Tworzenie wykluczeń i wyłączanie wyników oceny luk w zabezpieczeniach na obrazach rejestru kontenerów i uruchamianie obrazów (wskaźnik bezpieczeństwa)

Uwaga

Możesz dostosować środowisko oceny luk w zabezpieczeniach, wykluczając grupy zarządzania, subskrypcje lub określone zasoby z wskaźnika bezpieczeństwa. Dowiedz się, jak utworzyć wykluczenie dla zasobu lub subskrypcji.

Jeśli masz organizacyjną potrzebę ignorowania znajdowania, a nie korygowania, możesz ją opcjonalnie wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.

Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie jest ona wyświetlana na liście wyników. Typowe przykłady scenariuszy obejmują:

• Wyłącz wyniki z ważnością poniżej średniej
• Wyłącz wyniki dla obrazów, których dostawca nie naprawi

Ważne

Aby utworzyć regułę, musisz mieć uprawnienia do edytowania zasad w usłudze Azure Policy. Dowiedz się więcej w temacie Uprawnienia RBAC platformy Azure w usłudze Azure Policy.

Można użyć kombinacji dowolnego z następujących kryteriów:

• CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
• Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
• Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
• Minimalna ważność — wybierz pozycję niska, średnia, wysoka lub krytyczna, aby wykluczyć luki w zabezpieczeniach mniejsze niż określony poziom ważności.
• Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

Wyłącz reguły stosowane zgodnie z zaleceniem, na przykład aby wyłączyć cve-2017-17512 zarówno na obrazach rejestru, jak i obrazach środowiska uruchomieniowego, reguła wyłączenia musi być skonfigurowana w obu miejscach.

Uwaga

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Aby utworzyć regułę:

1. Na stronie szczegółów zaleceń dla obrazów rejestru kontenerów powinny znajdować się luki w zabezpieczeniach rozwiązane za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender lub Uruchomione obrazy kontenerów powinny mieć usunięte wyniki luk w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender wybierz pozycję Wyłącz regułę.

2. Wybierz odpowiedni zakres.

3. Zdefiniuj kryteria. Można użyć dowolnego z następujących kryteriów:

   • CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
   • Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
   • Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
   • Minimalna ważność — wybierz niski, średni, wysoki lub krytyczny, aby wykluczyć luki w zabezpieczeniach mniejsze niż i równe określonemu poziomowi ważności.
   • Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

4. W polu tekstowym uzasadnienia dodaj uzasadnienie, dlaczego określona luka w zabezpieczeniach została wyłączona. Zapewnia to przejrzystość i zrozumienie dla każdej osoby przeglądającej regułę.

5. Wybierz pozycję Zastosuj regułę.

   

   Ważne

   Wprowadzenie zmian może potrwać do 24 godzin.

Aby wyświetlić, zastąpić lub usunąć regułę:

1. Na stronie szczegółów zaleceń wybierz pozycję Wyłącz regułę.

2. Z listy zakresów subskrypcje z aktywnymi regułami są wyświetlane jako Zastosowana reguła.

3. Aby wyświetlić lub usunąć regułę, wybierz menu wielokropka ("...").

4. Wykonaj jedną z następujących czynności:

   • Aby wyświetlić lub zastąpić regułę wyłączenia — wybierz pozycję Wyświetl regułę, wprowadź dowolne zmiany i wybierz pozycję Przesłoń regułę.
   • Aby usunąć regułę wyłączenia — wybierz pozycję Usuń regułę.

   

Następne kroki

• Dowiedz się, jak wyświetlać i korygować wyniki oceny luk w zabezpieczeniach dla obrazów rejestru.
• Dowiedz się więcej na temat stanu kontenera bez agenta.