Dela via


Containrar stöder matris i Defender för molnet

Varning

Den här artikeln refererar till CentOS, en Linux-distribution som är End Of Life (EOL) från och med den 30 juni 2024. Överväg att använda och planera i enlighet med detta. Mer information finns i CentOS End Of Life-vägledningen.

Den här artikeln sammanfattar supportinformation för containerfunktioner i Microsoft Defender för molnet.

Kommentar

  • Specifika funktioner finns i förhandsversion. Tilläggsvillkoren för Azure Preview innehåller andra juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
  • Endast versioner av AKS, EKS och GKE som stöds av molnleverantören stöds officiellt av Defender för molnet.

Azure

Följande är funktionerna för var och en av domänerna i Defender för containrar:

Hantering av säkerhetsstatus

Funktion beskrivning Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Aktiveringsmetod Sensor Planer Tillgänglighet för Azure-moln
Agentlös identifiering för Kubernetes Ger noll fotavtryck, API-baserad identifiering av Kubernetes-kluster, deras konfigurationer och distributioner. AKS Allmän tillgänglighet Allmän tillgänglighet Aktivera agentlös identifiering på Kubernetes-växlingsknappen Utan agent Defender för containrar ELLER Defender CSPM Kommersiella Azure-moln
Omfattande inventeringsfunktioner Gör att du kan utforska resurser, poddar, tjänster, lagringsplatser, avbildningar och konfigurationer via Säkerhetsutforskaren för att enkelt övervaka och hantera dina tillgångar. ACR, AKS Allmän tillgänglighet Allmän tillgänglighet Aktivera agentlös identifiering på Kubernetes-växlingsknappen Utan agent Defender för containrar ELLER Defender CSPM Kommersiella Azure-moln
Analys av attackväg En grafbaserad algoritm som söker igenom molnsäkerhetsdiagrammet. Genomsökningarna exponerar exploaterbara sökvägar som angripare kan använda för att bryta mot din miljö. ACR, AKS Allmän tillgänglighet Allmän tillgänglighet Aktiverad med plan Utan agent Defender CSPM (kräver agentlös identifiering för att Kubernetes ska vara aktiverat) Kommersiella Azure-moln
Förbättrad riskjakt Gör det möjligt för säkerhetsadministratörer att aktivt söka efter hållningsproblem i sina containerbaserade tillgångar via frågor (inbyggda och anpassade) och säkerhetsinsikter i säkerhetsutforskaren. ACR, AKS Allmän tillgänglighet Allmän tillgänglighet Aktivera agentlös identifiering på Kubernetes-växlingsknappen Utan agent Defender för containrar ELLER Defender CSPM Kommersiella Azure-moln
Härdning av kontrollplan Utvärderar kontinuerligt konfigurationerna av dina kluster och jämför dem med de initiativ som tillämpas på dina prenumerationer. När den hittar felkonfigurationer genererar Defender för molnet säkerhetsrekommendationer som är tillgängliga på Defender för molnet sidan Rekommendationer. Med rekommendationerna kan du undersöka och åtgärda problem. ACR, AKS Allmän tillgänglighet Allmän tillgänglighet Aktiverad med plan Utan agent Kostnadsfri Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Kubernetes dataplanshärdning Skydda arbetsbelastningar för dina Kubernetes-containrar med rekommenderade metodtips. AKS Allmän tillgänglighet - Aktivera växlingsknapp för Azure Policy for Kubernetes Azure Policy Kostnadsfri Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Docker CIS Docker CIS-benchmark VM, VM-skalningsuppsättning Allmän tillgänglighet - Aktiverad med plan Log Analytics handläggare Defender för servrar, plan 2 Kommersiella moln

Nationella moln: Azure Government, Microsoft Azure som drivs av 21Vianet

Sårbarhetsbedömning

Funktion beskrivning Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Aktiveringsmetod Sensor Planer Tillgänglighet för Azure-moln
Agentlös registergenomsökning (drivs av paket som stöds av Microsoft Defender – hantering av säkerhetsrisker) Sårbarhetsbedömning för bilder i ACR ACR, Privat ACR Allmän tillgänglighet Allmän tillgänglighet Aktivera utvärdering av säkerhetsrisker för agentlösa containrar Utan agent Defender for Containers eller Defender CSPM Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Agentlös/agentbaserad körning (drivs av Microsoft Defender – hantering av säkerhetsrisker) paket som stöds Sårbarhetsbedömning för att köra avbildningar i AKS AKS Allmän tillgänglighet Allmän tillgänglighet Aktivera utvärdering av säkerhetsrisker för agentlösa containrar Agentlös (kräver agentlös identifiering för Kubernetes) ELLER/AND Defender-sensor Defender for Containers eller Defender CSPM Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet

Skydd mot körningshot

Funktion beskrivning Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Aktiveringsmetod Sensor Planer Tillgänglighet för Azure-moln
Kontrollplan Identifiering av misstänkt aktivitet för Kubernetes baserat på Kubernetes-spårningslogg AKS Allmän tillgänglighet Allmän tillgänglighet Aktiverad med plan Utan agent Defender for Containers Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Arbetsbelastning Identifiering av misstänkt aktivitet för Kubernetes för klusternivå, nodnivå och arbetsbelastningsnivå AKS Allmän tillgänglighet - Aktivera Defender Sensor i Azure för att växla ELLER distribuera Defender-sensorer i enskilda kluster Defender-sensor Defender for Containers Kommersiella moln

Nationella moln: Azure Government, Azure China 21Vianet

Distribution och övervakning

Funktion beskrivning Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Aktiveringsmetod Sensor Planer Tillgänglighet för Azure-moln
Identifiering av oskyddade kluster Identifiera Kubernetes-kluster som saknar Defender-sensorer AKS Allmän tillgänglighet Allmän tillgänglighet Aktiverad med plan Utan agent Kostnadsfri Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Automatisk etablering av Defender-sensor Automatisk distribution av Defender-sensor AKS Allmän tillgänglighet - Aktivera Defender Sensor i Azure Utan agent Defender for Containers Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet
Automatisk etablering av Azure Policy for Kubernetes Automatisk distribution av Azure Policy Sensor för Kubernetes AKS Allmän tillgänglighet - Aktivera Azure-princip för Kubernetes-växling Utan agent Kostnadsfri Kommersiella moln

Nationella moln: Azure Government, Azure drivs av 21Vianet

Stöd för register och avbildningar för Azure – Sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker

Aspekt Details
Register och bilder Stöds
* ACR-register
* ACR-register som skyddas med Azure Private Link (privata register kräver åtkomst till betrodda tjänster)
* Containeravbildningar i Docker V2-format
* Avbildningar med avbildningsformatspecifikationen Open Container Initiative (OCI)
Stöds inte
* Supermini minimalistiska bilder som Docker scratch images
stöds för närvarande inte
Operativsystem Stöds
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS är End Of Life (EOL) per den 30 juni 2024. Mer information finns i CentOS End Of Life-vägledningen.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baserat på Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Språkspecifika paket

Stöds
*Pytonorm
* Node.js
*.NÄT
*JAVA
*Gå

Kubernetes-distributioner och konfigurationer för Azure – Skydd mot körningshot

Aspekt Details
Kubernetes-distributioner och konfigurationer Stöds
* Azure Kubernetes Service (AKS) med Kubernetes RBAC

Stöds via Arc-aktiverad Kubernetes 1 2
* Azure Kubernetes Service-hybrid
* Kubernetes
* AKS-motor
* Azure Red Hat OpenShift

1 Alla CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) bör stödjas, men endast de angivna klustren har testats i Azure.

2 För att få Skydd för Microsoft Defender för containrar för dina miljöer måste du registrera Azure Arc-aktiverade Kubernetes och aktivera Defender for Containers som ett Arc-tillägg.

Kommentar

Ytterligare krav för Kubernetes-arbetsbelastningsskydd finns i befintliga begränsningar.

AWS

Domän Funktion Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Agentlös/sensorbaserad Prisnivå
Hantering av säkerhetsstatus Agentlös identifiering för Kubernetes EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Omfattande inventeringsfunktioner ECR, EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Analys av attackväg ECR, EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender CSPM
Hantering av säkerhetsstatus Förbättrad riskjakt ECR, EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Docker CIS EC2 Allmän tillgänglighet - Log Analytics handläggare Defender för servrar, plan 2
Hantering av säkerhetsstatus Härdning av kontrollplan - - - - -
Hantering av säkerhetsstatus Kubernetes dataplanshärdning EKS Allmän tillgänglighet - Azure Policy för Kubernetes Defender for Containers
Sårbarhetsbedömning Agentlös registergenomsökning (drivs av paket som stöds av Microsoft Defender – hantering av säkerhetsrisker) ECR Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers eller Defender CSPM
Sårbarhetsbedömning Agentlös/sensorbaserad körning (drivs av Microsoft Defender – hantering av säkerhetsrisker) paket som stöds EKS Allmän tillgänglighet Allmän tillgänglighet Agentlös OR/AND Defender-sensor Defender for Containers eller Defender CSPM
Körningsskydd Kontrollplan EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers
Körningsskydd Arbetsbelastning EKS Allmän tillgänglighet - Defender-sensor Defender for Containers
Distribution och övervakning Identifiering av oskyddade kluster EKS Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers
Distribution och övervakning Automatisk etablering av Defender-sensor EKS Allmän tillgänglighet - - -
Distribution och övervakning Automatisk etablering av Azure Policy for Kubernetes EKS Allmän tillgänglighet - - -

Stöd för register och avbildningar för AWS – sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker

Aspekt Details
Register och bilder Stöds
* ECR-register
* Containeravbildningar i Docker V2-format
* Avbildningar med avbildningsformatspecifikationen Open Container Initiative (OCI)
Stöds inte
* Supermini minimalistiska avbildningar som Docker-scratch-avbildningar stöds för närvarande inte
* Offentliga lagringsplatser
* Manifestlistor
Operativsystem Stöds
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS är End Of Life (EOL) per den 30 juni 2024. Mer information finns i CentOS End Of Life-vägledningen.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baserat på Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Språkspecifika paket

Stöds
*Pytonorm
* Node.js
*.NÄT
*JAVA
*Gå

Stöd för Kubernetes-distributioner/konfigurationer för AWS – Skydd mot körningshot

Aspekt Details
Kubernetes-distributioner och konfigurationer Stöds
* Amazon Elastic Kubernetes Service (EKS)

Stöds via Arc-aktiverad Kubernetes 1 2
* Kubernetes
Stöds inte
* PRIVATA EKS-kluster

1 Alla CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) bör stödjas, men endast de angivna klustren har testats.

2 För att få Skydd för Microsoft Defender för containrar för dina miljöer måste du registrera Azure Arc-aktiverade Kubernetes och aktivera Defender for Containers som ett Arc-tillägg.

Kommentar

Ytterligare krav för Kubernetes-arbetsbelastningsskydd finns i befintliga begränsningar.

Stöd för utgående proxy – AWS

Utgående proxy utan autentisering och utgående proxy med grundläggande autentisering stöds. Utgående proxy som använder betrodda certifikat stöds för närvarande inte.

Kluster med IP-begränsningar – AWS

Om kubernetes-klustret i AWS har aktiverat ip-begränsningar för kontrollplanet (se Åtkomstkontroll för Amazon EKS-klusterslutpunkt – Amazon EKS) uppdateras kontrollplanets KONFIGURATION av IP-begränsning så att CIDR-blocket för Microsoft Defender för molnet inkluderas.

GCP

Domän Funktion Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Agentlös/sensorbaserad Prisnivå
Hantering av säkerhetsstatus Agentlös identifiering för Kubernetes GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Omfattande inventeringsfunktioner GAR, GCR, GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Analys av attackväg GAR, GCR, GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender CSPM
Hantering av säkerhetsstatus Förbättrad riskjakt GAR, GCR, GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Docker CIS Virtuella GCP-datorer Allmän tillgänglighet - Log Analytics handläggare Defender för servrar, plan 2
Hantering av säkerhetsstatus Härdning av kontrollplan GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Kostnadsfri
Hantering av säkerhetsstatus Kubernetes dataplanshärdning GKE Allmän tillgänglighet - Azure Policy för Kubernetes Defender for Containers
Sårbarhetsbedömning Agentlös registergenomsökning (drivs av paket som stöds av Microsoft Defender – hantering av säkerhetsrisker) GAR, GCR Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers eller Defender CSPM
Sårbarhetsbedömning Agentlös/sensorbaserad körning (drivs av Microsoft Defender – hantering av säkerhetsrisker) paket som stöds GKE Allmän tillgänglighet Allmän tillgänglighet Agentlös OR/AND Defender-sensor Defender for Containers eller Defender CSPM
Körningsskydd Kontrollplan GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers
Körningsskydd Arbetsbelastning GKE Allmän tillgänglighet - Defender-sensor Defender for Containers
Distribution och övervakning Identifiering av oskyddade kluster GKE Allmän tillgänglighet Allmän tillgänglighet Utan agent Defender for Containers
Distribution och övervakning Automatisk etablering av Defender-sensor GKE Allmän tillgänglighet - Utan agent Defender for Containers
Distribution och övervakning Automatisk etablering av Azure Policy for Kubernetes GKE Allmän tillgänglighet - Utan agent Defender for Containers

Stöd för register och bilder för GCP – sårbarhetsbedömning som drivs av Microsoft Defender – hantering av säkerhetsrisker

Aspekt Details
Register och bilder Stöds
* Google Registries (GAR, GCR)
* Containeravbildningar i Docker V2-format
* Avbildningar med avbildningsformatspecifikationen Open Container Initiative (OCI)
Stöds inte
* Supermini minimalistiska avbildningar som Docker-scratch-avbildningar stöds för närvarande inte
* Offentliga lagringsplatser
* Manifestlistor
Operativsystem Stöds
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS är End Of Life (EOL) per den 30 juni 2024. Mer information finns i CentOS End Of Life-vägledningen.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baserat på Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Mariner 1-2
* Windows Server 2016, 2019, 2022
Språkspecifika paket

Stöds
*Pytonorm
* Node.js
*.NÄT
*JAVA
*Gå

Stöd för Kubernetes-distributioner/konfigurationer för GCP – Skydd mot körningshot

Aspekt Details
Kubernetes-distributioner och konfigurationer Stöds
* Google Kubernetes Engine (GKE) Standard

Stöds via Arc-aktiverad Kubernetes 1 2
* Kubernetes

Stöds inte
* Privata nätverkskluster
* GKE autopilot
* GKE AuthorizedNetworksConfig

1 Alla CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) bör stödjas, men endast de angivna klustren har testats.

2 För att få Skydd för Microsoft Defender för containrar för dina miljöer måste du registrera Azure Arc-aktiverade Kubernetes och aktivera Defender for Containers som ett Arc-tillägg.

Kommentar

Ytterligare krav för Kubernetes-arbetsbelastningsskydd finns i befintliga begränsningar.

Stöd för utgående proxy – GCP

Utgående proxy utan autentisering och utgående proxy med grundläggande autentisering stöds. Utgående proxy som använder betrodda certifikat stöds för närvarande inte.

Kluster med IP-begränsningar – GCP

Om Kubernetes-klustret i GCP har aktiverat ip-begränsningar för kontrollplanet (se Lägga till auktoriserade nätverk för åtkomst till kontrollplan | Google Kubernetes Engine (GKE) | Google Cloud ) uppdateras kontrollplanets IP-begränsningskonfiguration för att inkludera CIDR-blocket för Microsoft Defender för molnet.

Lokala, Arc-aktiverade Kubernetes-kluster

Domän Funktion Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Agentlös/sensorbaserad Prisnivå
Hantering av säkerhetsstatus Docker CIS Arc-aktiverade virtuella datorer Förhandsversion - Log Analytics handläggare Defender för servrar, plan 2
Hantering av säkerhetsstatus Härdning av kontrollplan - - - - -
Hantering av säkerhetsstatus Kubernetes dataplanshärdning Arc-aktiverade K8s-kluster Allmän tillgänglighet - Azure Policy för Kubernetes Defender for Containers
Körningsskydd Skydd mot hot (kontrollplan) Arc-aktiverade OpenShift-kluster Förhandsgranska Förhandsgranska Defender-sensor Defender for Containers
Körningsskydd Skydd mot hot (arbetsbelastning) Arc-aktiverade OpenShift-kluster Förhandsversion - Defender-sensor Defender for Containers
Distribution och övervakning Identifiering av oskyddade kluster Arc-aktiverade K8s-kluster Förhandsversion - Utan agent Kostnadsfri
Distribution och övervakning Automatisk etablering av Defender-sensor Arc-aktiverade K8s-kluster Förhandsgranska Förhandsgranska Utan agent Defender for Containers
Distribution och övervakning Automatisk etablering av Azure Policy for Kubernetes Arc-aktiverade K8s-kluster Förhandsversion - Utan agent Defender for Containers

Externa containerregister

Domän Funktion Resurser som stöds Linux-versionstillstånd Windows-versionstillstånd Agentlös/sensorbaserad Prisnivå
Hantering av säkerhetsstatus Omfattande inventeringsfunktioner Docker Hub , Jfrog Artifactory Förhandsgranska Förhandsgranska Utan agent Grundläggande CSPM ELLER Defender för containrar ELLER Defender CSPM
Hantering av säkerhetsstatus Analys av attackväg Docker Hub , Jfrog Artifactory Förhandsgranska Förhandsgranska Utan agent Defender CSPM
Sårbarhetsbedömning Agentlös registergenomsökning (drivs av paket som stöds av Microsoft Defender – hantering av säkerhetsrisker) Docker Hub , JfFrog Artifactory Förhandsgranska Förhandsgranska Utan agent Defender för containrar ELLER Defender CSPM
Sårbarhetsbedömning Agentlös/sensorbaserad körning (drivs av Microsoft Defender – hantering av säkerhetsrisker) paket som stöds Docker Hub , Jfrog Artifactory Förhandsgranska Förhandsgranska Agentlös OR/AND Defender-sensor Defender för containrar ELLER Defender CSPM

Kubernetes-distributioner och konfigurationer

Aspekt Details
Kubernetes-distributioner och konfigurationer Stöds via Arc-aktiverad Kubernetes 1 2
* Azure Kubernetes Service-hybrid
* Kubernetes
* AKS-motor
* Azure Red Hat OpenShift
* Red Hat OpenShift (version 4.6 eller senare)
* VMware Tanzu Kubernetes Grid
* Rancher Kubernetes Engine

1 Alla CNCF-certifierade Kubernetes-kluster (Cloud Native Computing Foundation) bör stödjas, men endast de angivna klustren har testats.

2 För att få Skydd för Microsoft Defender för containrar för dina miljöer måste du registrera Azure Arc-aktiverade Kubernetes och aktivera Defender for Containers som ett Arc-tillägg.

Kommentar

Ytterligare krav för Kubernetes-arbetsbelastningsskydd finns i befintliga begränsningar.

Värdoperativsystem som stöds

Defender for Containers förlitar sig på Defender-sensorn för flera funktioner. Defender-sensorn stöds endast med Linux Kernel 5.4 och senare på följande värdoperativsystem:

  • Amazon Linux 2
  • CentOS 8 (CentOS är End Of Life (EOL) per den 30 juni 2024. Mer information finns i CentOS End Of Life-vägledningen.)
  • Debian 10
  • Debian 11
  • Google Containeroptimerade operativsystem
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Kontrollera att kubernetes-noden körs på något av dessa verifierade operativsystem. Kluster med värdoperativsystem som inte stöds får inte fördelarna med funktioner som förlitar sig på Defender-sensorn.

Begränsningar för Defender-sensorn

Defender-sensorn i AKS V1.28 och nedan stöds inte på Arm64-noder.

Nätverksbegränsningar

Stöd för utgående proxy

Utgående proxy utan autentisering och utgående proxy med grundläggande autentisering stöds. Utgående proxy som använder betrodda certifikat stöds för närvarande inte.

Nästa steg