Szerkesztés

Megosztás a következőn keresztül:


A tárolók védelmére vonatkozó gyakori kérdések

Válaszok a tárolók védelmére vonatkozó gyakori kérdésekre

Milyen lehetőségek vannak az új csomag nagy léptékű engedélyezésére?

Az Azure Policy Configure Microsoft Defender for Containers to be enabledhasználatával nagy méretekben engedélyezheti a Defender for Containers szolgáltatást. A Microsoft Defender for Containers engedélyezéséhez elérhető összes lehetőség is látható.

Támogatja a Microsoft Defender for Containers az AKS fürtöket a virtuális gépek skálakészleteivel?

Igen.

Támogatja a Microsoft Defender for Containers az AKS-t skála beállítása nélkül (alapértelmezett)?

Szám Csak az Azure Kubernetes Service (AKS) fürtök támogatottak, amelyek a csomópontok számára virtuális gépskála-készleteket használnak.

Telepítenem kell a Log Analytics VM bővítményt az AKS-csomópontjaimra a biztonsági védelem érdekében?

Nem, az AKS egy menedzselt szolgáltatás, és az IaaS-erőforrások manipulálása nem támogatott. A Log Analytics virtuálisgép-bővítményre nincs szükség, és további díjakat okozhat.

Hogyan használhatom a meglévő Log Analytics munkaterületemet?

A meglévő Log Analytics-munkaterületet a jelen cikk Egyéni munkaterület hozzárendelése szakaszának lépéseit követve használhatja.

Törölhetem a Felhőhöz készült Defender által létrehozott alapértelmezett munkaterületeket?

Nem javasoljuk az alapértelmezett munkaterület törlését. A Defender for Containers az alapértelmezett munkaterületekkel gyűjt biztonsági adatokat a fürtökről. A Defender for Containers nem tud adatokat gyűjteni, és egyes biztonsági javaslatok és riasztások nem lesznek elérhetők, ha törli az alapértelmezett munkaterületet.

Töröltem az alapértelmezett munkaterületemet, hogyan szerezhetem vissza?

Az alapértelmezett munkaterület helyreállításához el kell távolítania a Defender-érzékelőt, és újra kell telepítenie az érzékelőt. A Defender-érzékelő újratelepítése új alapértelmezett munkaterületet hoz létre.

Hol található az alapértelmezett Log Analytics-munkaterület?

A régiótól függően előfordulhat, hogy az alapértelmezett Log Analytics-munkaterület különböző helyeken található. A régió ellenőrzéséhez lásd : Hol van létrehozva az alapértelmezett Log Analytics-munkaterület?

A szervezetem megköveteli, hogy címkézzem meg az erőforrásaimat, és a szükséges érzékelő nem lett telepítve, mi történt?

A Defender-érzékelő a Log Analytics-munkaterület használatával küld adatokat a Kubernetes-fürtökről Felhőhöz készült Defender. A Felhőhöz készült Defender paraméterként hozzáadja a napló-elemzési munkaterületet és az erőforráscsoportot a használni kívánt érzékelőhöz.

Ha azonban a szervezet olyan szabályzattal rendelkezik, amely egy adott címkét igényel az erőforrásokon, előfordulhat, hogy az érzékelő telepítése meghiúsul az erőforráscsoport vagy az alapértelmezett munkaterület létrehozási szakasza során. Ha ez nem sikerül, akkor vagy:

  • Rendeljen hozzá egy egyéni munkaterületet , és adja hozzá a szervezet által igényelt címkét.

    vagy

  • Ha vállalata megköveteli, hogy az erőforrást megjelölje, akkor navigáljon az adott házirendhez, és zárja ki a következő erőforrásokat:

    1. Az erőforráscsoport DefaultResourceGroup-<RegionShortCode>
    2. A munkaterület DefaultWorkspace-<sub-id>-<RegionShortCode>

    A RegionShortCode egy 2-4 betűs sztring.

Hogyan vizsgálja a Defender for Containers a képet?

A Defender for Containers lekéri a lemezképet a beállításjegyzékből, és egy elkülönített tesztkörnyezetben futtatja, Microsoft Defender biztonságirés-kezelés többfelhős környezetekhez. A szkenner kivonja az ismert sebezhetőségek listáját.

A Defender for Cloud kiszűri és osztályozza az átvilágításból származó eredményeket. Ha egy kép egészséges, a Defender for Cloud annak jelöli. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Azáltal, hogy a Defender for Cloud csak akkor értesíti Önt, ha probléma merül fel, csökkenti a nem kívánt információs riasztások lehetőségét.

Hogyan azonosíthatom a képolvasó által végrehajtott lekéréses eseményeket?

A képolvasó által végrehajtott lekéréses események azonosításához hajtsa végre a következő lépéseket:

  1. Lekéréses események keresése az AzureContainerImageScanner UserAgentjével.
  2. Bontsa ki az eseményhez társított identitást.
  3. A kinyert identitással azonosíthatja a lekéréses eseményeket a képolvasóból.

Mi a különbség a nem alkalmazható erőforrások és a nem ellenőrzött erőforrások között?

  • A nem alkalmazható erőforrások olyan erőforrások , amelyekre a javaslat nem tud végleges választ adni. A nem alkalmazható lap az egyes erőforrások nem értékelhető okait tartalmazza.
  • A nem ellenőrzött erőforrások az értékelendő, de még nem értékelendő erőforrások.

Miért figyelmeztet Felhőhöz készült Defender a nem a beállításjegyzékben nem szereplő rendszerkép biztonsági réseire?

Egyes képek újra felhasználhatják a már beolvasott képek címkéinek használatát. Előfordulhat például, hogy a "Legújabb" címkét minden alkalommal hozzárendeli, amikor képet ad hozzá egy kivonathoz. Ilyen esetekben a "régi" rendszerkép továbbra is létezik a beállításjegyzékben, és még mindig lekérte a kivonata. Ha a rendszerkép biztonsági megállapításokkal rendelkezik, és le van húzva, biztonsági réseket tesz elérhetővé.

A Defender for Containers képeket keres a Microsoft Container Registryben?

A Defender for Containers jelenleg csak az Azure Container Registryben (ACR) és az AWS Elastic Container Registryben (ECR) képes képeket beolvasni. A Docker Registry, a Microsoft Eszközjegyzék/Microsoft Container Registry és a Microsoft Azure Red Hat OpenShift (ARO) beépített tárolólemezkép-beállításjegyzéke nem támogatott. A rendszerképeket először importálni kell az ACR-be. További információ a tárolólemezképek Azure-tárolóregisztrációs adatbázisba való importálásáról.

Lekérhetem a vizsgálati eredményeket a REST API-val?

Igen. Az eredmények a Sub-Assessments REST API alatt találhatók. Emellett használhatja az Azure Resource Graphot (ARG), a Kusto-szerű API-t az összes erőforráshoz: egy lekérdezés lekérhet egy adott vizsgálatot.

Hogyan ellenőrizze, hogy a tárolók milyen típusú adathordozót használnak?

Egy képtípus ellenőrzéséhez olyan eszközt kell használnia, amely ellenőrizheti a nyers képjegyzéket, például a skopeo-t, és meg kell vizsgálnia a nyers képformátumot.

  • A Docker v2 formátum esetében a jegyzékfájl adathordozójának típusa az application/vnd.docker.distribution.manifest.v1+json vagy application/vnd.docker.distribution.manifest.v2+json, az itt dokumentált módon.
  • Az OCI rendszerkép formátuma esetén a jegyzékfájl médiatípusa az application/vnd.oci.image.manifest.v1+json, és az itt dokumentált alkalmazás/vnd.oci.image.config.v1+json médiatípus.

Mik az ügynök nélküli tárolóhelyállapot-kezelés bővítményei?

Két bővítmény biztosítja az ügynök nélküli CSPM-funkciókat:

  • Ügynök nélküli tároló biztonságirés-felmérései: Ügynök nélküli tárolók sebezhetőségi felméréseit biztosítja. További információ az ügynök nélküli tároló biztonságirés-felméréséről.
  • Ügynök nélküli felderítés a Kuberneteshez: API-alapú információkat biztosít a Kubernetes-fürt architektúrájáról, számítási feladat objektumairól és beállításáról.

Hogyan vehetek fel egyszerre több előfizetést?

Több előfizetés egyidejű előkészítéséhez használhatja ezt a szkriptet.

Miért nem látom a fürtjeim eredményeit?

Ha nem látja a fürtök eredményeit, ellenőrizze az alábbi kérdéseket:

  • Leállította a fürtöket?
  • Zárolva vannak az erőforráscsoportok, az előfizetések vagy a fürtök? Ha bármelyik kérdésre igen a válasz, tekintse meg az alábbi kérdésekre adott válaszokat.

Mit tehetek, ha leállítottam a fürtöket?

Nem támogatjuk és nem számítunk fel díjat a leállított klaszterekért. Ha egy leállított fürtön szeretné megkapni az ügynök nélküli képességek értékét, újraindíthatja a fürtöt.

Mit tegyek, ha zárolt erőforráscsoportokkal, előfizetésekkel vagy fürtökkel rendelkezem?

Javasoljuk, hogy oldja fel a zárolt erőforráscsoportot/előfizetést/fürtöt, végezze el manuálisan a vonatkozó kéréseket, majd az alábbi lépésekkel zárolja újra az erőforráscsoportot/előfizetést/fürtöt:

  1. Engedélyezze manuálisan a funkciójelzőt a parancssori felületről a Megbízható hozzáférés használatával.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Hajtsa végre a kötési műveletet a parancssori felületen:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

Zárolt fürtök esetén az alábbi lépések egyikét is elvégezheti:

  • Távolítsa el a zárolást.
  • Végezze el manuálisan a kötési műveletet egy API-kérés végrehajtásával. További információ a zárolt erőforrásokról.

Az AKS frissített verzióját használja?

További információ az Azure Kubernetes Service (AKS) támogatott Kubernetes-verzióiról.

Mi a Kubernetes ügynök nélküli felderítésének frissítési időköze?

Akár 24 órát is igénybe vehet, amíg a módosítások megjelennek a biztonsági gráfban, a támadási útvonalakban és a biztonsági kezelőben.

Hogyan frissítés a kivezetett Trivy sebezhetőségi felmérésről a Microsoft Defender biztonságirés-kezelés által működtetett AWS sebezhetőségi felmérésre?

Az alábbi lépések eltávolítják a Trivy által működtetett egyetlen beállításjegyzék-javaslatot, és hozzáadják az MDVM által működtetett új beállításjegyzék- és futtatókörnyezeti javaslatokat.

  1. Nyissa meg a megfelelő AWS-összekötőt.
  2. Nyissa meg a tárolókhoz készült Defender Gépház oldalát.
  3. Ügynök nélküli tároló biztonságirés-felmérésének engedélyezése.
  4. Hajtsa végre az összekötő varázsló lépéseit, beleértve az új előkészítési szkript üzembe helyezését az AWS-ben.
  5. Manuálisan törölje az előkészítés során létrehozott erőforrásokat:
    • S3-gyűjtő a defender-for-containers-va előtaggal
    • ECS-fürt defender-for-containers-va néven
    • VPC:
      • Címke name az értékkel defender-for-containers-va
      • IP-alhálózat CIDR 10.0.0.0/16
      • Az alapértelmezett biztonsági csoporthoz van társítva a címkével name és azzal az értékkeldefender-for-containers-va, amely az összes bejövő forgalom egyik szabályával rendelkezik.
      • Az ECS-fürt által használt CIDR 10.0.1.0/24 IP-alhálózattal rendelkező alhálózat a címkével name és a VPC értékével defender-for-containers-va defender-for-containers-vadefender-for-containers-va
      • Internet Gateway a címkével name és az értékkel defender-for-containers-va
      • Útvonaltábla – Útvonaltábla a címkével name és az értékkel defender-for-containers-va, valamint az alábbi útvonalakkal:
        • Cél: 0.0.0.0/0; Cél: Internet Gateway a címkével name és az értékkel defender-for-containers-va
        • Cél: 10.0.0.0/16; Cél: local

Ha sebezhetőségi felméréseket szeretne kapni a futó képekről, engedélyezze az ügynök nélküli felderítést a Kuberneteshez , vagy telepítse a Defender-érzékelőt a Kubernetes-fürtökön.