Habilite a verificação sem agente para VMs
A verificação sem agente fornece visibilidade sobre o software instalado e as vulnerabilidades de software em suas cargas de trabalho para estender a cobertura de avaliação de vulnerabilidades para cargas de trabalho de servidor sem um agente de avaliação de vulnerabilidade instalado.
A avaliação de vulnerabilidades sem agente usa o mecanismo de Gerenciamento de Vulnerabilidades do Microsoft Defender para avaliar vulnerabilidades no software instalado em suas VMs, sem exigir que o Defender for Endpoint seja instalado. A avaliação de vulnerabilidade mostra o inventário de software e os resultados da vulnerabilidade no mesmo formato das avaliações baseadas em agente.
Compatibilidade com soluções de avaliação de vulnerabilidades baseadas em agente
O Defender for Cloud já oferece suporte a diferentes verificações de vulnerabilidade baseadas em agente, incluindo o Microsoft Defender Vulnerability Management (MDVM), BYOL. A verificação sem agente amplia a visibilidade do Defender for Cloud para alcançar mais dispositivos.
Quando você habilita a avaliação de vulnerabilidade sem agente:
Se você não tiver nenhuma solução integrada de avaliação de vulnerabilidades habilitada em nenhuma de suas VMs em sua assinatura, o Defender for Cloud habilitará automaticamente o MDVM por padrão.
Se você selecionar o Gerenciamento de Vulnerabilidades do Microsoft Defender como parte de uma integração com o Microsoft Defender for Endpoint, o Defender for Cloud mostrará uma exibição unificada e consolidada que otimiza a cobertura e a atualização.
- As máquinas cobertas por apenas uma das fontes (Defender Vulnerability Management ou agentless) mostram os resultados dessa fonte.
- As máquinas cobertas por ambas as fontes mostram os resultados baseados em agentes apenas para aumentar a frescura.
Se você selecionar Avaliação de vulnerabilidade com integrações BYOL, o Defender for Cloud mostrará os resultados baseados em agente por padrão. Os resultados da verificação sem agente são mostrados para máquinas que não têm um agente instalado ou de máquinas que não estão relatando descobertas corretamente.
Para alterar o comportamento padrão para sempre exibir resultados do MDVM (independentemente de ser uma solução de agente de terceiros), selecione a configuração Gerenciamento de Vulnerabilidades do Microsoft Defender na solução de avaliação de vulnerabilidade.
Habilitando a varredura sem agente para máquinas
Quando você habilita o Defender Cloud Security Posture Management (CSPM) ou o Defender for Servers P2, a verificação sem agente é ativada por padrão.
Se você já tiver o Defender for Servers P2 ativado e a verificação sem agente estiver desativada, será necessário ativar a verificação sem agente manualmente.
Você pode ativar a verificação sem agente em
Nota
A verificação de malware sem agente só está disponível se você tiver ativado o plano 2 do Defender for Servers
Avaliação de vulnerabilidade sem agente no Azure
Para habilitar a avaliação de vulnerabilidade sem agente no Azure:
No menu do Defender for Cloud, abra Configurações de ambiente.
Selecione a subscrição relevante.
Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.
As configurações de verificação sem agente são compartilhadas pelo Defender Cloud Security Posture Management (CSPM) ou pelo Defender for Servers P2. Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração é habilitada para ambos os planos.
No painel de configurações, ative a verificação sem agente para máquinas.
Selecione Guardar.
Para habilitar a verificação de discos criptografados CMK no Azure (visualização):
Para que a verificação sem agente cubra VMs do Azure com discos criptografados CMK, você precisa conceder permissões adicionais ao Defender for Cloud para criar uma cópia segura desses discos. Para fazer isso, permissões adicionais são necessárias nos Cofres de Chaves usados para criptografia CMK para suas VMs.
Para atribuir manualmente as permissões, siga as instruções abaixo de acordo com o tipo de Cofre da Chave:
- Para Cofres de Chaves que usam permissões que não sejam RBAC, atribua "Microsoft Defender for Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) estas permissões: Key Get, Key Wrap, Key Unwrap. - Para Cofres de Chaves usando permissões RBAC, atribua "Microsoft Defender for Cloud Servers Scanner Resource Provider" (
0c7668b5-3260-4ad0-9f53-34ed54fa19b2) a função interna Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves.
Para atribuir essas permissões em escala, você também pode usar esse script.
Para obter mais informações, consulte Permissões de verificação sem agente.
Avaliação de vulnerabilidade sem agente na AWS
No menu do Defender for Cloud, abra Configurações de ambiente.
Selecione a conta relevante.
Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.
Quando você habilita a verificação sem agente em qualquer um dos planos, a configuração se aplica a ambos os planos.
No painel de configurações, ative a verificação sem agente para máquinas.
Selecione Salvar e Avançar: Configurar o acesso.
Faça o download do modelo CloudFormation.
Usando o modelo do CloudFormation baixado, crie a pilha na AWS conforme as instruções na tela. Se você estiver integrando uma conta de gerenciamento, precisará executar o modelo do CloudFormation como Stack e StackSet. Conectores serão criados para as contas de membros até 24 horas após a integração.
Selecione Seguinte: rever e gerar.
Selecione Atualizar.
Depois de ativar a verificação sem agente, o inventário de software e as informações de vulnerabilidade são atualizados automaticamente no Defender for Cloud.
Habilite a verificação sem agente no GCP
No Defender for Cloud, selecione Configurações de ambiente.
Selecione o projeto ou organização relevante.
Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.
Alterne a verificação sem agente para Ativado.
Selecione Salvar e Avançar: Configurar o acesso.
Copie o script de integração.
Execute o script de integração no escopo da organização/projeto do GCP (portal GCP ou CLI do gcloud).
Selecione Seguinte: rever e gerar.
Selecione Atualizar.
Teste a implantação do scanner de malware sem agente
Os alertas de segurança aparecem no portal apenas nos casos em que são detetadas ameaças no seu ambiente. Se você não tiver nenhum alerta, pode ser porque não há ameaças em seu ambiente. Você pode testar para ver se o dispositivo está integrado corretamente e relatar ao Defender for Cloud criando um arquivo de teste.
Criar um arquivo de teste para Linux
Abra uma janela de terminal na VM.
Execute o seguinte comando:
# test string TEST_STRING='$$89-barbados-dublin-damascus-notice-pulled-natural-31$$' # File to be created FILE_PATH="/tmp/virus_test_file.txt" # Write the test string to the file echo -n $TEST_STRING > $FILE_PATH # Check if the file was created and contains the correct string if [ -f "$FILE_PATH" ]; then if grep -Fq "$TEST_STRING" "$FILE_PATH"; then echo "Virus test file created and validated successfully." else echo "Virus test file does not contain the correct string." fi else echo "Failed to create virus test file." fi
O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.
Criar um arquivo de teste para Windows
Criar um arquivo de teste com um documento de texto
Crie um arquivo de texto em sua VM.
Cole o texto
$$89-barbados-dublin-damascus-notice-pulled-natural-31$$no arquivo de texto.Importante
Verifique se não há espaços ou linhas extras no arquivo de texto.
Guarde o ficheiro.
Abra o arquivo para validar que ele contém o conteúdo do estágio 2.
O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.
Criar um arquivo de teste com o PowerShell
Abra o PowerShell em sua VM.
Execute o seguinte script.
# Virus test string
$TEST_STRING = '$$89-barbados-dublin-damascus-notice-pulled-natural-31$$'
# File to be created
$FILE_PATH = "C:\temp\virus_test_file.txt"
# Create "temp" directory if it does not exist
$DIR_PATH = "C:\temp"
if (!(Test-Path -Path $DIR_PATH)) {
New-Item -ItemType Directory -Path $DIR_PATH
}
# Write the test string to the file without a trailing newline
[IO.File]::WriteAllText($FILE_PATH, $TEST_STRING)
# Check if the file was created and contains the correct string
if (Test-Path -Path $FILE_PATH) {
$content = [IO.File]::ReadAllText($FILE_PATH)
if ($content -eq $TEST_STRING) {
Write-Host "Test file created and validated successfully."
} else {
Write-Host "Test file does not contain the correct string."
}
} else {
Write-Host "Failed to create test file."
}
O alerta MDC_Test_File malware was detected (Agentless) aparecerá dentro de 24 horas na página Alertas do Defender for Cloud e no portal do Defender XDR.
Excluir máquinas da digitalização
A verificação sem agente aplica-se a todas as máquinas qualificadas na assinatura. Para evitar que máquinas específicas sejam verificadas, você pode excluir máquinas da verificação sem agente com base em suas tags de ambiente pré-existentes. Quando o Defender for Cloud executa a descoberta contínua de máquinas, as máquinas excluídas são ignoradas.
Para configurar máquinas para exclusão:
No Defender for Cloud, selecione Configurações de ambiente.
Selecione a assinatura relevante ou o conector multicloud.
Para o plano Defender Cloud Security Posture Management (CSPM) ou Defender for Servers P2, selecione Configurações.
Para verificação sem agente, selecione Editar configuração.
Insira o nome e o valor da tag que se aplica às máquinas que você deseja isentar. Você pode inserir
multiple tag:valuepares.
Selecione Guardar.
Conteúdos relacionados
Saiba mais sobre: