Criar isenções e desativar as descobertas de avaliação de vulnerabilidade em imagens de registro de contêiner e imagens em execução

Nota

Você pode personalizar sua experiência de avaliação de vulnerabilidades isentando grupos de gerenciamento, assinaturas ou recursos específicos de sua pontuação segura. Saiba como criar uma isenção para um recurso ou assinatura.

Se você tiver uma necessidade organizacional de ignorar uma descoberta, em vez de corrigi-la, você pode opcionalmente desativá-la. As descobertas desativadas não afetam sua pontuação segura ou geram ruídos indesejados.

Quando uma localização corresponde aos critérios definidos nas regras de desativação, ela não aparece na lista de descobertas. Exemplos típicos de cenários incluem:

• Desativar descobertas com gravidade abaixo da média
• Desativar descobertas para imagens que o fornecedor não corrigirá

Importante

Para criar uma regra, você precisa de permissões para editar uma política na Política do Azure. Saiba mais em Permissões do RBAC do Azure na Política do Azure.

Você pode usar uma combinação de qualquer um dos seguintes critérios:

• CVE - Insira as CVEs das descobertas que você deseja excluir. Verifique se as CVEs são válidas. Separe vários CVEs com ponto-e-vírgula. Por exemplo, CVE-2020-1347; CVE-2020-1346.
• Image digest - Especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no resumo da imagem. Separe vários resumos com ponto-e-vírgula, por exemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
• Versão do SO - Especifique as imagens para as quais as vulnerabilidades devem ser excluídas com base no SO da imagem. Separe várias versões com ponto-e-vírgula, por exemplo: ubuntu_linux_20.04; alpine_3.17
• Severidade mínima - Selecione baixa, média, alta ou crítica para excluir vulnerabilidades inferiores ao nível de gravidade especificado.
• Status da correção - Selecione a opção para excluir vulnerabilidades com base em seu status de correção.

As regras de desativação aplicam-se por recomendação, por exemplo, para desativar o CVE-2017-17512 tanto nas imagens do registo como nas imagens de tempo de execução, a regra de desativação tem de ser configurada em ambos os locais.

Nota

Os Termos Suplementares do Azure Preview incluem termos legais adicionais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.

Para criar uma regra

1. Na página de detalhes de recomendações para imagens de registro de contêiner devem ter descobertas de vulnerabilidade resolvidas com tecnologia Microsoft Defender Gerenciamento de vulnerabilidades ou Contêineres em execução no Azure devem ter descobertas de vulnerabilidade resolvidas, selecione Desabilitar regra.

2. Selecione o escopo relevante.

3. Defina os seus critérios. Você pode usar qualquer um dos seguintes critérios:

   • CVE - Insira as CVEs das descobertas que você deseja excluir. Verifique se as CVEs são válidas. Separe vários CVEs com ponto-e-vírgula. Por exemplo, CVE-2020-1347; CVE-2020-1346.
   • Image digest - Especifique imagens para as quais as vulnerabilidades devem ser excluídas com base no resumo da imagem. Separe vários resumos com ponto-e-vírgula, por exemplo: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
   • Versão do SO - Especifique as imagens para as quais as vulnerabilidades devem ser excluídas com base no SO da imagem. Separe várias versões com ponto-e-vírgula, por exemplo: ubuntu_linux_20.04; alpine_3.17
   • Severidade mínima - Selecione baixa, média, alta ou crítica para excluir vulnerabilidades menores e iguais ao nível de gravidade especificado.
   • Status da correção - Selecione a opção para excluir vulnerabilidades com base em seu status de correção.

4. Na caixa de texto de justificação, adicione a sua justificação para o motivo pelo qual uma vulnerabilidade específica foi desativada. Isso proporciona clareza e compreensão para qualquer pessoa que revise a regra.

5. Selecione Aplicar regra.

   

   Importante

   As alterações podem levar até 24 horas para entrar em vigor.

Para exibir, substituir ou excluir uma regra

1. Na página de detalhes das recomendações, selecione Desativar regra.

2. Na lista de escopo, as assinaturas com regras ativas são exibidas como Regra aplicada.

3. Para visualizar ou excluir a regra, selecione o menu de reticências ("...").

4. Execute um dos seguintes procedimentos:

   • Para exibir ou substituir uma regra de desativação - selecione Exibir regra, faça as alterações desejadas e selecione Substituir regra.
   • Para excluir uma regra de desativação - selecione Excluir regra.

   

Próximos passos

• Saiba como visualizar e corrigir descobertas de avaliação de vulnerabilidade para imagens do Registro.
• Saiba mais sobre a postura do recipiente sem agente.