Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'analisi automatica senza agente consente di individuare vulnerabilità, segreti, segnali malware e inventario software tra computer cloud senza distribuire agenti endpoint. In Microsoft Defender per il cloud questa funzionalità viene eseguita tramite i connettori cloud, in modo che i team di sicurezza possano ridimensionare la copertura con un sovraccarico operativo basso e un impatto minimo sulle prestazioni. Questo articolo illustra come abilitare e gestire l'analisi tra ambienti Azure, AWS e GCP, in modo da poter eseguire rapidamente l'onboarding della protezione e iniziare a analizzare i risultati. Se nel tuo ambiente sono presenti dipendenze relative al piano o alle autorizzazioni, consulta i prerequisiti prima di iniziare.
Overview
L'analisi automatica senza agente in Microsoft Defender per il cloud migliora il comportamento di sicurezza dei computer connessi a Defender per il cloud. L'analisi automatica senza agente include funzionalità come l'analisi dell'inventario software, le vulnerabilità, i segreti e il malware.
- L'analisi senza agente non richiede agenti installati o connettività di rete e non influisce sulle prestazioni del computer.
- È possibile attivare o disattivare l'analisi del computer senza agente, ma non è possibile disabilitare le singole funzionalità.
- Le analisi vengono eseguite solo nelle macchine virtuali in esecuzione. Le macchine virtuali disattivate durante un'analisi non vengono analizzate.
- L'analisi viene eseguita in base a una pianificazione non configurabile una volta ogni 24 ore.
Quando si attiva Defender per server piano 2 o Defender gestione del comportamento di sicurezza cloud (Defender CSPM), l'analisi automatica senza agente è abilitata per impostazione predefinita. Se necessario, usare le procedure descritte in questo articolo per abilitare manualmente l'analisi automatica senza agente.
Prerequisiti
| Requisito | Dettagli |
|---|---|
| Piano | Per usare l'analisi senza agente, è necessario abilitare il piano Defender gestione del comportamento di sicurezza cloud (Defender CSPM) o Defender per server piano 2. Quando si abilita l'analisi senza agente su entrambi i piani, l'impostazione viene abilitata per entrambi i piani. |
| Analisi malware | L'analisi malware è disponibile solo quando Defender per server piano 2 è abilitato. Per la scansione malware delle macchine virtuali dei nodi Kubernetes, è necessario Defender per Server Piano 2 o il piano Defender per Contenitori. |
| Computer supportati | È possibile analizzare le macchine virtuali (VM) di Azure, le istanze di Amazon Web Services (AWS) Elastic Compute Cloud (EC2) e le istanze di calcolo di Google Cloud Platform (GCP) senza installare un agente, se sono connesse a Microsoft Defender per il cloud. |
| Macchine virtuali di Azure | L'analisi senza agente è disponibile nelle macchine virtuali standard di Azure con: - Dimensioni massime del disco di 4 TB (somma di tutti i dischi). Se questo limite viene superato, viene analizzato solo il disco del sistema operativo quando il disco del sistema operativo è inferiore a 4 TB. - Numero massimo di dischi consentiti: 14 - Set di scalabilità di macchine virtuali - Flex Supporto per i dischi che sono: - Non crittografato - Crittografato (dischi gestiti utilizzando la crittografia di Archiviazione di Azure con chiavi gestite dalla piattaforma (PMK)) - Crittografato con chiavi gestite dal cliente. |
| AWS | L'analisi senza agente è disponibile in EC2, istanze di scalabilità automatica e dischi non crittografati, crittografati PMK e crittografati CMK. Le AMI che richiedono licenze di terze parti, ad esempio da AWS Marketplace, non sono supportate. |
| GCP | L'analisi senza agente è disponibile in istanze di calcolo, gruppi di istanze (gestiti e non gestiti), con chiavi di crittografia gestite da Google e chiave di crittografia gestita dal cliente (CMEK) |
| Nodi Kubernetes | È disponibile l'analisi senza agente di vulnerabilità e malware nelle macchine virtuali del nodo Kubernetes. Per la valutazione della vulnerabilità, è necessario Defender per server - Piano 2, il piano Defender per contenitori o il piano Defender CSPM (Cloud Security Posture Management). Per la scansione di malware, è necessario Defender per server Piano 2 o Defender per Contenitori. |
| Autorizzazioni | Esaminare le autorizzazioni usate da Defender per il cloud per l'analisi senza agente. |
| Unsupported | Tipo di disco: se uno dei dischi della macchina virtuale è presente in questo elenco, la macchina virtuale non viene analizzata: - UltraSSD_LRS - PremiumV2_LRS - Dischi OS temporanei del Servizio Azure Kubernetes (AKS) Tipo di risorsa: - Macchine virtuali Databricks File system: - UFS (file system Unix) - ReFS (Resilient File System) - ZFS (membro ZFS) Formati di archiviazione RAID e a blocchi - OracleASM (Oracle Automatic Storage Management) - DRBD (dispositivo a blocchi replicati distribuiti) - Linux_Raid_Member Meccanismi di integrità: - DM_Verity_Hash -Scambio |
Abilitare l'analisi senza agente in Azure
Per abilitare l'analisi senza agente in Azure:
In Defender per il cloud, apri Impostazioni ambiente.
Selezionare la sottoscrizione pertinente.
Per il piano CSPM di Defender o Defender per server piano 2, selezionare Impostazioni.
In Impostazioni e monitoraggio attivare l'analisi senza agente per i computer.
Seleziona Salva.
Abilitare per le macchine virtuali di Azure con dischi crittografati cmk
Per abilitare l'analisi senza agente per le macchine virtuali Azure con dischi crittografati con chiave gestita dal cliente:To enable agentless scanning for Azure VMs with customer-managed key (CMK) encrypted disks:
Per l'analisi senza agente delle macchine virtuali di Azure con dischi crittografati con CMK (Customer Managed Key), è necessario concedere autorizzazioni aggiuntive a Defender per il cloud su i Key Vault utilizzati per la crittografia CMK delle macchine virtuali, al fine di creare una copia sicura dei dischi.
Per assegnare manualmente i permessi su un Key Vault:
-
insiemi di credenziali delle chiavi con autorizzazioni non di controllo degli accessi in base al ruolo: assegnare a "Provider di risorse Scanner server di Microsoft Defender per il cloud" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) queste autorizzazioni: Acquisizione chiave, Wrapping della chiave, Annullamento del wrapping della chiave. -
Insiemi di credenziali delle chiavi che usano autorizzazioni di controllo degli accessi in base al ruolo: assegnare a "Provider di risorse Scanner server di Microsoft Defender per il cloud" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) il ruolo predefinito Utente di crittografia del servizio di crittografia di Key Vault.
-
insiemi di credenziali delle chiavi con autorizzazioni non di controllo degli accessi in base al ruolo: assegnare a "Provider di risorse Scanner server di Microsoft Defender per il cloud" (
Per assegnare queste autorizzazioni su larga scala per più Key Vault, usare questo script.
Abilitare l'analisi senza agente in AWS
Per abilitare l'analisi senza agente in AWS:
In Defender per il cloud, apri Impostazioni ambiente.
Selezionare l'account appropriato.
Per Defender Cloud Security Posture Management (Defender CSPM) o Defender for Servers Piano 2, selezionare Impostazioni.
Quando si abilita l'analisi senza agente su entrambi i piani, l'impostazione si applica a entrambi i piani.
Nel riquadro delle impostazioni, attivare Analisi senza agente per i computer.
Selezionare Salva e Avanti: Configura accesso.
Scaricare il modello CloudFormation.
Usando il modello CloudFormation scaricato, creare lo stack in AWS seguendo le istruzioni a schermo. Se si esegue l'onboarding di un account di gestione, è necessario eseguire il modello CloudFormation sia come Stack, sia come StackSet. I connettori saranno creati per gli account dei membri entro 24 ore dopo l'onboarding.
Selezionare Avanti: Esamina e genera.
Selezionare Aggiorna.
Dopo aver abilitato l'analisi senza agente, le informazioni sull'inventario e sulle vulnerabilità del software vengono aggiornate automaticamente in Defender per il cloud.
Abilitare l'analisi senza agente in GCP
Per abilitare l'analisi senza agente su Google Cloud Platform (GCP):
In Defender per il cloud selezionare Impostazioni ambiente.
Selezionare il progetto o l'organizzazione pertinente.
Per Defender Cloud Security Posture Management (Defender CSPM) o Defender for Servers Piano 2, selezionare Impostazioni.
Impostare Analisi senza agente su Sì.
Selezionare Salva e Avanti: Configura accesso.
Copiare lo script di introduzione.
Eseguire lo script di onboarding nell'ambito dell'organizzazione/del progetto GCP (portale GCP o interfaccia della riga di comando gcloud).
Selezionare Avanti: Esamina e genera.
Selezionare Aggiorna.