Megosztás a következőn keresztül:


Biztonságirés-felmérés az AWS-hez Microsoft Defender biztonságirés-kezelés

A Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS sebezhetőségi felmérése egy beépített megoldás, amely lehetővé teszi a biztonsági csapatok számára a Linux tárolólemezképek biztonsági réseinek könnyű felderítését és elhárítását, az előkészítéshez nincs konfigurálva, és nem helyeznek üzembe érzékelőket.

Feljegyzés

Ez a funkció csak az ECR-ben támogatja a képek vizsgálatát. A más tárolóregisztrációs adatbázisokban tárolt képeket az ECR-be kell importálni a lefedettség érdekében. Megtudhatja, hogyan importálhat tárolólemezképeket egy tárolóregisztrációs adatbázisba.

Minden olyan fiókban, ahol a képesség engedélyezése befejeződött, az ECR-ben tárolt összes olyan rendszerképet, amely megfelel a vizsgálati eseményindítók feltételeinek, a rendszer a felhasználók vagy a regisztrációs adatbázisok további konfigurációja nélkül vizsgálja meg a biztonsági réseket. A biztonságirés-jelentésekkel kapcsolatos javaslatok az ECR-ben található összes lemezképhez, valamint az ECR-beállításjegyzékből vagy bármely más Felhőhöz készült Defender támogatott beállításjegyzékből (ACR, GCR vagy GAR) lekért EKS-ben futó képekhez is elérhetők. A rendszer röviddel a beállításjegyzékbe való felvétel után beolvasja a rendszerképeket, és 24 óránként egyszer újra beolvasja az új biztonsági réseket.

A Microsoft Defender biztonságirés-kezelés által üzemeltetett tároló sebezhetőségi felmérése a következő képességekkel rendelkezik:

  • Operációsrendszer-csomagok vizsgálata – A tároló biztonsági réseinek felmérése képes az operációsrendszer-csomagkezelő által Linux és Windows operációs rendszereken telepített csomagok biztonsági réseinek vizsgálatára. Tekintse meg a támogatott operációs rendszer és azok verzióinak teljes listáját.

  • Nyelvspecifikus csomagokcsak Linux – támogatása nyelvspecifikus csomagokhoz és fájlokhoz, valamint az operációsrendszer-csomagkezelő nélkül telepített vagy másolt függőségeikhez. Tekintse meg a támogatott nyelvek teljes listáját.

  • Kihasználhatósági információk – Minden biztonságirés-jelentés kizsákmányolhatósági adatbázisokon keresztül keresve segít ügyfeleinknek az egyes jelentett biztonsági résekhez kapcsolódó tényleges kockázat meghatározásában.

  • Jelentéskészítés – A Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS tárolói sebezhetőségi felmérése a következő javaslatok használatával nyújt biztonságirés-jelentéseket:

Ezek az új előzetes verziójú javaslatok, amelyek a futtatókörnyezet tárolójának biztonsági réseit és a beállításjegyzék lemezképeinek biztonsági réseit ismertetik. Ezek az új javaslatok nem számítanak bele a biztonságos pontszámba az előzetes verzióban. Az új javaslatok vizsgálati motorja megegyezik a jelenlegi ga-javaslatokéval, és ugyanazokat a megállapításokat tartalmazza. Ezek a javaslatok azoknak az ügyfeleknek ideálisak, akik az új kockázatalapú nézetet használják a javaslatokhoz, és engedélyezve vannak a Defender CSPM-csomag.

Ajánlás Leírás Értékelési kulcs
[Előzetes verzió] Az AWS-beállításjegyzékben lévő tárolólemezképek biztonságirés-megállapításait meg kell oldani Felhőhöz készült Defender megkeresi a beállításjegyzék-rendszerképeket az ismert biztonsági rések (CVE-k) után, és részletes megállapításokat nyújt az egyes beolvasott képekhez. A tárolólemezképek biztonsági réseinek vizsgálata és elhárítása a beállításjegyzékben segít fenntartani a biztonságos és megbízható szoftverellátási láncot, csökkenti a biztonsági incidensek kockázatát, és biztosítja az iparági szabványoknak való megfelelést. 2a139383-ec7e-462a-90ac-b1b60e87d576
[Előzetes verzió] Az AWS-ben futó tárolók biztonságirés-megállapításait meg kell oldani Felhőhöz készült Defender létrehoz egy leltárt a Kubernetes-fürtökben jelenleg futó összes tárolóterhelésről, és biztonságirés-jelentéseket biztosít ezekhez a számítási feladatokhoz a használt rendszerképek és a beállításjegyzék lemezképeihez létrehozott biztonságirés-jelentések egyeztetésével. A tárolók számítási feladatainak biztonsági réseinek vizsgálata és elhárítása kritikus fontosságú a hatékony és biztonságos szoftverellátási lánc biztosításához, a biztonsági incidensek kockázatának csökkentéséhez és az iparági szabványoknak való megfeleléshez. 8749bb43-cd24-4cf9-848c-2a50f632043c

Ezek az aktuális ga-javaslatok a Kubernetes-fürtön belüli tárolók biztonsági réseit, valamint a tárolóregisztrációs adatbázisban található tárolórendszerképeket ismertetik. Ezek a javaslatok leginkább azoknak az ügyfeleknek ideálisak, akik a klasszikus nézetet használják javaslatokhoz, és nincs engedélyezve a Defender CSPM-csomag.

Ajánlás Leírás Értékelési kulcs
Az AWS-tárolólemezképek biztonsági réseinek feloldása érdekében (Microsoft Defender biztonságirés-kezelés) Megvizsgálja az AWS-adatbázis tárolólemezképeit a gyakran ismert biztonsági rések (CVE-k) után, és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. c27441ae-775c-45be-8ffa-655de37362ce
A tárolólemezképeket futtató AWS-nek meg kell oldania a biztonságirés-megállapításokat (Microsoft Defender biztonságirés-kezelés) A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a rugalmas Kubernetes-fürtökön jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. 682b2595-d045-4cff-b5aa-46624eb2dd8f
  • Biztonságirés-információk lekérdezése az Azure Resource Graphon keresztül – A biztonságirés-információk lekérdezésének képessége az Azure Resource Graphon keresztül. Megtudhatja, hogyan kérdezhet le javaslatokat az ARG-en keresztül.

  • Lekérdezési eredmények lekérdezése REST API-val – Megtudhatja, hogyan kérdezheti le a vizsgálati eredményeket a REST API-val.

Triggerek vizsgálata

A képvizsgálat eseményindítói a következők:

  • Egyszeri aktiválás:

    • A rendszer aktiválja a tárolóregisztrációs adatbázisba leküldett rendszerképeket, hogy beolvassák. A legtöbb esetben a vizsgálat néhány órán belül befejeződik, de ritkán akár 24 órát is igénybe vehet.
    • A beállításjegyzékből lekért rendszerképeket a rendszer 24 órán belül beolvasja.
  • Folyamatos újravizsgálat – folyamatos újravizsgálat szükséges annak biztosításához, hogy a biztonsági réseket korábban beolvasott képek újra beolvasva frissíthessék biztonságirés-jelentéseiket egy új biztonsági rés közzététele esetén.

    • Az újraellenőrzés naponta egyszer történik a következő okok miatt:

Hogyan működik a képvizsgálat?

A vizsgálati folyamat részletes leírása a következő:

  • Ha engedélyezi az Microsoft Defender biztonságirés-kezelés által üzemeltetett AWS tárolói sebezhetőségi felmérését, engedélyezi Felhőhöz készült Defender számára a tárolólemezképek vizsgálatát az elastic containerregisztrációs adatbázisokban.

  • Felhőhöz készült Defender automatikusan felderíti az összes tárolóregisztrációs adatbázist, adattárat és lemezképet (a funkció engedélyezése előtt vagy után jön létre).

  • Naponta egyszer, és a beállításjegyzékbe leküldéses új képek esetén:

    • A rendszer lekérte az újonnan felfedezett képeket, és minden képhez létrehoz egy leltárt. A rendszer megőrzi a képleltárat a további képfelvételek elkerülése érdekében, kivéve, ha az új képolvasó képességei megkövetelik.
    • A leltár használatával biztonsági résjelentések jönnek létre az új rendszerképekhez, és frissülnek a korábban beolvasott, az elmúlt 90 napban egy beállításjegyzékbe leküldett vagy éppen futó képekre. Annak megállapításához, hogy egy rendszerkép jelenleg fut-e, Felhőhöz készült Defender a Kubernetes ügynök nélküli felderítését és az EKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt is használja
    • A beállításjegyzék tárolólemezképeinek biztonságirés-jelentései javaslatként szolgálnak.
  • A Kubernetes ügynök nélküli felderítését vagy az EKS-csomópontokon futó Defender-érzékelőn keresztül gyűjtött leltárt használó ügyfelek számára Felhőhöz készült Defender ajánlást is készít az EKS-fürtön futó sebezhető képek biztonsági réseinek elhárítására. Azoknak az ügyfeleknek, akik csak a Kubernetes ügynök nélküli felderítését használják, a javaslatban szereplő készlet frissítési ideje hét óránként egyszer történik. A Defender-érzékelőt is futtató fürtök kétórás készletfrissítési gyakoriságot élveznek. A képvizsgálat eredményei mindkét esetben a beállításjegyzék vizsgálata alapján frissülnek, ezért csak 24 óránként frissülnek.

Feljegyzés

A Tárolóregisztrációs adatbázisokhoz készült Defender (elavult) esetében a rendszer a képeket csak egyszer ellenőrzi leküldéses, lekéréses és csak hetente egyszer.

Ha eltávolítok egy lemezképet a beállításjegyzékből, mennyi ideig lesznek eltávolítva a rendszerkép biztonsági rései?

A rendszerkép ecr-ből való törlése 30 órát vesz igénybe a jelentések eltávolítása előtt.

Következő lépések