Typowe pytania dotyczące ochrony kontenerów

Uzyskiwanie odpowiedzi na często zadawane pytania dotyczące ochrony kontenerów

Jakie są opcje włączania nowego planu na dużą skalę?

Za pomocą usługi Azure Policy Configure Microsoft Defender for Containers to be enabledmożna włączyć usługę Defender for Containers na dużą skalę. Możesz również wyświetlić wszystkie opcje, które są dostępne do włączenia usługi Microsoft Defender for Containers.

Czy Microsoft Defender dla Kontenerów obsługuje klastry usługi AKS z zestawami skalowania maszyn wirtualnych?

Tak.

Czy Microsoft Defender dla Kontenerów obsługuje usługę AKS bez zestawu skalowania (ustawienie domyślne)?

L.p. Obsługiwane są tylko klastry usługi Azure Kubernetes Service (AKS), które używają Virtual Machine Scale Sets dla węzłów.

Czy muszę zainstalować rozszerzenie maszyny wirtualnej usługi Log Analytics w węzłach usługi AKS na potrzeby ochrony zabezpieczeń?

Nie, AKS jest usługą zarządzaną, a manipulowanie zasobami IaaS nie jest obsługiwane. Rozszerzenie maszyny wirtualnej usługi Log Analytics nie jest potrzebne i może spowodować dodatkowe opłaty.

Jak mogę używać istniejącego obszaru roboczego usługi Log Analytics?

Możesz użyć istniejącego obszaru roboczego usługi Log Analytics, wykonując kroki opisane w sekcji Przypisywanie niestandardowego obszaru roboczego tego artykułu.

Czy mogę usunąć domyślne obszary robocze utworzone przez Defender dla Chmury?

Nie zalecamy usuwania domyślnego obszaru roboczego. Usługa Defender for Containers używa domyślnych obszarów roboczych do zbierania danych zabezpieczeń z klastrów. Usługa Defender for Containers nie będzie mogła zbierać danych, a niektóre zalecenia dotyczące zabezpieczeń i alerty staną się niedostępne, jeśli usuniesz domyślny obszar roboczy.

Usunięto domyślny obszar roboczy, jak mogę go odzyskać?

Aby odzyskać domyślny obszar roboczy, musisz usunąć czujnik usługi Defender i ponownie zainstalować czujnik. Ponowne zainstalowanie czujnika usługi Defender powoduje utworzenie nowego domyślnego obszaru roboczego.

Gdzie znajduje się domyślny obszar roboczy usługi Log Analytics?

W zależności od regionu domyślny obszar roboczy usługi Log Analytics może znajdować się w różnych lokalizacjach. Aby sprawdzić region, zobacz Gdzie jest utworzony domyślny obszar roboczy usługi Log Analytics?

Moja organizacja wymaga ode mnie tagowania moich zasobów, a wymagany czujnik nie został zainstalowany, co poszło nie tak?

Czujnik usługi Defender używa obszaru roboczego usługi Log Analytics do wysyłania danych z klastrów Kubernetes do Defender dla Chmury. Defender dla Chmury dodaje obszar roboczy analizy dzienników i grupę zasobów jako parametr do użycia przez czujnik.

Jeśli jednak organizacja ma zasady wymagające określonego tagu zasobów, może to spowodować niepowodzenie instalacji czujnika podczas grupy zasobów lub domyślnego etapu tworzenia obszaru roboczego. Jeśli wystąpi błąd, możesz wykonać następujące czynności:

  • Przypisz niestandardowy obszar roboczy i dodaj dowolny tag wymagany przez organizację.

    lub

  • Jeśli firma wymaga tagowania zasobu, należy przejść do tych zasad i wykluczyć następujące zasoby:

    1. Grupa zasobów DefaultResourceGroup-<RegionShortCode>
    2. Obszar roboczy DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode jest ciągiem złożonym z 2–4 liter.

Jak usługa Defender dla Kontenerów skanuje obraz?

Usługa Defender for Containers ściąga obraz z rejestru i uruchamia go w izolowanej piaskownicy z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender dla środowisk wielochmurowych. Skaner wyodrębnia listę znanych luk w zabezpieczeniach.

Defender dla Chmury filtruje i klasyfikuje wyniki ze skanera. Gdy obraz jest w dobrej kondycji, Defender dla Chmury tak go oznacza. Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń tylko dla obrazów, które mają problemy do rozwiązania. Powiadamiając tylko o problemach, Defender dla Chmury ogranicza ilość niepożądanych alertów z informacjami.

Jak mogę zidentyfikować zdarzenia ściągnięcia wykonywane przez skaner?

Aby zidentyfikować zdarzenia ściągnięcia wykonywane przez skaner, wykonaj następujące czynności:

  1. Wyszukaj zdarzenia ściągnięcia za pomocą elementu UserAgent w usłudze AzureContainerImageScanner.
  2. Wyodrębnij tożsamość skojarzona z tym zdarzeniem.
  3. Użyj wyodrębnionej tożsamości, aby zidentyfikować zdarzenia ściągnięcia ze skanera.

Jaka jest różnica między nie dotyczymi zasobów i niezweryfikowanych zasobów?

  • Nie dotyczy zasobów to zasoby , dla których zalecenie nie może udzielić ostatecznej odpowiedzi. Karta Nie dotyczy zawiera przyczyny dla każdego zasobu, którego nie można ocenić.
  • Niezweryfikowane zasoby to zasoby , które mają zostać ocenione, ale nie zostały jeszcze ocenione.

Dlaczego Defender dla Chmury wysyłać do mnie alerty o lukach w zabezpieczeniach dotyczących obrazu, który nie znajduje się w moim rejestrze?

Niektóre obrazy mogą używać ponownie tagów z obrazu, który został już zeskanowany. Możesz na przykład ponownie przypisać tag "Latest" za każdym razem, gdy dodasz obraz do skrótu. W takich przypadkach obraz "stary" nadal istnieje w rejestrze i może być nadal ściągany przez jego skrót. Jeśli obraz zawiera wyniki zabezpieczeń i jest ściągany, uwidacznia luki w zabezpieczeniach.

Czy usługa Defender for Containers skanuje obrazy w usłudze Microsoft Container Registry?

Obecnie usługa Defender for Containers może skanować obrazy tylko w usłudze Azure Container Registry (ACR) i usłudze AWS Elastic Container Registry (ECR). Rejestr platformy Docker, Rejestr Artefaktów Microsoft/Microsoft Container Registry i wbudowane rejestry obrazów kontenerów platformy Microsoft Azure Red Hat OpenShift (ARO) nie są obsługiwane. Najpierw należy zaimportować obrazy do usługi ACR. Dowiedz się więcej o importowaniu obrazów kontenerów do rejestru kontenerów platformy Azure.

Czy mogę uzyskać wyniki skanowania za pośrednictwem interfejsu API REST?

Tak. Wyniki znajdują się w obszarze Interfejs API REST ocen podrzędnych. Ponadto możesz użyć usługi Azure Resource Graph (ARG), interfejsu API przypominającego usługę Kusto dla wszystkich zasobów: zapytanie może pobrać określone skanowanie.

Jak mogę sprawdzić, którego typu nośnika używa mój kontener?

Aby sprawdzić typ obrazu, należy użyć narzędzia, które może sprawdzić manifest nieprzetworzonego obrazu, taki jak skopeo, i sprawdzić nieprzetworzonego formatu obrazu.

  • W przypadku formatu platformy Docker w wersji 2 typ nośnika manifestu to application/vnd.docker.distribution.manifest.v1+json lub application/vnd.docker.distribution.manifest.v2+json, zgodnie z dokumentacją tutaj.
  • W przypadku formatu obrazu OCI typ nośnika manifestu to application/vnd.oci.image.manifest.v1+json oraz typ nośnika konfiguracji application/vnd.oci.image.config.v1+json, jak opisano tutaj.

Jakie są rozszerzenia do zarządzania stanem kontenera bez agenta?

Istnieją dwa rozszerzenia, które zapewniają funkcje CSPM bez agenta:

  • Oceny luk w zabezpieczeniach kontenerów bez agenta: udostępnia oceny luk w zabezpieczeniach kontenerów bez agentów. Dowiedz się więcej na temat oceny luk w zabezpieczeniach kontenera bez agenta.
  • Odnajdywanie bez agenta dla platformy Kubernetes: zapewnia oparte na interfejsie API odnajdywanie informacji o architekturze klastra Kubernetes, obiektach obciążeń i konfiguracji.

Jak mogę dołączyć wiele subskrypcji jednocześnie?

Aby dołączyć wiele subskrypcji jednocześnie, możesz użyć tego skryptu.

Dlaczego nie widzę wyników z moich klastrów?

Jeśli nie widzisz wyników z klastrów, sprawdź następujące pytania:

  • Czy klastry zostały zatrzymane?
  • Czy grupy zasobów, subskrypcje lub klastry są zablokowane? Jeśli odpowiedź na jedną z tych pytań brzmi tak, zobacz odpowiedzi na następujące pytania.

Co mogę zrobić, jeśli zatrzymano klastry?

Nie obsługujemy ani nie naliczamy opłat za zatrzymane klastry. Aby uzyskać wartość możliwości bez agentów w zatrzymanym klastrze, możesz ponownie uruchomić klaster.

Co zrobić, jeśli mam zablokowane grupy zasobów, subskrypcje lub klastry?

Zalecamy odblokowanie zablokowanej grupy zasobów/subskrypcji/klastra, ręczne wykonywanie odpowiednich żądań, a następnie ponowne zablokowanie grupy zasobów/subskrypcji/klastra, wykonując następujące czynności:

  1. Włącz flagę funkcji ręcznie za pomocą interfejsu wiersza polecenia przy użyciu zaufanego dostępu.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Wykonaj operację powiązania w interfejsie wiersza polecenia:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

W przypadku zablokowanych klastrów można również wykonać jedną z następujących czynności:

  • Usuń blokadę.
  • Wykonaj operację powiązania ręcznie, wysyłając żądanie interfejsu API. Dowiedz się więcej o zablokowanych zasobach.

Czy używasz zaktualizowanej wersji usługi AKS?

Jaki jest interwał odświeżania odnajdywania platformy Kubernetes bez agenta?

Może upłynąć do 24 godzin , aby zmiany odzwierciedlały się na wykresie zabezpieczeń, ścieżkach ataków i eksploratorze zabezpieczeń.

Jak mogę przeprowadzić uaktualnienie z wycofanej oceny luk w zabezpieczeniach Trivy do oceny luk w zabezpieczeniach platformy AWS obsługiwanej przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender?

Poniższe kroki spowodują usunięcie zalecenia dotyczącego pojedynczego rejestru obsługiwanego przez program Trivy i dodanie nowych zaleceń dotyczących rejestru i środowiska uruchomieniowego obsługiwanych przez rozwiązanie MDVM.

  1. Otwórz odpowiedni łącznik platformy AWS.
  2. Otwórz stronę Ustawienia dla usługi Defender for Containers.
  3. Włącz ocenę luk w zabezpieczeniach kontenera bez agenta.
  4. Wykonaj kroki kreatora łącznika, w tym wdrożenie nowego skryptu dołączania na platformie AWS.
  5. Ręcznie usuń zasoby utworzone podczas dołączania:
    • Zasobnik S3 z prefiksem defender-for-containers-va
    • Klaster USŁUGI ECS o nazwie defender-for-containers-va
    • VPC:
      • Tag name z wartością defender-for-containers-va
      • Podsieć IP CIDR 10.0.0.0/16
      • Skojarzona z domyślną grupą zabezpieczeń z tagiem name i wartością defender-for-containers-va zawierającą jedną regułę całego ruchu przychodzącego.
      • Podsieć z tagiem name i wartością defender-for-containers-va WPC defender-for-containers-va z podsiecią CIDR 10.0.1.0/24 ip używaną przez klaster ECSdefender-for-containers-va
      • Brama internetowa z tagiem name i wartością defender-for-containers-va
      • Tabela tras — tabela tras z tagiem name i wartością defender-for-containers-vaoraz z następującymi trasami:
        • Miejsce docelowe: 0.0.0.0/0; Cel: Brama internetowa z tagiem name i wartością defender-for-containers-va
        • Miejsce docelowe: 10.0.0.0/16; Cel: local

Aby uzyskać oceny luk w zabezpieczeniach na potrzeby uruchamiania obrazów, włącz odnajdywanie bez agenta dla platformy Kubernetes lub wdróż czujnik defender w klastrach Kubernetes.