Microsoft Defender for Cloudでのエージェントレス マシンスキャンにより、Defender for Cloudに接続されているマシンのセキュリティ体制が向上します。
エージェントレス スキャンでは、インストール済みのエージェントやネットワーク接続は必要なく、マシンのパフォーマンスにも影響を与えません。 エージェントレス コンピュータスキャン
- エンドポイントの検出と応答 (EDR) の設定をスキャンします: マシンが EDR ソリューションを実行しているかどうか、およびマシンがMicrosoft Defender for Endpointと統合された場合に設定が正しいかどうかを評価するためにマシンをスキャンします。 詳細情報
- ソフトウェア インベントリのスキャン: 統合されたMicrosoft Defender 脆弱性の管理を使用して、software インベントリをスキャンします。
- 脆弱性のスキャン: Assess machines for vulnerabilities 統合されたDefender 脆弱性の管理を使用します。
- マシン上のシークレットをスキャンします: エージェントレス シークレット スキャンを使用して、コンピューティング環境でプレーンテキスト シークレットを検索します。
- マルウェアのスキャン: Microsoft Defender ウイルス対策を使用して、マルウェアとウイルスのためにマシンをスキャンします。
- Kubernetes ノードとして実行されている VM のスキャン:Defender for Servers Plan 2 または Defender for Containers プランが有効になっている場合、Kubernetes ノードとして実行されている VM に対して脆弱性評価とマルウェア スキャンを使用できます。 商用クラウドのみで利用できます。
エージェントレス スキャンは、次のDefender for Cloudプランで使用できます。
- Defender クラウド セキュリティ体制管理 (CSPM)。
- Defender for Servers Plan 2。
- マルウェア スキャンは、サーバー プラン 2 のDefenderでのみ使用できます。
- エージェントレス スキャンは、Defender for Cloudに接続Azure VM、AWS EC2、GCP コンピューティング インスタンスで使用できます。
エージェントレス スキャン アーキテクチャ
エージェントレス スキャンは次のように機能します。
Defender for Cloudは、VM ディスク (ルート + データ ディスク) のスナップショットを取得し、スナップショットに格納されているオペレーティング システム構成とファイル システムの帯域外の詳細な分析を実行します。
- コピーされたスナップショットは、VM と同じリージョンに保持されます。
- スキャンは VM に影響しません。
コピー Defender for Cloudディスクから必要なメタデータを取得した後、コピーしたディスクのスナップショットを直ちに削除し、関連するMicrosoft エンジンにメタデータを送信して、構成のギャップと潜在的な脅威を検出します。 たとえば、脆弱性評価では、分析はDefender 脆弱性の管理によって行われます。
Defender for Cloudスキャン結果が表示され、エージェントベースの結果とエージェントレスの両方の結果が [セキュリティ アラート] ページに統合されます。
Defender for Cloudは、リージョン、揮発性、分離、および安全性の高いスキャン環境のディスクを分析します。 スキャンに関連しないディスク スナップショットとデータは、メタデータの収集に必要な時間 (通常は数分) より長く保存されることはありません。
エージェントレス スキャンで使用されるアクセス許可
Defender for Cloudエージェントレス スキャンを実行するために、特定のロールとアクセス許可を使用しました。
- Azureでは、エージェントレス スキャンを有効にすると、これらのアクセス許可がサブスクリプションに自動的に追加されます。
- AWS では、これらのアクセス許可が AWS コネクタの CloudFormation スタックに追加されます。
- GCP では、これらのアクセス許可は GCP コネクタのオンボード スクリプトに追加されます。
Azureアクセス許可
組み込みロール VM スキャナー オペレーターには、スナップショット プロセスに必要な VM ディスクの読み取り専用アクセス許可があります。 アクセス許可の詳細な一覧は次のとおりです。
Microsoft.Compute/disks/readMicrosoft.Compute/disks/beginGetAccess/actionMicrosoft.Compute/disks/diskEncryptionSets/readMicrosoft.Compute/virtualMachines/instanceView/readMicrosoft.Compute/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/instanceView/readMicrosoft.Compute/virtualMachineScaleSets/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/readMicrosoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
CMK 暗号化ディスクのカバレッジが有効になっている場合は、より多くのアクセス許可が必要です。
Microsoft.KeyVault/vaults/keys/readMicrosoft.KeyVault/vaults/keys/wrap/actionMicrosoft.KeyVault/vaults/keys/unwrap/action
AWS のアクセス許可
エージェントレス スキャンを有効にしたときに、ロール VmScanner がスキャナーに割り当てられます。 このロールには、スナップショット (タグによってスコープ指定) を作成およびクリーンアップし、VM の現在の状態を確認するための最小限のアクセス許可が設定されています。 詳細なアクセス許可は次のとおりです。
| Attribute | 値 |
|---|---|
| SID | VmScannerDeleteSnapshotAccess |
| アクション | ec2:DeleteSnapshot |
| 条件 | "StringEquals":{"ec2:ResourceTag/CreatedBy”:<br>"Microsoft Defender for Cloud"} |
| リソース | arn:aws:ec2:::snapshot/ |
| 結果 | 許可する |
| Attribute | 値 |
|---|---|
| SID | VmScannerAccess |
| アクション | ec2:ModifySnapshotAttribute ec2:DeleteTags ec2:CreateTags ec2:CreateSnapshots ec2:CopySnapshots ec2:CreateSnapshot |
| 条件 | なし |
| リソース | arn:aws:ec2:::instance/ arn:aws:ec2:::snapshot/ arn:aws:ec2:::volume/ |
| 結果 | 許可する |
| Attribute | 値 |
|---|---|
| SID | VmScannerVerificationAccess |
| アクション | ec2:DescribeSnapshots ec2:DescribeInstanceStatus |
| 条件 | なし |
| リソース | * |
| 結果 | 許可する |
| Attribute | 値 |
|---|---|
| SID | VmScannerEncryptionKeyCreation |
| アクション | kms:CreateKey |
| 条件 | なし |
| リソース | * |
| 結果 | 許可する |
| Attribute | 値 |
|---|---|
| SID | VmScannerEncryptionKeyManagement |
| アクション | kms:TagResource kms:GetKeyRotationStatus kms:PutKeyPolicy kms:GetKeyPolicy kms:CreateAlias kms:ListResourceTags |
| 条件 | なし |
| リソース | arn:aws:kms::${AWS::AccountId}: key/ <br> arn:aws:kms:*:${AWS::AccountId}:alias/DefenderForCloudKey |
| 結果 | 許可する |
| Attribute | 値 |
|---|---|
| SID | VmScannerEncryptionKeyUsage |
| アクション | kms:GenerateDataKeyWithoutPlaintext kms:DescribeKey kms:RetireGrant kms:CreateGrant kms:ReEncryptFrom |
| 条件 | なし |
| リソース | arn:aws:kms::${AWS::AccountId}: key/ |
| 結果 | 許可する |
GCP のアクセス許可
オンボード中、インスタンスの状態を取得してスナップショットを作成するために必要な最小限のアクセス許可で新しいカスタム ロールが作成されます。
また、CMEK で暗号化されたディスクのスキャンをサポートするために、既存の GCP KMS ロールへのアクセス許可が付与されます。 これらのロールを次に示します。
- アクセス許可を持つDefender for Cloudのサービス アカウントに付与される roles/MDCAgentlessScanningRole: compute.disks.createSnapshot、compute.instances.get
- roles/cloudkms.cryptoKeyEncrypterDecrypter がDefender for Cloudのコンピューティング エンジン サービス エージェントに付与される