Agentenlose Sicherheitslücken- und Bedrohungserkennung

Ansichten:

Verwenden Sie agentenlose Sicherheitslücken- und Bedrohungserkennung, um Schwachstellen und Malware in Ihrer Cloud-Umgebung zu durchsuchen und zu erkennen.

Agentenlose Sicherheitslücken- und Bedrohungserkennung ist eine serverlose Funktion, die in Ihren verbundenen Cloud-Konten aktiviert ist. Die Funktion durchsucht unterstützte Cloud-Ressourcen nach Schwachstellen und Malware, ohne andere Ressourcen oder laufende Anwendungen zu beeinträchtigen. Die Funktion wird nur während eines Scans aktiviert und skaliert dynamisch, um den Anforderungen des Scanprozesses innerhalb eines festgelegten Ressourcenlimits gerecht zu werden. Alle gesammelten Daten werden innerhalb der serverlosen Funktion analysiert, und es werden nur Metadaten an Trend Vision One gesendet. Ihre Daten verlassen Ihr Cloud-Konto nicht.

Wichtig

Agentenlose Sicherheitslücken- und Bedrohungserkennung erstellt Schnappschüsse Ihrer Cloud-Speicher-Ressourcen vor dem DURCHSUCHEN und versieht die Schnappschüsse mit dem Tag trend-micro-product:avtd. Verwenden Sie das Tag, um Schnappschüsse zu identifizieren, die auf das Durchsuchen warten, und um die Schnappschüsse von automatisierten Löschprozessen auszuschließen, die Sie konfiguriert haben. Schnappschüsse werden nach Abschluss des Scans automatisch aus Ihrem Cloud-Konto gelöscht.

Agentenlose Sicherheitslücken- und Bedrohungserkennung unterstützt derzeit die folgenden Cloud-Anbieter:

Die Schwachstellensuche überprüft Ihre Cloud-Ressourcen auf bekannte CVEs. Die Anti-Malware-Überprüfung scannt Ihre Cloud-Ressourcen, um potenzielle Malware, einschließlich Viren, Trojaner, Spyware und mehr, zu identifizieren.

Für AWS-Konten können Sie die Startzeit und Häufigkeit der Durchsuchung festlegen, wenn Sie das Konto verbinden oder den Stack aktualisieren. Standardmäßig beginnen die Durchsuchungen eine Stunde nach der Bereitstellung und werden täglich durchgeführt. Nach der Bereitstellung können Sie die Durchsuchungszeit und -häufigkeit ändern, indem Sie die Einstellungen neu konfigurieren.

Für andere unterstützte Cloud-Anbieter erfolgt das DURCHSUCHEN einmal pro Tag, beginnend, wenn Sie Ihr Cloud-Konto zum ersten Mal verbinden und die Funktion aktivieren. Der erste Scan beginnt innerhalb von 30 Minuten nach Abschluss der Bereitstellung. Scan-Zeiten sind nach der Bereitstellung nicht konfigurierbar.

Hinweis

Die Anti-Malware-Suche ist standardmäßig für AWS-Konten nicht aktiviert. Nach der Aktivierung der Funktion beginnen die Anti-Malware-Suchen während der nächsten täglichen Suche.

Scan-Ergebnisse werden zur Überprüfung an Trend Vision One gesendet. Wenn die Ergebnisse Schwachstellen oder Malware enthalten, werden empfohlene Behebungsoptionen für das zugehörige Risikoevent in Cyber Risk Exposure Management → Threat and Exposure Management angezeigt.

Die folgende Tabelle listet die Cloud-Anbieter-Ressourcen auf, die Agentenlose Sicherheitslücken- und Bedrohungserkennung unterstützt.

Funktion	Cloud-Anbieter	Ressourcen, die für das Scannen unterstützt werden
Schwachstellensuche	AWS	EBS-Volumes, die an EC2-Instanzen angehängt sind, einschließlich: Nicht verschlüsselte EBS-Volumes EBS-Volumes, die mit von AWS verwalteten Schlüsseln verschlüsselt sind EBS-Volumes, die mit kundengesteuerten Schlüsseln verschlüsselt sind ECR-Images mit dem Tag "latest" Lambda-Funktionen und angehängte Lambda-Schichten
	Google Cloud	Hyperdisks und persistente Festplatten, die an Compute Engine-Instanzen angeschlossen sind Container-Images des Artifact Registry
	Microsoft Azure	Verwaltete Datenträger, die an VMs angehängt sind Container-Registry-Container-Images
	Oracle Cloud Infrastructure (OCI)	OCI-Sperrvolumes und Bootvolumes, die an Recheninstanzen angehängt sind Container-Registry-Images
	Alibaba Cloud	An Blockspeicher-Datenträger, die an Elastic Compute Service (ECS)-Instanzen angeschlossen sind Container-Registry-Containerbilder
Anti-Malware-Scan	AWS	EBS-Volumes, die an EC2-Instanzen angehängt sind, einschließlich: Nicht verschlüsselte EBS-Volumes EBS-Volumes, die mit von AWS verwalteten Schlüsseln verschlüsselt sind EBS-Volumes, die mit kundengesteuerten Schlüsseln verschlüsselt sind Container-Images in ECR-Repositories Serverlose Lambda-Funktionen
	Google Cloud	Hyperdisks und persistente Festplatten, die an Compute Engine-Instanzen angeschlossen sind Container-Images des Artifact Registry
	Microsoft Azure	Verwaltete Datenträger, die an VMs angehängt sind Container-Registry-Container-Images
	Oracle Cloud Infrastructure (OCI)	OCI-Sperrvolumes und Bootvolumes, die an Recheninstanzen angehängt sind Container-Registry-Images
	Alibaba Cloud	An Blockspeicher-Datenträger, die an Elastic Compute Service (ECS)-Instanzen angeschlossen sind Container-Registry-Containerbilder

Sicherheitslücken-Erkennungen sind an den folgenden Stellen in der Trend Vision One-Konsole verfügbar:

Cloud Risk Management → Cloud Security Posture
Cyber Risk Overview → Risk Overview → Cloud Assets → Risk Factors
Cyber Risk Overview → Exposure Overview → Schwachstellen
Threat and Exposure Management → Risk Reduction Measures
Threat and Exposure Management → All Risk Events
Threat and Exposure Management → Schwachstellen
Cloud-Asset-Profilbildschirme in Attack Surface Discovery → Cloud Assets → Cloud Asset List

Beim Anzeigen von Sicherheitslücken-Erkennungen erweitern Sie das zugehörige Risikoevent in der Liste, um verfügbare Behebungs- oder Minderungslösungen und Metadaten im Zusammenhang mit der Erkennung zu sehen. Verwenden Sie die bereitgestellten Metadaten, um eine Abfrage in XDR-Daten-Explorer auszuführen und mehr über die Erkennung zu erfahren.

Sobald die Risiken behoben oder gemindert sind, erscheinen die mit den meisten Sicherheitslücken in Cloud-Ressourcen verbundenen Ereignisse nach dem nächsten DURCHSUCHEN nicht mehr in Cyber Risk Exposure Management. Wenn Ihr Scan-Intervall länger als täglich ist, können Sie einen bedarfsorientierten Scan durchführen, um die Sicherheitslückenerkennungen sofort zu aktualisieren. Schwachstellen in Container-Images bleiben sieben Tage nach dem Patchen in Threat and Exposure Management → Schwachstellen sichtbar.

Malware-Funde sind an den folgenden Stellen in der Trend Vision One-Konsole verfügbar:

Cloud Risk Management → Cloud Security Posture
Threat and Exposure Management → All Risk Events
Threat and Exposure Management → Risk Reduction Measures
Threat and Exposure Management → Erkennung von Bedrohungen
Cloud-Asset-Profilbildschirme in Attack Surface Discovery → Cloud Assets → Cloud Asset List

Wenn Sie Malware-Funde anzeigen, erweitern Sie das zugehörige Risikoereignis, um die mit dem Fund verknüpften Metadaten zu sehen. Verwenden Sie die Metadaten, um Abfragen in XDR-Daten-Explorer auszuführen und die Bedrohung weiter zu untersuchen. Um mehr über verfügbare Behebungsoptionen zu erfahren, klicken Sie unter dem Risikoereignis auf View options.

Tipp

Beim Ausführen von Abfragen in XDR Data Explorer können Sie nach der Partition suchen, die die Malware enthält, indem Sie den universellen eindeutigen Bezeichner (UUID) des Dateisystems verwenden. Wenn die Dateisystem-UUID in den Erkennungsmetadaten nicht verfügbar ist, können Sie die UUID mit CLI-Befehlen finden.

Sobald die Behebung erfolgt ist, erscheinen Risikovorfälle, die mit den meisten Malware-Funden in Cloud-Ressourcen verbunden sind, nach der nächsten Anti-Malware-Suche nicht mehr in Cyber Risk Exposure Management. Wenn Ihr Scan-Intervall länger als täglich ist, können Sie eine bedarfsgesteuerte Suche durchführen, um die Malware-Funde sofort zu aktualisieren. Malware-Funde in Container-Images bleiben sieben Tage nach der Behebung in Threat and Exposure Management → All Risk Events bestehen.