A tárolók védelmére vonatkozó gyakori kérdések

Az Azure Policy Configure Microsoft Defender for Containers to be enabledhasználatával nagy méretekben engedélyezheti a Defender for Containers szolgáltatást. A Microsoft Defender for Containers engedélyezéséhez elérhető összes lehetőség is látható.

Igen.

Szám Csak az Azure Kubernetes Service (AKS) fürtök támogatottak, amelyek a csomópontok számára virtuális gépskála-készleteket használnak.

Nem, az AKS egy menedzselt szolgáltatás, és az IaaS-erőforrások manipulálása nem támogatott. A Log Analytics virtuálisgép-bővítményre nincs szükség, és további díjakat okozhat.

A meglévő Log Analytics-munkaterületet a jelen cikk Egyéni munkaterület hozzárendelése szakaszának lépéseit követve használhatja.

Nem javasoljuk az alapértelmezett munkaterület törlését. A Defender for Containers az alapértelmezett munkaterületekkel gyűjt biztonsági adatokat a fürtökről. A Defender for Containers nem tud adatokat gyűjteni, és egyes biztonsági javaslatok és riasztások nem lesznek elérhetők, ha törli az alapértelmezett munkaterületet.

Az alapértelmezett munkaterület helyreállításához el kell távolítania a Defender-érzékelőt, és újra kell telepítenie az érzékelőt. A Defender-érzékelő újratelepítése új alapértelmezett munkaterületet hoz létre.

A régiótól függően előfordulhat, hogy az alapértelmezett Log Analytics-munkaterület különböző helyeken található. A régió ellenőrzéséhez lásd : Hol van létrehozva az alapértelmezett Log Analytics-munkaterület?

A Defender-érzékelő a Log Analytics-munkaterület használatával küld adatokat a Kubernetes-fürtökről Felhőhöz készült Defender. A Felhőhöz készült Defender paraméterként hozzáadja a napló-elemzési munkaterületet és az erőforráscsoportot a használni kívánt érzékelőhöz.

Ha azonban a szervezet olyan szabályzattal rendelkezik, amely egy adott címkét igényel az erőforrásokon, előfordulhat, hogy az érzékelő telepítése meghiúsul az erőforráscsoport vagy az alapértelmezett munkaterület létrehozási szakasza során. Ha ez nem sikerül, akkor vagy:

• Rendeljen hozzá egy egyéni munkaterületet , és adja hozzá a szervezet által igényelt címkét.

  vagy

• Ha vállalata megköveteli, hogy az erőforrást megjelölje, akkor navigáljon az adott házirendhez, és zárja ki a következő erőforrásokat:

  1. Az erőforráscsoport DefaultResourceGroup-<RegionShortCode>
  2. A munkaterület DefaultWorkspace-<sub-id>-<RegionShortCode>

  A RegionShortCode egy 2-4 betűs sztring.

A Defender for Containers lekéri a lemezképet a beállításjegyzékből, és egy elkülönített tesztkörnyezetben futtatja, Microsoft Defender biztonságirés-kezelés többfelhős környezetekhez. A szkenner kivonja az ismert sebezhetőségek listáját.

A Defender for Cloud kiszűri és osztályozza az átvilágításból származó eredményeket. Ha egy kép egészséges, a Defender for Cloud annak jelöli. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Azáltal, hogy a Defender for Cloud csak akkor értesíti Önt, ha probléma merül fel, csökkenti a nem kívánt információs riasztások lehetőségét.

A képolvasó által végrehajtott lekéréses események azonosításához hajtsa végre a következő lépéseket:

1. Lekéréses események keresése az AzureContainerImageScanner UserAgentjével.
2. Bontsa ki az eseményhez társított identitást.
3. A kinyert identitással azonosíthatja a lekéréses eseményeket a képolvasóból.

• A nem alkalmazható erőforrások olyan erőforrások , amelyekre a javaslat nem tud végleges választ adni. A nem alkalmazható lap az egyes erőforrások nem értékelhető okait tartalmazza.
• A nem ellenőrzött erőforrások az értékelendő, de még nem értékelendő erőforrások.

Egyes képek újra felhasználhatják a már beolvasott képek címkéinek használatát. Előfordulhat például, hogy a "Legújabb" címkét minden alkalommal hozzárendeli, amikor képet ad hozzá egy kivonathoz. Ilyen esetekben a "régi" rendszerkép továbbra is létezik a beállításjegyzékben, és még mindig lekérte a kivonata. Ha a rendszerkép biztonsági megállapításokkal rendelkezik, és le van húzva, biztonsági réseket tesz elérhetővé.

A Defender for Containers jelenleg csak az Azure Container Registryben (ACR) és az AWS Elastic Container Registryben (ECR) képes képeket beolvasni. A Docker Registry, a Microsoft Eszközjegyzék/Microsoft Container Registry és a Microsoft Azure Red Hat OpenShift (ARO) beépített tárolólemezkép-beállításjegyzéke nem támogatott. A rendszerképeket először importálni kell az ACR-be. További információ a tárolólemezképek Azure-tárolóregisztrációs adatbázisba való importálásáról.

Igen. Az eredmények a Sub-Assessments REST API alatt találhatók. Emellett használhatja az Azure Resource Graphot (ARG), a Kusto-szerű API-t az összes erőforráshoz: egy lekérdezés lekérhet egy adott vizsgálatot.

Egy képtípus ellenőrzéséhez olyan eszközt kell használnia, amely ellenőrizheti a nyers képjegyzéket, például a skopeo-t, és meg kell vizsgálnia a nyers képformátumot.

• A Docker v2 formátum esetében a jegyzékfájl adathordozójának típusa az application/vnd.docker.distribution.manifest.v1+json vagy application/vnd.docker.distribution.manifest.v2+json, az itt dokumentált módon.
• Az OCI rendszerkép formátuma esetén a jegyzékfájl médiatípusa az application/vnd.oci.image.manifest.v1+json, és az itt dokumentált alkalmazás/vnd.oci.image.config.v1+json médiatípus.

Két bővítmény biztosítja az ügynök nélküli CSPM-funkciókat:

• Ügynök nélküli tároló biztonságirés-felmérései: Ügynök nélküli tárolók sebezhetőségi felméréseit biztosítja. További információ az ügynök nélküli tároló biztonságirés-felméréséről.
• Ügynök nélküli felderítés a Kuberneteshez: API-alapú információkat biztosít a Kubernetes-fürt architektúrájáról, számítási feladat objektumairól és beállításáról.

Több előfizetés egyidejű előkészítéséhez használhatja ezt a szkriptet.

Ha nem látja a fürtök eredményeit, ellenőrizze az alábbi kérdéseket:

• Leállította a fürtöket?
• Zárolva vannak az erőforráscsoportok, az előfizetések vagy a fürtök? Ha bármelyik kérdésre igen a válasz, tekintse meg az alábbi kérdésekre adott válaszokat.

Nem támogatjuk és nem számítunk fel díjat a leállított klaszterekért. Ha egy leállított fürtön szeretné megkapni az ügynök nélküli képességek értékét, újraindíthatja a fürtöt.

Javasoljuk, hogy oldja fel a zárolt erőforráscsoportot/előfizetést/fürtöt, végezze el manuálisan a vonatkozó kéréseket, majd az alábbi lépésekkel zárolja újra az erőforráscsoportot/előfizetést/fürtöt:

1. Engedélyezze manuálisan a funkciójelzőt a parancssori felületről a Megbízható hozzáférés használatával.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Hajtsa végre a kötési műveletet a parancssori felületen:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Zárolt fürtök esetén az alábbi lépések egyikét is elvégezheti:

• Távolítsa el a zárolást.
• Végezze el manuálisan a kötési műveletet egy API-kérés végrehajtásával. További információ a zárolt erőforrásokról.

További információ az Azure Kubernetes Service (AKS) támogatott Kubernetes-verzióiról.

Akár 24 órát is igénybe vehet, amíg a módosítások megjelennek a biztonsági gráfban, a támadási útvonalakban és a biztonsági kezelőben.

Az alábbi lépések eltávolítják a Trivy által működtetett egyetlen beállításjegyzék-javaslatot, és hozzáadják az MDVM által működtetett új beállításjegyzék- és futtatókörnyezeti javaslatokat.

1. Nyissa meg a megfelelő AWS-összekötőt.
2. Nyissa meg a tárolókhoz készült Defender Gépház oldalát.
3. Ügynök nélküli tároló biztonságirés-felmérésének engedélyezése.
4. Hajtsa végre az összekötő varázsló lépéseit, beleértve az új előkészítési szkript üzembe helyezését az AWS-ben.
5. Manuálisan törölje az előkészítés során létrehozott erőforrásokat:
   • S3-gyűjtő a defender-for-containers-va előtaggal
   • ECS-fürt defender-for-containers-va néven
   • VPC:
     • Címke name az értékkel defender-for-containers-va
     • IP-alhálózat CIDR 10.0.0.0/16
     • Az alapértelmezett biztonsági csoporthoz van társítva a címkével name és azzal az értékkeldefender-for-containers-va, amely az összes bejövő forgalom egyik szabályával rendelkezik.
     • Az ECS-fürt által használt CIDR 10.0.1.0/24 IP-alhálózattal rendelkező alhálózat a címkével name és a VPC értékével defender-for-containers-va defender-for-containers-vadefender-for-containers-va
     • Internet Gateway a címkével name és az értékkel defender-for-containers-va
     • Útvonaltábla – Útvonaltábla a címkével name és az értékkel defender-for-containers-va, valamint az alábbi útvonalakkal:
       • Cél: 0.0.0.0/0; Cél: Internet Gateway a címkével name és az értékkel defender-for-containers-va
       • Cél: 10.0.0.0/16; Cél: local

Ha sebezhetőségi felméréseket szeretne kapni a futó képekről, engedélyezze az ügynök nélküli felderítést a Kuberneteshez , vagy telepítse a Defender-érzékelőt a Kubernetes-fürtökön.

Következő lépések

Tudnivalók a Defender for Containers szolgáltatásról