Utilize o Defender para contentores para digitalizar as suas imagens ACR para vulnerabilidades

Esta página explica como utilizar o Defender para os Contentores para digitalizar as imagens do contentor armazenadas no seu Azure Container Registry baseado em Azure Resource Manager, como parte das proteções fornecidas no Microsoft Defender for Cloud.

Para ativar a verificação de vulnerabilidades em contentores, tem de ativar o Defender para contentores. Quando o scanner, alimentado por Qualys, reporta vulnerabilidades, o Defender for Cloud apresenta as conclusões e informações relacionadas como recomendações. Além disso, as conclusões incluem informações relacionadas, tais como medidas de reparação, CVEs relevantes, pontuações de CVSS, e muito mais. Pode ver as vulnerabilidades identificadas para uma ou mais subscrições ou para um registo específico.

Dica

Também pode digitalizar imagens de contentores para vulnerabilidades, uma vez que as imagens são construídas nos seus fluxos de trabalho CI/CD GitHub. Saiba mais em Identificar imagens vulneráveis do recipiente nos seus fluxos de trabalho ci/CD.

Há quatro gatilhos para uma digitalização de imagem:

  • Em push - Sempre que uma imagem é empurrada para o seu registo, o Defender para recipientes digitaliza automaticamente essa imagem. Para ativar a digitalização de uma imagem, empurre-a para o seu repositório.

  • Recentemente puxado - Uma vez que são descobertas novas vulnerabilidades todos os dias, o Microsoft Defender for Containers também analisa, semanalmente, qualquer imagem que tenha sido puxada nos últimos 30 dias. Não há nenhum custo extra para estes rescans; como mencionado acima, você é cobrado uma vez por imagem.

  • Na importação - Azure Container Registry tem ferramentas de importação para levar imagens ao seu registo a partir de Docker Hub, Registo de Contentores da Microsoft ou outro registo de contentores Azure. O Microsoft Defender for Containers verifica quaisquer imagens suportadas que importe. Saiba mais em Importar imagens de contentores para um registo de contentores.

  • Digitalização contínua- Este gatilho tem dois modos:

    • Uma varredura contínua baseada num puxão de imagem. Esta digitalização é realizada a cada sete dias após a retirada de uma imagem, e apenas durante 30 dias após a imagem ter sido puxada. Este modo não requer o perfil de segurança ou extensão.

    • (Pré-visualização) Varredura contínua para imagens em execução. Esta digitalização é realizada de sete em sete dias durante o tempo que a imagem for executada. Este modo funciona em vez do modo acima quando o perfil Defender, ou extensão está a funcionar no cluster.

Este scan normalmente completa em 2 minutos, mas pode levar até 40 minutos. Para todas as vulnerabilidades identificadas, o Defender for Cloud fornece recomendações accuíveis, juntamente com uma classificação de gravidade, e orientações para como remediar o problema.

Defender para filtros Cloud e classifica as descobertas do scanner. Quando uma imagem é saudável, o Defender for Cloud marca-a como tal. O Defender for Cloud gera recomendações de segurança apenas para imagens que tenham problemas a resolver. Ao notificar apenas quando existem problemas, o Defender for Cloud reduz o potencial de alertas informativos indesejados.

Identificar vulnerabilidades em imagens nos registos de contentores do Azure

Para permitir a vulnerabilidade de imagens armazenadas no seu Azure Container Registry baseado em Azure Resource Manager:

  1. Ativar o Defender para recipientes para a sua subscrição. O Defender for Containers está agora pronto para digitalizar imagens nos seus registos.

    Nota

    Esta funcionalidade é carregada por imagem.

    Quando uma varredura é ativada, os resultados estão disponíveis como recomendações do Defender para cloud de 2 minutos até 15 minutos após a verificação estar concluída.

  2. Ver e remediar as conclusões como explicado abaixo.

Identificar vulnerabilidades em imagens em outros registos de contentores

  1. Utilize as ferramentas ACR para levar imagens ao seu registo a partir de Docker Hub ou do Registo do Contentor da Microsoft. Quando a importação termina, as imagens importadas são digitalizadas pela solução de avaliação de vulnerabilidade incorporada.

    Saiba mais em Importar imagens de contentores para um registo de contentores

    Quando a varredura estiver concluída (normalmente após aproximadamente 2 minutos, mas pode chegar aos 15 minutos), os resultados estão disponíveis como recomendações do Defender para cloud.

  2. Ver e remediar as conclusões como explicado abaixo.

Ver e remediar as descobertas

  1. Para ver as conclusões, abra a página recomendações . Se os problemas forem encontrados, verá a recomendação De que as imagens do registo do contentor tenham as conclusões de vulnerabilidade resolvidas.

    Recomendação para remediar as questões.

  2. Selecione a recomendação.

    A página de detalhes da recomendação abre com informações adicionais. Esta informação inclui a lista de registos com imagens vulneráveis ("Recursos afetados") e as medidas de reparação.

  3. Selecione um registo específico para ver os repositórios dentro dele que têm repositórios vulneráveis.

    Selecione um registo.

    A página de detalhes do registo abre com a lista de repositórios afetados.

  4. Selecione um repositório específico para ver os repositórios dentro dele que têm imagens vulneráveis.

    Selecione um repositório.

    A página de detalhes do repositório abre. Ele lista as imagens vulneráveis juntamente com uma avaliação da gravidade das descobertas.

  5. Selecione uma imagem específica para ver as vulnerabilidades.

    Selecione imagens.

    Abre a lista de resultados para a imagem selecionada.

    Lista de descobertas.

  6. Para saber mais sobre uma descoberta, selecione a descoberta.

    Os detalhes dos detalhes abrem.

    Descobertas detalham o painel.

    Este painel inclui uma descrição detalhada da questão e liga-se a recursos externos para ajudar a mitigar as ameaças.

  7. Siga os passos na secção de reparação deste painel.

  8. Quando tiver tomado as medidas necessárias para remediar a questão de segurança, substitua a imagem no seu registo:

    1. Empurre a imagem atualizada para ativar uma varredura.

    2. Consulte a página de recomendações para a recomendação As imagens do registo do contentor devem ter conclusões de vulnerabilidade resolvidas.

      Se a recomendação ainda aparecer e a imagem que manuseou ainda aparecer na lista de imagens vulneráveis, verifique novamente os passos de reparação.

    3. Quando tiver a certeza de que a imagem atualizada foi empurrada, digitalizada e já não aparece na recomendação, elimine a imagem vulnerável "antiga" do seu registo.

Desativar conclusões específicas

Nota

Os Termos Complementares de Pré-visualização do Azure incluem termos legais adicionais aplicáveis às funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não lançadas em disponibilidade geral.

Se tiver uma necessidade organizacional de ignorar uma descoberta, em vez de remediar, pode desativá-la opcionalmente. As descobertas desativadas não afetam a sua pontuação segura ou geram ruídos indesejados.

Quando uma descoberta corresponde aos critérios que definiu nas suas regras de desativação, não constará na lista de resultados. Os cenários típicos incluem:

  • Desativar as descobertas com severidade abaixo do meio
  • Desativar as conclusões que não são remendáveis
  • Desativar os resultados com pontuação CVSS abaixo de 6.5
  • Desativar as conclusões com texto específico na verificação ou categoria de segurança (por exemplo, "RedHat", "CentOS Security Update for sudo")

Importante

Para criar uma regra, precisa de permissões para editar uma política em Azure Policy.

Saiba mais em permissões Azure RBAC em Azure Policy.

Pode utilizar qualquer um dos seguintes critérios:

  • Encontrar ID
  • Categoria
  • Verificação de segurança
  • Pontuações cvss v3
  • Gravidade
  • Estado remendado

Para criar uma regra:

  1. A partir da página de detalhes das recomendações para imagens de registo de contentores deve ter conclusões de vulnerabilidade resolvidas, selecione Regra de Desativação.

  2. Selecione o âmbito relevante.

  3. Defina os seus critérios.

  4. Selecione Aplicar a regra.

    Criar uma regra de desativação para os resultados da VA no registo.

  5. Para ver, anular ou apagar uma regra:

    1. Selecione a regra de desativação.
    2. Da lista de âmbito, as subscrições com regras ativas mostram como regra aplicada. Modificar ou eliminar uma regra existente.
    3. Para visualizar ou eliminar a regra, selecione o menu de elipses ("...").

FAQ

Como é que o Defender para contentores digitaliza uma imagem?

O Defender for Containers retira a imagem do registo e executa-a numa caixa de areia isolada com o scanner Qualys. O scanner extrai uma lista de vulnerabilidades conhecidas.

O Defender para filtros Cloud classifica e classifica as descobertas do scanner. Quando uma imagem é saudável, o Defender for Cloud marca-a como tal. O Defender for Cloud gera recomendações de segurança apenas para imagens que tenham problemas a resolver. Ao notificá-lo apenas quando há problemas, o Defender for Cloud reduz o potencial de alertas informativos indesejados.

Posso obter os resultados da varredura através da API REST?

Sim. Os resultados estão em Sub-Avaliações REST API. Além disso, você pode usar Azure Resource Graph (ARG), a API semelhante a Kusto para todos os seus recursos: uma consulta pode obter uma digitalização específica.

Que tipos de registo são digitalizados? Que tipos são cobrados?

Para obter uma lista dos tipos de registos de contentores suportados pelo Microsoft Defender para registos de contentores, consulte Disponibilidade.

Se ligar registos não suportados à sua assinatura Azure, o Defender for Containers não os digitalizará e não cobrará por eles.

Posso personalizar as descobertas do scanner de vulnerabilidade?

Sim. Se tiver uma necessidade organizacional de ignorar uma descoberta, em vez de remediar, pode desativá-la opcionalmente. As descobertas desativadas não afetam a sua pontuação segura ou geram ruídos indesejados.

Saiba como criar regras para desativar as descobertas da ferramenta integrada de avaliação de vulnerabilidades.

Porque é que o Defender for Cloud está a alertar-me para as vulnerabilidades sobre uma imagem que não está no meu registo?

Algumas imagens podem reutilizar tags a partir de uma imagem que já foi digitalizada. Por exemplo, pode reatribuir a etiqueta "Mais recente" sempre que adicionar uma imagem a uma digestão. Nesses casos, a imagem 'antiga' ainda existe no registo e ainda pode ser puxada pela sua digestão. Se a imagem tiver descobertas de segurança e for retirada, exporá vulnerabilidades de segurança.

Passos seguintes

Saiba mais sobre os planos avançados de proteção do Microsoft Defender para cloud.