| 域 |
功能 |
支持的资源 |
Linux 版本状态 1 |
Windows 版本状态 1 |
无代理/基于代理 |
定价层 |
Azure 云可用性 |
| 合规性 |
Docker CIS |
VM、虚拟机规模集 |
GA |
- |
Log Analytics 代理 |
Defender for Servers 计划 2 |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 漏洞评估2 |
注册表扫描 - OS 包 |
ACR、专用 ACR |
GA |
预览 |
无代理 |
Defender for Containers |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 漏洞评估3 |
注册表扫描 - 特定于语言的包 |
ACR、专用 ACR |
预览 |
- |
无代理 |
Defender for Containers |
商业云 |
| 漏洞评估 |
查看运行映像的漏洞 |
AKS |
GA |
预览 |
Defender 配置文件 |
Defender for Containers |
商业云 |
| 强化 |
控制平面建议 |
ACR、AKS |
GA |
预览 |
无代理 |
免费 |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 强化 |
Kubernetes 数据平面建议 |
AKS |
GA |
- |
Azure Policy |
免费 |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 运行时保护 |
威胁检测(控制平面) |
AKS |
GA |
GA |
无代理 |
Defender for Containers |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 运行时保护 |
威胁检测(工作负载) |
AKS |
GA |
- |
Defender 配置文件 |
Defender for Containers |
商业云 |
| 发现和预配 |
发现未受保护的群集 |
AKS |
GA |
GA |
无代理 |
免费 |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 发现和预配 |
收集控制平面威胁数据 |
AKS |
GA |
GA |
无代理 |
Defender for Containers |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 发现和预配 |
自动预配 Defender 配置文件 |
AKS |
GA |
- |
无代理 |
Defender for Containers |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
| 发现和预配 |
自动预配 Azure 策略加载项 |
AKS |
GA |
- |
无代理 |
免费 |
商业云
国家云:Azure 政府、Azure 中国世纪互联 |
1 特定功能处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
2 VA 可以检测这些 OS 包的漏洞。
3 VA 可以检测这些特定于语言的包的漏洞。
注册表和映像
| 方面 |
详细信息 |
| 注册表和映像 |
支持
• 受 Azure 专用链接保护的 ACR 注册表(专用注册表需要访问受信任的服务)
• 使用 Windows OS 版本 1709 及更高版本(预览版)的 Windows 映像。 此功能在预览版中免费,正式发布后会产生费用(基于 Defender for Containers 计划)。
不支持
• 超级简单的映像,例如 Docker 暂存映像
• 仅包含应用程序及其运行时依赖项而无包管理器、shell 或 OS 的“无分发版”映像
• 包含开放容器计划 (OCI) 映像格式规范的映像
•目前不支持提供多体系结构映像的映像标记信息 |
| OS 包 |
支持
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6、7、8
• CentOS 6、7
• Oracle Linux 6、7、8
• Amazon Linux 1、2
• openSUSE Leap 42、15
• SUSE Enterprise Linux 11、12、15
• Debian GNU/Linux wheezy、jessie、stretch、buster、bullseye
• Ubuntu 10.10-22.04
• FreeBSD 11.1-13.1
• Fedora 32、33、34、35 |
特定于语言的包(预览版)
(仅支持 Linux 映像) |
支持
• Python
• Node.js
• .NET
• JAVA
• Go |
Kubernetes 发行版和配置
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
有关 Kuberenetes 工作负载保护的其他要求,请参阅现有限制。
注意
目前不支持在具有 ARM64 节点池的群集上添加 Defender 代理(或将 ARM64 节点池添加到安装了 Defender 代理的群集)。
网络限制
专用链接
Defender for Containers 依赖于 Defender 配置文件/扩展来实现多个功能。 Defender 配置文件/扩展不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
| 域 |
功能 |
支持的资源 |
Linux 版本状态 1 |
Windows 版本状态 1 |
无代理/基于代理 |
定价层 |
| 合规性 |
Docker CIS |
EC2 |
预览 |
- |
Log Analytics 代理 |
Defender for Servers 计划 2 |
| 漏洞评估 |
注册表扫描 |
ECR |
预览 |
- |
无代理 |
Defender for Containers |
| 漏洞评估 |
查看运行映像的漏洞 |
- |
- |
- |
- |
- |
| 强化 |
控制平面建议 |
- |
- |
- |
- |
- |
| 强化 |
Kubernetes 数据平面建议 |
EKS |
预览 |
- |
Azure Policy 扩展 |
Defender for Containers |
| 运行时保护 |
威胁检测(控制平面) |
EKS |
预览 |
预览 |
无代理 |
Defender for Containers |
| 运行时保护 |
威胁检测(工作负载) |
EKS |
预览 |
- |
Defender 扩展 |
Defender for Containers |
| 发现和预配 |
发现未受保护的群集 |
EKS |
预览 |
- |
无代理 |
免费 |
| 发现和预配 |
收集控制平面威胁数据 |
EKS |
预览 |
预览 |
无代理 |
Defender for Containers |
| 发现和预配 |
自动预配 Defender 扩展 |
- |
- |
- |
- |
- |
| 发现和预配 |
自动预配 Azure 策略扩展 |
- |
- |
- |
- |
- |
1 特定功能处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
映像
| 方面 |
详细信息 |
| 注册表和映像 |
不支持
• 至少有一层超过 2 GB 的图像
• 公共存储库和清单列表
• 不会扫描 AWS 管理帐户中的映像,因此我们不会在管理帐户中创建资源。 |
Kubernetes 发行版和配置
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kuberenetes 工作负载保护的其他要求,请参阅现有限制。
网络限制
专用链接
Defender for Containers 依赖于 Defender 配置文件/扩展来实现多个功能。 Defender 配置文件/扩展不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
出站代理支持
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。
| 域 |
功能 |
支持的资源 |
Linux 版本状态 1 |
Windows 版本状态 1 |
无代理/基于代理 |
定价层 |
| 合规性 |
Docker CIS |
GCP VM |
预览 |
- |
Log Analytics 代理 |
Defender for Servers 计划 2 |
| 漏洞评估 |
注册表扫描 |
- |
- |
- |
- |
- |
| 漏洞评估 |
查看运行映像的漏洞 |
- |
- |
- |
- |
- |
| 强化 |
控制平面建议 |
- |
- |
- |
- |
- |
| 强化 |
Kubernetes 数据平面建议 |
GKE |
预览 |
- |
Azure Policy 扩展 |
Defender for Containers |
| 运行时保护 |
威胁检测(控制平面) |
GKE |
预览 |
预览 |
无代理 |
Defender for Containers |
| 运行时保护 |
威胁检测(工作负载) |
GKE |
预览 |
- |
Defender 扩展 |
Defender for Containers |
| 发现和预配 |
发现未受保护的群集 |
GKE |
预览 |
- |
无代理 |
免费 |
| 发现和预配 |
收集控制平面威胁数据 |
GKE |
预览 |
预览 |
无代理 |
Defender for Containers |
| 发现和预配 |
自动预配 Defender 扩展 |
GKE |
预览 |
- |
无代理 |
Defender for Containers |
| 发现和预配 |
自动预配 Azure 策略扩展 |
GKE |
预览 |
- |
无代理 |
Defender for Containers |
1 特定功能处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
Kubernetes 发行版和配置
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kuberenetes 工作负载保护的其他要求,请参阅现有限制。
网络限制
专用链接
Defender for Containers 依赖于 Defender 配置文件/扩展来实现多个功能。 Defender 配置文件/扩展不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
出站代理支持
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。
| 域 |
功能 |
支持的资源 |
Linux 版本状态 1 |
Windows 版本状态 1 |
无代理/基于代理 |
定价层 |
| 合规性 |
Docker CIS |
已启用 Arc 的 VM |
预览 |
- |
Log Analytics 代理 |
Defender for Servers 计划 2 |
| 漏洞评估2 |
注册表扫描 - OS 包 |
ACR、专用 ACR |
GA |
预览 |
无代理 |
Defender for Containers |
| 漏洞评估3 |
注册表扫描 - 特定于语言的包 |
ACR、专用 ACR |
预览 |
- |
无代理 |
Defender for Containers |
| 漏洞评估 |
查看运行映像的漏洞 |
- |
- |
- |
- |
- |
| 强化 |
控制平面建议 |
- |
- |
- |
- |
- |
| 强化 |
Kubernetes 数据平面建议 |
已启用 Arc 的 K8s 群集 |
预览 |
- |
Azure Policy 扩展 |
Defender for Containers |
| 运行时保护 |
威胁检测(控制平面) |
已启用 Arc 的 K8s 群集 |
预览 |
预览 |
Defender 扩展 |
Defender for Containers |
| 运行时保护4 |
威胁检测(工作负载) |
已启用 Arc 的 K8s 群集 |
预览 |
- |
Defender 扩展 |
Defender for Containers |
| 发现和预配 |
发现未受保护的群集 |
已启用 Arc 的 K8s 群集 |
预览 |
- |
无代理 |
免费 |
| 发现和预配 |
收集控制平面威胁数据 |
已启用 Arc 的 K8s 群集 |
预览 |
预览 |
Defender 扩展 |
Defender for Containers |
| 发现和预配 |
自动预配 Defender 扩展 |
已启用 Arc 的 K8s 群集 |
预览 |
预览 |
无代理 |
Defender for Containers |
| 发现和预配 |
自动预配 Azure 策略扩展 |
已启用 Arc 的 K8s 群集 |
预览 |
- |
无代理 |
Defender for Containers |
1 特定功能处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
2 VA 可以检测这些 OS 包的漏洞。
3 VA 可以检测这些特定于语言的包的漏洞。
4 运行时保护可以检测这些支持的主机操作系统的威胁。
注册表和映像
| 方面 |
详细信息 |
| 注册表和映像 |
支持
• 受 Azure 专用链接保护的 ACR 注册表(专用注册表需要访问受信任的服务)
• 使用 Windows OS 版本 1709 及更高版本(预览版)的 Windows 映像。 此功能在预览版中免费,正式发布后会产生费用(基于 Defender for Containers 计划)。
不支持
• 超级简单的映像,例如 Docker 暂存映像
• 仅包含应用程序及其运行时依赖项而无包管理器、shell 或 OS 的“无分发版”映像
• 包含开放容器计划 (OCI) 映像格式规范的映像
•目前不支持提供多体系结构映像的映像标记信息 |
| OS 包 |
支持
• Alpine Linux 3.12-3.15
• Red Hat Enterprise Linux 6、7、8
• CentOS 6、7
• Oracle Linux 6、7、8
• Amazon Linux 1、2
• openSUSE Leap 42、15
• SUSE Enterprise Linux 11、12、15
• Debian GNU/Linux wheezy、jessie、stretch、buster、bullseye
• Ubuntu 10.10-22.04
• FreeBSD 11.1-13.1
• Fedora 32、33、34、35 |
特定于语言的包(预览版)
(仅支持 Linux 映像) |
支持
• Python
• Node.js
• .NET
• JAVA
• Go |
Kubernetes 发行版和配置
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
有关 Kuberenetes 工作负载保护的其他要求,请参阅现有限制。
备注
目前不支持在具有 ARM64 节点池的群集上添加 Defender 代理(或将 ARM64 节点池添加到安装了 Defender 代理的群集)。
支持的主机操作系统
Defender for Containers 依赖 Defender 扩展实现多项功能。 以下主机操作系统支持 Defender 扩展:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Google 容器优化 OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在经过验证的受支持操作系统之一上运行。 具有不同主机操作系统的群集只能获得部分覆盖。 查看环境支持的功能了解详细信息。
网络限制
专用链接
Defender for Containers 依赖于 Defender 配置文件/扩展来实现多个功能。 Defender 配置文件/扩展不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
出站代理支持
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。