Teilen über


Erstellen von Ausnahmen und Deaktivieren der Bewertung von Sicherheitslücken bei Container-Registrierungs-Images und laufenden Images

Hinweis

Sie können Ihre Sicherheitsrisikobewertung anpassen, indem Sie Verwaltungsgruppen, Abonnements oder bestimmte Ressourcen von Ihrer Sicherheitsbewertung ausnehmen. Erfahren Sie, wie Sie eine Ausnahme für eine Ressource oder ein Abonnement erstellen.

Wenn in Ihrer Organisation eine Suche ignoriert werden muss, anstatt sie zu beheben, können Sie sie optional deaktivieren. Deaktivierte Ergebnisse haben keine Auswirkung auf Ihre Sicherheitsbewertung oder erzeugen kein unerwünschtes Rauschen.

Wenn ein Ergebnis mit den in Ihren Deaktivierungsregeln definierten Kriterien übereinstimmt, wird es nicht in der Liste der Ergebnisse angezeigt. Typische Szenariobeispiele sind:

  • Deaktivieren von Ergebnissen mit einem Schweregrad unterhalb des Mittelwerts
  • Deaktivieren von Ergebnissen für Images, die vom Anbieter nicht korrigiert werden

Wichtig

Zum Erstellen einer Regel benötigen Sie Berechtigungen zum Bearbeiten von Richtlinien in Azure Policy. Weitere Informationen finden Sie unter Azure RBAC-Berechtigungen in Azure Policy.

Sie können auch eine Kombination der folgenden Kriterien verwenden:

  • CVE: Geben Sie die CVEs der Ergebnisse ein, die Sie ausschließen möchten. Stellen Sie sicher, dass die CVEs gültig sind. Trennen Sie mehrere CVEs jeweils durch ein Semikolon. Beispiel: CVE-2020-1347; CVE-2020-1346.
  • Imagedigest: Geben Sie Images an, für die Sicherheitsrisiken basierend auf dem Image Digest ausgeschlossen werden sollten. Trennen Sie mehrere Digests mit einem Semikolon, zum Beispiel: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Betriebssystemversion: Geben Sie Images an, für die Sicherheitsrisiken basierend auf dem Imagebetriebssystem ausgeschlossen werden sollten. Trennen Sie mehrere Versionen durch ein Semikolon, z. B.: ubuntu_linux_20.04;alpine_3.17
  • Minimaler Schweregrad: Wählen Sie niedrig, mittel, hoch oder kritisch aus, um Sicherheitsrisiken auszuschließen, die unter dem angegebenen Schweregrad liegen.
  • Korrekturstatus: Wählen Sie die Option aus, um Sicherheitsrisiken auf dem Korrekturstatus basierend auszuschließen.

Deaktivierungsregeln gelten gemäß Empfehlung, z. B. um CVE-2017-17512 sowohl für die Registrierungsimages als auch für Runtimeimages zu deaktivieren. Die Deaktivierungsregel muss an beiden Stellen konfiguriert werden.

Hinweis

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Erstellen einer Regel

  1. Auf der Detailseite "Empfehlungen" für Bei Container-Registrierungsbildern sollten Schwachstellenbefunde mithilfe von Microsoft Defender Vulnerability Management behoben werden oder Bei Containern, die in Azure ausgeführt werden, sollten gefundene Schwachstellen behoben werden wählen Sie Regel deaktivieren aus.

  2. Wählen Sie den entsprechenden Gültigkeitsbereich aus.

  3. Definieren Sie Ihre Kriterien. Sie können auch eines der folgenden Kriterien verwenden:

    • CVE: Geben Sie die CVEs der Ergebnisse ein, die Sie ausschließen möchten. Stellen Sie sicher, dass die CVEs gültig sind. Trennen Sie mehrere CVEs jeweils durch ein Semikolon. Beispiel: CVE-2020-1347; CVE-2020-1346.
    • Imagedigest: Geben Sie Images an, für die Sicherheitsrisiken basierend auf dem Image Digest ausgeschlossen werden sollten. Trennen Sie mehrere Digests mit einem Semikolon, zum Beispiel: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Betriebssystemversion: Geben Sie Images an, für die Sicherheitsrisiken basierend auf dem Imagebetriebssystem ausgeschlossen werden sollten. Trennen Sie mehrere Versionen durch ein Semikolon, z. B.: ubuntu_linux_20.04;alpine_3.17
    • Minimaler Schweregrad: Wählen Sie niedrig, mittel, hoch oder kritisch aus, um Sicherheitsrisiken auszuschließen, die höchstens dem angegebenen Schweregrad entsprechen.
    • Korrekturstatus: Wählen Sie die Option aus, um Sicherheitsrisiken auf dem Korrekturstatus basierend auszuschließen.
  4. Fügen Sie im Textfeld „Begründung“ Ihre Begründung für die Deaktivierung eines bestimmten Sicherheitsrisikos hinzu. Dies schafft allen, die die Regel überprüfen, Klarheit und Verständnis.

  5. Wählen Sie Regel anwenden aus.

    Screenshot: Erstellen einer Deaktivierungsregel für Ergebnisse der Sicherheitsrisikobewertung in Registrierungsimages

    Wichtig

    Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam wird.

So können Sie eine Regel anzeigen, überschreiben oder löschen

  1. Wählen Sie auf der Detailseite für Empfehlungen die Option Regel deaktivieren aus.

  2. In der Bereichsliste werden Abonnements mit aktiven Regeln als Rule applied (Angewandte Regel) angezeigt.

  3. Um die Regel anzuzeigen oder zu löschen, wählen Sie das Menü mit den Auslassungspunkten („...“) aus.

  4. Führen Sie eines der folgenden Verfahren aus:

    • Um eine Deaktivierungsregel anzuzeigen oder außer Kraft zu setzen, wählen Sie Regel anzeigen aus, nehmen Sie alle gewünschten Änderungen vor, und wählen Sie Regel außer Kraft setzen aus.
    • Um eine Deaktivierungsregel zu löschen, wählen Sie Regel löschen aus.

    Screenshot: Anzeigen, Löschen oder Außerkraftsetzung einer Regel für Ergebnisse der Sicherheitsrisikobewertung in Registrierungsimages

Nächste Schritte