ライセンス持ち込み (BYOL) ソリューションで脆弱性スキャンを有効にする

Microsoft Defender for Cloud の Defender for Servers プランには、脆弱性評価ツールが組み込まれています。 この脆弱性評価ツールは、外部ライセンスを必要とせず、Azure Arc 対応マシンをサポートしています。

組み込まれている脆弱性評価ツールを使用しない場合、Qualys または Rapid7 から、独自にプライベート ライセンスを取得した脆弱性評価ソリューションを使用できます。 この記事では、これらのパートナー ソリューションの 1 つを、同じサブスクリプションに属する複数の VM (ただし、Azure Arc 対応のマシン以外) にデプロイするために必要な手順について説明します。

可用性

側面	詳細
リリース状態:	一般公開 (GA)
マシンの種類:	Azure 仮想マシン Azure Arc 対応マシン
価格:	Free
必要なロールとアクセス許可:	リソース所有者は、スキャナーをデプロイできます セキュリティ閲覧者は、結果を表示できます
クラウド:	商用クラウド 国 (Azure Government、21Vianet によって運営される Microsoft Azure)

Azure portal からソリューションをデプロイする

BYOL オプションでは、サポートされているサードパーティの脆弱性評価ソリューションが参照されます。 現在、Qualys と Rapid7 の両方のプロバイダーがサポートされています。

サポートされているソリューションは、パートナーの管理プラットフォームに脆弱性データをレポートします。 さらに、このプラットフォームは、クラウドに対して、脆弱性と正常性の監視データを Defender に戻します。 ワークロード保護ダッシュボードで脆弱な VM を特定し、Defender for Cloud から直接、パートナー管理コンソールに切り替え、レポートやその他の情報を入手できます。

1. Azure portal から、Defender for Cloud を開きます。

2. Defender for Cloud のメニューから、推奨事項ページを開きます。

3. 推奨事項 "マシンに脆弱性評価ソリューションを導入する必要がある" を選択します。

   

   VM は、次の 1 つ以上のグループに表示されます。

   • 正常なリソース – Defender for Cloud で、これらの VM で実行されている脆弱性評価ソリューションが検出されました。
   • 異常なリソース - これらの VM に脆弱性スキャナー拡張機能をデプロイできます。
   • 適用できないリソース - これらの VM では、脆弱性スキャナー拡張機能をデプロイできません。

4. 異常なマシンの一覧から、脆弱性評価ソリューションを受信するマシンを選択し、 [修復] を選択ます。

   重要

   構成によっては、このリストの一部しか表示されない場合があります。

   • サードパーティ製の脆弱性スキャナーが構成されていない場合は、デプロイすることができません。
   • 選択した VM が Microsoft Defender for Servers によって保護されていない場合、Defender for Cloud の統合された脆弱性スキャナー オプションは使用できません。

   

5. 新しい BYOL 構成を設定する場合は、 [サード パーティの新しい脆弱性スキャナーの構成] 、関連する拡張機能、 [続行] の順に選択して、プロバイダーから詳細を次のように入力します。

   1. [リソース グループ] では、 [既存のものを使用] を選択します。 後でこのリソース グループを削除すると、BYOL ソリューションは使用できなくなります。
   2. [場所] では、そのソリューションが地理的に配置されている場所を選択します。
   3. Qualys の場合は、 [ライセンスコード] フィールドに、Qualys から提供されたライセンスを入力します。
   4. Rapid7 の場合は、Rapid7 構成ファイルをアップロードします。
   5. [公開キー] ボックスに、パートナーから提供された公開キー情報を入力します。
   6. このソリューションのサブスクリプション内で検出されたすべての VM に脆弱性評価エージェントを自動的にインストールするには、 [自動デプロイ] を選択します。
   7. [OK] を選択します。

6. BYOL ソリューションを既に設定している場合は、[サード パーティの構成された脆弱性スキャナーのデプロイ]、関連する拡張機能、[続行] の順に選択します。

ターゲットコンピューターに脆弱性評価ソリューションがインストールされると、Defender for Cloud はスキャンを実行して、システムとアプリケーションの脆弱性を検出して特定します。 最初のスキャンが完了するまでに数時間かかる場合があります。 その後は、毎時に実行されます。

PowerShell と REST API を使用して BYOL ソリューションをデプロイする

Qualys または Rapid7 から、プライベートにライセンス供与された独自の脆弱性評価ソリューションをプログラムでデプロイするには、提供されているスクリプト PowerShell > 脆弱性ソリューションを使います。 このスクリプトでは、REST API を使用して、Defender for Cloud に新しいセキュリティソリューションを作成します。 サービス プロバイダーから提供されたライセンスとキー (Qualys または Rapid7) が必要です。

前提条件

以下の PowerShell モジュールが必要です。

• Install-module Az
• Install-module Az.security

スクリプトを実行する

スクリプトを実行するには、以下のパラメーターに関連する情報が必要です。

構文:

.\New-ASCVASolution.ps1 -subscriptionId <Subscription Id> -resourceGroupName <RG Name>
-vaSolutionName <New solution name> -vaType <Qualys / Rapid7> -autoUpdate <true/false>
-licenseCode <License code from vendor> -publicKey <Public Key received from vendor>

例 (この例には、有効なライセンスの詳細は含まれていません):

.\New-ASCVASolution.ps1 -subscriptionId 'f4cx1b69-dtgb-4ch6-6y6f-ea2e95373d3b' -resourceGroupName 'DefaultResourceGroup-WEU' -vaSolutionName 'QualysVa001' -vaType 'Qualys' -autoUpdate 'false' `
-licenseCode 'eyJjaWQiOiJkZDg5OTYzXe4iMTMzLWM4NTAtODM5FD2mZWM1N2Q3ZGU5MjgiLCJgbTYuOiIyMmM5NDg3MS1lNTVkLTQ1OGItYjhlMC03OTRhMmM3YWM1ZGQiLCJwd3NVcmwiOiJodHRwczovL3FhZ3B1YmxpYy1wMDEuaW50LnF1YWx5cy5jb20vQ2xvdSKJY6VudC8iLCJwd3NQb3J0IjoiNDQzIn0=' `
-publicKey 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCOiOLXjOywMfLZIBGPZLwSocf1Q64GASLK9OHFEmanBl1nkJhZDrZ4YD5lM98fThYbAx1Rde2iYV1ze/wDlX4cIvFAyXuN7HbdkeIlBl6vWXEBZpUU17bOdJOUGolzEzNBhtxi/elEZLghq9Chmah82me/okGMIhJJsCiTtglVQIDAQAB'

Azure Marketplace で Qualys Virtual Scanner Appliance を取得する方法の詳細について説明します。

次のステップ

• 脆弱性評価ソリューションの結果を修復する
• 脆弱性評価に関するこちらの一般的な質問を確認する