Använd Defender för containrar för att genomsöka dina Azure Container Registry-avbildningar efter säkerhetsrisker

Den här artikeln beskriver hur du använder Defender för containrar för att genomsöka containeravbildningarna som lagras i din Azure Resource Manager-baserade Azure Container Registry, som en del av de skydd som tillhandahålls i Microsoft Defender för molnet.

Om du vill aktivera genomsökning av säkerhetsrisker i containrar måste du aktivera Defender för containrar. När skannern, som drivs av Qualys, rapporterar sårbarheter presenterar Defender for Cloud resultaten och relaterad information som rekommendationer. Dessutom innehåller resultaten relaterad information som reparationssteg, relevanta CVEs, CVSS-poäng med mera. Du kan visa identifierade säkerhetsrisker för en eller flera prenumerationer eller för ett specifikt register.

Defender for Cloud filtrerar och klassificerar resultat från skannern. Bilder utan säkerhetsrisker markeras som felfria och Defender för molnet skickar inte meddelanden om felfria bilder för att hindra dig från att få oönskade informationsaviseringar.

Utlösare för en bildgenomsökning är:

  • Vid push-överföring – När en avbildning skickas till registret genomsöker Defender for Containers automatiskt avbildningen. Om du vill utlösa genomsökningen av en avbildning skickar du den till lagringsplatsen.

  • Nyligen hämtad – Eftersom nya säkerhetsrisker identifieras varje dag genomsöker Microsoft Defender för containrar även varje vecka alla avbildningar som har hämtats under de senaste 30 dagarna. Det kostar inget extra för dessa genomsökningar eftersom du debiteras en gång per bild.

  • Vid import – Azure Container Registry har importverktyg för att hämta avbildningar till registret från ett befintligt register. Microsoft Defender for Containers genomsöker alla avbildningar som stöds som du importerar. Läs mer i Importera containeravbildningar till ett containerregister.

  • Kontinuerlig genomsökning – Den här utlösaren har två lägen:

    • En kontinuerlig genomsökning baserad på en bildhämtning. Den här genomsökningen utförs var sjunde dag efter att en avbildning har hämtats och endast i 30 dagar efter att avbildningen hämtades. Det här läget kräver inte säkerhetsprofilen eller tillägget.

    • (Förhandsversion) Kontinuerlig genomsökning efter avbildningar som körs. Den här genomsökningen utförs var sjunde dag så länge avbildningen körs. Det här läget körs i stället för ovanstående läge när Defender-profilen eller tillägget körs i klustret.

När en genomsökning utlöses är resultaten tillgängliga som Defender for Cloud-rekommendationer från 2 minuter upp till 15 minuter efter att genomsökningen är klar.

Förutsättningar

Innan du kan skanna ACR-avbildningarna:

En lista över de typer av avbildningar och containerregister som stöds av Microsoft Defender för containrar finns i Tillgänglighet.

Visa och åtgärda resultat

  1. Om du vill visa resultaten öppnar du sidan Rekommendationer . Om problem hittas ser du rekommendationen Container registry images should have vulnerability findings resolved .

    Skärmbild som visar rekommendationsraden.

  2. Välj rekommendationen.

    Sidan med rekommendationsinformation öppnas med ytterligare information. Den här informationen innehåller en lista över register med sårbara bilder ("Berörda resurser") och reparationsstegen.

  3. Välj ett specifikt register för att se de lagringsplatser i det som har sårbara lagringsplatser.

    Skärmbild som visar var du väljer ett specifikt register.

    Sidan med registerinformation öppnas med listan över berörda lagringsplatser.

  4. Välj en specifik lagringsplats för att se lagringsplatserna i den som har sårbara bilder.

    Skärmbild som visar välj specifik bild för att se sårbarheter.

    Informationssidan för lagringsplatsen öppnas. Den visar en lista över sårbara bilder tillsammans med en bedömning av resultatens allvarlighetsgrad.

  5. Välj en specifik bild för att se säkerhetsriskerna.

    Välj bilder.

    Listan över resultat för den valda bilden öppnas.

    Skärmbild som visar en lista över resultat för den valda bilden.

  6. Om du vill veta mer om en sökning väljer du sökningen.

    Informationsfönstret för resultat öppnas.

    Skärmbild som visar information om en specifik sökning.

    Det här fönstret innehåller en detaljerad beskrivning av problemet och länkar till externa resurser för att minimera hoten.

  7. Följ stegen i reparationsavsnittet i det här fönstret.

  8. När du har vidtagit de åtgärder som krävs för att åtgärda säkerhetsproblemet ersätter du avbildningen i registret:

    1. Push-överför den uppdaterade avbildningen för att utlösa en genomsökning.

    2. Kontrollera rekommendationssidan för rekommendationen Container registry images should have vulnerability findings resolved .

      Om rekommendationen fortfarande visas och den bild som du har hanterat fortfarande visas i listan över sårbara bilder kontrollerar du reparationsstegen igen.

    3. När du är säker på att den uppdaterade avbildningen har push-överförts, genomsökts och inte längre visas i rekommendationen tar du bort den "gamla" sårbara avbildningen från registret.

Inaktivera specifika resultat

Anteckning

Tilläggsvillkoren för Azure Preview innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.

Om du har ett organisationsbehov att ignorera en sökning, i stället för att åtgärda det, kan du inaktivera det om du vill. Inaktiverade resultat påverkar inte din säkerhetspoäng eller genererar oönskat brus.

När en sökning matchar de kriterier som du har definierat i dina inaktiverade regler visas den inte i listan över resultat. Vanliga scenarier är:

  • Inaktivera resultat med allvarlighetsgrad under medel
  • Inaktivera resultat som inte kan korrigeras
  • Inaktivera resultat med CVSS-poäng under 6,5
  • Inaktivera resultat med specifik text i säkerhetskontrollen eller kategorin (till exempel "RedHat", "CentOS-säkerhetsuppdatering för sudo")

Viktigt

Om du vill skapa en regel behöver du behörighet att redigera en princip i Azure Policy.

Läs mer i Azure RBAC-behörigheter i Azure Policy.

Du kan använda något av följande kriterier:

  • Hitta ID
  • Kategori
  • Säkerhetskontroll
  • CVSS v3-poäng
  • Allvarlighetsgrad
  • Korrigeringsbar status

Så här skapar du en regel:

  1. På informationssidan för rekommendationer för containerregisteravbildningar ska sårbarhetsresultat vara lösta väljer du Inaktivera regel.

  2. Välj relevant omfång.

  3. Definiera dina kriterier.

  4. Välj Tillämpa regel.

    Skärmbild som visar hur du skapar en inaktivera-regel för VA-resultat i registret.

  5. Så här visar, åsidosätter eller tar du bort en regel:

    1. Välj Inaktivera regel.
    2. I omfångslistan visas prenumerationer med aktiva regler som Regel tillämpad. Ändra eller ta bort en befintlig regel.
    3. Om du vill visa eller ta bort regeln väljer du ellipsmenyn ("...").

Visa sårbarheter för avbildningar som körs i dina AKS-kluster

Defender för molnet ger sina kunder möjlighet att prioritera reparation av säkerhetsrisker i avbildningar som för närvarande används i deras miljö med hjälp av rekommendationen Att köra containeravbildningar.

För att tillhandahålla resultat för rekommendationen samlar Defender för molnet in inventeringen av dina containrar som körs och som samlas in av Defender-agenten som är installerad i dina AKS-kluster. Defender för molnet korrelerar inventeringen med genomsökningen av sårbarhetsbedömningar av avbildningar som lagras i ACR. Rekommendationen visar dina containrar som körs med de säkerhetsrisker som är associerade med de avbildningar som används av varje container och innehåller sårbarhetsrapporter och reparationssteg.

Skärmbild av rekommendationer som visar dina containrar som körs med de säkerhetsrisker som är associerade med de avbildningar som används av varje container.

Vanliga frågor

Hur genomsöker Defender for Containers en avbildning?

Defender for Containers hämtar avbildningen från registret och kör den i en isolerad sandbox-miljö med Qualys-skannern. Skannern extraherar en lista över kända säkerhetsrisker.

Defender för molnet filtrerar och klassificerar resultat från skannern. När en avbildning är felfri markerar Defender för molnet den som sådan. Defender för molnet genererar endast säkerhetsrekommendationer för avbildningar som har problem som ska lösas. Genom att bara meddela dig när det uppstår problem minskar Defender för molnet risken för oönskade informationsaviseringar.

Delar Microsoft någon information med Qualys för att utföra bildgenomsökningar?

Nej, Qualys-skannern hanteras av Microsoft och inga kunddata delas med Qualys.

Kan jag få genomsökningsresultat via REST API?

Ja. Resultaten finns under REST API för underutvärderingar. Du kan också använda Azure Resource Graph (ARG), Kusto-liknande API för alla dina resurser: en fråga kan hämta en specifik genomsökning.

Varför varnar Defender för molnet mig om sårbarheter i en avbildning som inte finns i mitt register?

Vissa bilder kan återanvända taggar från en bild som redan har genomsökts. Du kan till exempel omtilldela taggen "Senaste" varje gång du lägger till en bild i en sammandrag. I sådana fall finns den "gamla" avbildningen fortfarande i registret och kan fortfarande hämtas av dess sammandrag. Om avbildningen innehåller säkerhetsresultat och hämtas exponeras säkerhetsrisker.

Genomsöker Defender for Containers avbildningar i Microsoft Container Registry?

För närvarande kan Defender för containrar endast skanna avbildningar i Azure Container Registry (ACR) och AWS Elastic Container Registry (ECR). Inbyggt containeravbildningsregister i Docker Registry, Microsofts artefaktregister/Microsoft Container Registry och Microsoft Azure Red Hat OpenShift (ARO) stöds inte. Avbildningar ska först importeras till ACR. Läs mer om hur du importerar containeravbildningar till ett Azure-containerregister.

Nästa steg

Läs mer om avancerade skyddsplaner för Microsoft Defender för molnet.