Computerüberprüfung ohne Agent

Die agentlose Computerüberprüfung in Microsoft Defender for Cloud verbessert den Sicherheitsstatus von Computern, die mit Defender for Cloud verbunden sind.

Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus. Agentlose Computerüberprüfung:

Agentloses Scanning ist in den folgenden Defender for Cloud-Plänen verfügbar:

Architektur des agentlosen Scans

So funktioniert die agentenlose Überprüfung:

  1. Defender for Cloud nimmt Momentaufnahmen von VM-Datenträgern (Root + Data Disk) und führt eine out-of-Band-Analyse der Betriebssystemkonfiguration und des Dateisystems aus, die in der Momentaufnahme gespeichert sind.

    • Die kopierte Momentaufnahme verbleibt in derselben Region wie der virtuelle Computer.
    • Die Überprüfung wirkt sich nicht auf den virtuellen Computer aus.
  2. Nachdem Defender for Cloud die erforderlichen Metadaten vom kopierten Datenträger abgerufen hat, löscht es sofort die kopierte Momentaufnahme des Datenträgers und sendet die Metadaten an relevante Microsoft-Engines, um Konfigurationslücken und potenzielle Bedrohungen zu analysieren. Bei der Bewertung von Sicherheitsrisiken wird die Analyse beispielsweise von Defender Vulnerability Management durchgeführt.

  3. Defender for Cloud zeigt Scanergebnisse an, die sowohl die agentbasierten als auch die agentlosen Ergebnisse auf der Seite "Sicherheitswarnungen" konsolidieren.

  4. Defender for Cloud analysiert Datenträger in einer Scanumgebung, die regional, veränderlich, isoliert und hochsicher ist. Schnappschüsse von Datenträgern und Daten, die nicht mit der Überprüfung zusammenhängen, werden nur so lange gespeichert, wie es nötig ist, um die Metadaten zu erfassen – in der Regel einige Minuten.

Diagramm des Prozesses zum Sammeln von Betriebssystemdaten durch agentenloses Scannen.

Berechtigungen, die bei der agentlosen Überprüfung verwendet werden

Defender for Cloud hat bestimmte Rollen und Berechtigungen verwendet, um agentlose Überprüfungen durchzuführen.

Azure-Berechtigungen

Die integrierte Rolle VM Scanner Operator verfügt über schreibgeschützte Berechtigungen für VM-Datenträger, die für den Momentaufnahmeprozess erforderlich sind. Im Folgenden sehen Sie die detaillierte Liste der Berechtigungen:

  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/beginGetAccess/action
  • Microsoft.Compute/disks/diskEncryptionSets/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachineScaleSets/instanceView/read
  • Microsoft.Compute/virtualMachineScaleSets/read
  • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
  • Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read

Wenn die Abdeckung für CMK-verschlüsselte Datenträger aktiviert ist, sind weitere Berechtigungen erforderlich:

  • Microsoft.KeyVault/vaults/keys/read
  • Microsoft.KeyVault/vaults/keys/wrap/action
  • Microsoft.KeyVault/vaults/keys/unwrap/action

AWS-Berechtigungen

Die Rolle VmScanner wird dem Prüfer zugewiesen, wenn Sie die Überprüfung ohne Agent aktivieren. Diese Rolle verfügt über die minimale Berechtigung zum Erstellen und Bereinigen von Momentaufnahmen (nach Tag gefiltert) und zum Überprüfen des aktuellen Zustands der VM. Die ausführlichen Berechtigungen sind:

Attribute Value
SID VmScannerDeleteSnapshotAccess
Aktionen ec2:DeleteSnapshot
Conditions "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"}
Resources arn:aws:ec2:::snapshot/
Effect Zulassen
Attribute Value
SID VmScannerAccess
Aktionen ec2:ModifySnapshotAttribute
ec2:DeleteTags
ec2:CreateTags
ec2:CreateSnapshots
ec2:CopySnapshots
ec2:CreateSnapshot
Conditions Nichts
Resources arn:aws:ec2:::instance/
arn:aws:ec2:::snapshot/
arn:aws:ec2:::volume/
Effect Zulassen
Attribute Value
SID VmScannerVerificationAccess
Aktionen ec2:DescribeSnapshots
ec2:DescribeInstanceStatus
Conditions Nichts
Resources *
Effect Zulassen
Attribute Value
SID VmScannerEncryptionKeyCreation
Aktionen kms:CreateKey
Conditions Nichts
Resources *
Effect Zulassen
Attribute Value
SID VmScannerEncryptionKeyManagement
Aktionen kms:TagResource
kms:GetKeyRotationStatus
kms:PutKeyPolicy
kms:GetKeyPolicy
kms:CreateAlias
kms:ListResourceTags
Conditions Nichts
Resources arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey
Effect Zulassen
Attribute Value
SID VmScannerVerschlüsselungsschlüsselVerwendung
Aktionen kms:GenerateDataKeyWithoutPlaintext
kms:DescribeKey
kms:RetireGrant
kms:CreateGrant
kms:ReEncryptFrom
Conditions Nichts
Resources arn:aws:kms::${AWS::AccountId}: key/
Effect Zulassen

GCP-Berechtigungen

Während des Onboardings wird eine neue benutzerdefinierte Rolle mit minimalen Berechtigungen erstellt, um Instanzzustände zu erhalten und Momentaufnahmen zu erstellen.

Zusätzlich werden Berechtigungen für eine vorhandene GCP-KMS-Rolle erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. Die Rollen lauten:

  • roles/MDCAgentlessScanningRole für das Dienstkonto von Defender for Cloud mit den Berechtigungen: compute.disks.createSnapshot, compute.instances.get
  • roles/cloudkms.cryptoKeyEncrypterDecrypter, gewährt an den Dienst-Agenten der Compute Engine von Defender for Cloud

Nächste Schritte

Aktivieren der Computerüberprüfung ohne Agent.