Abilitare l'analisi senza agente per le macchine virtuali

L'analisi senza agente offre visibilità sul software installato e sulle vulnerabilità del software nei carichi di lavoro, per estendere la copertura della valutazione delle vulnerabilità ai carichi di lavoro del server senza un agente di valutazione delle vulnerabilità.

La valutazione delle vulnerabilità senza agente si avvale del motore di gestione delle vulnerabilità di Microsoft Defender per valutare le vulnerabilità nel software installato nelle VM, senza richiedere l'installazione di Defender per endpoint. La valutazione delle vulnerabilità mostra l'inventario software e i risultati della vulnerabilità nello stesso formato delle valutazioni basate su agente.

Compatibilità con le soluzioni di valutazione delle vulnerabilità basate su agente

Defender per il cloud supporta già diverse analisi della vulnerabilità basate su agente, tra cui Gestione delle vulnerabilità di Microsoft Defender (MDVM), BYOL. L'analisi senza agente estende la visibilità di Defender per il cloud e consente di raggiungere più dispositivi.

Quando si abilita la valutazione delle vulnerabilità senza agente:

  • Se non è stata abilita alcuna soluzione di valutazione delle vulnerabilità integrata già esistente in una delle VM nella sottoscrizione, Defender per il cloud abilita automaticamente MDVM per impostazione predefinita.

  • Se si seleziona Gestione delle vulnerabilità di Microsoft Defender come parte di una integrazione con Microsoft Defender per endpoint, Defender per il cloud mostra una vista unificata e consolidata che ottimizza la copertura e l'aggiornamento.

    • I computer protetti da una sola di queste origini (Gestione delle vulnerabilità di Microsoft Defender o senza agente) mostrano i risultati di tale origine.
    • I computer protetti da entrambe le origini mostrano i risultati basati su agente solo per il livello di aggiornamento aumentato.
  • Se si seleziona Valutazione delle vulnerabilità con integrazioni BYOL, Defender per il cloud visualizza i risultati basati su agente per impostazione predefinita. I risultati dell'analisi senza agente vengono visualizzati per i computer nei quali non è installato un agente o da computer che non segnalano i risultati in modo corretto.

    Per modificare il comportamento predefinito e visualizzare sempre i risultati di MDVM (indipendentemente dal fatto che sia una soluzione basata su agente di terze parti) selezionare l'impostazione Gestione delle vulnerabilità di Microsoft Defender nella soluzione di valutazione delle vulnerabilità.

Abilitazione dell'analisi senza agente per i computer

Quando si abilita Defender Cloud Security Posture Management (CSPM) o Defender per server P2, l'analisi senza agente viene abilitata per impostazione predefinita.

Se è già abilitato Defender per server P2 e l'analisi senza agente non è attiva, è necessario attivare manualmente l'analisi senza agente.

È possibile abilitare l'analisi senza agente

Nota

L'analisi del malware senza agente è disponibile solo se è stato abilitato Defender per server Piano 2

Valutazione delle vulnerabilità senza agente in Azure

Per abilitare la valutazione della vulnerabilità senza agente in Azure:

  1. Dal menu di Defender per il cloud, aprire Impostazioni ambiente.

  2. Selezionare la sottoscrizione pertinente.

  3. Per le due soluzioni Defender Cloud Security Posture Management (CSPM) o Defender per server P2, selezionare Impostazioni.

    Screenshot relativa al collegamento per le impostazioni dei piani di Defender per gli account Azure.

    Le impostazioni dell'analisi senza agente vengono condivise sia da Defender Cloud Security Posture Management (CSPM), sia da Defender per server P2. Quando si abilita l'analisi senza agente su entrambi i piani, l'impostazione viene abilitata per entrambi i piani.

  4. Nel riquadro delle impostazioni, attivare Analisi senza agente per i computer.

    Screenshot relativa alle impostazioni e alla schermata di monitoraggio per attivare l'analisi senza agente.

  5. Seleziona Salva.

Per abilitare l'analisi dei dischi crittografati CMK in Azure (anteprima):

Per l'analisi senza agente per la copertura delle macchine virtuali di Azure con dischi crittografati CMK, è necessario concedere a Defender per il cloud autorizzazioni aggiuntive che consentano di creare una copia sicura di questi dischi. A tale scopo, sono necessarie autorizzazioni aggiuntive per gli insiemi di credenziali delle chiavi usati per la crittografia della chiave gestita dal cliente per le macchine virtuali.

Per assegnare manualmente le autorizzazioni, seguire le istruzioni seguenti, a seconda del tipo di insieme di credenziali delle chiavi:

  • Per gli insiemi di credenziali delle chiavi che usano autorizzazioni non di controllo degli accessi in base al ruolo, assegnare a "Provider di risorse del programma di analisi Microsoft Defender per server cloud" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) queste autorizzazioni: Ottieni chiave, Esegui il wrapping della chiave, Annulla il wrapping della chiave.
  • Per gli insiemi di credenziali delle chiavi che usano le autorizzazioni di controllo degli accessi in base al ruolo, assegnare a "Provider di risorse del programma di analisi Microsoft Defender per server cloud" (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) il ruolo predefinito Utente di crittografia del servizio di crittografia di Key Vault.

Per assegnare queste autorizzazioni su larga scala, è anche possibile utilizzare questo script.

Per altre informazioni, vedere Autorizzazioni di analisi senza agente.

Valutazione delle vulnerabilità senza agente in AWS

  1. Dal menu di Defender per il cloud, aprire Impostazioni ambiente.

  2. Selezionare l'account appropriato.

  3. Per le due soluzioni Defender Cloud Security Posture Management (CSPM) o Microsoft Defender per server piano P2, selezionare Impostazioni.

    Screenshot relativa al collegamento per le impostazioni dei piani di Defender per gli account AWS.

    Quando si abilita l'analisi senza agente su entrambi i piani, l'impostazione si applica a entrambi i piani.

  4. Nel riquadro delle impostazioni, attivare Analisi senza agente per i computer.

    Screenshot relativa allo stato dell'analisi senza agente per gli account AWS.

  5. Selezionare Salva e Avanti: Configura accesso.

  6. Scaricare il modello CloudFormation.

  7. Usando il modello CloudFormation scaricato, creare lo stack in AWS seguendo le istruzioni a schermo. Se si esegue l'onboarding di un account di gestione, è necessario eseguire il modello CloudFormation sia come Stack, sia come StackSet. I connettori saranno creati per gli account membro fino a 24 ore dopo l'onboarding.

  8. Selezionare Avanti: Esamina e genera.

  9. Selezionare Aggiorna.

Dopo aver abilitato l'analisi senza agente, le informazioni sull'inventario e sulle vulnerabilità del software vengono aggiornate automaticamente in Defender per il cloud.

Abilitare l'analisi senza agente in GCP

  1. In Defender per il cloud selezionare Impostazioni ambiente.

  2. Selezionare il progetto o l'organizzazione pertinente.

  3. Per le due soluzioni Defender Cloud Security Posture Management (CSPM) o Microsoft Defender per server piano P2, selezionare Impostazioni.

    Screenshot che mostra il punto in cui selezionare il piano per i progetti GCP.

  4. Impostare l'analisi senza agente su Attiva.

    Screenshot che mostra il punto di selezione dell'analisi senza agente.

  5. Selezionare Salva e Avanti: Configura accesso.

  6. Copiare lo script di onboarding.

  7. Eseguire lo script di onboarding nell'ambito dell'organizzazione/del progetto GCP (portale GCP o interfaccia della riga di comando gcloud).

  8. Selezionare Avanti: Esamina e genera.

  9. Selezionare Aggiorna.

Testare la distribuzione del programma di analisi senza agente del malware

Gli avvisi di sicurezza vengono visualizzati nel portale solo se vengono rilevate minacce nell'ambiente. Se non vengono visualizzati avvisi, potrebbe significare che non sono presenti minacce per l'ambiente. Creando un file di test, è possibile testare la corretta esecuzione dell'onboarding del dispositivo e la creazione di report in Defender per il cloud.

Creare un file di test per Linux

  1. Aprire una finestra del terminale nella macchina virtuale.

  2. Eseguire il comando seguente:

    # test string  
    TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'  
    
    # File to be created  
    FILE_PATH="/tmp/virus_test_file.txt"  
    
    # Write the test string to the file  
    echo -n $TEST_STRING > $FILE_PATH  
    
    # Check if the file was created and contains the correct string  
    if [ -f "$FILE_PATH" ]; then  
        if grep -Fq "$TEST_STRING" "$FILE_PATH"; then  
            echo "Virus test file created and validated successfully."  
        else  
            echo "Virus test file does not contain the correct string."  
        fi  
    else  
        echo "Failed to create virus test file."  
    fi
    

L'avviso MDC_Test_File malware was detected (Agentless) verrà visualizzato entro 24 ore nella pagina Avvisi di Defender per il cloud e nel portale di Defender XDR.

Screenshot relativa all'avviso di test visualizzato in Defender per il cloud per Linux.

Creare un file di test per Windows

Creare un file di test con un documento di testo

  1. Creare un file di testo nella macchina virtuale.

  2. Incollare il testo $$89-barbados-dublin-damascus-notice-pulled-natural-31$$ nel file di testo.

    Importante

    Assicurarsi che nel file di testo non siano presenti spazi o righe aggiuntivi.

  3. Salvare il file.

  4. Aprire il file per convalidare la presenza del contenuto della fase 2.

L'avviso MDC_Test_File malware was detected (Agentless) verrà visualizzato entro 24 ore nella pagina Avvisi di Defender per il cloud e nel portale di Defender XDR.

Screenshot che mostra l'avviso di test visualizzato in Defender per il cloud per Windows relativo al file di testo creato.

Creare un file di test con PowerShell

  1. Aprire PowerShell nella macchina virtuale.

  2. Eseguire il comando seguente.

# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'

# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"

# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
   New-Item -ItemType Directory -Path $DIR_PATH
}

# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)

# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
    $content = [IO.File]::ReadAllText($FILE_PATH)
    if ($content -eq $TEST_STRING) {
      Write-Host "Test file created and validated successfully."
    } else {
       Write-Host "Test file does not contain the correct string."
    }
} else {
    Write-Host "Failed to create test file."
}

L'avviso MDC_Test_File malware was detected (Agentless) verrà visualizzato entro 24 ore nella pagina Avvisi di Defender per il cloud e nel portale di Defender XDR.

Screenshot che mostra l'avviso di test visualizzato in Defender per il cloud per Windows relativo allo script di PowerShell.

Escludere i computer dall'analisi

L'analisi senza agente si applica a tutti i computer idonei della sottoscrizione. Per impedire l'analisi di computer specifici, è possibile escludere dei computer dall'analisi senza agente in base ai tag di ambiente preesistenti. Quando Defender per il cloud esegue il rilevamento continuo per i computer, i computer esclusi vengono ignorati.

Per configurare i computer per l'esclusione:

  1. In Defender per il cloud selezionare Impostazioni ambiente.

  2. Selezionare la sottoscrizione o il connettore multi-cloud pertinente.

  3. Per le due soluzioni Defender Cloud Security Posture Management (CSPM) o Microsoft Defender per server piano P2, selezionare Impostazioni.

  4. Per l'analisi senza agente, selezionare Modifica configurazione.

    Screenshot relativa al collegamento che consente di modificare la configurazione dell'analisi senza agente.

  5. Immettere il nome e il valore del tag riguardante i computer ai quali applicare l'esenzione. È possibile immettere delle coppie multiple tag:value.

    Screenshot relativa ai campi tag e valore per escludere i computer dall'analisi senza agente.

  6. Seleziona Salva.

Altre informazioni su: