Crear exenciones y deshabilitar los resultados de la evaluación de vulnerabilidades en imágenes del registro de contenedor e imágenes en ejecución

Nota:

Para poder personalizar la experiencia de evaluación de vulnerabilidades, exima grupos de administración, suscripciones o recursos específicos de la puntuación de seguridad. Obtenga información sobre cómo crear una exención para un recurso o suscripción.

Si tiene una necesidad organizativa de omitir un resultado, en lugar de corregirlo, tiene la opción de deshabilitarlo. Los resultados deshabilitados no afectan a la puntuación de seguridad ni generan ruido no deseado.

Cuando un resultado coincide con los criterios que ha definido en las reglas de deshabilitación, no aparece en la lista de resultados. Entre los ejemplos de escenarios típicos, se incluyen:

• Deshabilitar resultados con gravedad inferior a media
• Deshabilitación de los resultados de las imágenes que el proveedor no corregirá

Importante

Para crear una regla, necesita permisos para editar directivas en Azure Policy. Obtenga más información en Permisos de Azure RBAC en Azure Policy.

Puede utilizar una combinación de cualquiera de los criterios siguientes:

• CVE: escriba los CVE de los resultados que desee excluir. Asegúrese de que los CVE sean válidos. Separe varios CVE con punto y coma. Por ejemplo: CVE-2020-1347; CVE-2020-1346.
• Síntesis de imagen: especifique las imágenes para las que se deberían excluir las vulnerabilidades en función de la síntesis de la imagen. Separar varios hash con punto y coma, por ejemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
• Versión del sistema operativo: especifique las imágenes para las que se deberían excluir las vulnerabilidades en función del sistema operativo de la imagen. Separe varias versiones con un punto y coma. Por ejemplo: ubuntu_linux_20.04;alpine_3.17
• Gravedad mínima: seleccione baja, media, alta o crítica para excluir vulnerabilidades menores e iguales que el nivel de gravedad especificado.
• Corregir estado: seleccione la opción para excluir vulnerabilidades en función de su estado de corrección.

Las reglas de deshabilitación se aplican por recomendación. Por ejemplo, para deshabilitar CVE-2017-17512 en las imágenes del registro y las imágenes en tiempo de ejecución, la regla de deshabilitación deberá configurarse en ambos lugares.

Nota

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Para crear una regla

1. En la página de detalles de recomendaciones de Las imágenes del registro de contenedor deberían tener resultados de vulnerabilidad resueltos con tecnología de la administración de vulnerabilidades de Microsoft Defender o Los contenedores que se ejecutan en Azure deben tener los resultados de vulnerabilidad resueltos, seleccione Deshabilitar regla.

2. Seleccione el ámbito pertinente.

3. Defina los criterios. Puede utilizar cualquiera de los criterios siguientes:

   • CVE: escriba los CVE de los resultados que desee excluir. Asegúrese de que los CVE sean válidos. Separe varios CVE con punto y coma. Por ejemplo: CVE-2020-1347; CVE-2020-1346.
   • Síntesis de imagen: especifique las imágenes para las que se deberían excluir las vulnerabilidades en función de la síntesis de la imagen. Separar varios hash con punto y coma, por ejemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
   • Versión del sistema operativo: especifique las imágenes para las que se deberían excluir las vulnerabilidades en función del sistema operativo de la imagen. Separe varias versiones con un punto y coma. Por ejemplo: ubuntu_linux_20.04;alpine_3.17
   • Gravedad mínima: seleccione baja, media, alta o crítica para excluir vulnerabilidades menores e iguales que el nivel de gravedad especificado.
   • Corregir estado: seleccione la opción para excluir vulnerabilidades en función de su estado de corrección.

4. En el cuadro de texto de justificación, agregue la justificación de por qué se deshabilitó una vulnerabilidad específica. Esto proporcionará claridad y comprensión para cualquiera que revise la regla.

5. Seleccione Aplicar regla.

   

   Importante

   Los cambios pueden tardar hasta 24 horas en surtir efecto.

Para ver, invalidar o eliminar una regla

1. En la página de detalles de recomendaciones, seleccione Deshabilitar regla.

2. En la lista de ámbitos, las suscripciones con reglas activas se muestran como Regla aplicada.

3. Para ver o eliminar la regla, seleccione el menú de puntos suspensivos ("...").

4. Realice una de las siguientes acciones:

   • Para ver o reemplazar una regla de deshabilitación: seleccione Ver regla, realice los cambios que desee y seleccione Reemplazar regla.
   • Para eliminar una regla de deshabilitación, seleccione Eliminar regla.

   

Pasos siguientes

• Obtener información sobre cómo ver y corregir los resultados de la evaluación de vulnerabilidades de las imágenes del registro.
• Obtener más información sobre la posición de contenedores sin agente.