O Defender for Cloud coleta dados de suas máquinas usando agentes e extensões. Esses agentes e extensões podem ser instalados manualmente (consulte instalação manual do agente Log Analytics). No entanto, o provisionamento automático reduz a sobrecarga de gerenciamento instalando todos os agentes e extensões necessários em máquinas existentes e novas para garantir uma cobertura de segurança mais rápida para todos os recursos suportados.
Para avaliar suas máquinas para obter vulnerabilidades, você pode usar uma das seguintes soluções:
- O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft do Microsoft Defender for Endpoint (incluído no Microsoft Defender para servidores)
- Um agente Qualys integrado (incluído no Microsoft Defender para servidores)
- Um scanner Qualys ou Rapid7 que você licenciou separadamente e configurou dentro do Defender for Cloud (isso é chamado de Bring Your Own License, ou BYOL, cenário)
Observação: Não existe cobrança adicional para habilitar a extensão Vulnerability assessment for machines e utilizar a análise de vulnerabilidades.
Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades.
O Defender para Nuvem verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Recurso: O provisionamento automático está em GA (disponibilidade geral) Agente e extensões: o agente do Log Analytics para VMs do Azure está em GA, o Microsoft Dependency Agent está em versão prévia, o complemento do Policy para Kubernetes está em GA e o agente de Configuração de Convidado está em versão prévia |
| Preço: | Gratuita |
| Funções e permissões necessárias: | Proprietário para habilitar o provisionamento automático do agente do Log Analytics |
| Destinos compatíveis: |  Computadores do AzureComputadores habilitados para Azure Arc Nós do KubernetesConjuntos de Dimensionamento de Máquinas Virtuais |
| Nuvens: | Recurso: Nuvens comerciais Azure Government, Azure China 21Vianet Agente e extensões: O agente do Log Analytics para VMs do Azure está disponível em todas as nuvens, o complemento do Policy para Kubernetes está disponível em todas as nuvens e o agente de Configuração de Convidado está disponível apenas em nuvens comerciais |
Habilite automaticamente uma solução de avaliação de vulnerabilidades
01 – Faça login no portal do Azure.
02 – No portal pesquise por Microsoft Defender for Cloud.
03 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.
04 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja habilitar a extensão.
05 – Na tela Settings | Defender plans certifique-se que o plano Enable all Microsoft Defender for Cloud plans esteja habilitado, clique em Auto provisioning.
06 – Na tela Settings | Auto provisioning habilite a extensão Vulnerability assessment for machines, a tela Extension deployment configuration sera aberta, podemos selecionar Microsoft threat and vulnerability management e Microsoft Defender for Cloud integrated Qualys scanner.
Implante a solução de avaliação de vulnerabilidades que melhor atenda às suas necessidades e orçamento:
- Microsoft Defender para as ferramentas de gerenciamento de ameaças e vulnerabilidades do Endpoint – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios. Saiba mais em Investigar fraquezas com o Microsoft Defender para o gerenciamento de ameaças e vulnerabilidades do Endpoint.
- Solução integrada de avaliação de vulnerabilidades (alimentada pela Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys – tudo é tratado perfeitamente dentro do Defender for Cloud. Esta página fornece detalhes deste scanner e instruções de como implantá-lo.
Para maiores informações acesse o link abaixo.
Selecione Microsoft threat and vulnerability management e clique em Apply.
07 – Após definir as configurações da extensão Vulnerability assessment for machines clique em Save.
Observação: Após habilitarmos a extensão Vulnerability assessment for machines todas as máquinas virtuais da assinatura terão a extensão MDE adicionada.
08 – Após habilitar a extensão Vulnerability assessment for machines observe que a extensão MDE foi adicionada as máquinas virtuais da assinatura.
Habilite manualmente uma solução de avaliação de vulnerabilidades
Também é possível habilitar a análise de vulnerabilidades para máquinas virtuais especificas, ao invés de habilitar a análise de vulnerabilidade para todas as máquinas virtuais da assinatura podemos habilitar apenas para as máquinas que desejamos.
14 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela do Microsoft Defender for Cloud em Management clique em Environment settings.
15 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura.
16 – Na tela Settings | Defender plans clique em Auto provisioning.
17 – Na tela Settings | Auto provisioning desabilite a extensão Vulnerability assessment for machines, em seguida clique em Save.
18 – Na tela Microsoft Defender for Cloud clique em Recommendations.
19 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recomendations, em seguida selecione Machines should have a vulnerability assessment solution.
20 – Na tela Machines should have a vulnerability assessment solution temos a Severity, Freshness interval, Description e Related recommendations.
Ainda na tela Machines should have a vulnerability assessment solution um pouco mais abaixo temos Remediation steps com as dicas de como podemos realizar a correção dos recursos não saudáveis.
Abaixo temos a opção Affecte resources que está dividida em 3 opções, Unhealthy resources, Healthy resources, Not applicable resources. Selecione a máquina virtual vm-sql-eastus-dev e clique em Fix.
Observação: Um ponto importante que deve ser mencionado é que a máquina vm-sql-eastus-dev não está associada a nenhum Log Analytics Workspace e mesmo assim podemos fazer a análise de vulnerabilidades.
21 – A tela vulnerability assessment solution should be enabled on your virtual machines sera aberta, selecione Deploy the integrated vulnerability scanner powered by Qualys (included with Microsoft Defender for servers) e clique em Proceed.
Use esta recomendação para implantar a solução de avaliação de vulnerabilidade em suas máquinas virtuais do Azure e seus computadores híbridos habilitados para Azure Arc.
Implante a solução de avaliação de vulnerabilidade que melhor atenda às suas necessidades e ao seu orçamento:
- Microsoft Defender for Endpoint’s threat and vulnerability management tools – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios.
- Integrated vulnerability assessment solution (powered by Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys tudo é tratado perfeitamente dentro do Defender for Cloud.
- Bring your own license (BYOL) solutions – O Defender for Cloud suporta a integração de ferramentas de outros fornecedores, mas você precisará lidar com os custos de licenciamento, implantação e configuração. Ao implantar sua ferramenta no Defender for Cloud, você obterá informações sobre quais máquinas virtuais do Azure estão perdendo a ferramenta. Você também poderá ver as descobertas dentro do Defender for Cloud. Se você preferir usar a licença privada qualys ou rapid7 da sua organização em vez da licença Qualys incluída no Defender for Cloud.
O scanner da Qualys é a ferramenta líder para identificar vulnerabilidades em suas máquinas virtuais Azure. Uma vez que essa integração é ativada, a Qualys avalia continuamente todos os aplicativos instalados em uma máquina virtual para encontrar vulnerabilidades e apresenta suas descobertas no console Microsoft Defender for Cloud. Esta oferta está disponível para todos os clientes comerciais do Azure que habilitaram o Microsoft Defender for Cloud nível de preços padrão para VMs.
22 – Na tela Fixing resources clique em Fix 1 resource.
23 – Como podemos observar a remediação foi finalizada com sucesso.
24 – No portal do Azure pesquise por Virtual machines em seguida selecione a máquina virtual VM-SQL-EastUS-Dev, em Settings clique em Extensions + applications e percebam que a extensão WindowsAgent.AzureSecurityCenter foi instalada.
25 – Na máquina virtual “VM-SQL-EastUS-Dev” observe que temos o processo do QualysAgent em execução.
26 – Também podemos observar que temos o serviço Qualys Cloud Agent em execução.
Analisando as Vulnerabilidades
27 – No portal do Azure pesquise por Microsoft Defender for Cloud.
28 – Na tela Microsoft Defender for Cloud | Overview clique em Recommendations.
29 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recommendations.
30 – Apos selecionar All recommendations selecione Machines should have vulnerability findings resolved.
31 – Na tela Machines should have vulnerability findings resolved temos a gravidade da recomendação “Low”, intervalo de atualização que é 4 horas, também temos a Description da recomendação, temos a opção Relaed recommendations e Remediations steps.
Ainda na tela Machines should have vulnerability findings resolved temos a opção Affected resources que está dividida em 3 categorias, Unhealthy resources, Healthy resources, Not applicable resources, percebam que temos 2 recursos vulneráveis.
Ainda na tela Machines should have vulnerability findings resolved temos a opção Security checks onde temos todas as vulnerabilidades encontradas nos recursos computacionais da opção Affected resources, as vulnerabilidades encontradas tem um ID de qual aplicação é essa vulnerabilidade, categoria, para quantos recursos é aplicada a vulnerabilidades e a gravidade. Selecione a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications).
Apos selecionar a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications) a tela Update Microsoft Windows Server 2016 (OS and built-in applications) sera aberta, nessa tela temos as seguintes informações, General information, Remediation, Weaknesses com o CVE ID, e um pouco mais abaixo temos Affected resources.
32 – O próximo passo é a resolução das vulnerabilidades, o Microsoft Defender for Cloud é eficiente ao ponto de te dar recomendações de como resolver a vulnerabilidade de segurança do seu ambiente.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud
Computing e Cloud Security.
Forte atuação em projetos de Cloud Security no Microsoft Azure e com tecnologias de
segurança do Microsoft 365.
Tenho Experiência em Microsoft Azure, Microsoft 365, AWS e Windows Server.
Sou Microsoft MVP na categoria Microsoft Azure, AWS Communit Builder Security & Identity e
MCT.