Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Agentless Machine Scanning in Microsoft Defender for Cloud verbessert den Sicherheitsstatus von Computern, die mit Defender for Cloud verbunden sind.
Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus. Agentlose Computerüberprüfung:
- Scans Endpoint Detection and Response (EDR)-Einstellungen: Überprüfen Sie Computer, um zu prüfen, ob sie eine EDR-Lösung ausführen, und ob Einstellungen korrekt sind, wenn Computer in Microsoft Defender for Endpoint integriert sind. Weitere Informationen
- Scans-Softwareinventur: Scannen Sie Ihre Softwareinventur mit integriertem Microsoft Defender Vulnerability Management.
- Scans nach Schwachstellen: Bewertung von Maschinen auf Schwachstellen unter Verwendung des integrierten Defender-Schwachstellenmanagements.
- Sucht nach Geheimnissen auf Computern: Lokalisieren Sie Geheimnisse im Klartext in Ihrer Rechenumgebung mit agentloser Geheimnissuche.
- Scans für Schadsoftware: Computer auf Schadsoftware und Viren scannen mit Microsoft Defender Antivirus.
- Scans von VMs, die als Kubernetes-Knoten ausgeführt werden: Schwachstellenbewertung und Malware-Überprüfung sind für VMs verfügbar, die als Kubernetes-Knoten ausgeführt werden, wenn Defender für Server Plan 2 oder der Defender für Container-Plan aktiviert ist. Nur in kommerziellen Clouds verfügbar.
Agentloses Scanning ist in den folgenden Defender for Cloud-Plänen verfügbar.
- Defender Cloud Security Posture Management (CSPM).
- Defender für Server Plan 2.
- Schadsoftwareüberprüfung ist nur in Defender für Server Plan 2 verfügbar.
- Agentless Scanning ist für Azure VMs, AWS EC2- und GCP-Computeinstanzen verfügbar, die mit Defender for Cloud verbunden sind.
Architektur des agentlosen Scans
So funktioniert die agentenlose Überprüfung:
Defender for Cloud nimmt Momentaufnahmen von VM-Datenträgern (Root + Data Disk) und führt eine out-of-Band-Analyse der Betriebssystemkonfiguration und des Dateisystems aus, die in der Momentaufnahme gespeichert sind.
- Die kopierte Momentaufnahme verbleibt in derselben Region wie der virtuelle Computer.
- Die Überprüfung wirkt sich nicht auf den virtuellen Computer aus.
Nachdem Defender for Cloud die erforderlichen Metadaten vom kopierten Datenträger abgerufen hat, löscht sie sofort die kopierte Momentaufnahme des Datenträgers und sendet die Metadaten an relevante Microsoft-Engines, um Konfigurationslücken und potenzielle Bedrohungen zu erkennen. Bei der Bewertung von Sicherheitsrisiken wird die Analyse beispielsweise von Defender Vulnerability Management durchgeführt.
Defender for Cloud zeigt Scanergebnisse an, die sowohl die agentbasierten als auch die agentlosen Ergebnisse auf der Seite "Sicherheitswarnungen" konsolidieren.
Defender for Cloud analysiert Datenträger in einer Scanumgebung, die regional, veränderlich, isoliert und hochsicher ist. Schnappschüsse von Datenträgern und Daten, die nicht mit der Überprüfung zusammenhängen, werden nur so lange gespeichert, wie es nötig ist, um die Metadaten zu erfassen – in der Regel einige Minuten.
Berechtigungen, die bei der agentlosen Überprüfung verwendet werden
Defender for Cloud bestimmte Rollen und Berechtigungen verwendet, um agentlose Überprüfungen durchzuführen.
- In Azure werden diese Berechtigungen automatisch zu Ihren Abonnements hinzugefügt, wenn Sie agentlose Überprüfungen aktivieren.
- In AWS werden diese Berechtigungen dem CloudFormation-Stapel in Ihrem AWS-Connector hinzugefügt.
- In GCP werden diese Berechtigungen dem Onboarding-Skript in Ihrem GCP-Connector hinzugefügt.
Azure-Berechtigungen
Die integrierte Rolle VM Scanner Operator verfügt über schreibgeschützte Berechtigungen für VM-Datenträger, die für den Momentaufnahmeprozess erforderlich sind. Im Folgenden sehen Sie die detaillierte Liste der Berechtigungen:
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Wenn die Abdeckung für CMK-verschlüsselte Datenträger aktiviert ist, sind weitere Berechtigungen erforderlich:
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS-Berechtigungen
Die Rolle VmScanner wird dem Prüfer zugewiesen, wenn Sie die Überprüfung ohne Agent aktivieren. Diese Rolle verfügt über die minimale Berechtigung zum Erstellen und Bereinigen von Momentaufnahmen (nach Tag gefiltert) und zum Überprüfen des aktuellen Zustands der VM. Die ausführlichen Berechtigungen sind:
| Attribut | Wert |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| Aktionen | ec2:DeleteSnapshot |
| Bedingungen | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| Ressourcen | arn:aws:ec2:::snapshot/ |
| Auswirkung | Allow |
| Attribut | Wert |
|---|---|
| SID | VmScannerAccess |
| Aktionen | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| Bedingungen | Keine |
| Ressourcen | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| Auswirkung | Allow |
| Attribut | Wert |
|---|---|
| SID | VmScannerVerificationAccess |
| Aktionen | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| Bedingungen | Keine |
| Ressourcen | * |
| Auswirkung | Allow |
| Attribut | Wert |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| Aktionen | kms:CreateKey |
| Bedingungen | Keine |
| Ressourcen | * |
| Auswirkung | Allow |
| Attribut | Wert |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| Aktionen | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| Bedingungen | Keine |
| Ressourcen | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| Auswirkung | Allow |
| Attribut | Wert |
|---|---|
| SID | VmScannerVerschlüsselungsschlüsselVerwendung |
| Aktionen | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| Bedingungen | Keine |
| Ressourcen | arn:aws:kms::${AWS::AccountId}: key/ |
| Auswirkung | Allow |
GCP-Berechtigungen
Während des Onboardings wird eine neue benutzerdefinierte Rolle mit minimalen Berechtigungen erstellt, um Instanzzustände zu erhalten und Momentaufnahmen zu erstellen.
Zusätzlich werden Berechtigungen für eine vorhandene GCP-KMS-Rolle erteilt, um die Überprüfung von Datenträgern, die mit CMEK verschlüsselt sind, zu unterstützen. Die Rollen lauten:
- Rolle/n MDCAgentlessScanningRole mit den Berechtigungen: compute.disks.createSnapshot, compute.instances.get, wurde/n dem Dienstkonto von Defender for Cloud gewährt.
- roles/cloudkms.cryptoKeyEncrypterDecrypter, gewährt an den Dienst-Agenten der Compute Engine von Defender for Cloud