Vanliga frågor om att skydda containrar

Du kan använda Azure Policy Configure Microsoft Defender for Containers to be enabledför att aktivera Defender för containrar i stor skala. Du kan också se alla alternativ som är tillgängliga för att aktivera Microsoft Defender för containrar.

Ja.

Nej. Endast AKS-kluster (Azure Kubernetes Service) som använder VM-skalningsuppsättningar (Virtual Machine Scale Sets) för noderna stöds.

Nej. AKS är en hanterad tjänst och manipulering av IaaS-resurserna stöds inte. Log Analytics VM-tillägget behövs inte och kan resultera i extra avgifter.

Du kan använda din befintliga Log Analytics-arbetsyta genom att följa stegen i avsnittet Tilldela en anpassad arbetsyta i den här artikeln.

Vi rekommenderar inte att du tar bort standardarbetsytan. Defender for Containers använder standardarbetsytorna för att samla in säkerhetsdata från dina kluster. Defender for Containers kan inte samla in data, och vissa säkerhetsrekommendationer och aviseringar blir otillgängliga om du tar bort standardarbetsytan.

För att återställa standardarbetsytan måste du ta bort Defender-sensorn och installera om sensorn. Om du installerar om Defender-sensorn skapas en ny standardarbetsyta.

Beroende på din region kan standardarbetsytan för Log Analytics finnas på olika platser. Information om hur du kontrollerar din region finns i Var skapas standardarbetsytan i Log Analytics?

Defender-sensorn använder Log Analytics-arbetsytan för att skicka data från dina Kubernetes-kluster till Defender för molnet. Defender för molnet lägger till loganalysarbetsytan och resursgruppen som en parameter som sensorn ska använda.

Men om din organisation har en princip som kräver en specifik tagg på dina resurser kan sensorinstallationen misslyckas under resursgruppen eller standardsteget för att skapa arbetsytor. Om detta misslyckas kan du antingen:

• Tilldela en anpassad arbetsyta och lägg till alla taggar som din organisation behöver.

  eller

• Om ditt företag kräver att du taggar dina resurser går du till den principen och exkluderar följande resurser:

  1. Resursgruppen DefaultResourceGroup-<RegionShortCode>
  2. Arbetsytan DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode är en sträng med 2–4 bokstäver.

Defender for Containers hämtar avbildningen från registret och kör den i en isolerad sandbox-miljö med Microsoft Defender – hantering av säkerhetsrisker för miljöer med flera moln. Skannern extraherar en lista över kända säkerhetsrisker.

Defender för molnet filtrerar och klassificerar resultaten från skannern. Om en bild är felfri markerar Defender för molnet den som sådan. Defender för molnet genererar endast säkerhetsrekommendationer för avbildningar där det finns problem som behöver lösas. Defender för molnet skickar endast meddelanden när det finns problem, vilket minimerar mängden oönskade informationsaviseringar.

Gör följande för att identifiera pull-händelser som utförs av skannern:

1. Sök efter pull-händelser med UserAgent för AzureContainerImageScanner.
2. Extrahera identiteten som är associerad med den här händelsen.
3. Använd den extraherade identiteten för att identifiera pull-händelser från skannern.

• Inte tillämpliga resurser är resurser för vilka rekommendationen inte kan ge ett definitivt svar. Fliken inte tillämplig innehåller orsaker till varje resurs som inte kunde utvärderas.
• Overifierade resurser är resurser som är schemalagda att utvärderas, men inte utvärderas ännu.

Vissa bilder kan återanvända taggar från en bild som redan har genomsökts. Du kan till exempel tilldela om taggen "Senaste" varje gång du lägger till en bild i en sammanfattning. I sådana fall finns den "gamla" avbildningen fortfarande i registret och kan fortfarande hämtas av dess sammandrag. Om avbildningen har säkerhetsresultat och hämtas exponeras säkerhetsrisker.

Defender for Containers kan för närvarande endast skanna avbildningar i Azure Container Registry (ACR) och AWS Elastic Container Registry (ECR). Docker Registry, Microsofts artefaktregister/Microsoft Container Registry och Microsoft Azure Red Hat OpenShift (ARO) inbyggda containeravbildningsregister stöds inte. Avbildningar ska först importeras till ACR. Läs mer om hur du importerar containeravbildningar till ett Azure-containerregister.

Ja. Resultaten finns under REST API för underutvärderingar. Du kan också använda Azure Resource Graph (ARG), Kusto-liknande API för alla dina resurser: en fråga kan hämta en specifik genomsökning.

Om du vill kontrollera en bildtyp måste du använda ett verktyg som kan kontrollera det råa bildmanifestet, till exempel skopeo, och kontrollera formatet för råa avbildningar.

• För Formatet Docker v2 skulle manifestmedietypen vara application/vnd.docker.distribution.manifest.v1+json eller application/vnd.docker.distribution.manifest.v2+json, enligt beskrivningen här.
• För OCI-bildformatet skulle manifestmedietypen vara application/vnd.oci.image.manifest.v1+json och config media type application/vnd.oci.image.config.v1+json, enligt beskrivningen här.

Det finns två tillägg som tillhandahåller agentlösa CSPM-funktioner:

• Sårbarhetsbedömningar för agentlösa containrar: Tillhandahåller sårbarhetsbedömningar för agentlösa containrar. Läs mer om sårbarhetsbedömning för agentlösa containrar.
• Agentlös identifiering för Kubernetes: Tillhandahåller API-baserad identifiering av information om Kubernetes-klusterarkitektur, arbetsbelastningsobjekt och installation.

Om du vill registrera flera prenumerationer samtidigt kan du använda det här skriptet.

Om du inte ser resultat från dina kluster kontrollerar du följande frågor:

• Har du stoppat kluster?
• Är dina resursgrupper, prenumerationer eller kluster låsta? Om svaret på någon av dessa frågor är ja kan du läsa svaren i följande frågor.

Vi stöder inte eller debiterar inte stoppade kluster. Om du vill hämta värdet för agentlösa funktioner i ett stoppat kluster kan du köra klustret igen.

Vi rekommenderar att du låser upp den låsta resursgruppen/prenumerationen/klustret, gör relevanta begäranden manuellt och sedan återlåser resursgruppen/prenumerationen/klustret genom att göra följande:

1. Aktivera funktionsflaggan manuellt via CLI med hjälp av betrodd åtkomst.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Utför bindningsåtgärden i CLI:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

För låsta kluster kan du också utföra något av följande steg:

• Ta bort låset.
• Utför bindningsåtgärden manuellt genom att göra en API-begäran. Läs mer om låsta resurser.

Läs mer om Kubernetes-versioner som stöds i Azure Kubernetes Service (AKS).

Det kan ta upp till 24 timmar innan ändringar återspeglas i säkerhetsdiagrammet, attackvägarna och säkerhetsutforskaren.

Följande steg tar bort rekommendationen för enskilda register som drivs av Trivy och lägger till det nya registret och körningsrekommendationerna som drivs av MDVM.

1. Öppna relevant AWS-anslutningsapp.
2. Öppna sidan Inställningar för Defender för containrar.
3. Aktivera sårbarhetsbedömning för agentlösa containrar.
4. Slutför stegen i anslutningsguiden, inklusive distribution av det nya registreringsskriptet i AWS.
5. Ta bort resurserna som skapades manuellt under registreringen:
   • S3-bucket med prefixet defender-for-containers-va
   • ECS-kluster med namnet defender-for-containers-va
   • VPC:
     • Tagga name med värdet defender-for-containers-va
     • IP-undernät CIDR 10.0.0.0/16
     • Associerad med standardsäkerhetsgruppen med taggen name och värdet defender-for-containers-va som har en regel för all inkommande trafik.
     • Undernät med taggen name och värdet defender-for-containers-va i VPC defender-for-containers-va med CIDR 10.0.1.0/24 IP-undernätet som används av ECS-klustret defender-for-containers-va
     • Internet Gateway med taggen name och värdet defender-for-containers-va
     • Routningstabell – Routningstabell med taggen name och värdet defender-for-containers-va, och med dessa vägar:
       • Mål: 0.0.0.0/0; Mål: Internet Gateway med taggen name och värdet defender-for-containers-va
       • Mål: 10.0.0.0/16; Mål: local

Om du vill få sårbarhetsbedömningar för att köra avbildningar aktiverar du antingen Agentlös identifiering för Kubernetes eller distribuerar Defender-sensorn i dina Kubernetes-kluster.

Nästa steg

Läs mer om Defender för containrar