الأسئلة الشائعة حول حماية الحاويات

يمكنك استخدام نهج Azure Configure Microsoft Defender for Containers to be enabled، لتمكين Defender for Containers على نطاق واسع. يمكنك أيضًا رؤية جميع الخيارات المتوفرة لتمكين Microsoft Defender for Containers.

نعم.

‏‏لا. يتم دعم مجموعات Azure Kubernetes Service (AKS) التي تستخدم مجموعات مقياس الجهاز الظاهري للعقد فقط.

لا، إن AKS هي خدمة مدارة، والتلاعب بموارد IaaS غير مدعوم. ملحق Log Analytics VM غير مطلوب وقد يؤدي إلى رسوم إضافية.

يمكنك استخدام مساحة عمل Log Analytics الموجودة لديك باتباع الخطوات الواردة في قسم مساحة العمل تعيين مساحة عمل مخصصة من هذه المقالة.

لا نوصي بحذف مساحة العمل الافتراضية. يستخدم Defender للحاويات مساحات العمل الافتراضية لجمع بيانات الأمان من مجموعاتك. لن يتمكن Defender للحاويات من جمع البيانات، وستصبح بعض توصيات وتنبيهات الأمان غير متوفرة إذا قمت بحذف مساحة العمل الافتراضية.

لاسترداد مساحة العمل الافتراضية، تحتاج إلى إزالة أداة استشعار Defender، وإعادة تثبيت أداة الاستشعار. تؤدي إعادة تثبيت مستشعر Defender إلى إنشاء مساحة عمل افتراضية جديدة.

اعتمادا على منطقتك، قد تكون مساحة عمل Log Analytics الافتراضية موجودة في مواقع مختلفة. للتحقق من منطقتك، راجع أين تم إنشاء مساحة عمل تحليلات السجل الافتراضية؟

يستخدم مستشعر Defender مساحة عمل تحليلات السجل لإرسال البيانات من مجموعات Kubernetes إلى Defender for Cloud. يضيف Defender for Cloud مساحة العمل التحليلية للسجل ومجموعة الموارد كمعلمة لمستشعر لاستخدامها.

ومع ذلك، إذا كان لدى مؤسستك نهج يتطلب علامة معينة على مواردك، فقد يتسبب ذلك في فشل تثبيت أداة الاستشعار أثناء مجموعة الموارد أو مرحلة إنشاء مساحة العمل الافتراضية. إذا فشلت، يمكنك إما:

• قم بتعيين مساحة عمل مخصصة وأضف أي علامة تتطلبها مؤسستك.

  أو

• إذا طلبت منك شركتك وضع علامة على المورد الخاص بك، فيجب عليك الانتقال إلى تلك السياسة واستبعاد الموارد التالية:

  1. مجموعة الموارد DefaultResourceGroup-<RegionShortCode>
  2. مساحة العمل DefaultWorkspace-<sub-id>-<RegionShortCode>

  تمثل RegionShortCode سلسلة مكونة من 2-4 أحرف.

يسحب Defender for Containers الصورة من السجل ويشغلها في بيئة اختبار معزولة مع إدارة الثغرات الأمنية في Microsoft Defender للبيئات متعددة السحابات. يستخرج الماسح الضوئي قائمة بالثغرات الأمنية المعروفة.

يقوم Defender for Cloud بالتصفية وتصنيف النتائج من الماسح الضوئي. عندما تكون الصورة سليمة، يقوم Defender for Cloud بتمييزها على هذا النحو. يقوم Defender for Cloud بإنشاء توصيات أمان فقط للصور التي تحتوي على مشكلات يجب حلها. من خلال إعلامك فقط عند وجود مشاكل، يقلل Defender for Cloud من احتمال وجود تنبيهات إعلامية غير مرغوب فيها.

لتحديد أحداث السحب التي يقوم بها الماسح الضوئي، قم بالخطوات التالية:

1. ابحث عن أحداث السحب باستخدام UserAgent من AzureContainerImageScanner.
2. استخراج الهوية المقترنة بهذا الحدث.
3. استخدم الهوية المستخرجة لتحديد أحداث السحب من الماسح الضوئي.

• الموارد غير القابلة للتطبيق هي الموارد التي لا يمكن للتوصية تقديم إجابة نهائية لها. تتضمن علامة التبويب غير القابلة للتطبيق أسبابا لكل مورد تعذر تقييمه.
• الموارد التي لم يتم التحقق منها هي موارد مجدولة لتقييمها، ولكن لم يتم تقييمها بعد.

قد تعيد بعض الصور استخدام العلامات من صورة تم مسحها ضوئيا بالفعل. على سبيل المثال، يمكنك إعادة تعيين العلامة "الأحدث" في كل مرة تضيف فيها صورة إلى ملخص. في مثل هذه الحالات، لا تزال الصورة "القديمة" موجودة في السجل وقد لا يزال يتم سحبها بواسطة ملخصها. إذا كانت الصورة تحتوي على نتائج أمنية وتم سحبها، فستكشف عن الثغرات الأمنية.

حاليا، يمكن ل Defender for Containers مسح الصور ضوئيا في Azure Container Registry (ACR) وAWS Elastic Container Registry (ECR) فقط. لا يتم دعم سجل Docker وMicrosoft Artifact Registry/Microsoft Container Registry وسجل صور الحاوية المضمن في Microsoft Azure Red Hat OpenShift (ARO). يجب أولا استيراد الصور إلى ACR. تعرف على المزيد حول استيراد صور الحاوية إلى سجل حاوية Azure.

نعم. النتائج تحت التقييمات الفرعية REST API. يمكنك أيضاً استخدام Azure Resource Graph (ARG)، واجهة برمجة تطبيقات شبيهة بواجهة برمجة التطبيقات (KUSTO) لجميع الموارد: يمكن أن يؤدي الاستعلام إلى إجراء فحص محدد.

للتحقق من نوع صورة، تحتاج إلى استخدام أداة يمكنها التحقق من بيان الصورة الخام مثل skopeo، وفحص تنسيق الصورة الخام.

• بالنسبة لتنسيق Docker v2، سيكون نوع وسائط البيان هو application/vnd.docker.distribution.manifest.v1+json أو application/vnd.docker.distribution.manifest.v2+json، كما هو موثق هنا.
• بالنسبة لتنسيق صورة OCI، سيكون نوع وسائط البيان هو application/vnd.oci.image.manifest.v1+json، وتطبيق نوع وسائط التكوين/vnd.oci.image.config.v1+json، كما هو موثق هنا.

هناك ملحقان يوفران وظيفة CSPM بدون عامل:

• تقييمات الثغرات الأمنية للحاوية بدون عامل: يوفر تقييمات الثغرات الأمنية للحاويات بدون عامل. تعرف على المزيد حول تقييم الثغرات الأمنية للحاوية بدون عامل.
• اكتشاف بدون عامل ل Kubernetes: يوفر اكتشافا مستندا إلى واجهة برمجة التطبيقات للمعلومات حول بنية نظام مجموعة Kubernetes وكائنات حمل العمل والإعداد.

لإلحاق اشتراكات متعددة في وقت واحد، يمكنك استخدام هذا البرنامج النصي.

إذا لم تشاهد نتائج من مجموعاتك، فتحقق من الأسئلة التالية:

• هل قمت بإيقاف المجموعات؟
• هل مجموعات الموارد أو الاشتراكات أو المجموعات مؤمنة؟ إذا كانت الإجابة على أي من هذين السؤالين نعم، فشاهد الإجابات في الأسئلة التالية.

لا ندعم أو نفرض رسوما على المجموعات المتوقفة. للحصول على قيمة القدرات بدون عامل على مجموعة متوقفة، يمكنك إعادة تشغيل نظام المجموعة.

نقترح إلغاء تأمين مجموعة الموارد المؤمنة/الاشتراك/المجموعة، وإجراء الطلبات ذات الصلة يدويا، ثم إعادة حظر مجموعة الموارد/الاشتراك/المجموعة عن طريق القيام بما يلي:

1. قم بتمكين علامة الميزة يدويا عبر CLI باستخدام الوصول الموثوق به.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. تنفيذ عملية الربط في CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

بالنسبة للمجموعات المؤمنة، يمكنك أيضا تنفيذ إحدى الخطوات التالية:

• إزالة التأمين.
• تنفيذ عملية الربط يدويا عن طريق إجراء طلب واجهة برمجة التطبيقات. تعرف على المزيد حول الموارد المؤمنة.

تعرف على المزيد حول إصدارات Kubernetes المدعومة في Azure Kubernetes Service (AKS).

قد يستغرق الأمر ما يصل إلى 24 ساعة حتى تعكس التغييرات في الرسم البياني للأمان ومسارات الهجوم ومستكشف الأمان.

ستقوم الخطوات التالية بإزالة توصية السجل الفردي التي يتم تشغيلها بواسطة Trivy وإضافة توصيات السجل ووقت التشغيل الجديدة التي يتم تشغيلها بواسطة MDVM.

1. افتح موصل AWS ذي الصلة.
2. افتح صفحة الإعدادات ل Defender for Containers.
3. تمكين تقييم الثغرات الأمنية للحاوية بدون عامل.
4. أكمل خطوات معالج الموصل، بما في ذلك نشر البرنامج النصي الجديد للإلحاق في AWS.
5. حذف الموارد التي تم إنشاؤها يدويا أثناء الإعداد:
   • مستودع S3 مع البادئة defender-for-containers-va
   • نظام مجموعة ECS باسم defender-for-containers-va
   • Vpc:
     • وضع علامة name بالقيمة defender-for-containers-va
     • شبكة IP الفرعية CIDR 10.0.0.0/16
     • مقترن بمجموعة الأمان الافتراضية مع العلامة name والقيمة defender-for-containers-va التي تحتوي على قاعدة واحدة من كل حركة المرور الواردة.
     • الشبكة الفرعية مع العلامة name والقيمة defender-for-containers-vadefender-for-containers-va في VPC مع CIDR 10.0.1.0/24 الشبكة الفرعية IP المستخدمة من قبل نظام مجموعة ECS defender-for-containers-va
     • Internet Gateway مع العلامة name والقيمة defender-for-containers-va
     • جدول التوجيه - جدول التوجيه مع العلامة name والقيمة defender-for-containers-va، ومع هذه المسارات:
       • الوجهة: 0.0.0.0/0؛ الهدف: Internet Gateway مع العلامة name والقيمة defender-for-containers-va
       • الوجهة: 10.0.0.0/16؛ الهدف: local

للحصول على تقييمات الثغرات الأمنية لتشغيل الصور، قم إما بتمكين الاكتشاف بدون عامل ل Kubernetes أو نشر أداة استشعار Defender على مجموعات Kubernetes الخاصة بك.

الخطوات التالية

تعرف على Defender للحاويات