Өзгерту

Бөлісу құралы:


Распространенные вопросы о защите контейнеров

Ответы на распространенные вопросы о защите контейнеров

Каковы варианты включения нового плана в большом масштабе?

Для включения Defender для контейнеров в большом масштабе можно использовать Политику Azure Configure Microsoft Defender for Containers to be enabled. Вы также можете просмотреть все доступные параметры для включения Microsoft Defender для контейнеров.

Поддерживает ли Microsoft Defender для контейнеров кластеры AKS с масштабируемыми наборами виртуальных машин?

Да.

Поддерживает ли Microsoft Defender для контейнеров AKS без масштабируемого набора (по умолчанию)?

№ Поддерживаются только кластеры Службы Azure Kubernetes (AKS), использующие масштабируемые наборы виртуальных машин для узлов.

Нужно ли устанавливать расширение виртуальной машины Log Analytics в узлах AKS для обеспечения безопасности?

Нет, AKS является управляемой службой, и управление ресурсами IaaS не поддерживается. Расширение виртуальной машины Log Analytics не требуется и может привести к дополнительным расходам.

Как использовать имеющуюся рабочую область Log Analytics?

Вы можете использовать существующую рабочую область Log Analytics, выполнив действия, описанные в разделе Назначение настраиваемой рабочей области этой статьи.

Можно ли удалить рабочие области по умолчанию, созданные Microsoft Defender for Cloud?

Мы не рекомендуем удалять рабочие области по умолчанию. Defender для контейнеров использует рабочие области по умолчанию для сбора данных безопасности с ваших кластеров. Defender для контейнеров не сможет собирать данные, а некоторые рекомендации по безопасности и оповещения будут недоступны при удалении рабочей области по умолчанию.

Как вернуть рабочую область по умолчанию?

Чтобы восстановить рабочую область по умолчанию, необходимо удалить датчик Defender и переустановить датчик. Переустановка датчика Defender создает новую рабочую область по умолчанию.

Где создается рабочая область Log Analytics по умолчанию?

В зависимости от региона рабочая область Log Analytics по умолчанию может находиться в различных расположениях. Чтобы проверить регион, просмотрите, где создана рабочая область Log Analytics по умолчанию

Моя организация требует, чтобы я помечал мои ресурсы, и необходимый датчик не был установлен, что пошло не так?

Датчик Defender использует рабочую область Log Analytics для отправки данных из кластеров Kubernetes в Defender для облака. Defender для облака добавляет рабочую область Log Analytic и группу ресурсов в качестве параметра для используемого датчика.

Однако если у вашей организации есть политика, требующая определенного тега для ресурсов, это может привести к сбою установки датчика во время группы ресурсов или этапа создания рабочей области по умолчанию. В случае сбоя можно выполнить одно из следующих действий.

  • Назначить настраиваемую рабочую область и добавить любой тег, требуемый вашей организацией.

    or

  • Если в вашей компании требуется добавлять к ресурсу тег, перейдите к этой политике и исключите следующие ресурсы.

    1. Группа ресурсов DefaultResourceGroup-<RegionShortCode>.
    2. Рабочая область DefaultWorkspace-<sub-id>-<RegionShortCode>.

    RegionShortCode — это строка из 2–4 букв.

Как Defender для контейнеров сканирует образы?

Defender для контейнеров извлекает образ из реестра и запускает его в изолированной песочнице с Управление уязвимостями Microsoft Defender для многооблачных сред. Средство проверки извлекает список известных уязвимостей.

Defender для облака фильтрует и классифицирует результаты работы средства проверки. Если образ работоспособен, Defender для облака отмечает его соответствующим образом. Defender для облака создает рекомендации по безопасности только для тех образов, в которых есть требующие решения проблемы. Благодаря тому, что Defender для облака извещает только о наличии проблем, снижается вероятность нежелательных информационных оповещений.

Как определить события извлечения, выполняемые сканером?

Чтобы определить события извлечения, выполняемые сканером, сделайте следующее:

  1. Найдите события извлечения с помощью UserAgent AzureContainerImageScanner.
  2. Извлеките удостоверение, связанное с этим событием.
  3. Используйте извлеченное удостоверение для идентификации событий извлечения из сканера.

Какова разница между неприменимыми ресурсами и непроверенными ресурсами?

  • Неприменимыми ресурсами являются ресурсы , для которых рекомендация не может дать окончательный ответ. Вкладка "Не применимо" содержит причины для каждого ресурса, который не удалось оценить.
  • Непроверенные ресурсы — это ресурсы , которые планируется оценить, но пока не оценены.

Почему Defender для облака оповещать меня об уязвимостях о образе, который не находится в моем реестре?

Некоторые изображения могут повторно использовать теги из уже отсканированного изображения. Например, при каждом добавлении изображения в дайджест можно переназначить тег "Последняя версия". В таких случаях образ "старый" по-прежнему существует в реестре и может по-прежнему быть извлечен его дайджестом. Если образ имеет результаты безопасности и извлекается, он будет предоставлять уязвимости безопасности.

Сканирует ли Защитник для контейнеров образы в реестре контейнеров Майкрософт?

В настоящее время Defender для контейнеров может сканировать образы только в Реестр контейнеров Azure (ACR) и реестре эластичных контейнеров AWS (ECR). Реестр Docker, Реестр артефактов Microsoft/Реестр контейнеров Майкрософт и встроенный реестр образов контейнеров Microsoft Azure Red Hat OpenShift (ARO) не поддерживаются. Образы сначала следует импортировать в ACR. Дополнительные сведения о импорте образов контейнеров в реестр контейнеров Azure.

Можно ли получить результаты проверки через REST API?

Да. Результаты предоставляются через REST API дополнительных оценок. Кроме того, вы можете использовать Azure Resource Graph (работающий по принципу Kusto API) для всех ресурсов: запрос может получать данные об определенной проверке.

Разделы справки проверьте, какой тип носителя используются мои контейнеры?

Чтобы проверить тип изображения, необходимо использовать средство, которое может проверить манифест необработанного изображения, например скопео, и проверить формат необработанного изображения.

  • Для формата Docker версии 2 тип носителя манифеста будет приложение/vnd.docker.distribution.manifest.v1+json или application/vnd.docker.distribution.manifest.v2+json, как описано здесь.
  • Для формата изображения OCI тип носителя манифеста будет приложение/vnd.oci.image.manifest.v1+json, а также приложение типа мультимедиа config/vnd.oci.image.config.v1+json, как описано здесь.

Какие расширения используются для управления состоянием без агента?

Существует два расширения, которые предоставляют функциональные возможности CSPM без агента:

  • Оценки уязвимостей без агента: предоставляет оценки уязвимостей без агента. Дополнительные сведения об оценке уязвимостей без агента.
  • Обнаружение без агента для Kubernetes: предоставляет обнаружение сведений об архитектуре кластера Kubernetes, объектах рабочей нагрузки и настройке на основе API.

Как подключить несколько подписок одновременно?

Чтобы подключить несколько подписок одновременно, можно использовать этот скрипт.

Почему не отображаются результаты из моих кластеров?

Если результаты из кластеров не отображаются, проверьте следующие вопросы:

  • Остановлены ли кластеры?
  • Заблокированы ли группы ресурсов, подписки или кластеры? Если ответ на любой из этих вопросов да, см. ответы на приведенные ниже вопросы.

Что делать, если у меня остановлены кластеры?

Мы не поддерживаем остановленные кластеры и не взимаем за них плату. Чтобы воспользоваться безагентными возможностями на остановленном кластере, повторно запустите его.

Что делать, если у меня заблокированы группы ресурсов, подписки или кластеры?

Мы рекомендуем разблокировать заблокированную группу ресурсов, подписку или кластер, вручную выполнить соответствующие запросы, а затем повторно заблокировать группу ресурсов или подписку или кластер, выполнив следующие действия:

  1. Включите флаг функции вручную с помощью интерфейса командной строки с помощью доверенного доступа.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Выполните операцию привязки в CLI:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

Для заблокированных кластеров можно также выполнить одно из следующих действий:

  • Удалите блокировку.
  • Выполните операцию привязки вручную, выполнив запрос API. Дополнительные сведения о заблокированных ресурсах.

Используется ли обновленная версия AKS?

Дополнительные сведения о поддерживаемых версиях Kubernetes см. в Служба Azure Kubernetes (AKS).

Какой интервал обновления для обнаружения Kubernetes без агента?

Изменение может занять до 24 часов , чтобы отразиться в графе безопасности, путях атак и обозревателе безопасности.

Разделы справки обновление от устаревшей оценки уязвимостей Trivy до оценки уязвимостей AWS, созданной на основе Управление уязвимостями Microsoft Defender?

Ниже описано, как удалить одну рекомендацию по реестру, на основе Trivy, и добавить новые рекомендации по реестру и среде выполнения, которые основаны на MDVM.

  1. Откройте соответствующий соединитель AWS.
  2. Откройте страницу "Параметры" для Defender для контейнеров.
  3. Включите оценку уязвимостей контейнеров без агента.
  4. Выполните действия мастера соединителя, включая развертывание нового скрипта подключения в AWS.
  5. Вручную удалите ресурсы, созданные во время подключения:
    • Контейнер S3 с префиксом defender-for-containers-va
    • Кластер ECS с именем defender-for-containers-va
    • VPC:
      • Тег name со значением defender-for-containers-va
      • CIDR IP-подсети 10.0.0.0/16
      • Связана с группой безопасности по умолчанию с тегом name и значением defender-for-containers-va , которое имеет одно правило всего входящего трафика.
      • Подсеть с тегом name и значением defender-for-containers-va в defender-for-containers-va VPC с подсетью CIDR 10.0.1.0/24 IP, используемой кластером ECS. defender-for-containers-va
      • Интернет-шлюз с тегом name и значением defender-for-containers-va
      • Таблица маршрутов — таблица маршрутизации с тегом name и значением defender-for-containers-va, а также с этими маршрутами:
        • Назначение: 0.0.0.0/0; Целевой объект: Интернет-шлюз с тегом name и значением defender-for-containers-va
        • Назначение: 10.0.0.0/16; Цель: local

Чтобы получить оценки уязвимостей для запуска образов, включите обнаружение без агента для Kubernetes или разверните датчик Defender в кластерах Kubernetes.