Microsoft Defender for Cloud – Vulnerability assessment

O Defender for Cloud coleta dados de suas máquinas usando agentes e extensões. Esses agentes e extensões podem ser instalados manualmente (consulte instalação manual do agente Log Analytics). No entanto, o provisionamento automático reduz a sobrecarga de gerenciamento instalando todos os agentes e extensões necessários em máquinas existentes e novas para garantir uma cobertura de segurança mais rápida para todos os recursos suportados.

Para avaliar suas máquinas para obter vulnerabilidades, você pode usar uma das seguintes soluções:

  • O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft do Microsoft Defender for Endpoint (incluído no Microsoft Defender para servidores)
  • Um agente Qualys integrado (incluído no Microsoft Defender para servidores)
  • Um scanner Qualys ou Rapid7 que você licenciou separadamente e configurou dentro do Defender for Cloud (isso é chamado de Bring Your Own License, ou BYOL, cenário)

Observação: Não existe cobrança adicional para habilitar a extensão Vulnerability assessment for machines e utilizar a análise de vulnerabilidades.

Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades.

O Defender para Nuvem verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade.

Disponibilidade

DISPONIBILIDADE
AspectoDetalhes
Estado da versão:Recurso: O provisionamento automático está em GA (disponibilidade geral)
Agente e extensões: o agente do Log Analytics para VMs do Azure está em GA, o Microsoft Dependency Agent está em versão prévia, o complemento do Policy para Kubernetes está em GA e o agente de Configuração de Convidado está em versão prévia
Preço:Gratuita
Funções e permissões necessárias:Proprietário para habilitar o provisionamento automático do agente do Log Analytics
Destinos compatíveis: Computadores do Azure
Computadores habilitados para Azure Arc
 Nós do Kubernetes
Conjuntos de Dimensionamento de Máquinas Virtuais
Nuvens:Recurso:
 Nuvens comerciais
 Azure Government, Azure China 21Vianet
Agente e extensões:
O agente do Log Analytics para VMs do Azure está disponível em todas as nuvens, o complemento do Policy para Kubernetes está disponível em todas as nuvens e o agente de Configuração de Convidado está disponível apenas em nuvens comerciais

Habilite automaticamente uma solução de avaliação de vulnerabilidades

01 – Faça login no portal do Azure.

02 – No portal pesquise por Microsoft Defender for Cloud.

03 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.

04 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja habilitar a extensão.

05 – Na tela Settings | Defender plans certifique-se que o plano Enable all Microsoft Defender for Cloud plans esteja habilitado, clique em Auto provisioning.

06 – Na tela Settings | Auto provisioning habilite a extensão Vulnerability assessment for machines, a tela Extension deployment configuration sera aberta, podemos selecionar Microsoft threat and vulnerability management e Microsoft Defender for Cloud integrated Qualys scanner.

Implante a solução de avaliação de vulnerabilidades que melhor atenda às suas necessidades e orçamento:

  • Microsoft Defender para as ferramentas de gerenciamento de ameaças e vulnerabilidades do Endpoint – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios. Saiba mais em Investigar fraquezas com o Microsoft Defender para o gerenciamento de ameaças e vulnerabilidades do Endpoint.
  • Solução integrada de avaliação de vulnerabilidades (alimentada pela Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys – tudo é tratado perfeitamente dentro do Defender for Cloud. Esta página fornece detalhes deste scanner e instruções de como implantá-lo.

Para maiores informações acesse o link abaixo.

A solução integrada de avaliação de vulnerabilidades da Defender for Cloud para máquinas Azure, híbridas e multi-nuvem | Microsoft Docs

Selecione Microsoft threat and vulnerability management e clique em Apply.

07 – Após definir as configurações da extensão Vulnerability assessment for machines clique em Save.

Observação: Após habilitarmos a extensão Vulnerability assessment for machines todas as máquinas virtuais da assinatura terão a extensão MDE adicionada.

08 – Após habilitar a extensão Vulnerability assessment for machines observe que a extensão MDE foi adicionada as máquinas virtuais da assinatura.

Habilite manualmente uma solução de avaliação de vulnerabilidades

Também é possível habilitar a análise de vulnerabilidades para máquinas virtuais especificas, ao invés de habilitar a análise de vulnerabilidade para todas as máquinas virtuais da assinatura podemos habilitar apenas para as máquinas que desejamos.

14 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela do Microsoft Defender for Cloud em Management clique em Environment settings.

15 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura.

16 – Na tela Settings | Defender plans clique em Auto provisioning.

17 – Na tela Settings | Auto provisioning desabilite a extensão Vulnerability assessment for machines, em seguida clique em Save.

18 – Na tela Microsoft Defender for Cloud clique em Recommendations.

19 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recomendations, em seguida selecione Machines should have a vulnerability assessment solution.

20 – Na tela Machines should have a vulnerability assessment solution temos a Severity, Freshness interval, Description e Related recommendations.

Ainda na tela Machines should have a vulnerability assessment solution um pouco mais abaixo temos Remediation steps com as dicas de como podemos realizar a correção dos recursos não saudáveis.

Abaixo temos a opção Affecte resources que está dividida em 3 opções, Unhealthy resources, Healthy resources, Not applicable resources. Selecione a máquina virtual vm-sql-eastus-dev e clique em Fix.

Observação: Um ponto importante que deve ser mencionado é que a máquina vm-sql-eastus-dev não está associada a nenhum Log Analytics Workspace e mesmo assim podemos fazer a análise de vulnerabilidades.

21 – A tela vulnerability assessment solution should be enabled on your virtual machines sera aberta, selecione Deploy the integrated vulnerability scanner powered by Qualys (included with Microsoft Defender for servers) e clique em Proceed.

Use esta recomendação para implantar a solução de avaliação de vulnerabilidade em suas máquinas virtuais do Azure e seus computadores híbridos habilitados para Azure Arc.

Implante a solução de avaliação de vulnerabilidade que melhor atenda às suas necessidades e ao seu orçamento:

  • Microsoft Defender for Endpoint’s threat and vulnerability management tools – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios.
  • Integrated vulnerability assessment solution (powered by Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys tudo é tratado perfeitamente dentro do Defender for Cloud.
  • Bring your own license (BYOL) solutions – O Defender for Cloud suporta a integração de ferramentas de outros fornecedores, mas você precisará lidar com os custos de licenciamento, implantação e configuração. Ao implantar sua ferramenta no Defender for Cloud, você obterá informações sobre quais máquinas virtuais do Azure estão perdendo a ferramenta. Você também poderá ver as descobertas dentro do Defender for Cloud. Se você preferir usar a licença privada qualys ou rapid7 da sua organização em vez da licença Qualys incluída no Defender for Cloud.

O scanner da Qualys é a ferramenta líder para identificar vulnerabilidades em suas máquinas virtuais Azure. Uma vez que essa integração é ativada, a Qualys avalia continuamente todos os aplicativos instalados em uma máquina virtual para encontrar vulnerabilidades e apresenta suas descobertas no console Microsoft Defender for Cloud. Esta oferta está disponível para todos os clientes comerciais do Azure que habilitaram o Microsoft Defender for Cloud nível de preços padrão para VMs.

22 – Na tela Fixing resources clique em Fix 1 resource.

23 – Como podemos observar a remediação foi finalizada com sucesso.

24 – No portal do Azure pesquise por Virtual machines em seguida selecione a máquina virtual VM-SQL-EastUS-Dev, em Settings clique em Extensions + applications e percebam que a extensão WindowsAgent.AzureSecurityCenter foi instalada.

25 – Na máquina virtual “VM-SQL-EastUS-Dev” observe que temos o processo do QualysAgent em execução.

26 – Também podemos observar que temos o serviço Qualys Cloud Agent em execução.

Analisando as Vulnerabilidades

27 – No portal do Azure pesquise por Microsoft Defender for Cloud.

28 – Na tela Microsoft Defender for Cloud | Overview clique em Recommendations.

29 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recommendations.

30 – Apos selecionar All recommendations selecione Machines should have vulnerability findings resolved.

31 – Na tela Machines should have vulnerability findings resolved temos a gravidade da recomendação “Low”, intervalo de atualização que é 4 horas, também temos a Description da recomendação, temos a opção Relaed recommendations e Remediations steps.

Ainda na tela Machines should have vulnerability findings resolved temos a opção Affected resources que está dividida em 3 categorias, Unhealthy resources, Healthy resources, Not applicable resources, percebam que temos 2 recursos vulneráveis.

Ainda na tela Machines should have vulnerability findings resolved temos a opção Security checks onde temos todas as vulnerabilidades encontradas nos recursos computacionais da opção Affected resources, as vulnerabilidades encontradas tem um ID de qual aplicação é essa vulnerabilidade, categoria, para quantos recursos é aplicada a vulnerabilidades e a gravidade. Selecione a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications).

Apos selecionar a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications) a tela Update Microsoft Windows Server 2016 (OS and built-in applications) sera aberta, nessa tela temos as seguintes informações, General information, Remediation, Weaknesses com o CVE ID, e um pouco mais abaixo temos Affected resources.

32 – O próximo passo é a resolução das vulnerabilidades, o Microsoft Defender for Cloud é eficiente ao ponto de te dar recomendações de como resolver a vulnerabilidade de segurança do seu ambiente.

Comente suas sugestões e observações! 

Forte abraço, obrigado e até o próximo post.

Deixe um comentário

O seu endereço de e-mail não será publicado.