Tworzenie wykluczeń i wyłączanie wyników oceny luk w zabezpieczeniach na obrazach rejestru kontenerów i uruchomionych obrazach

  • Artykuł

Uwaga

Możesz dostosować środowisko oceny luk w zabezpieczeniach, wykluczając grupy zarządzania, subskrypcje lub określone zasoby z wskaźnika bezpieczeństwa. Dowiedz się, jak utworzyć wykluczenie dla zasobu lub subskrypcji.

Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.

Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie jest ona wyświetlana na liście wyników. Typowe przykłady scenariuszy obejmują:

  • Wyłącz wyniki z ważnością poniżej średniej
  • Wyłącz wyniki dla obrazów, których dostawca nie naprawi

Ważne

Aby utworzyć regułę, musisz mieć uprawnienia do edytowania zasad w usłudze Azure Policy. Dowiedz się więcej w temacie Uprawnienia RBAC platformy Azure w usłudze Azure Policy.

Można użyć kombinacji dowolnego z następujących kryteriów:

  • CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
  • Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
  • Minimalna ważność — wybierz pozycję niska, średnia, wysoka lub krytyczna, aby wykluczyć luki w zabezpieczeniach mniejsze niż określony poziom ważności.
  • Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

Wyłącz reguły stosowane zgodnie z zaleceniem, na przykład aby wyłączyć cve-2017-17512 zarówno na obrazach rejestru, jak i obrazach środowiska uruchomieniowego, reguła wyłączenia musi być skonfigurowana w obu miejscach.

Uwaga

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Aby utworzyć regułę

  1. Na stronie szczegółów zaleceń dla obrazów rejestru kontenerów powinny znajdować się luki w zabezpieczeniach rozwiązane za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender lub Kontenery uruchomione na platformie Azure powinny mieć rozwiązane wyniki luk w zabezpieczeniach, wybierz pozycję Wyłącz regułę.

  2. Wybierz odpowiedni zakres.

  3. Zdefiniuj kryteria. Można użyć dowolnego z następujących kryteriów:

    • CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
    • Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
    • Minimalna ważność — wybierz niski, średni, wysoki lub krytyczny, aby wykluczyć luki w zabezpieczeniach mniejsze niż i równe określonemu poziomowi ważności.
    • Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

  4. W polu tekstowym uzasadnienia dodaj uzasadnienie, dlaczego określona luka w zabezpieczeniach została wyłączona. Zapewnia to przejrzystość i zrozumienie dla każdej osoby przeglądającej regułę.

  5. Wybierz pozycję Zastosuj regułę.

    Zrzut ekranu przedstawiający sposób tworzenia reguły wyłączania wyników luk w zabezpieczeniach na obrazach rejestru.

    Ważne

    Wprowadzenie zmian może potrwać do 24 godzin.

Aby wyświetlić, zastąpić lub usunąć regułę

  1. Na stronie szczegółów zaleceń wybierz pozycję Wyłącz regułę.

  2. Z listy zakresów subskrypcje z aktywnymi regułami są wyświetlane jako Zastosowana reguła.

  3. Aby wyświetlić lub usunąć regułę, wybierz menu wielokropka ("...").

  4. Wykonaj jedną z następujących czynności:

    • Aby wyświetlić lub zastąpić regułę wyłączenia — wybierz pozycję Wyświetl regułę, wprowadź dowolne zmiany i wybierz pozycję Przesłoń regułę.
    • Aby usunąć regułę wyłączenia — wybierz pozycję Usuń regułę.

    Zrzut ekranu przedstawiający miejsce wyświetlania, usuwania lub zastępowania reguły w celu znalezienia luk w zabezpieczeniach na obrazach rejestru.

Następne kroki