Aktivieren der Computerüberprüfung ohne Agent

Agentless Machine Scanning hilft Ihnen, Sicherheitsrisiken, Geheimnisse, Schadsoftwaresignale und Softwareinventar auf Cloudcomputern zu erkennen, ohne Endpunkt-Agents bereitzustellen. In Microsoft Defender for Cloud wird diese Funktion über Ihre Cloud-Connectors ausgeführt, sodass Sicherheitsteams ihre Abdeckung bei geringem Betriebsaufwand und minimalen Leistungsauswirkungen ausweiten können. In diesem Artikel wird erläutert, wie Sie scans in Azure-, AWS- und GCP-Umgebungen aktivieren und verwalten, damit Sie den Schutz schnell integrieren und mit der Untersuchung von Ergebnissen beginnen können. Wenn Ihre Umgebung plan- oder berechtigungsbezogene Abhängigkeiten hat, überprüfen Sie die Voraussetzungen, bevor Sie beginnen.

Overview

Die agentlose Computerüberprüfung in Microsoft Defender for Cloud verbessert den Sicherheitsstatus von Computern, die mit Defender for Cloud verbunden sind. Die agentlose Computerüberprüfung umfasst Funktionen, einschließlich der Überprüfung des Softwarebestands, auf Sicherheitsrisiken, Geheimnisse und Schadsoftware.

  • Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.
  • Sie können agentlose Computerüberprüfungen aktivieren oder deaktivieren, aber Sie können keine einzelne Funktionen deaktivieren.
  • Scans werden nur auf virtuellen Computern ausgeführt, die ausgeführt werden. VMs, die während eines Scans deaktiviert sind, werden nicht gescannt.
  • Der Scan wird einmal alle 24 Stunden auf einem nicht konfigurierten Zeitplan ausgeführt.

Wenn Sie Defender for Servers Plan 2 oder Defender Cloud Security Posture Management (Defender CSPM) aktivieren, ist agentloses Maschinenscannen standardmäßig aktiviert. Verwenden Sie bei Bedarf die Verfahren in diesem Artikel, um das agentlose Scannen von Computern manuell zu aktivieren.

Voraussetzungen

Anforderung Details
Planen Um agentloses Scannen zu verwenden, muss das Defender Cloud Security Posture Management (Defender CSPM) Plan oder Defender für Server Plan 2 aktiviert sein.

Wenn Sie die agentlose Überprüfung für einen der beiden Pläne aktivieren, wird die Einstellung für beide Pläne aktiviert.
Malware-Überprüfung Die Schadsoftwareüberprüfung ist nur verfügbar, wenn Defender for Servers-Plan 2 aktiviert ist.

Für die Schadsoftwareüberprüfungen von Kubernetes-Knoten-VMs ist entweder Defender for Servers-Plan 2 oder der Defender for Containers-Plan erforderlich.
Unterstützte Computer Sie können Azure Virtual Machines (VMs), Amazon Web Services (AWS) Elastic Compute Cloud (EC2)-Instanzen und Google Cloud Platform (GCP) Computeinstanzen scannen, ohne einen Agent zu installieren, wenn sie mit Microsoft Defender for Cloud verbunden sind.
Azure VMs Die agentlose Überprüfung ist auf Azure-Standard-VMs verfügbar mit:

- Maximale Gesamtdatenträgergröße von 4 TB (Summe aller Datenträger). Wenn dieser Grenzwert überschritten wird, wird nur der Betriebssystemdatenträger gescannt, wenn der Betriebssystemdatenträger kleiner als 4 TB ist.
- Maximale Anzahl zulässiger Datenträger: 14
– VM-Skalierungsgruppe – Flex

Unterstützung für Datenträger, die folgendes sind:
– Unverschlüsselt
– Verschlüsselt (verwaltete Datenträger mit Azure Storage-Verschlüsselung mit plattformseitig verwalteten Schlüsseln (PMK))
– Verschlüsselt mit vom Kunden verwalteten Schlüsseln.
AWS Die agentlose Überprüfung ist auf EC2, Auto Scale-Instanzen und Datenträgern verfügbar, die unverschlüsselt, verschlüsselt (PMK) und verschlüsselt (CMK) sind. AMIs, die eine Drittanbieterlizenzierung erfordern, z. B. von AWS Marketplace, werden nicht unterstützt.
GCP Die agentlose Überprüfung ist für Computeinstanzen, Instanzgruppen (verwaltet und nicht verwaltet), mit von Google verwalteten Verschlüsselungsschlüsseln und kundenseitig verwalteten Verschlüsselungsschlüssel (CMEK) verfügbar.
Kubernetes-Knoten Die agentlose Überprüfung auf Sicherheitsrisiken und Schadsoftware in Kubernetes-Knoten-VMs ist verfügbar.

Für die Schwachstellenbewertung sind Defender für Server, Plan 2, der Defender für Container-Plan oder der Defender Cloud Security Posture Management-Plan (Defender CSPM) erforderlich.

Für die Schadsoftwareüberprüfung ist Defender for Servers-Plan 2 oder Defender for Containers erforderlich.
Erlaubnisse Überprüfen Sie die von Defender for Cloud verwendeten Berechtigungen für die agentlose Überprüfung.
Unsupported Datenträgertyp : Wenn sich eine der Datenträger des virtuellen Computers in dieser Liste befindet, wird der virtuelle Computer nicht gescannt:
- UltraSSD_LRS
- PremiumV2_LRS
- Azure Kubernetes Service (AKS) Flüchtige Betriebssystemdatenträger

Ressourcentyp:
- Databricks-VM

Dateisysteme:
- UFS (Unix File System)
- ReFS (Resilient File System)
- ZFS (ZFS-Member)

RAID- und Blockspeicherformate:
- OracleASM (Oracle Automatic Storage Management)
- DRBD (verteiltes repliziertes Blockgerät)
- Linux_Raid_Member (Linux-RAID-Mitglied)

Integritätsmechanismen:
- DM_Verity_Hash
- Tauschen

Aktivieren der Überprüfung ohne Agent

So aktivieren Sie die agentlose Überprüfung auf Azure:

  1. Öffnen Sie in Microsoft Defender for Cloud Umgebungseinstellungen.

  2. Wählen Sie das relevante Abonnement aus.

  3. Wählen Sie für den Defender CSPM-Plan oder Defender for Servers-Plan 2 die Option Einstellungen aus.

    Screenshot: Link zu den Einstellungen der Defender-Pläne für Azure-Konten.

  4. Aktivieren Sie unter Einstellungen und Überwachung die Option Agentless-Überprüfung für Maschinen.

    Screenshot: Einstellungen und Überwachungsbildschirm zum Aktivieren der Überprüfung ohne Agent.

  5. Wählen Sie "Speichern" aus.

Aktivieren von Azure-VMs mit CMK-verschlüsselten Datenträgern

So aktivieren Sie die agentlose Überprüfung auf Azure VMs mit vom Kunden verwalteten Schlüsseln (CMK) verschlüsselten Datenträgern:

Für die agentlose Überprüfung von Azure-VMs mit CMK-verschlüsselten Datenträgern müssen Sie Defender for Cloud zusätzliche Berechtigungen für Key Vaults erteilen, die für die CMK-Verschlüsselung für die virtuellen Computer verwendet werden, um eine sichere Kopie der Datenträger zu erstellen.

  1. So weisen Sie die Berechtigungen für einen Key Vault manuell zu:

    • Für Schlüsseltresore, die keine RBAC-Berechtigungen verwenden: Weisen Sie „Microsoft Defender for Cloud Servers Scanner Resource Provider“ (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) diese Berechtigungen zu: Key Get, Key Wrap, Key Unwrap.
    • Für Schlüsseltresore mit RBAC-Berechtigungen: Weisen Sie „Microsoft Defender for Cloud Server Scanner Resource Provider“ (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) der integrierten Rolle Key Vault Crypto Service Encryption User zu.
  2. Verwenden Sie dieses Skript, um diese Berechtigungen im großen Stil für mehrere Key Vaults zuzuweisen.

Aktivieren der Überprüfung ohne Agent auf AWS

So aktivieren Sie agentloses Scannen auf AWS:

  1. Öffnen Sie in Microsoft Defender for Cloud Umgebungseinstellungen.

  2. Wählen Sie das entsprechende Konto aus.

  3. Wählen Sie sowohl für „Defender Cloud Security Posture Management“ (Defender CSPM) als auch für „Defender for Servers Plan 2“ die Option Einstellungen.

    Screenshot: Link zu den Einstellungen der Defender-Pläne für AWS-Konten.

    Wenn Sie die agentlose Überprüfung für einen der beiden Pläne aktivieren, gilt die Einstellung für beide Pläne.

  4. Aktivieren Sie im Bereich für die Einstellungen Überprüfung ohne Agent für Computer.

    Screenshot: Status der Überprüfung ohne Agent für AWS-Konten.

  5. Wählen Sie Speichern und Weiter: Zugriff konfigurieren aus.

  6. Laden Sie die Vorlage „CloudFormation“ herunter.

  7. Erstellen Sie mithilfe der heruntergeladenen CloudFormation-Vorlage den Stapel in AWS gemäß den Anweisungen auf dem Bildschirm. Wenn Sie das Onboarding für ein Verwaltungskonto durchführen, müssen Sie die CloudFormation-Vorlage sowohl als Stack als auch als StackSet ausführen. Connectors werden für die Mitgliedskonten bis zu 24 Stunden nach dem Onboarding erstellt.

  8. Wählen Sie Weiter: Überprüfen und generieren aus.

  9. Klicken Sie auf Aktualisieren.

Nachdem die Überprüfung ohne Agent aktiviert wurde, werden Informationen zu Softwarebestand und Sicherheitsrisiken in Defender for Cloud automatisch aktualisiert.

Aktivieren der Überprüfung ohne Agent auf GCP

So aktivieren Sie agentloses Scannen auf der Google Cloud Platform (GCP):

  1. Wählen Sie in Microsoft Defender for Cloud Umgebungseinstellungen aus.

  2. Wählen Sie das relevante Projekt oder die entsprechende Organisation aus.

  3. Wählen Sie sowohl für „Defender Cloud Security Posture Management“ (Defender CSPM) als auch für „Defender for Servers Plan 2“ die Option Einstellungen.

    Screenshot: Wo der Plan für GCP-Projekte ausgewählt wird.

  4. Setzen Sie die agentlose Überprüfung auf Ein.

    Screenshot: Wo die Überprüfung ohne Agent ausgewählt wird.

  5. Wählen Sie Speichern und Weiter: Zugriff konfigurieren aus.

  6. Kopieren Sie das Onboardingskript.

  7. Führen Sie das Onboardingskript in der GCP-Organisation/im Projektbereich (GCP-Portal oder gcloud-CLI) aus.

  8. Wählen Sie Weiter: Überprüfen und generieren aus.

  9. Klicken Sie auf Aktualisieren.

Nächster Schritt