Compartilhar via


Crie isenções e desabilite as constatações da avaliação de vulnerabilidade em imagens em execução do Registro de contêiner

Observação

Você pode personalizar sua experiência de avaliação de vulnerabilidade isentando grupos de gerenciamento, assinaturas ou recursos específicos de sua pontuação de segurança. Saiba como criar uma isenção para um recurso ou assinatura.

Caso você tenha uma necessidade organizacional para ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desabilitá-la. As descobertas desabilitadas não afetam sua Secure Score nem geram ruído indesejado.

Quando uma descoberta corresponde aos critérios definidos em suas regras de desabilitação, ela não aparece na lista de descobertas. Exemplos de cenários típicos incluem:

  • Desabilitar conclusões com severidade abaixo da média
  • Desabilitar descobertas para imagens que o fornecedor não corrigirá

Importante

Para criar uma regra, você precisa de permissões para editar políticas no Azure Policy. Saiba mais em Permissões do RBAC do Azure no Azure Policy.

Você pode usar qualquer um dos seguintes critérios:

  • CVE – insira os CVEs das descobertas que você deseja excluir. Verifique se os CVEs são válidos. Separe vários CVEs com um ponto e vírgula. Por exemplo, CVE-2020-1347; CVE-2020-1346.
  • Resumo da imagem – especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no resumo da imagem. Separe vários resumos com um ponto e vírgula, por exemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Versão do SO – especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no SO da imagem. Separe várias versões com um ponto e vírgula, por exemplo: ubuntu_linux_20.04;alpine_3.17
  • Severidade mínima: selecione baixa, média, alta ou crítica para excluir vulnerabilidades menores que e iguais ao nível de severidade especificado.
  • Corrigir status – selecione a opção para excluir vulnerabilidades com base nos seus status de correção.

As regras de desabilitação se aplicam por recomendação, por exemplo, para desabilitar o CVE-2017-17512 nas imagens do registro e em imagens de runtime, a regra de desabilitação deve ser configurada em ambos os locais.

Observação

Os termos suplementares de versão prévia do Azure incluem termos legais adicionais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Para criar uma regra

  1. Na página de detalhes de recomendações para imagens do Registro de contêiner devem ter descobertas de vulnerabilidade resolvidas pelo Gerenciamento de Vulnerabilidades do Microsoft Defender ou Contêineres em execução no Azure devem ter as descobertas de vulnerabilidade resolvidas, selecione Desabilitar regra.

  2. Selecione o escopo relevante.

  3. Defina seus critérios. Você pode usar qualquer um dos seguintes critérios:

    • CVE – insira os CVEs das descobertas que você deseja excluir. Verifique se os CVEs são válidos. Separe vários CVEs com um ponto e vírgula. Por exemplo, CVE-2020-1347; CVE-2020-1346.
    • Resumo da imagem – especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no resumo da imagem. Separe vários resumos com um ponto e vírgula, por exemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Versão do SO – especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no SO da imagem. Separe várias versões com um ponto e vírgula, por exemplo: ubuntu_linux_20.04;alpine_3.17
    • Severidade mínima – selecione baixa, média, alta ou crítica para excluir vulnerabilidades menores que e iguais ao nível de severidade especificado.
    • Corrigir status – selecione a opção para excluir vulnerabilidades com base nos seus status de correção.
  4. Na caixa de texto de justificativa, adicione sua justificativa da desabilitação de uma vulnerabilidade específica. Isso fornece clareza e compreensão para qualquer pessoa que revise a regra.

  5. Selecione Aplicar regra.

    Captura de tela mostrando onde criar uma regra de desabilitação de descobertas de vulnerabilidade em imagens de registro.

    Importante

    Alterações podem levar até 24 horas para entrar em vigor.

Para exibir, substituir ou excluir uma regra

  1. Na página detalhes de recomendações, selecione Desabilitar regra.

  2. Na lista de escopo, as assinaturas com regras ativas são mostradas como Regra aplicada.

  3. Para exibir ou excluir a regra, selecione o menu de reticências ("...").

  4. Realize um dos seguintes procedimentos:

    • Para exibir ou substituir uma regra de desabilitação, selecione Exibir regra, faça as alterações desejadas e selecione Substituir regra.
    • Para excluir uma regra de desabilitação, selecione Excluir regra.

    Captura de tela mostrando onde exibir, excluir ou substituir uma regra de desabilitação de descobertas de vulnerabilidade em imagens de registro.

Próximas etapas