Upravit

Sdílet prostřednictvím


Běžné dotazy týkající se ochrany kontejnerů

Získejte odpovědi na běžné otázky týkající se ochrany kontejnerů.

Jaké jsou možnosti povolení nového plánu ve velkém?

Azure Policy Configure Microsoft Defender for Containers to be enabledmůžete použít k povolení defenderu pro kontejnery ve velkém měřítku. Zobrazí se také všechny možnosti, které jsou k dispozici pro povolení Microsoft Defenderu pro kontejnery.

Podporuje Microsoft Defender pro kontejnery clustery AKS se škálovacími sadami virtuálních počítačů?

Ano.

Podporuje Microsoft Defender pro kontejnery AKS bez škálovací sady (výchozí)?

Ne. Podporovány jsou jen clustery Azure Kubernetes Service (AKS), které pro uzly používají Virtual Machine Scale Sets.

Musím na uzly AKS nainstalovat rozšíření virtuálního počítače analytiky protokolů kvůli ochraně zabezpečení?

Ne, AKS je spravovaná služba a manipulace s prostředky IaaS není podporována. Rozšíření virtuálního počítače Log Analytics není potřeba a může mít za následek další poplatky.

Jak mohu použít stávající pracovní prostor analytiky protokolů?

Existující pracovní prostor služby Log Analytics můžete použít podle kroků v části Přiřazení vlastního pracovního prostoru tohoto článku.

Můžu odstranit výchozí pracovní prostory vytvořené defenderem pro cloud?

Nedoporučujeme odstranit výchozí pracovní prostor. Defender for Containers používá výchozí pracovní prostory ke shromažďování dat zabezpečení z vašich clusterů. Defender for Containers nebude moct shromažďovat data a pokud odstraníte výchozí pracovní prostor, přestanou být k dispozici některá doporučení a výstrahy zabezpečení.

Odstranil(a) jsem výchozí pracovní prostor, jak ho můžu vrátit?

Pokud chcete obnovit výchozí pracovní prostor, musíte senzor Defenderu odebrat a znovu nainstalovat senzor. Opětovná instalace senzoru Defenderu vytvoří nový výchozí pracovní prostor.

Kde se nachází výchozí pracovní prostor služby Log Analytics?

V závislosti na vaší oblasti se výchozí pracovní prostor služby Log Analytics může nacházet v různých umístěních. Pokud chcete zkontrolovat oblast, podívejte se, kde je vytvořený výchozí pracovní prostor služby Log Analytics?

Moje organizace vyžaduje označování prostředků a požadovaný senzor se nenainstaloval, co se nepovedlo?

Senzor Defenderu používá pracovní prostor Log Analytics k odesílání dat z clusterů Kubernetes do Defenderu pro cloud. Defender pro cloud přidá pracovní prostor LogAnalytic a skupinu prostředků jako parametr pro použití senzoru.

Pokud má ale vaše organizace zásadu, která vyžaduje konkrétní značku vašich prostředků, může způsobit selhání instalace senzoru během skupiny prostředků nebo výchozí fáze vytvoření pracovního prostoru. Pokud dojde k chybě, můžete:

  • Přiřaďte vlastní pracovní prostor a přidejte všechny značky, které vaše organizace vyžaduje.

    nebo

  • Pokud vaše společnost vyžaduje označení vašeho prostředku, přejděte na tuto zásadu a vylučte následující prostředky:

    1. Skupina prostředků DefaultResourceGroup-<RegionShortCode>
    2. Pracovní prostor DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode je řetězec s 2 až 4 písmeny.

Jak Defender pro kontejnery naskenuje image?

Defender for Containers načítá image z registru a spustí ji v izolovaném sandboxu s Microsoft Defender Správa zranitelností pro prostředí s více cloudy. Kontrola extrahuje seznam známých ohrožení zabezpečení.

Defender for Cloud filtruje a klasifikuje zjištění ze skeneru. Když je image v pořádku, Defender for Cloud ho tak označí. Defender for Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Tím, že vás Defender for Cloud upozorní jen na problémy, snižuje potenciál nežádoucích informačních výstrah.

Jak můžu identifikovat události přijetí změn prováděné skenerem?

Pokud chcete identifikovat události přijetí změn prováděné skenerem, proveďte následující kroky:

  1. Vyhledejte události přijetí změn pomocí UserAgent služby AzureContainerImageScanner.
  2. Extrahujte identitu přidruženou k této události.
  3. Extrahovaná identita slouží k identifikaci událostí vyžádání ze skeneru.

Jaký je rozdíl mezi neověřenými prostředky a neověřenými prostředky?

  • Nepoužitelné prostředky jsou prostředky , pro které doporučení nemůže poskytnout konečnou odpověď. Karta Nejde použít, obsahuje důvody pro každý prostředek, který se nepodařilo posoudit.
  • Neověřené zdroje jsou zdroje, které se mají vyhodnotit, ale zatím se neposuzují.

Proč mi Defender for Cloud upozorní na ohrožení zabezpečení image, která není v registru?

Některé obrázky můžou opakovaně používat značky z obrázku, který už byl naskenován. Při každém přidání obrázku do přehledu můžete například značku "Latest" znovu přiřadit. V takových případech image "old" v registru stále existuje a může být stále načítaná hodnotou hash. Pokud image obsahuje zjištění zabezpečení a načítá se, zobrazí se ohrožení zabezpečení.

Kontroluje Defender for Containers image ve službě Microsoft Container Registry?

Defender for Containers v současné době může prohledávat image pouze ve službě Azure Container Registry (ACR) a AWS Elastic Container Registry (ECR). Registr Dockeru, Registr artefaktů Microsoft/ Microsoft Container Registry a Microsoft Azure Red Hat OpenShift (ARO) integrovaného registru imagí kontejneru se nepodporují. Obrázky by se měly nejprve importovat do služby ACR. Přečtěte si další informace o importu imagí kontejnerů do registru kontejneru Azure.

Můžu získat výsledky kontroly přes rozhraní REST API?

Ano. Výsledky jsou pod rozhraním REST API dílčích posouzení. Můžete také použít Azure Resource Graph (ARG), rozhraní API podobné Kusto pro všechny vaše prostředky: dotaz může načíst konkrétní kontrolu.

Návody zkontrolujte, jaký typ média kontejnery používám?

Pokud chcete zkontrolovat typ obrázku, musíte použít nástroj, který může zkontrolovat nezpracovaný manifest obrázku, jako je skopeo, a zkontrolovat formát nezpracovaného obrázku.

  • Ve formátu Dockeru v2 by typ média manifestu byl application/vnd.docker.distribution.manifest.v1+json nebo application/vnd.docker.distribution.manifest.v2+json, jak je uvedeno zde.
  • Pro formát image OCI by typ média manifestu byl application/vnd.oci.image.manifest.v1+json a typ média konfigurace application/vnd.oci.image.config.v1+json, jak je uvedeno zde.

Jaká jsou rozšíření pro správu stavu kontejneru bez agentů?

Existují dvě rozšíření, která poskytují funkce CSPM bez agentů:

  • Posouzení ohrožení zabezpečení kontejneru bez agentů: Poskytuje posouzení ohrožení zabezpečení kontejnerů bez agentů. Přečtěte si další informace o posouzení ohrožení zabezpečení kontejneru bez agentů.
  • Zjišťování bez agentů pro Kubernetes: Poskytuje zjišťování informací o architektuře clusteru Kubernetes, objektech úloh a nastavení založené na rozhraní API.

Jak můžu připojit více předplatných najednou?

Pokud chcete připojit více předplatných najednou, můžete použít tento skript.

Proč se mi nezobrazují výsledky ze svých clusterů?

Pokud se vám nezobrazují výsledky z clusterů, podívejte se na následující otázky:

  • Zastavili jste clustery?
  • Jsou vaše skupiny prostředků, předplatná nebo clustery uzamčené? Pokud je odpověď na některou z těchto otázek ano, podívejte se na odpovědi v následujících otázkách.

Co můžu dělat, když mám zastavené clustery?

Zastavené clustery nepodporujeme ani neúčtujeme. Pokud chcete získat hodnotu funkcí bez agentů v zastaveném clusteru, můžete cluster spustit znovu.

Co mám dělat, když mám uzamčené skupiny prostředků, předplatná nebo clustery?

Doporučujeme odemknout uzamčenou skupinu prostředků, předplatné nebo cluster, provést příslušné požadavky ručně a potom znovu uzamknout skupinu prostředků, předplatné nebo cluster následujícím způsobem:

  1. Pomocí důvěryhodného přístupu povolte příznak funkce ručně prostřednictvím rozhraní příkazového řádku.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Proveďte operaci vytvoření vazby v rozhraní příkazového řádku:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

U uzamčených clusterů můžete také provést jeden z následujících kroků:

  • Odeberte zámek.
  • Operaci vytvoření vazby proveďte ručně provedením požadavku rozhraní API. Přečtěte si další informace o uzamčených prostředcích.

Používáte aktualizovanou verzi AKS?

Jaký je interval aktualizace pro zjišťování Kubernetes bez agentů?

Může trvat až 24 hodin , než se změny projeví v grafu zabezpečení, v cestách útoku a v Průzkumníku zabezpečení.

Návody upgradovat z vyřazeného posouzení ohrožení zabezpečení trivy na posouzení ohrožení zabezpečení AWS s využitím Microsoft Defender Správa zranitelností?

Následující kroky odeberou doporučení pro jeden registr využívající Trivy a přidají nová doporučení registru a modulu runtime, která využívají MDVM.

  1. Otevřete příslušný konektor AWS.
  2. Otevřete stránku Nastavení pro Defender for Containers.
  3. Povolte posouzení ohrožení zabezpečení kontejneru bez agentů.
  4. Dokončete kroky průvodce konektorem, včetně nasazení nového skriptu onboardingu v AWS.
  5. Ručně odstraňte prostředky vytvořené během onboardingu:
    • Kontejner S3 s předponou defender-for-containers-va
    • Cluster ECS s názvem defender-for-containers-va
    • VPC:
      • Značka name s hodnotou defender-for-containers-va
      • Podsíť PROTOKOLU IP CIDR 10.0.0.0/16
      • Přidruženo k výchozí skupině zabezpečení se značkou name a hodnotou defender-for-containers-va , která má jedno pravidlo všech příchozích přenosů.
      • Podsíť se značkou name a hodnotou defender-for-containers-va VPC defender-for-containers-va s podsítí PROTOKOLU CIDR 10.0.1.0/24 používanou clusterem ECSdefender-for-containers-va
      • Internetová brána se značkou name a hodnotou defender-for-containers-va
      • Směrovací tabulka – Směrovací tabulka se značkou name a hodnotou defender-for-containers-vaa s těmito trasami:
        • Cíl: 0.0.0.0/0; Cíl: Internetová brána se značkou name a hodnotou defender-for-containers-va
        • Cíl: 10.0.0.0/16; Cíl: local

Pokud chcete získat posouzení ohrožení zabezpečení pro spuštěné image, povolte zjišťování bez agentů pro Kubernetes nebo nasaďte senzor Defenderu do clusterů Kubernetes.