您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

适用于 Azure 和混合计算机的 Azure Defender 集成式漏洞评估解决方案

每个网络风险和安全计划的核心部分都是识别和分析漏洞。

安全中心定期检查连接的计算机,以确保它们正在运行漏洞评估工具。

发现某台计算机上未部署漏洞评估解决方案时,安全中心会生成以下安全建议:

应在虚拟机上启用漏洞评估解决方案

使用此建议可将漏洞评估解决方案部署到 Azure 虚拟机以及已启用 Azure Arc 的混合计算机。

部署最符合你的需求和预算的漏洞评估解决方案:

  • 集成式漏洞评估解决方案(由 Qualys 提供支持) - Azure Defender 包含扫描计算机漏洞的功能,且不额外收费。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。 本页提供此扫描程序的详细信息,以及有关如何部署此扫描程序的说明。

    提示

    集成式漏洞评估解决方案支持 Azure 虚拟机和混合计算机。 若要将漏洞评估扫描程序部署到本地计算机和多云计算机,请先根据将非 Azure 计算机连接到安全中心中所述,使用 Azure Arc 将这些计算机连接到 Azure。

    安全中心的集成式漏洞评估解决方案可与 Azure Arc 无缝配合工作。部署 Azure Arc 后,计算机将显示在安全中心内,且无需安装 Log Analytics 代理。

  • 自带许可 (BYOL) 解决方案 - 安全中心支持集成其他供应商提供的工具,但你需要处理许可成本、部署和配置。 使用安全中心部署工具后,你将获得有关哪些 Azure 虚拟机缺少该工具的信息。 还可以在安全中心内查看结果。 如果你希望使用组织的专用 Qualys 或 Rapid7 许可证,而不是 Azure Defender 随附的 Qualys 许可证,请参阅如何部署 BYOL 解决方案

可用性

方面 详细信息
发布状态: 正式发布版 (GA)
计算机类型(混合方案): 是 Azure 虚拟机
是 已启用 Azure Arc 的计算机
定价: 需要用于服务器的 Azure Defender
所需角色和权限: 资源所有者可以部署扫描程序
安全读取者可以查看结果
云: 是 商业云
否 国家/主权(US Gov、中国 Gov、其他 Gov)

集成的漏洞扫描程序概述

Azure 安全中心随附的漏洞扫描程序由 Qualys 提供支持。 Qualys 的扫描程序是一种用于实时识别漏洞的领先工具。 只能在适用于服务器的 Azure Defender 中使用此扫描程序。 你无需具备 Qualys 许可证,甚至还不需要 Qualys 帐户 - 所有操作都在安全中心内无缝执行。

集成式漏洞扫描程序的工作原理

漏洞扫描程序扩展的工作如下:

  1. 部署 - Azure 安全中心会监视你的计算机,并提供有关在所选计算机上部署 Qualys 扩展的建议。

  2. 收集信息 - 扩展会收集定义区域中的项目,并将它们发送到 Qualys 云服务中进行分析。

  3. 分析 - Qualys 的云服务会执行漏洞评估,并将结果发送到安全中心。

    重要

    为了保障客户的隐私性、保密性和安全性,我们不会与 Qualys 共享客户详细信息。 详细了解 Azure 中内置的隐私标准

  4. 报表 - 结果会在安全中心提供。

Azure 安全中心内置的漏洞扫描程序的流程图

将集成式扫描程序部署到 Azure 和混合计算机

  1. Azure 门户中,打开“安全中心”。

  2. 在安全中心的菜单中,打开“建议”页。

  3. 选择建议“应在虚拟机上启用漏洞评估解决方案”。

    建议页中的计算机分组

    提示

    上面的计算机“server16-test”是已启用 Azure Arc 的计算机。 若要将漏洞评估扫描程序部署到本地计算机和多云计算机,请参阅将非 Azure 计算机连接到安全中心

    安全中心可与 Azure Arc 无缝配合工作。部署 Azure Arc 后,计算机将显示在安全中心内,且无需安装 Log Analytics 代理。

    你的计算机将显示在以下一个或多个组中:

    • 正常的资源 – 安全中心检测到这些计算机上正在运行漏洞评估解决方案。

    • 不正常的资源 - 可将漏洞扫描程序扩展部署到这些计算机。

    • 不适用的资源 - 无法在这些计算机上部署漏洞扫描程序扩展。 你的计算机之所以可能出现在此选项卡中,是因为它是 AKS 群集中的映像、是虚拟机规模集的一部分,或者未运行集成式漏洞扫描程序支持的操作系统之一:

      供应商 OS 支持的版本
      Microsoft Windows 全部
      Red Hat Enterprise Linux 5.4+、6、7.0-7.8、8.0-8.1
      Red Hat CentOS 5.4+、6、7.0-7.7、8.0-8.1
      Red Hat Fedora 22-31
      SUSE Linux Enterprise Server (SLES) 11、12、15
      SUSE OpenSUSE 12、13、15.0-15.2
      SUSE Leap 42.1
      Oracle Enterprise Linux 5.11、6、7.0-7.5
      Debian Debian 7.x-10.x
      Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS、19.10、20.04 LTS
  4. 在不正常的计算机列表中,选择要接收漏洞评估解决方案的计算机,然后选择“修正”。

    重要

    根据你的配置,此列表可能以不同的方式显示。

    • 如果你未配置第三方漏洞扫描程序,则你没有机会部署漏洞扫描程序。
    • 如果所选计算机不受 Azure Defender 的保护,则 ASC 集成式漏洞扫描程序选项将不可用。

    在建议页上响应建议**“应在虚拟机上启用漏洞评估解决方案”**时要选择的修正流类型的选项

  5. 选择建议的选项“部署 ASC 集成式漏洞扫描程序”,然后选择“继续” 。

  6. 系统会要求你再确认一次。 选择“修正”。

    扫描程序扩展在几分钟内即会安装到所有选定的计算机上。

    在成功部署扩展后,扫描就会自动开始进行。 随后,扫描将按四小时的间隔时间运行。 此间隔不可配置。

    重要

    如果在一台或多台计算机上部署失败,请将以下 IP 添加到允许列表,确保目标计算机可与 Qualys 的云服务通信(通过端口 443 - HTTPS 的默认端口):

    • 64.39.104.113 - Qualys 的美国数据中心
    • 154.59.121.74 - Qualys 的欧洲数据中心

    如果你的计算机位于欧洲 Azure 区域,则将在 Qualys 的欧洲数据中心处理其项目。 位于其他位置的虚拟机的项目将发送到美国数据中心。

自动完成大规模部署

备注

本部分所述的所有工具都已在安全中心的 GitHub 社区存储库中提供。 在该存储库中,可以找到可在整个 ASC 部署中使用的脚本、自动化和其他有用资源。

其中一些工具只会影响在启用大规模部署后连接的新计算机。 其他一些工具还可以部署到现有计算机。 可以结合多种方法。

可通过某些方法自动大规模部署集成式扫描程序:

  • Azure 资源管理器 – 可以通过 Azure 门户中的“查看建议逻辑”使用此方法。 修正脚本包含可用于自动化的相关 ARM 模板: 修正脚本包含可用于自动化的相关 ARM 模板
  • DeployIfNotExists 策略 – 一个用于确保所有新建的计算机都会接收扫描程序的自定义策略。 选择“部署到 Azure”并设置相关参数。 可以在资源组、订阅或管理组级别分配此策略。
  • PowerShell 脚本 – 使用 Update qualys-remediate-unhealthy-vms.ps1 脚本为所有不正常的虚拟机部署扩展。 若要在新资源上安装,请使用 Azure 自动化自动执行该脚本。 该脚本将查找建议功能发现的所有不正常计算机,并执行 Azure 资源管理器调用。
  • Azure 逻辑应用 – 基于示例应用生成逻辑应用。 使用安全中心的工作流自动化工具可以在每当为资源生成了“应在虚拟机上启用漏洞评估解决方案”建议时,就会触发你的逻辑应用来部署扫描程序。
  • REST API – 若要使用安全中心的 REST API 部署集成式漏洞评估解决方案,请向以下 URL 发出 PUT 请求并添加相关资源 ID:https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview

触发按需扫描

可以使用本地或远程执行的脚本或者组策略对象 (GPO),从计算机本身触发按需扫描。 或者,可以在补丁部署作业结束时将按需扫描集成到软件分发工具中。

以下命令触发按需扫描:

  • Windows 计算机:REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux 计算机:sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

常见问题解答 - 集成式漏洞扫描程序(由 Qualys 提供支持)

使用 Qualys 许可证是否需要支付额外费用?

不是。 内置扫描程序供所有 Azure Defender 用户免费使用。 建议功能根据扫描程序的许可和配置信息部署扫描程序。 无需任何其他许可证。

安装 Qualys 扩展需要哪些先决条件和权限?

需要对你要在其上部署扩展的任何计算机拥有写入权限。

与其他扩展一样,Azure 安全中心漏洞评估扩展(由 Qualys 提供支持)在 Azure 虚拟机代理之上运行。 因此,它将作为 Windows 上的本地主机和 Linux 上的根运行。

在设置期间,安全中心会进行检查,确保该计算机可与以下两个 Qualys 数据中心通信(通过端口 443 - HTTPS 的默认端口):

  • 64.39.104.113 - Qualys 的美国数据中心
  • 154.59.121.74 - Qualys 的欧洲数据中心

该扩展目前不接受任何代理配置详细信息。

是否可以删除安全中心 Qualys 扩展?

如果你要从计算机中删除该扩展,可以手动或通过任何编程工具进行删除。

你将需要以下详细信息:

  • 在 Linux 上,该扩展名为“LinuxAgent.AzureSecurityCenter”,发行商名称为“Qualys”
  • 在 Windows 上,该扩展名为“WindowsAgent.AzureSecurityCenter”,提供商名称为“Qualys”

扩展是如何更新的?

与 Azure 安全中心代理本身以及其他所有 Azure 扩展一样,Qualys 扫描程序的次要更新可能会在后台自动发生。 所有代理和扩展在自动被部署前都会经过广泛的测试。

为什么我的计算机在建议中显示为“不适用”?

建议详细信息页将计算机分组到以下列表:“正常”、“不正常”和“不适用” 。

如果“不适用”资源组中包含你的 VM,则意味着安全中心无法在这些计算机上部署漏洞扫描程序扩展。

你的计算机出现在此选项卡中的可能原因是:

  • 该计算机不受 Azure Defender 保护 - 如前所述,只能对受适用于服务器的 Azure Defender 保护的计算机使用 Azure 安全中心随附的漏洞扫描程序。

  • 该计算机是 AKS 群集中的映像或者是虚拟机规模集的一部分 - 此扩展不支持用作 PaaS 资源的 VM。

  • 该计算机未运行受支持的操作系统之一:

    供应商 OS 支持的版本
    Microsoft Windows 全部
    Red Hat Enterprise Linux 5.4+、6、7.0-7.8、8.0-8.1
    Red Hat CentOS 5.4+、6、7.0-7.7、8.0-8.1
    Red Hat Fedora 22-31
    SUSE Linux Enterprise Server (SLES) 11、12、15
    SUSE OpenSUSE 12、13、15.0-15.2
    SUSE Leap 42.1
    Oracle Enterprise Linux 5.11、6、7.0-7.5
    Debian Debian 7.x-10.x
    Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15.x、16.04 LTS、18.04 LTS、19.10、20.04 LTS

内置的漏洞扫描程序会扫描哪些内容?

扫描程序在计算机上运行以查找计算机本身的漏洞。 它无法在该计算机中扫描你的网络。

此扫描程序与我现有的 Qualys 控制台相集成了吗?

安全中心扩展是独立于你现有 Qualys 扫描程序的一个工具。 许可限制意味着它只能在 Azure 安全中心内使用。

Microsoft Defender for Endpoint 还包含威胁和漏洞管理 (TVM)。 此 Azure Defender 漏洞评估扩展的不同之处是什么?

我们正在积极开发包含 Microsoft Defender for Endpoint 威胁和漏洞管理解决方案的、内置于 Windows 中的一流漏洞管理服务。

目前,Azure 安全中心的漏洞评估扩展由 Qualys 提供支持。 此扩展还可以从 Qualys 自身对没有 CVE 的漏洞的了解中获益。

扫描程序识别新泄露的严重漏洞的速度有多快?

在泄露严重漏洞后的 48 小时内,Qualys 会将信息整合到其处理流程中,并可识别受影响的计算机。

后续步骤

安全中心还为以下内容提供漏洞分析: