Skapa undantag och inaktivera sårbarhetsbedömningsresultat på containerregisteravbildningar och köra avbildningar

  • Artikel

Kommentar

Du kan anpassa sårbarhetsbedömningen genom att undanta hanteringsgrupper, prenumerationer eller specifika resurser från din säkerhetspoäng. Lär dig hur du skapar ett undantag för en resurs eller prenumeration.

Om du har en organisation som behöver ignorera en sökning i stället för att åtgärda den kan du inaktivera den. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.

När en sökning matchar de kriterier som du definierade i dina inaktiverade regler visas den inte i listan över resultat. Exempel på typiska scenarion är:

  • Inaktivera resultat med allvarlighetsgrad under medel
  • Inaktivera resultat för avbildningar som leverantören inte åtgärdar

Viktigt!

För att skapa en regel behöver du behörighet att redigera en princip i Azure Policy. Läs mer i Azure RBAC-behörigheter i Azure Policy.

Du kan använda en kombination av något av följande kriterier:

  • CVE – Ange CVE:erna för de resultat som du vill exkludera. Kontrollera att CVE:erna är giltiga. Avgränsa flera CVE:er med semikolon. Till exempel CVE-2020-1347; CVE-2020-1346.
  • Bildsammandrag – Ange bilder för vilka sårbarheter som ska undantas baserat på bildsammandraget. Avgränsa flera sammandrag med semikolon, till exempel: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • OS-version – Ange avbildningar för vilka sårbarheter som ska undantas baserat på avbildningsoperativsystemet. Avgränsa flera versioner med semikolon, till exempel: ubuntu_linux_20.04; alpine_3.17
  • Minsta allvarlighetsgrad – Välj låg, medel, hög eller kritisk för att undanta sårbarheter som är mindre än den angivna allvarlighetsgraden.
  • Åtgärda status – Välj alternativet för att exkludera sårbarheter baserat på deras korrigeringsstatus.

Inaktivera regler gäller per rekommendation, till exempel för att inaktivera CVE-2017-17512 både på registeravbildningar och körningsavbildningar, måste inaktivera-regeln konfigureras på båda platserna.

Kommentar

Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Skapa en regel

  1. På informationssidan för rekommendationer för containerregisteravbildningar bör sårbarhetsresultat lösas med hjälp av Microsoft Defender – hantering av säkerhetsrisker eller Containrar som körs i Azure bör ha sårbarhetsresultat lösta, välj Inaktivera regel.

  2. Välj relevant omfång.

  3. Definiera dina kriterier. Du kan använda något av följande kriterier:

    • CVE – Ange CVE:erna för de resultat som du vill exkludera. Kontrollera att CVE:erna är giltiga. Avgränsa flera CVE:er med semikolon. Till exempel CVE-2020-1347; CVE-2020-1346.
    • Bildsammandrag – Ange bilder för vilka sårbarheter som ska undantas baserat på bildsammandraget. Avgränsa flera sammandrag med semikolon, till exempel: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • OS-version – Ange avbildningar för vilka sårbarheter som ska undantas baserat på avbildningsoperativsystemet. Avgränsa flera versioner med semikolon, till exempel: ubuntu_linux_20.04; alpine_3.17
    • Minsta allvarlighetsgrad – Välj låg, medelhög, hög eller kritisk för att undanta sårbarheter som är mindre än och lika med den angivna allvarlighetsgraden.
    • Åtgärda status – Välj alternativet för att exkludera sårbarheter baserat på deras korrigeringsstatus.

  4. I textrutan för motivering lägger du till din motivering för varför en specifik säkerhetsrisk har inaktiverats. Detta ger klarhet och förståelse för alla som granskar regeln.

  5. Välj Tillämpa regel.

    Skärmbild som visar var du skapar en inaktivera-regel för sårbarhetsresultat på registeravbildningar.

    Viktigt!

    Det kan ta upp till 24 timmar innan ändringarna börjar gälla.

Visa, åsidosätta eller ta bort en regel

  1. På informationssidan för rekommendationer väljer du Inaktivera regel.

  2. I omfångslistan visas prenumerationer med aktiva regler som Regel tillämpad.

  3. Om du vill visa eller ta bort regeln väljer du ellipsmenyn ("...").

  4. Gör något av följande:

    • Om du vill visa eller åsidosätta en inaktivera-regel väljer du Visa regel, gör önskade ändringar och väljer Åsidosätt regel.
    • Om du vill ta bort en inaktivera-regel väljer du Ta bort regel.

    Skärmbild som visar var du vill visa, ta bort eller åsidosätta en regel för sårbarhetsresultat på registeravbildningar.

Nästa steg