Sårbarhetsbedömningar för GCP med Upravljanje ranjivostima za Microsoft Defender
Sårbarhetsbedömning för GCP, som drivs av Upravljanje ranjivostima za Microsoft Defender, är en inbyggd lösning som gör det möjligt för säkerhetsteam att enkelt identifiera och åtgärda sårbarheter i Linux-containeravbildningar, utan konfiguration för registrering och utan distribution av sensorer.
I varje konto där aktiveringen av den här funktionen slutförs genomsöks alla bilder som lagras i Google Registries (GAR och GCR) som uppfyller kriterierna för genomsökningsutlösare efter sårbarheter utan extra konfiguration av användare eller register. Rekommendationer med sårbarhetsrapporter tillhandahålls för alla bilder i Google Registries (GAR och GCR), bilder som för närvarande körs i GKE som har hämtats från Google Registries (GAR och GCR) eller något annat Defender for Cloud-register (ACR eller ECR). Bilder genomsöks kort efter att de har lagts till i ett register och genomsöks efter nya sårbarheter en gång var 24:e timme.
Sårbarhetsbedömning av containrar som drivs av Upravljanje ranjivostima za Microsoft Defender har följande funktioner:
Genomsökning av OS-paket – sårbarhetsbedömning av containrar har möjlighet att genomsöka sårbarheter i paket som installerats av OS-pakethanteraren i Linux- och Windows-operativsystem. Se den fullständiga listan över operativsystemet som stöds och deras versioner.
Språkspecifika paket – endast Linux – stöd för språkspecifika paket och filer och deras beroenden installerade eller kopierade utan operativsystemets pakethanterare. Se den fullständiga listan över språk som stöds.
Information om sårbarhet – Varje sårbarhetsrapport genomsöks via sårbarhetsdatabaser för att hjälpa våra kunder att fastställa faktiska risker som är associerade med varje rapporterad sårbarhet.
Rapportering – Sårbarhetsbedömning för containrar för GCP som drivs av Upravljanje ranjivostima za Microsoft Defender tillhandahåller sårbarhetsrapporter med hjälp av följande rekommendationer:
Det här är de nya rekommendationerna som rapporterar om sårbarheter för körningscontainrar och sårbarheter i registeravbildningar. De är för närvarande i förhandsversion, men är avsedda att ersätta de gamla rekommendationerna. Dessa nya rekommendationer räknas inte mot säker poäng i förhandsversionen. Genomsökningsmotorn för båda uppsättningarna med rekommendationer är densamma.
Rekommendation | beskrivning | Utvärderingsnyckel |
---|---|---|
[Förhandsversion] Containeravbildningar i GCP-registret bör ha sårbarhetsresultat lösta | Defender for Cloud söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
[Förhandsversion] Containrar som körs i GCP bör ha sårbarhetsresultat lösta | Defender for Cloud skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha de avbildningar som används och de sårbarhetsrapporter som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. | c7c1d31d-a604-4b86-96df-63448618e165 |
Det här är de äldre rekommendationerna som för närvarande är på en pensionsväg:
Rekommendation | beskrivning | Utvärderingsnyckel |
---|---|---|
GCP-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Upravljanje ranjivostima za Microsoft Defender) – Microsoft Azure | Genomsöker dina GCP-register containeravbildningar efter vanliga sårbarheter (CVE) och ger en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. | c27441ae-775c-45be-8ffa-655de37362ce |
GCP som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Upravljanje ranjivostima za Microsoft Defender) – Microsoft Azure | Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara bilder som för närvarande körs i dina Google Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Fråga efter sårbarhetsinformation via Azure Resource Graph – Möjlighet att köra frågor mot sårbarhetsinformation via Azure Resource Graph. Lär dig hur du frågar efter rekommendationer via ARG.
Frågegenomsökningsresultat via REST API – Lär dig hur du frågar efter genomsökningsresultat via REST API.
Genomsökningsutlösare
Utlösarna för en bildgenomsökning är:
Engångsutlösare:
- Varje avbildning som skickas till ett containerregister utlöses för genomsökning. I de flesta fall slutförs genomsökningen inom några timmar, men i sällsynta fall kan det ta upp till 24 timmar.
- Varje avbildning som hämtas från ett register utlöses för att genomsökas inom 24 timmar.
Kontinuerlig återsökningsutlösare – kontinuerlig genomsökning krävs för att säkerställa att bilder som tidigare har genomsökts efter sårbarheter genomsöks igen för att uppdatera sina sårbarhetsrapporter om en ny säkerhetsrisk publiceras.
- Omsökningen utförs en gång om dagen för:
- Bilder som har push-överförts under de senaste 90 dagarna.
- Bilder som hämtats under de senaste 30 dagarna.
- Bilder som för närvarande körs i Kubernetes-kluster som övervakas av Defender för molnet (antingen via agentlös identifiering för Kubernetes eller Defender-sensorn).
- Omsökningen utförs en gång om dagen för:
Hur fungerar bildgenomsökning?
En detaljerad beskrivning av genomsökningsprocessen beskrivs på följande sätt:
När du aktiverar sårbarhetsbedömningen för containrar för GCP som drivs av Upravljanje ranjivostima za Microsoft Defender ger du Defender for Cloud behörighet att skanna containeravbildningar i dina elastic container-register.
Defender for Cloud identifierar automatiskt alla containrars register, lagringsplatser och avbildningar (skapade före eller efter aktivering av den här funktionen).
En gång om dagen och för nya avbildningar som skickas till ett register:
- Alla nyupptäckta avbildningar hämtas och en inventering skapas för varje bild. Bildinventering sparas för att undvika ytterligare avbildningshämtningar, såvida det inte krävs av nya skannerfunktioner.
- Med hjälp av inventeringen genereras sårbarhetsrapporter för nya avbildningar och uppdateras för avbildningar som tidigare genomsökts och som antingen har push-överförts under de senaste 90 dagarna till ett register eller för närvarande körs. För att avgöra om en avbildning körs använder Defender för molnet både agentlös identifiering för Kubernetes och inventering som samlas in via Defender-sensorn som körs på GKE-noder
- Sårbarhetsrapporter för registercontaineravbildningar tillhandahålls som en rekommendation.
För kunder som använder antingen agentlös identifiering för Kubernetes eller inventering som samlas in via Defender-sensorn som körs på GKE-noder, skapar Defender för molnet också en rekommendation för att åtgärda sårbarheter för sårbara avbildningar som körs i ett GKE-kluster. För kunder som endast använder agentlös identifiering för Kubernetes är uppdateringstiden för inventering i den här rekommendationen en gång var sjunde timme. Kluster som också kör Defender-sensorn drar nytta av en uppdateringsfrekvens på två timmar. Avbildningsgenomsökningsresultat uppdateras baserat på registergenomsökning i båda fallen och uppdateras därför bara var 24:e timme.
Kommentar
För Defender för containerregister (inaktuella) genomsöks bilderna en gång vid push, vid pull-överföring och genomsöks bara en gång i veckan.
Hur lång tid tar det innan sårbarhetsrapporter på avbildningen tas bort om jag tar bort en avbildning från mitt register?
Det tar 30 timmar efter att en bild har tagits bort från Google Registries (GAR och GCR) innan rapporterna tas bort.
Nästa steg
- Läs mer om Defender for Cloud Defender-planer.
- Läs vanliga frågor om Defender för containrar.