Perguntas comuns sobre a proteção de contentores

Você pode usar a Política Configure Microsoft Defender for Containers to be enableddo Azure , para habilitar o Defender for Containers em escala. Você também pode ver todas as opções disponíveis para habilitar o Microsoft Defender for Containers.

Sim.

N.º Apenas clusters do Azure Kubernetes Service (AKS) que utilizam Conjuntos de Dimensionamento de Máquinas Virtuais para os nós são suportados.

Não, o AKS é um serviço gerido e a manipulação dos recursos de IaaS não é suportada. A extensão de VM do Log Analytics não é necessária e pode resultar em cobranças extras.

Você pode usar seu espaço de trabalho existente do Log Analytics seguindo as etapas na seção Atribuir um espaço de trabalho personalizado deste artigo.

Não recomendamos excluir o espaço de trabalho padrão. O Defender for Containers usa os espaços de trabalho padrão para coletar dados de segurança de seus clusters. O Defender for Containers não poderá coletar dados, e algumas recomendações e alertas de segurança ficarão indisponíveis se você excluir o espaço de trabalho padrão.

Para recuperar seu espaço de trabalho padrão, você precisa remover o sensor Defender e reinstalá-lo. A reinstalação do sensor Defender cria um novo espaço de trabalho padrão.

Dependendo da sua região, o espaço de trabalho padrão do Log Analytics pode estar localizado em vários locais. Para verificar sua região, consulte Onde o espaço de trabalho padrão do Log Analytics é criado?

O sensor do Defender usa o espaço de trabalho de análise de log para enviar dados de seus clusters Kubernetes para o Defender for Cloud. O Defender for Cloud adiciona o espaço de trabalho analítico Log e o grupo de recursos como um parâmetro a ser usado pelo sensor.

No entanto, se sua organização tiver uma política que exija uma tag específica em seus recursos, isso poderá fazer com que a instalação do sensor falhe durante o grupo de recursos ou o estágio de criação do espaço de trabalho padrão. Se falhar, pode:

• Atribua um espaço de trabalho personalizado e adicione qualquer tag que sua organização requeira.

  ou

• Se a sua empresa exigir que etiquete o seu recurso, deverá navegar até essa política e eliminar os seguintes recursos:

  1. O grupo de recursos DefaultResourceGroup-<RegionShortCode>
  2. O espaço de trabalho DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode é uma cadeia de 2 a 4 letras.

O Defender for Containers extrai a imagem do Registro e a executa em uma área restrita isolada com o Gerenciamento de Vulnerabilidades do Microsoft Defender para ambientes multicloud. O scanner extrai uma lista de vulnerabilidades conhecidas.

O Defender para a Cloud filtra e classifica os resultados do scanner. Quando uma imagem está em bom estado de funcionamento, o Defender para a Cloud marca-a como tal. O Defender para a Cloud gera recomendações de segurança apenas para imagens que têm problemas a resolver. Ao notificá-lo apenas quando existem problemas, o Defender para a Cloud reduz o potencial de alertas informativos indesejados.

Para identificar eventos pull executados pelo scanner, execute as seguintes etapas:

1. Procure eventos pull com o UserAgent do AzureContainerImageScanner.
2. Extraia a identidade associada a este evento.
3. Use a identidade extraída para identificar eventos pull do scanner.

• Recursos não aplicáveis são recursos para os quais a recomendação não pode dar uma resposta definitiva. A guia não aplicável inclui motivos para cada recurso que não pôde ser avaliado.
• Recursos não verificados são recursos programados para serem avaliados, mas ainda não avaliados.

Algumas imagens podem reutilizar tags de uma imagem que já foi digitalizada. Por exemplo, você pode reatribuir a tag "Mais recente" toda vez que adicionar uma imagem a um resumo. Nesses casos, a imagem "antiga" ainda existe no registro e ainda pode ser puxada por seu resumo. Se a imagem tiver descobertas de segurança e for extraída, ela exporá vulnerabilidades de segurança.

Atualmente, o Defender for Containers pode digitalizar imagens somente no Azure Container Registry (ACR) e no AWS Elastic Container Registry (ECR). Não há suporte para o Docker Registry, o Microsoft Artifact Registry/Microsoft Container Registry e o registro de imagem de contêiner interno do Microsoft Azure Red Hat OpenShift (ARO). As imagens devem primeiro ser importadas para o ACR. Saiba mais sobre como importar imagens de contêiner para um registro de contêiner do Azure.

Sim. Os resultados estão em Subavaliações REST API. Além disso, você pode usar o Azure Resource Graph (ARG), a API semelhante ao Kusto para todos os seus recursos: uma consulta pode buscar uma verificação específica.

Para verificar um tipo de imagem, você precisa usar uma ferramenta que possa verificar o manifesto da imagem bruta, como o skopeo, e inspecionar o formato da imagem bruta.

• Para o formato Docker v2, o tipo de mídia de manifesto seria application/vnd.docker.distribution.manifest.v1+json ou application/vnd.docker.distribution.manifest.v2+json, conforme documentado aqui.
• Para o formato de imagem OCI, o tipo de mídia de manifesto seria application/vnd.oci.image.manifest.v1+json e config media type application/vnd.oci.image.config.v1+json, conforme documentado aqui.

Há duas extensões que fornecem a funcionalidade CSPM sem agente:

• Avaliações de vulnerabilidade de contêineres sem agente: fornece avaliações de vulnerabilidade de contêineres sem agente. Saiba mais sobre a avaliação de vulnerabilidade do Contêiner sem agente.
• Descoberta sem agente para Kubernetes: fornece descoberta baseada em API de informações sobre arquitetura de cluster do Kubernetes, objetos de carga de trabalho e configuração.

Para integrar várias assinaturas ao mesmo tempo, você pode usar esse script.

Se não vir os resultados dos seus clusters, verifique as seguintes perguntas:

• Vocês pararam os clusters?
• Os seus grupos de recursos, subscrições ou clusters estão bloqueados? Se a resposta a qualquer uma destas perguntas for sim, ver as respostas nas perguntas seguintes.

Não suportamos nem carregamos clusters parados. Para obter o valor das capacidades sem agente num cluster parado, pode voltar a executar o cluster.

Sugerimos que você desbloqueie o grupo/assinatura/cluster de recursos bloqueado, faça as solicitações relevantes manualmente e, em seguida, bloqueie novamente o grupo/assinatura/cluster de recursos fazendo o seguinte:

1. Habilite o sinalizador de recurso manualmente via CLI usando o Acesso Confiável.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Execute a operação de ligação na CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Para clusters bloqueados, você também pode executar uma das seguintes etapas:

• Remova a fechadura.
• Execute a operação de ligação manualmente fazendo uma solicitação de API. Saiba mais sobre recursos bloqueados.

Saiba mais sobre as versões suportadas do Kubernetes no Serviço Kubernetes do Azure (AKS).

Pode levar até 24 horas para que as alterações reflitam no gráfico de segurança, nos caminhos de ataque e no explorador de segurança.

As etapas a seguir removerão a recomendação de registro único alimentada pelo Trivy e adicionarão as novas recomendações de registro e tempo de execução que são alimentadas pelo MDVM.

1. Abra o conector da AWS relevante.
2. Abra a página Configurações do Defender for Containers.
3. Habilite a avaliação de vulnerabilidade de contêiner sem agente.
4. Conclua as etapas do assistente de conector, incluindo a implantação do novo script de integração na AWS.
5. Exclua manualmente os recursos criados durante a integração:
   • Bucket do S3 com o prefixo defender-for-containers-va
   • Cluster ECS com o nome defender-for-containers-va
   • VPC:
     • Marcar name com o valor defender-for-containers-va
     • Sub-rede IP CIDR 10.0.0.0/16
     • Associado ao security group padrão com a tag name e o valor defender-for-containers-va que tem uma regra de todo o tráfego de entrada.
     • Sub-rede com a tag name e o valor defender-for-containers-va na defender-for-containers-va VPC com a sub-rede IP CIDR 10.0.1.0/24 usada pelo cluster ECS defender-for-containers-va
     • Internet Gateway com a tag name e o valor defender-for-containers-va
     • Tabela de rotas - Tabela de rotas com a tag name e o valor defender-for-containers-va, e com estas rotas:
       • Destino: 0.0.0.0/0; Destino: Gateway da Internet com a tag name e o valor defender-for-containers-va
       • Destino: 10.0.0.0/16; Público-alvo: local

Para obter avaliações de vulnerabilidade para imagens em execução, habilite a descoberta sem agente para Kubernetes ou implante o sensor Defender em seus clusters Kubernetes.

Próximos passos

Saiba mais sobre o Defender for Containers