Questions courantes sur la protection des conteneurs

Vous pouvez utiliser le Azure Policy Configure Microsoft Defender for Containers to be enabled pour activer Defender pour conteneurs à grande échelle. Vous pouvez également voir toutes les options disponibles pour activer Microsoft Defender pour conteneurs.

Oui.

Non. Seuls les clusters Azure Kubernetes Service (AKS) qui utilisent des groupes de machines virtuelles identiques pour les nœuds sont pris en charge.

Non, AKS est un service géré et la manipulation des ressources IaaS n’est pas prise en charge. L’extension de machine virtuelle Log Analytics n’est pas nécessaire et pourrait occasionner des frais supplémentaires.

Vous pouvez utiliser votre espace de travail Log Analytics existant en suivant les étapes décrites dans la section Attribuer un espace de travail personnalisé de cet article.

Il n’est pas recommandé de supprimer l’espace de travail par défaut. Defender pour les conteneurs utilise les espaces de travail par défaut pour collecter les données de sécurité de vos clusters. Defender pour les conteneurs ne pourra pas collecter de données, et certaines recommandations et alertes de sécurité seront indisponibles si vous supprimez l’espace de travail par défaut.

Pour récupérer votre espace de travail par défaut, vous devez supprimer le capteur Defender et le réinstaller. La réinstallation du capteur Defender crée un nouvel espace de travail par défaut.

Selon votre région, l’espace de travail Log Analytics par défaut peut se trouver dans différents emplacements. Pour vérifier votre région, consultez Où est créé l’espace de travail Log Analytics par défaut ?

Le capteur Defender utilise l’espace de travail Log Analytics pour envoyer des données de vos clusters Kubernetes à Defender pour le cloud. Defender pour le cloud ajoute l’espace de travail Log Analytics et le groupe de ressources en tant que paramètre que le capteur doit utiliser.

En revanche, si votre organisation a une stratégie qui exige une étiquette spécifique sur vos ressources, cela risque de faire échouer l’installation du capteur lors de l’étape de création du groupe de ressources ou de l’espace de travail par défaut. En cas d’échec, vous pouvez :

• Attribuer un espace de travail personnalisé et ajouter les étiquettes dont votre organisation a besoin.

  ou

• Si votre entreprise vous oblige à étiqueter votre ressource, vous devez accéder à cette stratégie et exclure les ressources suivantes :

  1. Le groupe de ressources DefaultResourceGroup-<RegionShortCode>
  2. L’espace de travail DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode est une chaîne de 2 à 4 lettres.

Defender pour les conteneurs extrait l’image du registre, puis l’exécute dans un bac à sable isolé avec Microsoft Defender Vulnerability Management pour les environnements multiclouds. L’analyseur extrait une liste des vulnérabilités connues.

Defender pour le cloud filtre et classe les résultats du scanneur. Quand une image est saine, Defender pour le cloud la marque comme telle. Defender pour le cloud génère des recommandations de sécurité uniquement pour les images qui ont des problèmes à résoudre. En vous avertissant seulement en cas de problème, Defender pour le cloud réduit la possibilité d’alertes informatives indésirables.

Pour identifier des événements d’extraction effectués par le scanneur, procédez comme suit :

1. Recherchez des événements d’extraction avec UserAgent d’AzureContainerImageScanner.
2. Extrayez l’identité associée à cet événement.
3. Utilisez l’identité extraite pour identifier les événements d’extraction du scanneur.

• Les Ressources non applicables sont des ressources pour lesquelles la recommandation ne peut pas donner de réponse définitive. L’onglet non applicable inclut les raisons pour chaque ressource qui n’a pas pu être évaluée.
• Les ressources non vérifiées sont des ressources planifiées pour l’évaluation, mais qui n’ont pas encore été évaluées.

Certaines images peuvent réutiliser des étiquettes à partir d’une image déjà analysée. Par exemple, vous pourriez réassigner l’étiquette « latest » chaque fois que vous ajoutez une image à une synthèse. Dans ce cas, l’« ancienne » image existe toujours dans le registre et pourrait encore être extraite par sa synthèse. Si l’image présente des résultats de sécurité et qu’elle est extraite, elle exposera des vulnérabilités de sécurité.

Actuellement, Defender pour les conteneurs ne peut analyser les images que dans Azure Container Registry (ACR) et AWS Elastic Container Registry (ECR). Le Registre Docker, le Registre des artefacts Microsoft/Microsoft Container Registry et le registre d’images conteneur intégré Microsoft Azure Red Hat OpenShift (ARO) ne sont pas pris en charge. Les images doivent d’abord être importées dans ACR. Découvrez comment importer des images conteneur dans un registre de conteneurs Azure.

Oui. Les résultats se trouvent sous l’API REST Sous-évaluations. De plus, vous pouvez utiliser Azure Resource Graph (ARG), l’API de type Kusto pour toutes vos ressources : une requête peut extraire une analyse spécifique.

Pour vérifier un type d'image, vous devez utiliser un outil capable de vérifier le manifeste d'image brute tel que skopeo et d'inspecter le format d'image brute.

• Pour le format Docker v2, le type de média manifeste serait application/vnd.docker.distribution.manifest.v1+json ou application/vnd.docker.distribution.manifest.v2+json, comme documenté ici.
• Pour le format d'image OCI, le type de média manifeste serait application/vnd.oci.image.manifest.v1+json et le type de média de configuration application/vnd.oci.image.config.v1+json, comme documenté ici.

Il existe deux extensions qui fournissent des fonctionnalités CSPM sans agent :

• Évaluations des vulnérabilités de conteneur sans agent : fournit des évaluations des vulnérabilités de conteneurs sans agent. En savoir plus sur l’évaluation des vulnérabilités des conteneurs.
• Découverte sans agent pour Kubernetes : fournit la découverte, basée sur une API, d’informations sur l’architecture du cluster Kubernetes, les objets de charge de travail et la configuration.

Pour intégrer plusieurs abonnements à la fois, vous pouvez utiliser ce script.

Si vous ne voyez pas les résultats dans vos clusters, vérifiez les questions suivantes :

• Avez-vous des clusters arrêtés ?
• Vos groupes de ressources, abonnements ou clusters sont-ils verrouillés ? Si la réponse à l’une de ces questions est oui, veuillez consulter les réponses dans les questions suivantes.

Nous ne prenons pas en charge ou ne facturons pas les clusters arrêtés. Pour obtenir la valeur des fonctionnalités sans agent sur un cluster à l’arrêt, vous pouvez redémarrer le cluster.

Nous vous suggérons de déverrouiller le groupe de ressources/abonnement/cluster verrouillé, d’effectuer manuellement les requêtes appropriées, puis de verrouiller à nouveau le groupe de ressources/abonnement/cluster en procédant comme suit :

1. Activez l’indicateur de fonctionnalité manuellement via l’interface CLI en tirant parti de l’Accès approuvé.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Effectuez l’opération de liaison dans l’interface CLI :

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Pour les clusters verrouillés, vous pouvez aussi effectuer une des étapes suivantes :

• Supprimer le verrou.
• Réaliser l’opération de liaison manuellement en effectuant une requête d’API. Découvrez-en plus sur les ressources verrouillées.

Découvrez plus d’informations sur les Versions de Kubernetes prises en charge dans Azure Kubernetes Service (AKS).

Il peut s’écouler jusqu’à 24 heures avant que les modifications ne se reflètent dans le graphique de sécurité, les chemins d’attaque et l’explorateur de sécurité.

Les étapes suivantes suppriment la recommandation de registre unique alimentée par Trivy, puis ajoutent les nouvelles recommandations de registre et d’exécution alimentées par MDVM.

1. Ouvrez le connecteur AWS approprié.
2. Ouvrez la page Paramètres de Defender pour les conteneurs.
3. Activez Évaluation des vulnérabilités de conteneur sans agent.
4. Effectuez les étapes de l’Assistant connecteur, y compris le déploiement du nouveau script d’intégration dans AWS.
5. Supprimez manuellement les ressources créées lors de l’intégration :
   • Compartiment S3 avec le préfixe defender-for-containers-va
   • Cluster ECS avec le nom defender-for-containers-va
   • VPC :
     • Balise name avec la valeur defender-for-containers-va
     • CIDR du sous-réseau IP 10.0.0.0/16
     • Associé au groupe de sécurité par défaut avec la balise name et la valeur defender-for-containers-va qui a une règle de tout le trafic entrant.
     • Sous-réseau avec la balise name et la valeur defender-for-containers-va dans le defender-for-containers-va VPC avec le sous-réseau IP CIDR 10.0.1.0/24 utilisé par le cluster ECS defender-for-containers-va
     • Passerelle Internet avec la balise name et la valeur defender-for-containers-va
     • Table de routage - Table de routage avec la balise name et la valeur defender-for-containers-va, et avec les itinéraires suivants :
       • Destination : 0.0.0.0/0; Cible : Passerelle Internet avec la balise name et la valeur defender-for-containers-va
       • Destination : 10.0.0.0/16; Cible: local

Pour obtenir des évaluations des vulnérabilités pour l’exécution d’images, activez Découverte sans agent pour Kubernetes ou déployez le capteur Defender sur vos clusters Kubernetes.

Étapes suivantes

Découvrir Defender pour les conteneurs