машинах.
    • Неработоспособные ресурсы — на этих виртуальных машинах можно развернуть расширение средства проверки на предмет уязвимостей.
    • Неприменимые ресурсы — на этих виртуальных машинах нельзя развернуть средство проверки уязвимостей.

  4. В списке неработоспособных компьютеров выберите один или несколько компьютеров, на которые вам нужно установить решение для оценки уязвимостей, и щелкните элемент Исправить.

    Внимание

    В зависимости от конфигурации этот список может отображаться не полностью.

    • Если у вас не настроено стороннее средство проверки на предмет уязвимостей, предложение развернуть его не отобразится.
    • Если для выбранных виртуальных машин не настроена защита Microsoft Defender для серверов, то интегрированное средство поиска уязвимостей Defender для облака не будет доступно.

    Снимок экрана: экран решений после нажатия кнопки исправления для ресурса.

  5. Если вы настраиваете новую конфигурацию с использованием собственной лицензии, щелкните Настройка нового стороннего сканера уязвимостей, выберите соответствующее расширение, нажмите кнопку Продолжить и введите предоставленные поставщиком сведения, как показано ниже.

    1. Для параметра Группа ресурсов выберите Использовать существующий. Если позднее удалить эту группу ресурсов, решение с использованием собственной лицензии будет недоступно.
    2. В поле Расположение укажите, где это решение будет располагаться географически.
    3. Если используется решение Qualys, введите лицензию, предоставленную Qualys, в поле Код лицензии.
    4. Если используется решение Rapid7, загрузите файл конфигурации Rapid7.
    5. В поле Открытый ключ введите открытый ключ, предоставленный партнером.
    6. Если требуется автоматически установить агент оценки уязвимостей на всех обнаруженных виртуальных машинах в подписке для этого решения, установите флажок Автоматическое развертывание.
    7. Нажмите ОК.

  6. Если вы уже настроили решение BYOL, выберите "Развернуть настроенный сторонний сканер уязвимостей", выберите соответствующее расширение и нажмите кнопку "Продолжить".

Когда решение для оценки уязвимостей будет установлено на целевых машинах, Defender для облака запустит сканирование для поиска и определения уязвимостей в системе и приложениях. При первом запуске этот процесс может занять несколько часов. После этого проверка выполняется каждый час.

Развертывание решения с использованием собственной лицензии с помощью PowerShell и REST API

Чтобы программно развернуть решение для оценки уязвимостей с собственной лицензией от Qualys или Rapid7, воспользуйтесь предоставленным скриптом PowerShell > Решение для оценки уязвимости. Этот скрипт использует REST API для создания нового решения по обеспечению безопасности в Defender для облака. Вам нужна лицензия и ключ, предоставленный поставщиком услуг (Qualys или Rapid7).

Внимание

На каждую лицензию можно создать только одно решение. При попытке создать другое решение с использованием тех же имени лицензии или ключа произойдет ошибка.

Необходимые компоненты

Необходимые модули PowerShell

  • Install-module Az
  • Install-module Az.security

Выполнение скрипта

Чтобы запустить скрипт, вам потребуется соответствующая информация для следующих параметров:

Параметр Обязательный Примечания
SubscriptionId Идентификатор подписки Azure, содержащей ресурсы, которые требуется анализировать.
ResourceGroupName Имя группы ресурсов. Используйте любую существующую группу ресурсов, в том числе заданную по умолчанию (DefaultResourceGroup-xxx).
Так как решение не является ресурсом Azure, он не указан в группе ресурсов, но он по-прежнему подключен к нему. Если позже удалить группу ресурсов, решение BYOL недоступно.
vaSolutionName Имя нового решения.
vaType Qualys или Rapid7.
licenseCode Предоставленная поставщиком строка лицензии.
publicKey Предоставленный поставщиком открытый ключ.
autoUpdate - Включение (true) или отключение (false) автоматического развертывания для этого решения для оценки уязвимостей. При включении каждая новая виртуальная машина в подписке автоматически пытается связаться с решением.
(Значение по умолчанию: False)

Синтаксис

.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>

Пример (в этом примере не используются реальные данные лицензии)

.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'

Дополнительные сведения о получении устройства виртуального сканера Qualys в Azure Marketplace.

Следующие шаги