Valutazioni delle vulnerabilità per Azure con Gestione delle vulnerabilità di Microsoft Defender
La valutazione delle vulnerabilità per Azure, all’interno di Gestione delle vulnerabilità di Microsoft Defender, è una soluzione predefinita che consente ai team di sicurezza di individuare e correggere facilmente le vulnerabilità nelle immagini dei contenitori, con zero configurazione per l'onboarding e senza distribuzione di agenti.
Nota
Questa funzionalità supporta l'analisi di immagini solo nel Registro Azure Container (ACR). Le immagini archiviate in altri registri di contenitori devono essere importate in Registro Azure Container per la copertura. Informazioni su come importare immagini del contenitore in un registro contenitori.
In ogni sottoscrizione in cui questa funzionalità è abilitata, tutte le immagini archiviate in Registro Azure Container che soddisfano i criteri per i trigger di analisi vengono analizzate per individuare le vulnerabilità senza alcuna configurazione aggiuntiva di utenti o registri. Raccomandazioni con i report sulle vulnerabilità vengono forniti per tutte le immagini nel Registro Azure Container, nonché per le immagini attualmente in esecuzione nel servizio Azure Kubernetes estratte da un Registro Azure Container o da qualsiasi altro registro supportato da Defender per il cloud (ECR, GCR o GAR). Le immagini vengono analizzate poco dopo l'aggiunta a un registro e analizzate nuovamente per individuare nuove vulnerabilità ogni 24 ore.
La valutazione della vulnerabilità dei contenitori all’interno di Gestione delle vulnerabilità di Microsoft Defender offre le funzionalità seguenti:
- Analisi dei pacchetti del sistema operativo: la valutazione della vulnerabilità dei contenitori consente di analizzare le vulnerabilità nei pacchetti installati dalla gestione pacchetti del sistema operativo nei sistemi operativi Linux e Windows. Vedere l'elenco completo del sistema operativo supportato e delle relative versioni.
- Pacchetti specifici della lingua , solo Linux, supporto per pacchetti e file specifici della lingua e le relative dipendenze installate o copiate senza gestione pacchetti del sistema operativo. Vedere l'elenco completo delle lingue supportate.
- Analisi delle immagini nel collegamento privato di Azure: la valutazione della vulnerabilità del contenitore di Azure offre la possibilità di analizzare le immagini nei registri contenitori accessibili tramite collegamenti privati di Azure. Questa funzionalità richiede l'accesso ai servizi attendibili e all'autenticazione con il registro. Informazioni su come consentire l'accesso da parte di servizi attendibili.
- Informazioni sull'exploit: ogni report sulla vulnerabilità viene cercato tramite database di sfruttabilità per aiutare i clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
- Reporting: la valutazione della vulnerabilità dei contenitori per Azure all’interno di Gestione delle vulnerabilità di Microsoft Defender fornisce report sulle vulnerabilità usando le raccomandazioni seguenti:
Queste sono le nuove raccomandazioni che segnalano vulnerabilità del contenitore di runtime e vulnerabilità delle immagini del Registro di sistema. Sono attualmente in anteprima, ma sono destinati a sostituire le raccomandazioni precedenti. Queste nuove raccomandazioni non vengono conteggiati per il punteggio di sicurezza durante l'anteprima. Il motore di analisi per entrambi i set di raccomandazioni è lo stesso.
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| [Anteprima] Le immagini del contenitore nel Registro Azure devono avere i risultati della vulnerabilità risolti | Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Anteprima] I contenitori in esecuzione in Azure devono avere i risultati della vulnerabilità risolti | Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore. | e9acaf48-d2cf-45a3-a6e7-3caa2ef769e0 |
Questi sono i consigli precedenti attualmente in un percorso di ritiro:
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
- Eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph : possibilità di eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph. Informazioni su come eseguire query sulle raccomandazioni tramite ARG.
- Eseguire query sui risultati dell'analisi tramite l'API REST : informazioni su come eseguire query sui risultati dell'analisi tramite l'API REST.
- Supporto per le esenzioni : informazioni su come creare regole di esenzione per un gruppo di gestione, un gruppo di risorse o una sottoscrizione.
- Supporto per la disabilitazione delle vulnerabilità : informazioni su come disabilitare le vulnerabilità nelle immagini.
Trigger di analisi
I trigger per un'analisi di immagini sono:
Trigger monouso:
- Ogni immagine di cui è stato eseguito il push o l'importazione in un registro contenitori viene attivata per l'analisi. Nella maggior parte dei casi, l'analisi viene completata entro pochi minuti, ma in rari casi potrebbe richiedere fino a un'ora.
- Ogni immagine estratta da un registro viene attivata per essere analizzata entro 24 ore.
Attivazione continua per ripetere l'analisi: è necessaria una nuova analisi continua per assicurarsi che le immagini analizzate in precedenza per individuare le vulnerabilità vengano analizzate di nuovo per aggiornare i report sulle vulnerabilità nel caso in cui venga pubblicata una nuova vulnerabilità.
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
- Le immagini inserite negli ultimi 90 giorni.
- Le immagini estratte negli ultimi 30 giorni.
- Immagini attualmente in esecuzione nei cluster Kubernetes monitorati da Defender per il cloud (tramite l'individuazione senza agente per Kubernetes o il sensore Defender).
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
Come funziona l'analisi delle immagini?
Una descrizione dettagliata del processo di analisi è descritta di seguito:
Quando si abilita la valutazione della vulnerabilità del contenitore per Azure con tecnologia Gestione delle vulnerabilità di Microsoft Defender, si autorizza Defender per il cloud a analizzare le immagini dei contenitori nei registri di Azure Container.
Defender per il cloud individua automaticamente tutti i registri dei contenitori, i repository e le immagini (creati prima o dopo l'abilitazione di questa funzionalità).
Defender per il cloud riceve notifiche ogni volta che viene inserita una nuova immagine in un Registro Azure Container. La nuova immagine viene quindi aggiunta immediatamente al catalogo di immagini che Defender per il cloud gestisce e accoda un'azione per analizzare immediatamente l'immagine.
Una volta al giorno e per le nuove immagini inserite in un registro:
- Tutte le immagini appena individuate vengono estratte e viene creato un inventario per ogni immagine. L'inventario delle immagini viene mantenuto per evitare ulteriori pull di immagini, a meno che non siano necessarie nuove funzionalità dello scanner.
- Usando l'inventario, i report sulle vulnerabilità vengono generati per le nuove immagini e aggiornati per le immagini analizzate in precedenza che sono state estratte negli ultimi 90 giorni a un registro, o sono attualmente in esecuzione. Per determinare se un'immagine è attualmente in esecuzione, Defender per il cloud usa l'individuazione senza agente per Kubernetes e l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi del servizio Azure Kubernetes
- I report sulle vulnerabilità per le immagini del contenitore del registro vengono forniti come raccomandazione.
Per i clienti che usano l'individuazione senza agente per Kubernetes o l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi del servizio Azure Kubernetes, Defender per il cloud crea anche una raccomandazione per correggere le vulnerabilità per le immagini vulnerabili in esecuzione in un cluster del servizio Azure Kubernetes. Per i clienti che usano solo l'individuazione senza agente per Kubernetes, il tempo di aggiornamento per l'inventario in questa raccomandazione è una volta ogni sette ore. I cluster che eseguono anche il sensore Defender traggono vantaggio da una frequenza di aggiornamento dell'inventario di due ore. I risultati dell'analisi delle immagini vengono aggiornati in base all'analisi del registro in entrambi i casi e, pertanto, vengono aggiornati solo ogni 24 ore.
Nota
Per i registri contenitori di Defender per contenitori (deprecato), le immagini vengono analizzate una volta al push, al pull e analizzate di nuovo una sola volta alla settimana.
Se si rimuove un'immagine dal registro, quanto tempo ci vorrà prima che i report sulle vulnerabilità di quell'immagine vengano rimossi?
Registri Azure Container notifica Defender per il cloud quando le immagini vengono eliminate e rimuove la valutazione della vulnerabilità per le immagini eliminate entro un'ora. In alcuni rari casi, Defender per il cloud potrebbe non ricevere notifiche sull'eliminazione e l'eliminazione delle vulnerabilità associate in tali casi potrebbe richiedere fino a tre giorni.
Passaggi successivi
- Altre informazioni sui piani di Defender per il cloud Defender.
- Vedere le domande comuni su Defender per contenitori.