O Defender for Cloud coleta dados de suas máquinas usando agentes e extensões. Esses agentes e extensões podem ser instalados manualmente (consulte instalação manual do agente Log Analytics). No entanto, o provisionamento automático reduz a sobrecarga de gerenciamento instalando todos os agentes e extensões necessários em máquinas existentes e novas para garantir uma cobertura de segurança mais rápida para todos os recursos suportados.
Para avaliar suas máquinas para obter vulnerabilidades, você pode usar uma das seguintes soluções:
- O módulo de gerenciamento de ameaças e vulnerabilidades da Microsoft do Microsoft Defender for Endpoint (incluído no Microsoft Defender para servidores)
- Um agente Qualys integrado (incluído no Microsoft Defender para servidores)
- Um scanner Qualys ou Rapid7 que você licenciou separadamente e configurou dentro do Defender for Cloud (isso é chamado de Bring Your Own License, ou BYOL, cenário)
Observação: Não existe cobrança adicional para habilitar a extensão Vulnerability assessment for machines e utilizar a análise de vulnerabilidades.
Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades.
O Defender para Nuvem verifica regularmente seus computadores conectados para garantir que eles estejam executando ferramentas de avaliação de vulnerabilidade.
Disponibilidade
| Aspecto | Detalhes |
|---|---|
| Estado da versão: | Recurso: O provisionamento automático está em GA (disponibilidade geral) Agente e extensões: o agente do Log Analytics para VMs do Azure está em GA, o Microsoft Dependency Agent está em versão prévia, o complemento do Policy para Kubernetes está em GA e o agente de Configuração de Convidado está em versão prévia |
| Preço: | Gratuita |
| Funções e permissões necessárias: | Proprietário para habilitar o provisionamento automático do agente do Log Analytics |
| Destinos compatíveis: |  Computadores do AzureComputadores habilitados para Azure Arc Nós do KubernetesConjuntos de Dimensionamento de Máquinas Virtuais |
| Nuvens: | Recurso: Nuvens comerciais Azure Government, Azure China 21Vianet Agente e extensões: O agente do Log Analytics para VMs do Azure está disponível em todas as nuvens, o complemento do Policy para Kubernetes está disponível em todas as nuvens e o agente de Configuração de Convidado está disponível apenas em nuvens comerciais |
Habilite automaticamente uma solução de avaliação de vulnerabilidades
01 – Faça login no portal do Azure.
02 – No portal pesquise por Microsoft Defender for Cloud.
03 – Na tela Microsoft Defender for Cloud | Overview em Management clique em Environment settings.
04 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura que deseja habilitar a extensão.
05 – Na tela Settings | Defender plans certifique-se que o plano Enable all Microsoft Defender for Cloud plans esteja habilitado, clique em Auto provisioning.
06 – Na tela Settings | Auto provisioning habilite a extensão Vulnerability assessment for machines, a tela Extension deployment configuration sera aberta, podemos selecionar Microsoft threat and vulnerability management e Microsoft Defender for Cloud integrated Qualys scanner.
Implante a solução de avaliação de vulnerabilidades que melhor atenda às suas necessidades e orçamento:
- Microsoft Defender para as ferramentas de gerenciamento de ameaças e vulnerabilidades do Endpoint – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios. Saiba mais em Investigar fraquezas com o Microsoft Defender para o gerenciamento de ameaças e vulnerabilidades do Endpoint.
- Solução integrada de avaliação de vulnerabilidades (alimentada pela Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys – tudo é tratado perfeitamente dentro do Defender for Cloud. Esta página fornece detalhes deste scanner e instruções de como implantá-lo.
Para maiores informações acesse o link abaixo.
Selecione Microsoft threat and vulnerability management e clique em Apply.
07 – Após definir as configurações da extensão Vulnerability assessment for machines clique em Save.
Observação: Após habilitarmos a extensão Vulnerability assessment for machines todas as máquinas virtuais da assinatura terão a extensão MDE adicionada.
08 – Após habilitar a extensão Vulnerability assessment for machines observe que a extensão MDE foi adicionada as máquinas virtuais da assinatura.
Habilite manualmente uma solução de avaliação de vulnerabilidades
Também é possível habilitar a análise de vulnerabilidades para máquinas virtuais especificas, ao invés de habilitar a análise de vulnerabilidade para todas as máquinas virtuais da assinatura podemos habilitar apenas para as máquinas que desejamos.
14 – No portal do Azure pesquise por Microsoft Defender for Cloud, na tela do Microsoft Defender for Cloud em Management clique em Environment settings.
15 – Na tela Microsoft Defender for Cloud | Environment settings selecione a assinatura.
16 – Na tela Settings | Defender plans clique em Auto provisioning.
17 – Na tela Settings | Auto provisioning desabilite a extensão Vulnerability assessment for machines, em seguida clique em Save.
18 – Na tela Microsoft Defender for Cloud clique em Recommendations.
19 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recomendations, em seguida selecione Machines should have a vulnerability assessment solution.
20 – Na tela Machines should have a vulnerability assessment solution temos a Severity, Freshness interval, Description e Related recommendations.
Ainda na tela Machines should have a vulnerability assessment solution um pouco mais abaixo temos Remediation steps com as dicas de como podemos realizar a correção dos recursos não saudáveis.
Abaixo temos a opção Affecte resources que está dividida em 3 opções, Unhealthy resources, Healthy resources, Not applicable resources. Selecione a máquina virtual vm-sql-eastus-dev e clique em Fix.
Observação: Um ponto importante que deve ser mencionado é que a máquina vm-sql-eastus-dev não está associada a nenhum Log Analytics Workspace e mesmo assim podemos fazer a análise de vulnerabilidades.
21 – A tela vulnerability assessment solution should be enabled on your virtual machines sera aberta, selecione Deploy the integrated vulnerability scanner powered by Qualys (included with Microsoft Defender for servers) e clique em Proceed.
Use esta recomendação para implantar a solução de avaliação de vulnerabilidade em suas máquinas virtuais do Azure e seus computadores híbridos habilitados para Azure Arc.
Implante a solução de avaliação de vulnerabilidade que melhor atenda às suas necessidades e ao seu orçamento:
- Microsoft Defender for Endpoint’s threat and vulnerability management tools – Descubra vulnerabilidades e configurações erradas em tempo real com sensores e sem a necessidade de agentes ou varreduras periódicas. Ele prioriza vulnerabilidades baseadas no cenário de ameaças, detecções em sua organização, informações confidenciais sobre dispositivos vulneráveis e contexto de negócios.
- Integrated vulnerability assessment solution (powered by Qualys) – O Defender for Cloud inclui a varredura de vulnerabilidades para suas máquinas sem custo adicional. Você não precisa de uma licença Qualys ou mesmo uma conta Qualys tudo é tratado perfeitamente dentro do Defender for Cloud.
- Bring your own license (BYOL) solutions – O Defender for Cloud suporta a integração de ferramentas de outros fornecedores, mas você precisará lidar com os custos de licenciamento, implantação e configuração. Ao implantar sua ferramenta no Defender for Cloud, você obterá informações sobre quais máquinas virtuais do Azure estão perdendo a ferramenta. Você também poderá ver as descobertas dentro do Defender for Cloud. Se você preferir usar a licença privada qualys ou rapid7 da sua organização em vez da licença Qualys incluída no Defender for Cloud.
O scanner da Qualys é a ferramenta líder para identificar vulnerabilidades em suas máquinas virtuais Azure. Uma vez que essa integração é ativada, a Qualys avalia continuamente todos os aplicativos instalados em uma máquina virtual para encontrar vulnerabilidades e apresenta suas descobertas no console Microsoft Defender for Cloud. Esta oferta está disponível para todos os clientes comerciais do Azure que habilitaram o Microsoft Defender for Cloud nível de preços padrão para VMs.
22 – Na tela Fixing resources clique em Fix 1 resource.
23 – Como podemos observar a remediação foi finalizada com sucesso.
24 – No portal do Azure pesquise por Virtual machines em seguida selecione a máquina virtual VM-SQL-EastUS-Dev, em Settings clique em Extensions + applications e percebam que a extensão WindowsAgent.AzureSecurityCenter foi instalada.
25 – Na máquina virtual “VM-SQL-EastUS-Dev” observe que temos o processo do QualysAgent em execução.
26 – Também podemos observar que temos o serviço Qualys Cloud Agent em execução.
Analisando as Vulnerabilidades
27 – No portal do Azure pesquise por Microsoft Defender for Cloud.
28 – Na tela Microsoft Defender for Cloud | Overview clique em Recommendations.
29 – Na tela Microsoft Defender for Cloud | Recommendations clique em All recommendations.
30 – Apos selecionar All recommendations selecione Machines should have vulnerability findings resolved.
31 – Na tela Machines should have vulnerability findings resolved temos a gravidade da recomendação “Low”, intervalo de atualização que é 4 horas, também temos a Description da recomendação, temos a opção Relaed recommendations e Remediations steps.
Ainda na tela Machines should have vulnerability findings resolved temos a opção Affected resources que está dividida em 3 categorias, Unhealthy resources, Healthy resources, Not applicable resources, percebam que temos 2 recursos vulneráveis.
Ainda na tela Machines should have vulnerability findings resolved temos a opção Security checks onde temos todas as vulnerabilidades encontradas nos recursos computacionais da opção Affected resources, as vulnerabilidades encontradas tem um ID de qual aplicação é essa vulnerabilidade, categoria, para quantos recursos é aplicada a vulnerabilidades e a gravidade. Selecione a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications).
Apos selecionar a vulnerabilidade Update Microsoft Windows Server 2016 (OS and built-in applications) a tela Update Microsoft Windows Server 2016 (OS and built-in applications) sera aberta, nessa tela temos as seguintes informações, General information, Remediation, Weaknesses com o CVE ID, e um pouco mais abaixo temos Affected resources.
32 – O próximo passo é a resolução das vulnerabilidades, o Microsoft Defender for Cloud é eficiente ao ponto de te dar recomendações de como resolver a vulnerabilidade de segurança do seu ambiente.
Comente suas sugestões e observações!
Forte abraço, obrigado e até o próximo post.
Carreira desenvolvida na área de tecnologia da informação, com ampla experiência em Cloud Computing, com foco em Microsoft Azure.
Fui nomeado Microsoft MVP na categoria Microsoft Azure.
Faço parte da Ong MTAC, sou MCT Microsoft, tenho algumas certificações como AZ-303 Microsoft Azure Architect Technologies, AZ-104 Azure Administrator, MCSE Core Infrastructure e MCSA Windows Server 2012.
Também participo como palestrante em eventos online da comunidade de TI, sou administrador e escritor no blog https://jadsonalves.com.br cujo principal objetivo é compartilhar conhecimento com a comunidade de TI e também escrevo artigos técnicos no portal https://cooperati.com.br