Preguntas comunes sobre la protección de contenedores

Puede usar el Azure Policy Configure Microsoft Defender for Containers to be enabled, para habilitar Defender para contenedores a escala. También puede ver todas las opciones disponibles para habilitar Microsoft Defender para contenedores.

Sí.

No. Solo se admiten los clústeres de Azure Kubernetes Service (AKS) que usan Virtual Machine Scale Sets para los nodos.

No, AKS es un servicio administrado y no se admite la manipulación de los recursos de IaaS. La extensión de máquina virtual de Log Analytics no es necesaria y puede generar cargos adicionales.

Puede usar el área de trabajo de Log Analytics existente siguiendo los pasos descritos en la sección de área de trabajo Asignación de un área de trabajo personalizada de este artículo.

No se recomienda la eliminación del área de trabajo predeterminada. Defender para contenedores utiliza las áreas de trabajo predeterminadas para recopilar los datos de seguridad de los clústeres. Defender para contenedores no podrá recopilar datos y algunas recomendaciones y alertas de seguridad no estarán disponibles si elimina el área de trabajo predeterminada.

Para recuperar el área de trabajo predeterminado, debe quitar el sensor de Defender y reinstalarlo. Al volver a instalar el sensor Defender se crea un nuevo área de trabajo predeterminado.

En función de la región, el área de trabajo predeterminada de Log Analytics puede encontrarse en varias ubicaciones. Para comprobar la región, consulte ¿Dónde se crea el área de trabajo Log Analytics predeterminada?

El sensor de Defender usa el área de trabajo de Log Analytics para enviar datos de los clústeres de Kubernetes a Defender for Cloud. Defender for Cloud agrega el área de trabajo de Log Analytics y el grupo de recursos como parámetro para que el sensor lo use.

Sin embargo, si la organización tiene una directiva que requiere una etiqueta específica en los recursos, migbht hace que se produzca un error en la instalación del sensor durante el grupo de recursos o la fase de creación predeterminada del área de trabajo. Si se produce un error, puede:

• Asignar un área de trabajo personalizada y agregar cualquier etiqueta que requiera su organización.

  o

• Si su empresa requiere que etiquete el recurso, debe ir a esa directiva y excluir los siguientes recursos:

  1. El grupo de recursos DefaultResourceGroup-<RegionShortCode>
  2. El área de trabajo DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode es una cadena de que tiene de 2 a 4 letras.

Defender for Containers extrae la imagen del Registro y la ejecuta en un espacio aislado con administración de vulnerabilidades de Microsoft Defender para entornos multinube. El detector extrae una lista de vulnerabilidades conocidas.

Defender para nube filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Defender para la nube la marca como tal. Defender para nube solo genera recomendaciones de seguridad para las imágenes que tienen incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Defender para nube reduce las alertas informativas no deseadas.

Para identificar los eventos de extracción realizados por el escáner, siga estos pasos:

1. Busque eventos de extracción con UserAgent de AzureContainerImageScanner.
2. Extraiga la identidad asociada a este evento.
3. Use la identidad extraída para identificar los eventos de extracción del escáner.

• Los recursos no aplicables son recursos para los que la recomendación no puede dar una respuesta definitiva. La pestaña no aplicable incluye los motivos de cada recurso que no se pudo evaluar.
• Los recursos no comprobados están programados para evaluarse, pero aún no se han evaluado.

Algunas imágenes pueden reutilizar etiquetas de una imagen que ya se ha examinado. Por ejemplo, puede reasignar la etiqueta "Más reciente" cada vez que se agrega una imagen a un código hash. En tales casos, la imagen "antigua" sigue existiendo en el registro y es posible que su resumen lo extraiga. Si la imagen tiene información de seguridad y se extrae, mostrará las vulnerabilidades de la seguridad.

Actualmente, Defender para contenedores solo puede examinar imágenes de Azure Container Registry (ACR) y AWS Elastic Container Registry (ECR). No se admite Docker Registry, el Registro de artefactos Microsoft y el registro de imágenes de contenedor integrado de Microsoft Red Hat OpenShift en Azure (ARO). Las imágenes deben importarse primero a ACR. Aprenda más sobre la importación de imágenes de contenedor en un registro de contenedor de Azure.

Sí. Los resultados se encuentran en la API de REST de valoración secundaria. Asimismo, puede usar Azure Resource Graph (ARG), la API similar a Kusto para todos los recursos: una consulta puede recuperar un análisis específico.

Para comprobar un tipo de imagen, debe usar una herramienta que pueda comprobar el manifiesto de imagen sin procesar, como skopeoe inspeccionar el formato de imagen sin formato.

• Para el formato Docker v2, el tipo de medio de manifiesto sería application/vnd.docker.distribution.manifest.v1+json o application/vnd.docker.distribution.manifest.v2+json, como se documenta aquí.
• Para el formato de imagen OCI, el tipo de medio de manifiesto sería application/vnd.oci.image.manifest.v1+jsony el tipo de soporte físico config application/vnd.oci.image.config.v1+json, como se documenta aquí.

Hay dos extensiones que proporcionan funcionalidad de CSPM sin agente:

• Evaluaciones de vulnerabilidades de contenedores sin agente: proporciona evaluaciones de vulnerabilidades de contenedores sin agente. Más información sobre Evaluación de vulnerabilidades de contenedores sin agente.
• Detección sin agente para Kubernetes: proporciona detección basada en API de información sobre la arquitectura, los objetos de carga de trabajo y la configuración del clúster de Kubernetes.

Para incorporar varias suscripciones a la vez, puede usar este script.

Si no ve los resultados de los clústeres, consulte las siguientes preguntas:

• ¿Tiene clústeres bloqueados?
• ¿Están bloqueados los grupos de recursos, las suscripciones o los clústeres? Si la respuesta a cualquiera de estas preguntas es sí, consulte las respuestas de las siguientes preguntas.

No admitimos ni cargamos los clústeres detenidos. Para obtener el valor de las funcionalidades sin agente en un clúster detenido, puede volver a ejecutarlo.

Se recomienda desbloquear el grupo de recursos, la suscripción o el clúster bloqueados, realizar las solicitudes pertinentes manualmente y, después, volver a bloquearlos siguiendo este procedimiento:

1. Habilitar la marca de características manualmente a través de la CLI mediante el acceso de confianza.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Realice la operación de enlace en la CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

En el caso de los clústeres bloqueados, también puede realizar uno de los pasos siguientes:

• Elimine el bloqueo.
• Realice la operación de enlace manualmente mediante una solicitud a la API. Obtenga más información sobre los recursos bloqueados.

Obtenga más información sobre las versiones de Kubernetes compatibles en Azure Kubernetes Service (AKS).

Los cambios pueden tardar hasta 24 horas en reflejarse en el grafo de seguridad, las rutas de acceso de ataque y el explorador de seguridad.

Los pasos siguientes quitarán la recomendación del registro único con tecnología de Trivy y agregarán la nuevas recomendaciones del registro y del entorno de ejecución que están basadas en MDVM.

1. Abra el conector de AWS correspondiente.
2. Abra la página configuración de para Defender for Containers.
3. Habilite evaluación de vulnerabilidades de contenedor sin agente.
4. Complete los pasos del asistente para conectores, incluida la implementación del nuevo script de incorporación en AWS.
5. Elimine manualmente los recursos creados durante la incorporación:
   • Cubo S3 con el prefijo defender-for-containers-va
   • Clúster ECS con el nombre defender-for-containers-va
   • VPC:
     • Etiqueta name con el valor defender-for-containers-va
     • CIDR de subred de IP 10.0.0.0/16
     • Asociado con el grupo de seguridad predeterminado con la etiqueta name y el valor defender-for-containers-va que tiene una regla de todo el tráfico entrante.
     • Subred con la etiqueta name y el valor defender-for-containers-va de la VPC defender-for-containers-va con la subred de IP CIDR 10.0.1.0/24 usada por el clúster ECS defender-for-containers-va
     • Puerta de enlace de Internet con la etiqueta name y el valor defender-for-containers-va
     • Tabla de rutas: tabla de rutas con la etiqueta name y el valor defender-for-containers-va, y con estas rutas:
       • Destino: 0.0.0.0/0; destino: puerta de enlace de Internet con la etiqueta name y el valor defender-for-containers-va
       • Destino: 10.0.0.0/16; objetivo: local

Para obtener evaluaciones de vulnerabilidades para ejecutar imágenes, habilite la detección sin agente para kubernetes o implemente el sensor de Defender en los clústeres de Kubernetes.

Pasos siguientes

Más información sobre Defender para contenedores