Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Defender for Containers utför en agentlös sårbarhetsbedömning på containeravbildningar i körningsmiljöer som stöds och som stöds av containerregister. Relevanta rekommendationer genereras för sårbarheter som upptäcks i en containeravbildning i ett register eller en körande container.
Sårbarhetsbedömning av avbildningar i containerregister som stöds utförs när registeråtkomst är aktiverad för Defender for Cloud Security Posture Management- eller Defender for Containers-planer.
Sårbarhetsbedömning av körande containeravbildningar utförs oberoende av det ursprungliga containerregistret, när agentlös genomsökning för maskiner tillsammans med antingen K8S API-åtkomst eller Defender-sensortillägg är aktiverade i Defender for Cloud Security Posture Management eller Defender for Containers-planerna. Sårbarhetsbedömningsresultat skapas också för containeravbildningar som hämtas från register som stöds.
Kommentar
Granska stödmatrisen för Defender för containrar för miljöer som stöds.
Sårbarhetsbedömning av containeravbildningar, som drivs av Microsoft Defender Vulnerability Management, har följande funktioner:
Genomsökning av OS-paket – sårbarhetsbedömning av containrar har möjlighet att genomsöka sårbarheter i paket som installerats av OS-pakethanteraren i Linux och Windows OS. Se den fullständiga listan över operativsystemet som stöds och deras versioner.
Språkspecifika paket – endast Linux – stöd för språkspecifika paket och filer och deras beroenden installerade eller kopierade utan operativsystemets pakethanterare. Se den fullständiga listan över språk som stöds.
Avbildningsgenomsökning i Azure Private Link – Sårbarhetsbedömning för Azure-container kan genomsöka avbildningar i containerregister som är tillgängliga via Azure Private Links. Den här funktionen kräver åtkomst till betrodda tjänster och autentisering med registret. Lär dig hur du tillåter åtkomst av betrodda tjänster.
Information om sårbarhet – Varje sårbarhetsrapport genomsöks via sårbarhetsdatabaser för att hjälpa våra kunder att fastställa faktiska risker som är associerade med varje rapporterad sårbarhet.
Rapportering – Sårbarhetsbedömning för containrar för Azure som drivs av Microsoft Defender Sårbarhetshantering ger sårbarhetsrapporter med hjälp av följande rekommendationer:
Information om sårbarhet – Varje sårbarhetsrapport genomsöks via sårbarhetsdatabaser för att hjälpa våra kunder att fastställa faktiska risker som är associerade med varje rapporterad sårbarhet.
Rapportering – Sårbarhetsbedömning för containrar som drivs av Microsoft Defender Sårbarhetshantering ger sårbarhetsrapporter med hjälp av följande rekommendationer:
Fråga efter sårbarhetsinformation via Azure Resource Graph – Möjlighet att köra frågor mot sårbarhetsinformation via Azure Resource Graph. Lär dig hur du frågar efter rekommendationer via ARG.
Frågegenomsökningsresultat via REST API – Lär dig hur du frågar efter genomsökningsresultat via REST-API:et.
Stöd för undantag – Lär dig hur du skapar undantagsregler för en hanteringsgrupp, resursgrupp eller prenumeration.
Stöd för att inaktivera sårbarheter – Lär dig hur du inaktiverar sårbarheter på bilder.
Sårbarhetsresultat artefaktsignering och verifiering – Varje bilds sårbarhetsresultatartefakt är signerad med ett Microsoft-certifikat för integritet och äkthet och är associerad med containeravbildningen i registret för valideringsbehov.
Rekommendationer för sårbarhetsbedömning
Följande nya förhandsgranskningsrekommendationer rapporterar om sårbarheter för körningscontainrar och sårbarheter i registeravbildningar, och räknas inte mot säkerhetspoängen under förhandsgranskningen. Genomsökningsmotorn för de nya rekommendationerna är densamma som de aktuella GA-rekommendationerna och ger samma resultat. De nya rekommendationerna passar bäst för kunder som använder den nya riskbaserade vyn för rekommendationer och har Defender CSPM-planen aktiverad.
| Rekommendation | beskrivning | Utvärderingsnyckel |
|---|---|---|
| [Förhandsversion] Containeravbildningar i Azure-registret bör ha sårbarhetsresultat lösta | Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. | 33422d8f-ab1e-42be-bc9a-38685bb567b9 |
| [Förhandsversion] Sårbarhetsfynd i containrar som körs i Azure bör åtgärdas | Defender för molnet skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha de avbildningar som används och de sårbarhetsrapporter som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. | c5045ea3-afc6-4006-ab8f-86c8574dbf3d |
Följande aktuella ga-rekommendationer rapporterar om sårbarheter i containrar i ett Kubernetes-kluster och på containeravbildningar i ett containerregister. De här rekommendationerna passar bäst för kunder som använder den klassiska vyn för rekommendationer och inte har Defender CSPM-plan aktiverat.
| Rekommendation | beskrivning | Utvärderingsnyckel |
|---|---|---|
| Azure-registercontaineravbildningar bör ha säkerhetsrisker lösta (drivs av Microsoft Defender Sårbarhetshantering) | Sårbarhetsbedömning av containerimage söker igenom ditt register efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje image. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c0b7cfc6-3172-465a-b378-53c7ff2cc0d5 |
| Containeravbildningar som körs på Azure bör vara åtgärdade mot säkerhetsrisker (drivs av Microsoft Defender Vulnerability Management) | Sårbarhetsbedömning av containerimage söker igenom ditt register efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje image. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5 |
Så här fungerar sårbarhetsbedömning för avbildningar och containrar
Genomsökning av avbildningar i Defender för containrar i stödda register
Kommentar
Registeråtkomsttillägget måste vara aktiverat för sårbarhetsbedömning av avbildningar i containerregister.
Genomsökningen av en avbildning i ett containerregister skapar en inventering av avbildningen och dess sårbarhetsrekommendationer. De containeravbildningsregister som stöds är: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) och konfigurerade externa register. En bild genomsöks när:
- En ny avbildning skickas eller importeras till containerregistret. Bilden genomsöks inom några timmar.
-
Kontinuerlig omsökningsutlösare – kontinuerlig genomsökning krävs för att säkerställa att bilder som tidigare har genomsökts efter sårbarheter genomsöks igen för att uppdatera sina sårbarhetsrapporter om en ny säkerhetsrisk publiceras.
Återsökningen utförs en gång om dagen för:
- Bilder som har laddats upp under de senaste 90 dagarna.*
- Bilder som hämtats under de senaste 30 dagarna.
- Bilder som för närvarande körs i Kubernetes-kluster som övervakas av Defender för molnet (antingen via agentlös identifiering för Kubernetes eller Defender-sensorn).
* Den nya förhandsgranskningsrekommendationen genereras för bilder som har skickats de senaste 30 dagarna.
Kommentar
För Defender för containerregister (inaktuella) skannas bilderna en gång vid push-överföring, vid pull-överföring och skannas endast en gång i veckan.
Genomsöka containrar som körs i klusterarbetsbelastningen
Containeravbildningarna i klusterarbetsbelastningen genomsöks på följande sätt:
- Sårbara bilder som skannas i stödda register identifieras som körande i klustret genom upptäcktsprocessen. Containeravbildningar som körs genomsöks var 24:e timme. Registeråtkomst och antingen Kubernetes API-åtkomst eller Defender-sensor måste vara aktiverad.
- Containeravbildningar samlas in från körningsmiljön och genomsöks efter sårbarheter, oberoende av det ursprungliga registret. Genomsökningen innehåller kundägda containrar, Kubernetes-tillägg och verktyg från tredje part som körs i klustret. Runtime-miljöavbildningar samlas in var 24:e timme. Agentlös genomsökning av maskiner, antingen Kubernetes API-åtkomst eller Defender-sensor, måste vara aktiverade.
Kommentar
- Containerns körningslager kan inte genomsökas efter sårbarheter.
- Containeravbildningar från noder som använder AKS-tillfälliga OS-diskar eller Windows-noder kan inte genomsökas efter sårbarheter.
- Autoskalning av konfigurerade AKS-kluster kan ge partiella eller inga resultat om någon eller alla klusternoder är nere vid tidpunkten för genomsökningen.
Hur lång tid tar det innan sårbarhetsrapporter på avbildningen tas bort om jag tar bort en avbildning från mitt register?
Azure Container Registries meddelar Defender för molnet när avbildningar tas bort och tar bort sårbarhetsbedömningen för borttagna avbildningar inom en timme. I vissa sällsynta fall kanske Defender för molnet inte meddelas om borttagningen, och borttagningen av associerade säkerhetsrisker i sådana fall kan ta upp till tre dagar.
Nästa steg
- Läs mer om Defender for Cloud Defender-planer.
- Kolla in vanliga frågor om Defender för containrar.