使用 Microsoft Defender 弱點管理進行 AWS 的弱點評量
AWS 的弱點評量 (由 Microsoft Defender 弱點管理提供) 是立即可用的解決方案,可讓安全性小組輕鬆地探索和補救 Linux 容器映像中的弱點,不需要設定上線,且不需要部署任何感應器。
注意
此功能僅支持掃描 ECR 中的影像。 儲存在其他容器登錄中的映像應匯入至 ECR 以進入涵蓋範圍。 了解如何將容器映像匯入至容器登錄。
在完成啟用此功能的每個訂用帳戶中,儲存在 ECR 中符合掃描觸發程序準則的所有映像都會加以掃描是否有弱點,而不需要任何額外的使用者或登錄設定。 針對 ECR 中的所有映像,以及目前在 EKS 中執行的映像 (這些映像是從 ACR 登錄或任何其他適用於雲端的 Defender 支援登錄 (ECR、GCR 或 GAR) 提取的),提供弱點報告的建議。 映像會在新增至登錄後不久掃描,並每隔 24 小時重新掃描一次是否有新的弱點。
由 Microsoft Defender 弱點管理所提供的容器弱點評量具有下列功能:
掃描作業系統套件 - 容器弱點評量能夠掃描 Linux 和 Windows 作業系統中作業系統套件管理員所安裝套件中的弱點。 請參閱支援的作業系統及其版本的完整清單 (部分機器翻譯)。
語言特定套件 – 僅限 Linux - 支援語言特定套件和檔案,及其安裝或複製的相依性,而不需要作業系統套件管理員。 請參閱支援語言的完整清單 (部分機器翻譯)。
惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
報告 - 由 Microsoft Defender 弱點管理所提供的 AWS 容器弱點評量會使用下列建議提供弱點報告:
這些是報告執行階段容器弱點和登錄映像弱點的新建議。 它們目前處於預覽狀態,但旨在取代舊的建議。 在預覽期間,這些新建議不會計入安全分數。 這兩組建議的掃描引擎都相同。
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| [預覽] AWS 登錄容器應該已解決發現的弱點 | 適用於雲端的 Defender 會掃描您的登錄映像是否有已知的弱點 (CVE),並提供每個已掃描映像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準。 | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [預覽] 在 AWS 中執行的容器映像應該已解決發現的弱點 | 適用於雲端的 Defender 會針對目前在 Kubernetes 叢集中執行的所有容器工作負載建立詳細目錄,並比對所使用的映像和針對登錄映像建立的弱點報告,為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點,對於確保健全且安全的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準至關重要。 | d5d1e526-363a-4223-b860-f4b6e710859f |
以下是目前處於淘汰路徑的較舊建議:
| 建議 | 描述 | 評量金鑰 |
|---|---|---|
| AWS 登錄容器映像應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) | 掃描 AWS 登錄容器映像中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c27441ae-775c-45be-8ffa-655de37362ce |
| 執行容器映像的 AWS 應已解決發現的弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Elastic Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
透過 Azure Resource Graph 查詢弱點資訊 - 能夠透過 Azure Resource Graph 查詢弱點資訊。 了解如何透過 ARG 查詢建議。
透過 REST API 查詢掃描結果 - 了解如何透過 REST API 查詢掃描結果。
掃描觸發程序
映像掃描的觸發程序如下:
單次觸發:
- 每個推送至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾小時內完成,但在極少數情況下,最多可能需要 24 小時的時間。
- 從登錄提取的每個映像都會在 24 小時內觸發掃描。
持續重新掃描觸發 – 需要持續重新掃描,以確保先前掃描過弱點的映像會重新掃描,以在發佈新的弱點時更新其弱點報告。
- 每天執行一次重新掃描:
- 過去 90 天內推送的映像。
- 過去 30 天內提取的映像。
- 目前在適用於雲端的 Defender 所監視 Kubernetes 叢集上執行的映像 (透過 Kubernetes 的無代理程式探索或 Defender 感應器)。
- 每天執行一次重新掃描:
映像掃描如何運作?
掃描流程的詳細描述如下:
當您啟用由 Microsoft Defender 弱點管理所提供的 AWS 容器弱點評量時,您會授權適用於雲端的 Defender 掃描彈性容器登錄中的容器映像。
適用於雲端的 Defender 會自動探索所有容器登錄、存放庫和映像 (在啟用此功能之前或之後建立)。
一天一次,並針對推送至登錄的新映像:
- 系統會提取所有新探索到的映像,並針對每個映像建立詳細目錄。 除非新的掃描器功能需要,否則會保留映像詳細目錄以避免進一步的映像提取。
- 使用詳細目錄時,系統會針對新的映像產生弱點報告,並針對先前所掃描在過去 90 天內推送至登錄,或目前正在執行的映像進行更新。 若要判斷映像目前是否正在執行,適用於雲端的 Defender 會使用針對 Kubernetes 的無代理程式探索,以及透過在 EKS 節點上執行的 Defender 感應器收集的詳細目錄
- 登錄容器映像的弱點報告是作為建議提供的。
對於使用針對 Kubernetes 的無代理程式探索或透過在 EKS 節點上執行的 Defender 感應器收集的詳細目錄的客戶,適用於雲端的 Defender 也會針對在 EKS 叢集上執行的易受攻擊映像補救弱點建立建議。 對於僅使用針對 Kubernetes 的無代理程式探索的客戶,此建議中的詳細目錄重新整理時間是每 7 小時一次。 同時執行 Defender 感應器的叢集受益於兩小時的詳細目錄重新整理率。 映像掃描結果會根據這兩種情況下的登錄掃描進行更新,因此只會每隔 24 小時重新整理一次。
注意
針對適用於容器登錄的 Defender (已淘汰),映像會在推送、提取時掃描一次,並每週僅重新掃描一次。
如果我從我的登錄中移除映像,該映像的弱點報告多久才會移除?
從 ECR 刪除映像之後,需要 30 小時的時間才能移除報告。
下一步
- 深入了解適用於雲端的 Defender Defender 方案。
- 請參閱適用於容器的 Defender 常見問題。