Ansichten:

Verwenden Sie agentenlose Sicherheitslücken- und Bedrohungserkennung, um Schwachstellen und Malware in Ihrer Cloud-Umgebung zu durchsuchen und zu erkennen.

Agentenlose Sicherheitslücken- und Bedrohungserkennung ist eine serverlose Funktion, die in Ihren verbundenen Cloud-Konten aktiviert ist. Die Funktion durchsucht unterstützte Cloud-Ressourcen nach Schwachstellen und Malware, ohne andere Ressourcen oder laufende Anwendungen zu beeinträchtigen. Die Funktion wird nur während eines Scans aktiviert und skaliert dynamisch, um den Anforderungen des Scanprozesses innerhalb eines festgelegten Ressourcenlimits gerecht zu werden. Alle gesammelten Daten werden innerhalb der serverlosen Funktion analysiert, und es werden nur Metadaten an Trend Vision One gesendet. Ihre Daten verlassen Ihr Cloud-Konto nicht.
Wichtig
Wichtig
Agentenlose Sicherheitslücken- und Bedrohungserkennung erstellt Schnappschüsse Ihrer Cloud-Speicher-Ressourcen vor dem DURCHSUCHEN und versieht die Schnappschüsse mit dem Tag trend-micro-product:avtd. Verwenden Sie das Tag, um Schnappschüsse zu identifizieren, die auf das Durchsuchen warten, und um die Schnappschüsse von automatisierten Löschprozessen auszuschließen, die Sie konfiguriert haben. Schnappschüsse werden nach Abschluss des Scans automatisch aus Ihrem Cloud-Konto gelöscht.
Agentenlose Sicherheitslücken- und Bedrohungserkennung unterstützt derzeit die folgenden Cloud-Anbieter:
Die Schwachstellensuche überprüft Ihre Cloud-Ressourcen auf bekannte CVEs. Die Anti-Malware-Suche durchsucht Ihre Cloud-Ressourcen, um potenzielle Malware, einschließlich Viren, Trojaner, Spyware und mehr, zu identifizieren. Die Durchsuchungen erfolgen einmal täglich, beginnend, wenn Sie Ihr Cloud-Konto zum ersten Mal verbinden und die Funktion aktivieren. Die erste Durchsuchung beginnt innerhalb von 30 Minuten nach Abschluss der Bereitstellung. Die Durchsuchungszeiten sind nach der Bereitstellung nicht konfigurierbar.
Hinweis
Hinweis
Die Anti-Malware-Suche ist standardmäßig für AWS-Konten nicht aktiviert. Nach der Aktivierung der Funktion beginnen die Anti-Malware-Suchen während der nächsten täglichen Suche.
Scan-Ergebnisse werden zur Überprüfung an Trend Vision One gesendet. Wenn die Ergebnisse Schwachstellen oder Malware enthalten, werden empfohlene Behebungsoptionen für das zugehörige Risikoevent in Cyber Risk Exposure ManagementThreat and Exposure Management angezeigt.
Die folgende Tabelle listet die Cloud-Anbieter-Ressourcen auf, die Agentenlose Sicherheitslücken- und Bedrohungserkennung unterstützt.
Funktion
Cloud-Anbieter
Ressourcen, die für das Scannen unterstützt werden
Schwachstellensuche
AWS
  • EBS-Volumes, die an EC2-Instanzen angehängt sind, einschließlich:
    • Nicht verschlüsselte EBS-Volumes
    • EBS-Volumes, die mit von AWS verwalteten Schlüsseln verschlüsselt sind
    • EBS-Volumes, die mit kundengesteuerten Schlüsseln verschlüsselt sind
  • ECR-Images mit dem Tag "latest"
  • Lambda-Funktionen und angehängte Lambda-Schichten
Google Cloud
  • Hyperdisks und persistente Festplatten, die an Compute Engine-Instanzen angeschlossen sind
  • Container-Images des Artifact Registry
Microsoft Azure
  • Verwaltete Datenträger, die an VMs angehängt sind
  • Container-Registry-Container-Images
Anti-Malware-Scan
AWS
  • EBS-Volumes, die an EC2-Instanzen angehängt sind, einschließlich:
    • Nicht verschlüsselte EBS-Volumes
    • EBS-Volumes, die mit von AWS verwalteten Schlüsseln verschlüsselt sind
    • EBS-Volumes, die mit kundengesteuerten Schlüsseln verschlüsselt sind
  • Container-Images in ECR-Repositories
  • Serverlose Lambda-Funktionen
Google Cloud
  • Hyperdisks und persistente Festplatten, die an Compute Engine-Instanzen angeschlossen sind
  • Container-Images des Artifact Registry
Microsoft Azure
  • Verwaltete Datenträger, die an VMs angehängt sind
  • Container-Registry-Container-Images
Sicherheitslücken-Erkennungen sind an den folgenden Stellen in der Trend Vision One-Konsole verfügbar:
  • Cloud Risk ManagementCloud Security Posture
  • Cyber Risk OverviewRisk OverviewCloud AssetsRisk Factors
  • Cyber Risk OverviewExposure OverviewSchwachstellen
  • Threat and Exposure ManagementRisk Reduction Measures
  • Threat and Exposure ManagementAll Risk Events
  • Threat and Exposure ManagementSchwachstellen
  • Cloud-Asset-Profilbildschirme in Attack Surface DiscoveryCloud AssetsCloud Asset List
Beim Anzeigen von Sicherheitslücken-Erkennungen erweitern Sie das zugehörige Risikoevent in der Liste, um verfügbare Behebungs- oder Minderungslösungen und Metadaten im Zusammenhang mit der Erkennung zu sehen. Verwenden Sie die bereitgestellten Metadaten, um eine Abfrage in XDR-Daten-Explorer auszuführen und mehr über die Erkennung zu erfahren.
Sobald sie behoben oder gemindert sind, erscheinen Risikoevents, die mit den meisten Cloud-Ressourcen-Sicherheitslücken-Erkennungen verbunden sind, nach dem nächsten täglichen Scan nicht mehr in Cyber Risk Exposure Management. Schwachstellen in Container-Images bleiben sieben Tage nach dem Patchen in Threat and Exposure ManagementSchwachstellen sichtbar.
Malware-Funde sind an den folgenden Stellen in der Trend Vision One-Konsole verfügbar:
  • Cloud Risk ManagementCloud Security Posture
  • Threat and Exposure ManagementAll Risk Events
  • Threat and Exposure ManagementRisk Reduction Measures
  • Threat and Exposure ManagementErkennung von Bedrohungen
  • Cloud-Asset-Profilbildschirme in Attack Surface DiscoveryCloud AssetsCloud Asset List
Wenn Sie Malware-Funde anzeigen, erweitern Sie das zugehörige Risikoereignis, um die mit dem Fund verknüpften Metadaten zu sehen. Verwenden Sie die Metadaten, um Abfragen in XDR-Daten-Explorer auszuführen und die Bedrohung weiter zu untersuchen. Um mehr über verfügbare Behebungsoptionen zu erfahren, klicken Sie unter dem Risikoereignis auf View options.
Tipp
Tipp
Beim Ausführen von Abfragen in XDR Data Explorer können Sie nach der Partition suchen, die die Malware enthält, indem Sie den universellen eindeutigen Bezeichner (UUID) des Dateisystems verwenden. Wenn die Dateisystem-UUID in den Erkennungsmetadaten nicht verfügbar ist, können Sie die UUID mit CLI-Befehlen finden.
Sobald sie behoben sind, erscheinen Risikoevents, die mit den meisten Malware-Funden in Cloud-Ressourcen verbunden sind, nach der nächsten täglichen Anti-Malware-Suche nicht mehr in Cyber Risk Exposure Management. Malware-Funde in Container-Images bleiben sieben Tage nach der Behebung in Threat and Exposure ManagementAll Risk Events bestehen.
Zugehörige Informationen