Freigeben über

Aktivieren der Computerüberprüfung ohne Agent

  • Artikel

Die agentlose Computerüberprüfung in Microsoft Defender for Cloud verbessert den Sicherheitsstatus von Computern, die mit Defender for Cloud verbunden sind. Die agentlose Computerüberprüfung umfasst eine Reihe von Funktionen, einschließlich der Überprüfung des Softwarebestands, auf Sicherheitsrisiken, Geheimnisse und Schadsoftware.

  • Die agentlose Überprüfung benötigt keine installierten Agents oder Netzwerkkonnektivität und wirkt sich nicht auf die Computerleistung aus.
  • Sie können agentlose Computerüberprüfungen aktivieren oder deaktivieren, aber Sie können keine einzelne Funktionen deaktivieren.

Wenn Sie Defender for Servers-Plan 2 oder den CSPM-Plan (Defender Cloud Security Posture Management) aktivieren, ist die agentlose Computerüberprüfung standardmäßig aktiviert. Bei Bedarf können Sie die Anweisungen in diesem Artikel befolgen, um die agentlose Computerüberprüfung manuell zu aktivieren.

Voraussetzungen

Anforderung Details
Planen Um agentlose Überprüfungen zu verwenden, muss der Defender CSPM-Plan oder Defender for Servers-Plan 2 aktiviert sein.

Wenn Sie die agentlose Überprüfung für einen der beiden Pläne aktivieren, wird die Einstellung für beide Pläne aktiviert.
Malware-Überprüfung Die Schadsoftwareüberprüfung ist nur verfügbar, wenn Defender for Servers-Plan 2 aktiviert ist.

Für die Schadsoftwareüberprüfungen von Kubernetes-Knoten-VMs ist entweder Defender for Servers-Plan 2 oder der Defender for Containers-Plan erforderlich.
Unterstützte Computer Die agentlose Computerüberprüfung ist für Azure-VMs, AWS/GCP-Computer verfügbar, die mit Defender for Cloud verbunden sind, und für lokale Computer, die als Azure Arc-fähige VMs integriert sind.
Virtuelle Azure-Computer Die agentlose Überprüfung ist auf Azure-Standard-VMs verfügbar mit:

– Maximal zulässige Gesamtgröße des Datenträgers: 4 TB (die Summe aller Datenträger)
– Maximale Anzahl zulässiger Datenträger: 6
– VM-Skalierungsgruppe – Flex

Unterstützung für Datenträger, die folgendes sind:
- Unverschlüsselt
– Verschlüsselt (verwaltete Datenträger mit Azure Storage-Verschlüsselung mit plattformseitig verwalteten Schlüsseln (PMK))
– Verschlüsselt kundenseitig verwalteten Schlüsseln (Vorschau)
AWS Die agentlose Überprüfung ist auf EC2, Auto Scale-Instanzen und Datenträgern verfügbar, die unverschlüsselt, verschlüsselt (PMK) und verschlüsselt (CMK) sind.
GCP Die agentlose Überprüfung ist für Computeinstanzen, Instanzgruppen (verwaltet und nicht verwaltet), mit von Google verwalteten Verschlüsselungsschlüsseln und kundenseitig verwalteten Verschlüsselungsschlüssel (CMEK) verfügbar.
Kubernetes-Knoten Die agentlose Überprüfung auf Sicherheitsrisiken und Schadsoftware in Kubernetes-Knoten-VMs ist verfügbar.

Für die Sicherheitsrisikobewertung ist der Defender for Servers-Plan 2 oder der Defender for Containers-Plan oder der Defender Cloud Security Posture Management (CSPM)-Plan erforderlich.

Für die Schadsoftwareüberprüfung ist Defender for Servers-Plan 2 oder Defender for Containers erforderlich.
Berechtigungen Überprüfen Sie die von Defender for Cloud verwendeten Berechtigungen für die agentlose Überprüfung.

Aktivieren der Überprüfung ohne Agent

  1. Öffnen Sie in Microsoft Defender for Cloud Umgebungseinstellungen.

  2. Wählen Sie das relevante Abonnement aus.

  3. Wählen Sie für den Defender CSPM-Plan oder Defender for Servers-Plan 2 die Option Einstellungen aus.

    Screenshot: Link zu den Einstellungen der Defender-Pläne für Azure-Konten.

  4. Aktivieren Sie unter Einstellungen und der Überwachung die Agentlose Überprüfung für Computer.

    Screenshot: Einstellungen und Überwachungsbildschirm zum Aktivieren der Überprüfung ohne Agent.

  5. Wählen Sie Speichern.

Aktivieren von Azure-VMs mit CMK-verschlüsselten Datenträgern (Vorschau)

Für die agentlose Überprüfung von Azure-VMs mit CMK-verschlüsselten Datenträgern müssen Sie Defender for Cloud zusätzliche Berechtigungen für Key Vaults erteilen, die für die CMK-Verschlüsselung für die virtuellen Computer verwendet werden, um eine sichere Kopie der Datenträger zu erstellen.

  1. Gehen Sie wie folgt vor, um die Berechtigungen für einen Key Vault manuell zuzuweisen:

    • Für Schlüsseltresore, die keine RBAC-Berechtigungen verwenden: Weisen Sie „Microsoft Defender for Cloud Servers Scanner Resource Provider“ (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) diese Berechtigungen zu: Key Get, Key Wrap, Key Unwrap.
    • Für Schlüsseltresore mit RBAC-Berechtigungen: Weisen Sie „Microsoft Defender for Cloud Server Scanner Resource Provider“ (0c7668b5-3260-4ad0-9f53-34ed54fa19b2) der integrierten Rolle Key Vault Crypto Service Encryption User zu.

  2. Verwenden Sie dieses Skript, um diese Berechtigungen im großen Stil für mehrere Key Vaults zuzuweisen.

Aktivieren der Überprüfung ohne Agent auf AWS

  1. Öffnen Sie in Microsoft Defender for Cloud Umgebungseinstellungen.

  2. Wählen Sie das entsprechende Konto aus.

  3. Wählen Sie für den Defender Cloud Security Posture Management (CSPM)- oder Defender for Servers P2-Plan Einstellungen aus.

    Screenshot: Link zu den Einstellungen der Defender-Pläne für AWS-Konten.

    Wenn Sie die agentlose Überprüfung für einen der beiden Pläne aktivieren, gilt die Einstellung für beide Pläne.

  4. Aktivieren Sie im Bereich für die Einstellungen Überprüfung ohne Agent für Computer.

    Screenshot: Status der agentlosen Überprüfung für AWS-Konten.

  5. Wählen Sie Speichern und Weiter: Zugriff konfigurieren aus.

  6. Laden Sie die Vorlage „CloudFormation“ herunter.

  7. Erstellen Sie mithilfe der heruntergeladenen CloudFormation-Vorlage den Stapel in AWS gemäß den Anweisungen auf dem Bildschirm. Wenn Sie das Onboarding für ein Verwaltungskonto durchführen, müssen Sie die CloudFormation-Vorlage sowohl als Stack als auch als StackSet ausführen. Connectors werden für die Mitgliedskonten bis zu 24 Stunden nach dem Onboarding erstellt.

  8. Wählen Sie Weiter: Überprüfen und generieren aus.

  9. Wählen Sie Aktualisieren aus.

Nachdem die Überprüfung ohne Agent aktiviert wurde, werden Informationen zu Softwarebestand und Sicherheitsrisiken in Defender for Cloud automatisch aktualisiert.

Aktivieren der Überprüfung ohne Agent auf GCP

  1. Wählen Sie in Microsoft Defender for Cloud Umgebungseinstellungen aus.

  2. Wählen Sie das relevante Projekt oder die relevante Organisation aus.

  3. Wählen Sie für den Defender Cloud Security Posture Management (CSPM)- oder Defender for Servers P2-Plan Einstellungen aus.

    Screenshot: Wo der Plan für GCP-Projekte ausgewählt wird

  4. Schalten Sie die Überprüfung ohne Agent auf Ein.

    Screenshot: Wo die Überprüfung ohne Agent ausgewählt wird

  5. Wählen Sie Speichern und Weiter: Zugriff konfigurieren aus.

  6. Kopieren Sie das Onboardingskript.

  7. Führen Sie das Onboardingskript in der GCP-Organisation/im Projektbereich (GCP-Portal oder gcloud-CLI) aus.

  8. Wählen Sie Weiter: Überprüfen und generieren aus.

  9. Wählen Sie Aktualisieren aus.

Zugehöriger Inhalt

Weitere Informationen zu:

Überprüfung ohne Agent.