Bearbeiten

Allgemeine Fragen zum Schützen von Containern

  • Häufig gestellte Fragen

Erhalten von Antworten auf häufig gestellte Fragen zum Schutz von Containern

Welche Optionen gibt es, um den neuen Plan im großen Stil zu aktivieren?

Sie können die Azure-Richtlinie Configure Microsoft Defender for Containers to be enabled verwenden, um Defender für Container im großen Stil zu aktivieren. Sie können auch alle Optionen anzeigen, die verfügbar sind, um Microsoft Defender für Container zu aktivieren.

Unterstützt Microsoft Defender für Container AKS-Cluster mit VM-Skalierungsgruppen?

Ja.

Unterstützt Microsoft Defender für Container AKS ohne Skalierungsgruppe (Standard)?

Nein. Unterstützt werden nur AKS-Cluster (Azure Kubernetes Service), die Virtual Machine Scale Sets für die Knoten verwenden.

Muss ich die Log Analytics-VM-Erweiterung für den Sicherheitsschutz auf meinen AKS-Knoten installieren?

Nein. AKS ist ein verwalteter Dienst, und die Bearbeitung der IaaS-Ressourcen wird nicht unterstützt. Die Log Analytics VM-Erweiterung ist nicht erforderlich und kann zu zusätzlichen Kosten führen.

Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden?

Sie können Ihren vorhandenen Log Analytics-Arbeitsbereich verwenden, indem Sie die Schritte im Arbeitsbereichsabschnitt Zuweisen eines benutzerdefinierten Arbeitsbereichs dieses Artikels durchführen.

Kann ich die von Defender für Cloud erstellten Standardarbeitsbereiche löschen?

Das Löschen des Standardarbeitsbereichs wird nicht empfohlen. Bei Microsoft Defender für Container wird der Standardarbeitsbereich zum Sammeln von Sicherheitsdaten aus Ihren Clustern verwendet. Wenn Sie den Standardarbeitsbereich löschen, können von Defender für Container keine Daten gesammelt werden, und einige Sicherheitsempfehlungen und Warnungen sind nicht verfügbar.

Ich habe meinen Standardarbeitsbereich gelöscht. Wie kann ich in wiederherstellen?

Wenn Sie Ihren Standardarbeitsbereich wiederherstellen möchten, müssen Sie den Defender-Sensor entfernen und ihn neu installieren. Beim erneuten Installieren des Defender-Sensors wird ein neuer Standardarbeitsbereich erstellt.

Wo befindet sich der Log Analytics-Standardarbeitsbereich?

Je nach Region kann sich der Log Analytics-Standardarbeitsbereich an unterschiedlichen Speicherorten befinden. Was für Ihre Region gilt, finden Sie unter Wo wird der standardmäßige Log Analytics-Arbeitsbereich erstellt?

Meine Organisation setzt voraus, dass ich meine Ressourcen mit einem Tag versehe, und der benötigte Sensor wurde nicht installiert. Woran liegt das?

Der Defender-Sensor verwendet den Log Analytics-Arbeitsbereich, um Daten aus Ihren Kubernetes-Clustern an Defender for Cloud zu senden. Defender for Cloud fügt den Log Analytics-Arbeitsbereich und die Ressourcengruppe als Parameter für den Sensor hinzu.

Wenn in Ihrem Unternehmen allerdings aufgrund einer Richtlinie ein bestimmtes Tag für Ihre Ressourcen erforderlich ist, kann dies dazu führen, dass während der Installation des Sensors beim Erstellen der Ressourcengruppe oder des Standardarbeitsbereichs ein Fehler auftritt. Wenn ein Fehler auftritt, können Sie entweder:

  • einen benutzerdefinierten Arbeitsbereich zuweisen und ein beliebiges Tag hinzufügen, das Ihre Organisation benötigt.

    oder

  • Wenn Ihr Unternehmen voraussetzt, dass Sie Ihre Ressourcen markieren, sollten Sie zu dieser Richtlinie navigieren und die folgenden Ressourcen ausschließen:

    1. die Ressourcengruppe DefaultResourceGroup-<RegionShortCode>
    2. den Arbeitsbereich DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode ist eine Zeichenfolge mit 2-4 Buchstaben.

Wie überprüft Defender für Container ein Image?

Defender for Container ruft das Image aus der Registrierung ab und führt es in einer isolierten Sandbox mit Microsoft Defender Vulnerability Management für Multicloud-Umgebungen aus. Der Scanner extrahiert eine Liste bekannter Sicherheitsrisiken.

Defender für Cloud filtert und klassifiziert die Ergebnisse der Überprüfung. Wenn ein Image fehlerfrei ist, wird es von Defender für Cloud entsprechend gekennzeichnet. Defender für Cloud generiert Sicherheitsempfehlungen nur für Images, bei denen Probleme behoben werden müssen. Indem Sie nur benachrichtigt werden, wenn Probleme auftreten, sorgt Defender für Cloud für eine Reduzierung potenziell unerwünschter Informationswarnungen.

Wie kann ich vom Scanner ausgeführte Pullereignisse identifizieren?

Führen Sie die folgenden Schritte aus, um vom Scanner ausgeführte Pullereignisse zu identifizieren:

  1. Suchen Sie mit dem UserAgent von AzureContainerImageScanner nach Pullereignissen.
  2. Extrahieren Sie die Identität, die diesem Ereignis zugeordnet ist.
  3. Verwenden Sie die extrahierte Identität, um vom Scanner ausgeführte Pullereignisse zu identifizieren.

Was ist der Unterschied zwischen „nicht zutreffenden Ressourcen“ und „nicht überprüften Ressourcen“?

  • Nicht zutreffende Ressourcen sind Ressourcen, für die die Empfehlung keine definitive Antwort geben kann. Die Registerkarte „Nicht zutreffend“ enthält Gründe für jede Ressource, die nicht bewertet werden konnte.
  • Nicht überprüfte Ressourcen sind Ressourcen, die bewertet werden sollen, aber noch nicht bewertet wurden.

Warum macht mich Defender for Cloud auf Sicherheitsrisiken bei einem Image aufmerksam, das sich nicht in meiner Registrierung befindet?

Bei einigen Bildern werden möglicherweise Tags aus einem bereits überprüften Bild wiederverwendet. So können Sie beispielsweise jedes Mal, wenn Sie ein Bild zu einem Digest hinzufügen, das Tag „Neueste“ zuweisen. In solchen Fällen ist das „alte“ Bild noch in der Registrierung vorhanden und wird möglicherweise immer noch über seinen Digest abgerufen. Wenn das Image Sicherheitsergebnisse aufweist und gepullt wird, entstehen Sicherheitsrisiken.

Scannt Defender for Containers Images in Microsoft Container Registry?

Derzeit kann Defender for Containers nur Images in Azure Container Registry (ACR) und AWS Elastic Container Registry (ECR) scannen. Docker Registry, Microsoft-Artefaktregistrierung/Microsoft Container Registry und die integrierte Containerimageregistrierung von Microsoft Azure Red Hat OpenShift (ARO) werden nicht unterstützt. Images müssen zuerst in ACR importiert werden. Informieren Sie sich ausführlicher über das Importieren von Containerimages in eine Azure-Containerregistrierung.

Kann ich die Scanergebnisse über die REST-API abrufen?

Ja. Die Ergebnisse befinden sich unter Sub-Assessments REST API (Unterbewertungen-REST-API). Außerdem können Sie Azure Resource Graph (ARG) verwenden, die Kusto-ähnliche API für alle Ihre Ressourcen: Mit einer Abfrage kann ein bestimmter Scan abgerufen werden.

Wie überprüfe ich, welchen Medientyp meine Container verwenden?

Zum Überprüfen eines Imagetyps müssen Sie mit einem Tool wie skopeo, das das unformatierte Imagemanifest überprüfen kann, das unformatierte Imageformat überprüfen.

  • Für das Docker v2-Format lautet der Manifestmedientyp application/vnd.docker.distribution.manifest.v1+json oder application/vnd.docker.distribution.manifest.v2+json, wie hier dokumentiert.
  • Für das OCI-Imageformat lautet der Manifestmedientyp application/vnd.oci.image.manifest.v1+json und der Konfigurationsmedientyp application/vnd.oci.image.config.v1+json, wie hier dokumentiert.

Welche Erweiterungen gibt es für die Verwaltung mit dem Containerstatus ohne Agent?

Es gibt zwei Erweiterungen, die CSPM-Funktionalität ohne Agent bieten:

  • Sicherheitsrisikobewertungen für Container ohne Agent: Stellt Sicherheitsrisikobewertungen für Container ohne Agent bereit. Erfahren Sie mehr über die Sicherheitsrisikobewertung für Container ohne Agent.
  • Agentlose Ermittlung für Kubernetes: Bietet API-basierte Ermittlung von Informationen zur Kubernetes-Clusterarchitektur, Workloadobjekten und zur Einrichtung.

Wie kann ich mehrere Abonnements gleichzeitig onboarden?

Um für mehrere Abonnements gleichzeitig ein Onboarding durchführen, können Sie dieses Skript verwenden.

Warum sehe ich keine Ergebnisse aus meinen Clustern?

Wenn keine Ergebnisse aus Ihren Clustern angezeigt werden, überprüfen Sie folgende Fragen:

  • Haben Sie beendete Cluster?
  • Sind Ihre Ressourcengruppen, Abonnements oder Cluster gesperrt? Wenn die Antwort auf eine dieser Fragen ja ist, lesen Sie die Antworten der folgenden Fragen.

Was kann ich bei beendeten Clustern tun?

Beendete Cluster werden weder unterstützt noch in Rechnung gestellt. Um den Wert von Funktionen ohne Agent für einen beendeten Cluster abzurufen, können Sie den Cluster erneut ausführen.

Was mache ich, wenn ich über gesperrte Ressourcengruppen, Abonnements oder Cluster verfüge?

Es wird empfohlen, gesperrte Ressourcengruppen/Abonnements/Cluster zu entsperren, die entsprechenden Anforderungen manuell auszuführen und dann die Ressourcengruppen/Abonnements/Cluster wie folgt erneut zu sperren:

  1. Aktivieren Sie das Featureflag manuell über die CLI mithilfe von Trusted Access. 
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”
  2. Führen Sie den Bindungsvorgang in der CLI aus: 
    az account set -s <SubscriptionId> 
az extension add --name aks-preview 
az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator"

Bei gesperrten Clustern können Sie auch einen der folgenden Schritte anwenden:

  • Entfernen Sie die Sperre.
  • Führen Sie den Bindungsvorgang manuell durch, indem Sie eine API-Anforderung ausführen. Erfahren Sie mehr über gesperrte Ressourcen.

Verwenden Sie eine aktualisierte Version von AKS?

Erfahren Sie mehr über unterstützte Kubernetes-Versionen in Azure Kubernetes Service (AKS).

Was ist das Aktualisierungsintervall für die agentlose Ermittlung von Kubernetes?

Es kann bis zu 24 Stunden dauern, bis Änderungen im Sicherheitsdiagramm, Angriffspfaden und dem Sicherheits-Explorer widergespiegelt werden.

Wie kann ich ein Upgrade von der eingestellten Trivy-Sicherheitsrisikobewertung auf die von Microsoft Defender Vulnerability Management unterstützte AWS-Sicherheitsrisikobewertung durchführen?

Die folgenden Schritte entfernen die einzelne Registrierungsempfehlung, die von Trivy unterstützt wird, und fügen die neuen Registrierungs- und Laufzeitempfehlungen hinzu, die von MDVM unterstützt werden.

  1. Öffnen Sie den relevanten AWS-Connector.
  2. Öffnen Sie die Seite Einstellungen für Defender for Containers.
  3. Aktivieren Sie Sicherheitsrisikobewertung ohne Agent für Container.
  4. Führen Sie die Schritte des Connector-Assistenten aus, einschließlich der Bereitstellung des neuen Onboarding-Skripts in AWS.
  5. Löschen Sie die während des Onboardings erstellten Ressourcen manuell:
    • S3-Bucket mit dem Präfix defender-for-containers-va
    • ECS-Cluster mit dem Namen defender-for-containers-va
    • VPC:
      • Tag name mit dem Wert defender-for-containers-va
      • IP-Subnetz CIDR 10.0.0.0/16
      • Wird der Standardsicherheitsgruppe mit dem Tag name und dem Wert defender-for-containers-va zugeordnet, die eine Regel für den gesamten eingehenden Datenverkehr aufweist.
      • Subnetz mit dem Tag name und dem Wert defender-for-containers-va in der VPC defender-for-containers-va mit dem vom ECS-Cluster defender-for-containers-va verwendeten IP-Subnetz CIDR 10.0.1.0/24
      • Internetgateway mit dem Tag name und dem Wert defender-for-containers-va
      • Routingtabelle: Routingtabelle mit dem Tag name und dem Wert defender-for-containers-va sowie mit den folgenden Routen:
        • Ziel: 0.0.0.0/0; Ziel: Internetgateway mit dem Tag name und dem Wert defender-for-containers-va
        • Ziel: 10.0.0.0/16; Ziel: local

Um Sicherheitsrisikobewertungen für ausgeführte Images zu erhalten, müssen Sie entweder die Ermittlung ohne Agents für Kubernetes aktivieren oder den Defender-Sensor in Ihren Kubernetes-Clustern bereitstellen.

Nächste Schritte

Erfahren Sie mehr über Defender for Containers