適用于 Azure 和混合式機器的 azure Defender 整合式弱點評定解決方案

每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。

安全中心會定期檢查您已連線的機器,以確保它們正在執行弱點評定工具。

找到未部署弱點評定解決方案的電腦時,「安全性中心」會產生下列安全性建議:

虛擬機器上應啟用弱點評估解決方案

使用此建議,將弱點評估解決方案部署到您的 Azure 虛擬機器和 Azure Arc 啟用混合式電腦。

部署最符合您需求和預算的弱點評估解決方案:

  • 整合式弱點評定解決方案 (由 Qualys) 支援 -Azure Defender 包含電腦的弱點掃描,不需額外費用。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。 此頁面會提供此掃描器的詳細資料,以及如何部署它的指示。

    提示

    整合式弱點評估解決方案支援 Azure 虛擬機器和混合式機器。 若要將弱點評定掃描器部署到您的內部部署和多雲端電腦,請先使用 Azure Arc 將其連接到 Azure,如連線非 Azure 電腦到資訊安全中心中所述。

    安全中心的整合式弱點評定解決方案可與 Azure Arc 緊密搭配運作。當您部署 Azure Arc 時,您的電腦將會出現在 [安全性中心] 中,而且不需要任何 Log Analytics 代理程式。

  • 攜帶您自己的授權 (BYOL) 解決方案 -「安全性中心」支援與其他廠商的工具整合,但您必須處理授權成本、部署和設定。 藉由使用資訊安全中心部署您的工具,您將會取得哪些 Azure 虛擬機器缺少此工具的相關資訊。 您也可以在 [安全性中心] 內查看結果。 如果您想要使用貴組織的私用 Qualys 或 Rapid7 授權,而不是 Azure Defender 隨附的 Qualys 授權,請參閱 如何部署 BYOL 解決方案

可用性

層面 詳細資料
版本狀態: 公開上市 (GA)
(混合式案例的電腦類型) : Azure 虛擬機器
Azure Arc 啟用的電腦
定價: 需要適用於伺服器的 Azure Defender
必要的角色和權限: 資源擁有 者可以部署掃描器
安全性讀取者 可以查看結果
雲端: 商業雲端
全國/主權 (US Gov、Azure 中國)

整合式弱點掃描器的概觀

Azure 資訊安全中心隨附的弱點掃描器是由 Qualys 提供技術支援。 Qualys 的掃描器是即時識別弱點的其中一個主要工具。 這僅適用于適用 于伺服器的 Azure Defender。 您不需要 Qualys 授權或 Qualys 帳戶,一切都可以在資訊安全中心內流暢進行。

整合式弱點掃描器的運作方式

弱點掃描器擴充功能的運作方式如下:

  1. 部署 -Azure 資訊安全中心監視您的機器,並提供在所選電腦上部署 Qualys 延伸模組的建議。

  2. 收集資訊 - 此擴充功能會收集成品,並將其傳送至已定義區域中的 Qualys 雲端服務以進行分析。

  3. Qualys 「雲端服務」會執行弱點評定,並將其結果傳送至「安全性中心」。

    重要

    為了確保客戶的隱私權、機密性和安全性,我們不會與 Qualys 共用客戶詳細資料。 深入了解 Azure 內建的隱私權標準

  4. 報表 -結果會出現在 [安全性中心] 中。

Azure 資訊安全中心內建弱點掃描器的處理流程圖。

將整合式掃描器部署到您的 Azure 和混合式機器

  1. Azure 入口網站中開啟 資訊安全中心

  2. 在 [安全性中心] 功能表中,開啟 [建議] 頁面。

  3. 選取建議 應在您的虛擬機器上啟用弱點評估解決方案

    建議頁面中的電腦群組。

    提示

    上述的「server16 測試」電腦是啟用 Azure Arc 的電腦。 若要將弱點評定掃描器部署到您的內部部署和多雲端電腦,請參閱連線您的非 Azure 機器加入至資訊安全中心

    「安全性中心」與 Azure Arc 緊密搭配運作。當您部署 Azure Arc 時,您的電腦將會出現在 [安全性中心] 中,而且不需要任何 Log Analytics 代理程式。

    您的電腦將會出現在下列一或多個群組中:

    • 狀況良好的資源 -資訊安全中心偵測到在這些機器上執行的弱點評估解決方案。

    • 狀況不良的資源 -可以將弱點掃描器延伸模組部署到這些電腦。

    • 不適用的資源 -這些機器無法部署弱點掃描器延伸模組。 您的電腦可能會在此索引標籤中,因為它是 AKS 叢集中的映射、它是虛擬機器擴展集的一部分,或是未執行整合式弱點掃描器所支援的其中一個作業系統:

      廠商 作業系統 支援的版本
      Microsoft Windows 全部
      Red Hat Enterprise Linux 5.4 +、6、7.0-7.8、8.0-8。1
      Red Hat CentOS 5.4 +、6、7.0-7.7、8.0-8。1
      Red Hat Fedora 22-31
      SUSE Linux Enterprise Server (SLES) 11、12、15
      SUSE OpenSUSE 12,13,15.0-15。2
      SUSE Leap 42.1
      Oracle Enterprise Linux 5.11、6、7.0-7.5
      Debian Debian 7.x-10. x
      Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15. x、16.04 LTS、18.04 LTS、19.10、20.04 LTS
  4. 從健康情況不良的電腦清單中,選取要接收弱點評定解決方案的電腦,然後選取 [ 修復]。

    重要

    視您的設定而定,這份清單可能會以不同的方式出現。

    • 如果您尚未設定協力廠商弱點掃描器,將不會提供部署的機會。
    • 如果您選取的機器未受到 Azure Defender 的保護,則無法使用 ASC 整合式弱點掃描器選項。

    回應建議時,您想要選擇哪一種補救流程類型的選項 * * 您應在虛擬機器上啟用弱點評定解決方案 * * 建議頁面

  5. 選擇建議的選項, 部署 ASC 整合式弱點掃描器,然後 繼續進行

  6. 系統會要求您進行一次確認。 選取 [ 修復]。

    掃描器擴充功能將會在幾分鐘內安裝到所有選取的電腦上。

    掃描作業會在成功部署擴充功能之後自動開始。 然後,掃描將會以每四小時的間隔執行。 此間隔無法設定。

    重要

    如果部署在一或多部電腦上失敗,請確定目的電腦可透過埠443(HTTPS) 的預設值),將下列 Ip 新增到允許清單 (,以與 Qualys 的雲端服務通訊:

    • 64.39.104.113-Qualys ' US data center
    • 154.59.121.74-Qualys ' 歐洲資料中心

    如果您的電腦位於歐洲 Azure 區域,其成品將會在 Qualys 的歐洲資料中心內進行處理。 位於其他位置的虛擬機器 Artifacts 會傳送至美國資料中心。

自動化大規模部署

注意

本節所述的所有工具都可從安全性中心的 GitHub 社區存放庫取得。 您可以在這裡找到腳本、自動化和其他有用的資源,以便在整個 ASC 部署中使用。

其中某些工具只會影響您在大規模部署啟用之後連線的新電腦。 其他專案也會部署到現有的電腦。 您可以結合多個方法。

您可以用來自動進行整合式掃描器大規模部署的一些方式:

  • Azure Resource Manager –此方法可從 Azure 入口網站的「 查看建議」邏輯 中取得。 補救腳本包含您可用於自動化的相關 ARM 範本: 補救腳本包含您可用於自動化的相關 arm 範本。
  • DeployIfNotExists 原則 -確保所有新建立的電腦都會收到掃描器的 自訂原則 。 選取 [ 部署至 Azure ],並設定相關的參數。 您可以在資源群組、訂用帳戶或管理群組層級指派此原則。
  • PowerShell 腳本 -使用 Update qualys-remediate-unhealthy-vms.ps1 腳本為所有狀況不良的虛擬機器部署擴充功能。 若要在新的資源上安裝,請使用 Azure 自動化自動化腳本。 腳本會尋找建議所探索到的所有狀況不良電腦,並執行 Azure Resource Manager 呼叫。
  • Azure Logic Apps –以 範例應用程式為基礎建立邏輯應用程式。 使用資訊安全中心的 工作流程自動化 工具來觸發邏輯應用程式,以在每次針對資源產生的 虛擬機器建議上啟用弱點評估解決方案 時,部署掃描器。
  • REST API –若要使用「安全性中心」的 REST API 部署整合式弱點評定解決方案,請對下列 URL 提出 PUT 要求,並新增相關的資源識別碼: https://management.azure.com/<resourceId>/providers/Microsoft.Security/serverVulnerabilityAssessments/default?api-Version=2015-06-01-preview

觸發隨選掃描

您可以使用本機或遠端執行的腳本或群組原則物件 (GPO) 來觸發電腦本身的隨選掃描。 或者,您可以在修補部署作業結束時,將它整合到您的軟體發佈工具。

下列命令會觸發隨選掃描:

  • Windows 電腦REG ADD HKLM\SOFTWARE\Qualys\QualysAgent\ScanOnDemand\Vulnerability /v "ScanOnDemand" /t REG_DWORD /d "1" /f
  • Linux 機器sudo /usr/local/qualys/cloud-agent/bin/cloudagentctl.sh action=demand type=vm

常見問題-整合式弱點掃描器 (由 Qualys) 支援

Qualys 授權是否需要任何額外費用?

否。 所有 Azure Defender 使用者都可以免費進行內建掃描器。 建議使用其授權和設定資訊來部署掃描器。 不需要額外的授權。

安裝 Qualys 擴充功能需要哪些必要條件和權限?

您將需要任何您想要部署擴充功能之電腦的寫入權限。

Azure 資訊安全中心弱點評定延伸模組 (由 Qualys) 提供,如同其他擴充功能,會在 Azure 虛擬機器代理程式上執行。 因此,會在 Windows 上以本機主機的形式執行,而在 Linux 上以根的形式執行。

在安裝期間,安全性中心會檢查,以確保電腦可透過埠443(HTTPS) 的預設值) (與下列兩個 Qualys 資料中心通訊:

  • 64.39.104.113-Qualys ' US data center
  • 154.59.121.74-Qualys ' 歐洲資料中心

此延伸模組目前不接受任何 proxy 設定詳細資料。

我可以移除資訊安全中心的 Qualys 擴充功能嗎?

如果您想要從電腦移除擴充功能,您可以手動方式或使用任何程式設計工具來進行。

您將需要下列詳細資料:

  • 在 Linux 上,此延伸模組稱為 "LinuxAgent. AzureSecurityCenter",而發行者名稱為 "Qualys"
  • 在 Windows 上,延伸模組稱為 "WindowsAgent. AzureSecurityCenter",而提供者名稱為 "Qualys"

如何更新擴充功能?

如同 Azure 資訊安全中心代理程式本身及所有其他 Azure 擴充功能,Qualys 掃描器的次要更新可能會自動在背景中發生。 所有代理程式和擴充功能都會在自動部署之前經過廣泛測試。

為什麼我的電腦在建議中會顯示為「不適用」?

[建議詳細資料] 頁面會將您的電腦分組為下列清單: 狀況良好狀況不良不適用

如果您的電腦位於 [ 不適用 的資源] 群組中,則表示資訊安全中心無法在這些電腦上部署弱點掃描器延伸模組。

您的電腦可能會在此索引標籤中,因為:

  • 它不受 Azure Defender 保護(如上所述),Azure 資訊安全中心隨附的弱點掃描器僅適用于受 Azure defender 的伺服器保護的電腦。

  • 它是 AKS 叢集中的映射或虛擬機器擴展集的一部分,此延伸模組不支援做為 PaaS 資源的 Vm。

  • 它並未執行其中一種支援的作業系統:

    廠商 作業系統 支援的版本
    Microsoft Windows 全部
    Red Hat Enterprise Linux 5.4 +、6、7.0-7.8、8.0-8。1
    Red Hat CentOS 5.4 +、6、7.0-7.7、8.0-8。1
    Red Hat Fedora 22-31
    SUSE Linux Enterprise Server (SLES) 11、12、15
    SUSE OpenSUSE 12,13,15.0-15。2
    SUSE Leap 42.1
    Oracle Enterprise Linux 5.11、6、7.0-7.5
    Debian Debian 7.x-10. x
    Ubuntu Ubuntu 12.04 LTS、14.04 LTS、15. x、16.04 LTS、18.04 LTS、19.10、20.04 LTS

內建的弱點掃描器會掃描什麼?

掃描器會在您的電腦上執行,以尋找機器本身的弱點。 電腦無法掃描您的網路。

掃描器是否會與現有的 Qualys 主控台整合?

資訊安全中心擴充功能是與現有 Qualys 掃描器不同的工具。 授權限制表示其只能在 Azure 資訊安全中心內使用。

適用于端點的 Microsoft Defender 也包含威脅 & 弱點管理 (TVM) 。 此 Azure Defender 弱點評定延伸模組有何不同?

我們正積極地使用 Microsoft Defender for Endpoint 的威脅 & 弱點管理解決方案來開發世界級的弱點管理服務,內建于 Windows。

現今 Azure 資訊安全中心的弱點評定延伸模組是由 Qualys 提供技術支援。 該擴充功能也受益於 Qualys 本身的弱點知識,而這些弱點都尚未有 CVE。

掃描器如何快速找出新洩漏的重大弱點?

在48小時的嚴重弱點洩漏中,Qualys 會將資訊併入其處理中,並可識別受影響的機器。

下一步

資訊安全中心也會為您提供弱點分析: