Azure Defender har integrerat Qualys-sårbarhetsskanner för Azure och hybriddatorer

En viktig del av alla cyberrisker och säkerhetsprogram är identifiering och analys av sårbarheter.

Security Center kontrollerar regelbundet dina anslutna datorer för att säkerställa att de kör sårbarhetsbedömningsverktyg.

När en dator hittas som inte har en distribuerad lösning för sårbarhetsbedömning Security Center följande säkerhetsrekommendation:

En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer

Använd den här rekommendationen för att distribuera sårbarhetsbedömningslösningen till dina virtuella Azure-Azure Arc-aktiverade hybriddatorer.

Distribuera den lösning för sårbarhetsbedömning som bäst uppfyller dina behov och din budget:

  • Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker verktyg – Identifiera sårbarheter och felkonfigurationer i realtid med sensorer och utan behov av agenter eller regelbundna genomsökningar. Den prioriterar sårbarheter baserat på hotlandskapet, identifieringar i din organisation, känslig information på sårbara enheter och affärskontext. Läs mer i Undersöka svagheter med Microsoft Defender för slutpunktens Hantering av hot och säkerhetsrisker.

  • Integrerad lösning för sårbarhetsbedömning (drivs av Qualys) – Azure Defender inkluderar sårbarhetsgenomsökning för dina datorer utan extra kostnad. Du behöver ingen Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center. Den här sidan innehåller information om den här skannern och anvisningar för hur du distribuerar den.

    Tips

    Den integrerade lösningen för sårbarhetsbedömning stöder både virtuella Azure-datorer och hybriddatorer. Om du vill distribuera sårbarhetsbedömningsskannern till dina lokala datorer och datorer med flera moln ansluter du dem först till Azure med Azure Arc enligt beskrivningen i Anslut dina icke-Azure-datorer till Security Center.

    Security Center integrerade lösningen för sårbarhetsbedömning fungerar sömlöst med Azure Arc. När du har distribuerat Azure Arc visas datorerna i Security Center ingen Log Analytics-agent krävs.

  • Bring your own license (BYOL) – Security Center stöder integrering av verktyg från andra leverantörer, men du måste hantera licenskostnaderna, distributionen och konfigurationen. Genom att distribuera verktyget Security Center får du information om vilka virtuella Azure-datorer som saknar verktyget. Du kommer också att kunna visa resultat i Security Center. Om du föredrar att använda organisationens privata Qualys- eller Rapid7-licens i stället för Qualys-licensen som ingår i Azure Defender, se Distribuera en BYOL-lösning.

Tillgänglighet

Aspekt Information
Utgivningstillstånd: Allmän tillgänglighet (GA)
Datortyper (hybridscenarier): Virtuella Azure-datorer
Azure Arc aktiverade datorer
Prissättning: Kräver Azure Defender för servrar
Nödvändiga roller och behörigheter: Ägare (resursgruppsnivå) kan distribuera skannern
Säkerhetsläsare kan visa resultat
Moln: Kommersiella moln
Nationella/nationella (Azure Government, Azure China 21Vianet)

Översikt över den integrerade sårbarhetsskannern

Sårbarhetsskannern som ingår i Azure Security Center drivs av Qualys. Qualys skanner är ett av de ledande verktygen för identifiering av sårbarheter i realtid. Den är bara tillgänglig med Azure Defender för servrar. Du behöver ingen Qualys-licens eller ens ett Qualys-konto – allt hanteras sömlöst i Security Center.

Så här fungerar den integrerade sårbarhetsskannern

Tillägget för sårbarhetsskanner fungerar på följande sätt:

  1. Distribuera – Azure Security Center övervakar dina datorer och ger rekommendationer för att distribuera Qualys-tillägget på din valda dator/dina.

  2. Samla in information – Tillägget samlar in artefakter och skickar dem för analys i Qualys-molntjänsten i den definierade regionen.

  3. Analysera – Qualys molntjänst utför sårbarhetsbedömningen och skickar sina resultat till Security Center.

    Viktigt

    För att säkerställa sekretess, sekretess och säkerhet för våra kunder delar vi inte kundinformation med Qualys. Läs mer om de sekretessstandarder som är inbyggda i Azure.

  4. Rapport – Resultaten är tillgängliga i Security Center.

Processflödesdiagram för Azure Security Center inbyggda sårbarhetsskannern.

Distribuera den integrerade skannern till dina Azure- och hybriddatorer

  1. Öppna Azure Portalfrån Security Center.

  2. Öppna Security Center på menyn Rekommendationer.

  3. Välj rekommendationen En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer.

    Gruppingrupperingarna för datorerna på rekommendationssidan.

    Tips

    Datorn "server16-test" ovan är en Azure Arc aktiverad dator. Information om hur du distribuerar skannern för sårbarhetsbedömning till dina lokala datorer och datorer med flera moln finns i Anslut icke-Azure-datorer för att Security Center.

    Security Center fungerar sömlöst med Azure Arc. När du har distribuerat Azure Arc visas datorerna i Security Center ingen Log Analytics-agent krävs.

    Datorerna visas i en eller flera av följande grupper:

    • Felfria resurser – Security Center har identifierat en lösning för sårbarhetsbedömning som körs på dessa datorer.

    • Resurser med feltillstånd – Ett tillägg för sårbarhetsskanner kan distribueras till dessa datorer.

    • Ej tillämpliga resurser – de här datorerna kan inte ha ett tillägg för sårbarhetsskanner distribuerat. Datorn kan finnas på den här fliken eftersom det är en avbildning i ett AKS-kluster, en del av en VM-skalningsuppsättning eller om den inte kör något av de operativsystem som stöds för den integrerade sårbarhetsskannern:

      Leverantör Operativsystem Versioner som stöds
      Microsoft Windows Alla
      Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.3
      Red Hat CentOS 5.4+, 6, 7, 7.1-7.8, 8-8.4
      Red Hat Fedora 22-33
      SUSE Linux Enterprise Server (SLES) 11, 12, 15
      SUSE OpenSUSE 12, 13, 15.0-15.2
      SUSE Språng 42.1
      Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.4
      Debian Debian 7.x-10.x
      Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS
  4. I listan över datorer med feltillstånd väljer du de datorer som ska få en lösning för sårbarhetsbedömning och väljer Åtgärda.

    Viktigt

    Beroende på din konfiguration kan den här listan se annorlunda ut.

    • Om du inte har konfigurerat någon säkerhetsskanner från tredje part erbjuds du inte möjligheten att distribuera den.
    • Om de valda datorerna inte skyddas av Azure Defender kommer alternativet för ASC-integrerad sårbarhetsskanner inte att vara tillgängligt.

    Alternativen för vilken typ av åtgärdsflöde du vill välja när du svarar på rekommendationen **En lösning för sårbarhetsbedömning bör vara aktiverad på rekommendationssidan för dina virtuella datorer**

  5. Välj det rekommenderade alternativet Deploy ASC integrated vulnerability scanner (Distribuera ASC-integrerad sårbarhetsskanner) och Fortsätt.

  6. Du uppmanas att bekräfta ytterligare en gång. Välj Åtgärda.

    Skannertillägget installeras på alla valda datorer inom några minuter.

    Genomsökningen startar automatiskt när tillägget har distribuerats. Genomsökningar körs sedan var 12:e timme. Det här intervallet kan inte konfigureras.

    Viktigt

    Om distributionen misslyckas på en eller flera datorer ser du till att måldatorerna kan kommunicera med Qualys molntjänst genom att lägga till följande IP-adresser i listan över tillåtna (via port 443 – standard för HTTPS):

    • https://qagpublic.qg3.apps.qualys.com – Qualys datacenter i USA

    • https://qagpublic.qg2.apps.qualys.eu – Qualys europeiska datacenter

    Om din dator finns i en europeisk Azure-region bearbetas dess artefakter i Qualys europeiska datacenter. Artefakter för virtuella datorer som finns någon annanstans skickas till det amerikanska datacentret.

Automatisera storskaliga distributioner

Anteckning

Alla verktyg som beskrivs i det här avsnittet är tillgängliga Security Center på GitHub community-lagringsplats. Där hittar du skript, automatiseringar och andra användbara resurser som du kan använda i hela ASC-distributionen.

Vissa av de här verktygen påverkar bara nya datorer som är anslutna när du aktiverar distribution i stor skala. Andra distribuerar också till befintliga datorer. Du kan kombinera flera metoder.

Några av de sätt som du kan automatisera distributionen i stor skala med den integrerade skannern:

  • Azure Resource Manager – Den här metoden är tillgänglig från visa rekommendationslogik i Azure Portal. Reparationsskriptet innehåller den relevanta ARM-mall som du kan använda för automatiseringen: Reparationsskriptet innehåller den relevanta ARM-mall som du kan använda för automatiseringen.
  • DeployIfNotExists-principEn anpassad princip för att se till att alla nyligen skapade datorer tar emot skannern. Välj Distribuera till Azure och ange relevanta parametrar. Du kan tilldela den här principen på resursgrupper, prenumerationer eller hanteringsgrupper.
  • PowerShell-skript – Använd Update qualys-remediate-unhealthy-vms.ps1 skriptet för att distribuera tillägget för alla virtuella datorer med feltillstånd. Om du vill installera på nya resurser automatiserar du skriptet med Azure Automation. Skriptet hittar alla datorer med feltillstånd som identifieras av rekommendationen och kör ett Azure Resource Manager anrop.
  • Azure Logic Apps – Skapa en logikapp baserat på exempelappen. Använd Security Center arbetsflödesautomatiseringsverktyg för att utlösa logikappen för att distribuera skannern när en lösning för sårbarhetsbedömning ska aktiveras på dina virtuella datorers rekommendation genereras för en resurs.
  • REST API – Distribuera den integrerade lösningen för sårbarhetsbedömning med hjälp av Security Center REST API genom att skicka en PUT-begäran för följande URL och lägga till relevant resurs-ID: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview

Utlösa en genomsökning på begäran

Du kan utlösa en genomsökning på begäran från själva datorn med hjälp av lokalt eller fjärranslutna skript eller grupprincip objekt (GPO). Du kan också integrera den i dina programdistributionsverktyg i slutet av ett korrigeringsdistributionsjobb.

Följande kommandon utlöser en genomsökning på begäran:

  • Windows datorer:REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux-datorer:sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

Vanliga frågor och svar – Integrerad sårbarhetsskanner (drivs av Qualys)

Finns det några ytterligare avgifter för Qualys-licensen?

Nej. Den inbyggda skannern är kostnadsfri för alla Azure Defender användare. Rekommendationen distribuerar skannern med dess licens- och konfigurationsinformation. Inga ytterligare licenser krävs.

Vilka krav och behörigheter krävs för att installera Qualys-tillägget?

Du behöver skrivbehörighet för alla maskiner där du vill distribuera tillägget.

Tillägget Azure Security Center för sårbarhetsbedömning (drivs av Qualys), precis som andra tillägg, körs ovanpå Azure Virtual Machine-agenten. Den körs alltså som lokal värd på Windows och root på Linux.

Under installationen Security Center för att säkerställa att datorn kan kommunicera med följande två Qualys-datacenter (via port 443 – standard för HTTPS):

  • https://qagpublic.qg3.apps.qualys.com – Qualys datacenter i USA
  • https://qagpublic.qg2.apps.qualys.eu – Qualys europeiska datacenter

Tillägget godkänner för närvarande inte någon proxykonfigurationsinformation.

Kan jag ta bort Security Center Qualys-tillägget?

Om du vill ta bort tillägget från en dator kan du göra det manuellt eller med något av dina programmässiga verktyg.

Du behöver följande information:

  • I Linux kallas tillägget "LinuxAgent.AzureSecurityCenter" och utgivarnamnet är "Qualys"
  • På Windows kallas tillägget "WindowsAgent.AzureSecurityCenter" och providernamnet är "Qualys"

Hur uppdateras tillägget?

Precis som Azure Security Center själva agenten och alla andra Azure-tillägg kan mindre uppdateringar av Qualys-skannern ske automatiskt i bakgrunden. Alla agenter och tillägg testas i stor utsträckning innan de distribueras automatiskt.

Varför visas min dator som "ej tillämplig" i rekommendationen?

Sidan med rekommendationsinformation grupperar dina datorer i följande listor: felfri, ej felfri och inte tillämplig.

Om du har datorer i den resursgrupp som inte är tillämplig innebär det Security Center inte kan distribuera tillägget för sårbarhetsskanner på dessa datorer.

Datorn kan finnas på den här fliken eftersom:

  • Det skyddas inte av Azure Defender – Som förklaras ovan är sårbarhetsskannern som ingår i Azure Security Center endast tillgänglig för datorer som skyddas av Azure Defender för servrar.

  • Det är en avbildning i ett AKS-kluster eller en del av en VM-skalningsuppsättning – det här tillägget stöder inte virtuella datorer som är PaaS-resurser.

  • Den kör inte något av de operativsystem som stöds:

    Leverantör Operativsystem Versioner som stöds
    Microsoft Windows Alla
    Red Hat Enterprise Linux 5.4+, 6, 7-7.9, 8-8.3
    Red Hat CentOS 5.4+, 6, 7, 7.1-7.8, 8-8.4
    Red Hat Fedora 22-33
    SUSE Linux Enterprise Server (SLES) 11, 12, 15
    SUSE OpenSUSE 12, 13, 15.0-15.2
    SUSE Språng 42.1
    Oracle Enterprise Linux 5.11, 6, 7-7.9, 8-8.4
    Debian Debian 7.x-10.x
    Ubuntu Ubuntu 12.04 LTS, 14.04 LTS, 15.x, 16.04 LTS, 18.04 LTS, 19.10, 20.04 LTS

Vad genomsöks av den inbyggda sårbarhetsskannern?

Skannern körs på datorn för att leta efter sårbarheter i själva datorn. Från datorn går det inte att genomsöka nätverket.

Integrerar skannern med min befintliga Qualys-konsol?

Tillägget Security Center är ett separat verktyg från din befintliga Qualys-skanner. Licensbegränsningar innebär att den bara kan användas inom Azure Security Center.

Microsoft Defender för slutpunkt innehåller även Threat & Vulnerability Management (TVM). Hur skiljer sig Azure Defender tillägget för sårbarhetsbedömning?

Vi utvecklar aktivt en förstklassig hantering av säkerhetsrisker tjänst med Microsoft Defender for Endpoints Threat & Vulnerability Management-lösning som är inbyggd i Windows.

I Azure Security Center drivs tillägget för sårbarhetsbedömning av Qualys. Tillägget drar också nytta av Qualys egna kunskaper om sårbarheter som ännu inte har CVE:er.

Hur snabbt kommer skannern att identifiera nyligen avslöjade kritiska säkerhetsrisker?

Inom 48 timmar efter avslöjandet av en kritisk säkerhetsrisk införlivar Qualys informationen i bearbetningen och kan identifiera berörda datorer.

Nästa steg

Security Center även sårbarhetsanalys för din: