Redigera

Dela via


Vanliga frågor om att skydda containrar

Få svar på vanliga frågor om att skydda containrar

Vilka är alternativen för att aktivera den nya planen i stor skala?

Du kan använda Azure Policy Configure Microsoft Defender for Containers to be enabledför att aktivera Defender för containrar i stor skala. Du kan också se alla alternativ som är tillgängliga för att aktivera Microsoft Defender för containrar.

Har Microsoft Defender for Containers stöd för AKS-kluster med VM-skalningsuppsättningar?

Ja.

Har Microsoft Defender for Containers stöd för AKS utan skalningsuppsättningar (standard)?

Nej. Endast AKS-kluster (Azure Kubernetes Service) som använder VM-skalningsuppsättningar (Virtual Machine Scale Sets) för noderna stöds.

Behöver jag installera Log Analytics-tillägget för virtuella datorer på mina AKS-noder för säkerhetsskydd?

Nej. AKS är en hanterad tjänst och manipulering av IaaS-resurserna stöds inte. Log Analytics VM-tillägget behövs inte och kan resultera i extra avgifter.

Hur kan jag använda min befintliga Log Analytics-arbetsyta?

Du kan använda din befintliga Log Analytics-arbetsyta genom att följa stegen i avsnittet Tilldela en anpassad arbetsyta i den här artikeln.

Kan jag ta bort standardarbetsytorna som skapats av Defender för molnet?

Vi rekommenderar inte att du tar bort standardarbetsytan. Defender for Containers använder standardarbetsytorna för att samla in säkerhetsdata från dina kluster. Defender for Containers kan inte samla in data, och vissa säkerhetsrekommendationer och aviseringar blir otillgängliga om du tar bort standardarbetsytan.

Jag har tagit bort min standardarbetsyta, hur kan jag få tillbaka den?

För att återställa standardarbetsytan måste du ta bort Defender-sensorn och installera om sensorn. Om du installerar om Defender-sensorn skapas en ny standardarbetsyta.

Var finns standardarbetsytan för Log Analytics?

Beroende på din region kan standardarbetsytan för Log Analytics finnas på olika platser. Information om hur du kontrollerar din region finns i Var skapas standardarbetsytan i Log Analytics?

Min organisation kräver att jag taggar mina resurser, och den nödvändiga sensorn installerades inte, vad gick fel?

Defender-sensorn använder Log Analytics-arbetsytan för att skicka data från dina Kubernetes-kluster till Defender för molnet. Defender for Cloud lägger till loganalysarbetsytan och resursgruppen som en parameter som sensorn ska använda.

Men om din organisation har en princip som kräver en specifik tagg på dina resurser kan sensorinstallationen misslyckas under resursgruppen eller standardsteget för att skapa arbetsytor. Om detta misslyckas kan du antingen:

  • Tilldela en anpassad arbetsyta och lägg till alla taggar som din organisation behöver.

    eller

  • Om ditt företag kräver att du taggar dina resurser går du till den principen och exkluderar följande resurser:

    1. Resursgruppen DefaultResourceGroup-<RegionShortCode>
    2. Arbetsytan DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode är en sträng med 2–4 bokstäver.

Hur genomsöker Defender for Containers en avbildning?

Defender for Containers hämtar avbildningen från registret och kör den i en isolerad sandbox-miljö med Upravljanje ranjivostima za Microsoft Defender för miljöer med flera moln. Skannern extraherar en lista över kända säkerhetsrisker.

Defender för molnet filtrerar och klassificerar resultaten från skannern. Om en bild är felfri markerar Defender för molnet den som sådan. Defender för molnet genererar endast säkerhetsrekommendationer för avbildningar där det finns problem som behöver lösas. Defender för molnet skickar endast meddelanden när det finns problem, vilket minimerar mängden oönskade informationsaviseringar.

Hur identifierar jag pull-händelser som utförs av skannern?

Gör följande för att identifiera pull-händelser som utförs av skannern:

  1. Sök efter pull-händelser med UserAgent för AzureContainerImageScanner.
  2. Extrahera identiteten som är associerad med den här händelsen.
  3. Använd den extraherade identiteten för att identifiera pull-händelser från skannern.

Vad är skillnaden mellan Ej tillämpliga resurser och Overifierade resurser?

  • Inte tillämpliga resurser är resurser för vilka rekommendationen inte kan ge ett definitivt svar. Fliken inte tillämplig innehåller orsaker till varje resurs som inte kunde utvärderas.
  • Overifierade resurser är resurser som är schemalagda att utvärderas, men inte utvärderas ännu.

Varför varnar Defender för molnet mig om sårbarheter om en avbildning som inte finns i mitt register?

Vissa bilder kan återanvända taggar från en bild som redan har genomsökts. Du kan till exempel tilldela om taggen "Senaste" varje gång du lägger till en bild i en sammanfattning. I sådana fall finns den "gamla" avbildningen fortfarande i registret och kan fortfarande hämtas av dess sammandrag. Om avbildningen har säkerhetsresultat och hämtas exponeras säkerhetsrisker.

Genomsöker Defender för containrar avbildningar i Microsoft Container Registry?

Defender for Containers kan för närvarande endast skanna avbildningar i Azure Container Registry (ACR) och AWS Elastic Container Registry (ECR). Docker Registry, Microsoft Artifact Registry/Microsoft Container Registry och Microsoft Azure Red Hat OpenShift (ARO) inbyggda containeravbildningsregister stöds inte. Avbildningar ska först importeras till ACR. Läs mer om hur du importerar containeravbildningar till ett Azure-containerregister.

Kan jag hämta genomsökningsresultatet via REST API?

Ja. Resultaten finns under REST API för underutvärderingar. Du kan också använda Azure Resource Graph (ARG), Kusto-liknande API för alla dina resurser: en fråga kan hämta en specifik genomsökning.

Hur kontrollerar jag vilken medietyp mina containrar använder?

Om du vill kontrollera en bildtyp måste du använda ett verktyg som kan kontrollera det råa bildmanifestet, till exempel skopeo, och kontrollera formatet för råa avbildningar.

  • För Formatet Docker v2 skulle manifestmedietypen vara application/vnd.docker.distribution.manifest.v1+json eller application/vnd.docker.distribution.manifest.v2+json, enligt beskrivningen här.
  • För OCI-bildformatet skulle manifestmedietypen vara application/vnd.oci.image.manifest.v1+json och config media type application/vnd.oci.image.config.v1+json, enligt beskrivningen här.

Vilka är tilläggen för hantering av agentlös containerstatus?

Det finns två tillägg som tillhandahåller agentlösa CSPM-funktioner:

  • Sårbarhetsbedömningar för agentlösa containrar: Tillhandahåller sårbarhetsbedömningar för agentlösa containrar. Läs mer om sårbarhetsbedömning för agentlösa containrar.
  • Agentlös identifiering för Kubernetes: Tillhandahåller API-baserad identifiering av information om Kubernetes-klusterarkitektur, arbetsbelastningsobjekt och installation.

Hur registrerar jag flera prenumerationer samtidigt?

Om du vill registrera flera prenumerationer samtidigt kan du använda det här skriptet.

Varför ser jag inte resultat från mina kluster?

Om du inte ser resultat från dina kluster kontrollerar du följande frågor:

  • Har du stoppat kluster?
  • Är dina resursgrupper, prenumerationer eller kluster låsta? Om svaret på någon av dessa frågor är ja kan du läsa svaren i följande frågor.

Vad kan jag göra om jag har stoppat kluster?

Vi stöder inte eller debiterar inte stoppade kluster. Om du vill hämta värdet för agentlösa funktioner i ett stoppat kluster kan du köra klustret igen.

Vad gör jag om jag har låsta resursgrupper, prenumerationer eller kluster?

Vi rekommenderar att du låser upp den låsta resursgruppen/prenumerationen/klustret, gör relevanta begäranden manuellt och sedan återlåser resursgruppen/prenumerationen/klustret genom att göra följande:

  1. Aktivera funktionsflaggan manuellt via CLI med hjälp av betrodd åtkomst.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Utför bindningsåtgärden i CLI:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

För låsta kluster kan du också utföra något av följande steg:

  • Ta bort låset.
  • Utför bindningsåtgärden manuellt genom att göra en API-begäran. Läs mer om låsta resurser.

Använder du en uppdaterad version av AKS?

Vad är uppdateringsintervallet för agentlös identifiering av Kubernetes?

Det kan ta upp till 24 timmar innan ändringar återspeglas i säkerhetsdiagrammet, attackvägarna och säkerhetsutforskaren.

Hur uppgraderar jag från den tillbakadragna Trivy-sårbarhetsbedömningen till AWS-sårbarhetsbedömningen som drivs av Upravljanje ranjivostima za Microsoft Defender?

Följande steg tar bort rekommendationen för enskilda register som drivs av Trivy och lägger till det nya registret och körningsrekommendationerna som drivs av MDVM.

  1. Öppna relevant AWS-anslutningsapp.
  2. Öppna sidan Inställningar för Defender för containrar.
  3. Aktivera sårbarhetsbedömning för agentlösa containrar.
  4. Slutför stegen i anslutningsguiden, inklusive distribution av det nya registreringsskriptet i AWS.
  5. Ta bort resurserna som skapades manuellt under registreringen:
    • S3-bucket med prefixet defender-for-containers-va
    • ECS-kluster med namnet defender-for-containers-va
    • VPC:
      • Tagga name med värdet defender-for-containers-va
      • IP-undernät CIDR 10.0.0.0/16
      • Associerad med standardsäkerhetsgruppen med taggen name och värdet defender-for-containers-va som har en regel för all inkommande trafik.
      • Undernät med taggen name och värdet defender-for-containers-va i VPC defender-for-containers-va med CIDR 10.0.1.0/24 IP-undernätet som används av ECS-klustret defender-for-containers-va
      • Internet Gateway med taggen name och värdet defender-for-containers-va
      • Routningstabell – Routningstabell med taggen name och värdet defender-for-containers-va, och med dessa vägar:
        • Mål: 0.0.0.0/0; Mål: Internet Gateway med taggen name och värdet defender-for-containers-va
        • Mål: 10.0.0.0/16; Mål: local

Om du vill få sårbarhetsbedömningar för att köra avbildningar aktiverar du antingen Agentlös identifiering för Kubernetes eller distribuerar Defender-sensorn i dina Kubernetes-kluster.