使用 Microsoft Defender 弱點管理 的 AWS 弱點評估
AWS 的弱點評估由 Microsoft Defender 弱點管理 提供,是一種現用的解決方案,可讓安全性小組輕鬆地探索和補救 Linux 容器映射中的弱點,且沒有任何設定可供上線,且不需要部署任何感測器。
注意
此功能僅支持掃描 ECR 中的影像。 儲存在其他容器登錄中的映像應該匯入 ECR 以進行涵蓋範圍。 瞭解如何將容器映像匯入容器登錄。
在啟用此功能的每個帳戶中,儲存在 ECR 中符合掃描觸發程式準則的所有映像都會掃描是否有弱點,而不需要任何額外的使用者或登錄設定。 #D13C6B2E8F0A1409B8BC0FE431EF5F566 會針對 ECR 中的所有映像,以及目前在 EKS 中執行的映像,以及從 ECR 登錄或任何其他 適用於雲端的 Defender 支援的登錄 (ACR、GCR 或 GAR) 提取的映像。 映像新增至登錄不久之後就會經過掃描,每隔 24 小時重新掃描一次是否有新弱點。
由 Microsoft Defender 弱點管理所提供的容器弱點評估具有下列功能:
掃描 OS 套件 - 容器弱點評估能夠掃描 Linux 和 Windows 作業系統中 OS 套件管理員所安裝的套件弱點。 請參閱支援作業系統及其版本的完整清單。
語言特定套件 – 僅限 Linux - 支持語言特定套件和檔案,以及安裝或複製其相依性,而不需要操作系統套件管理員。 請參閱支援語言的完整清單。
惡意探索資訊 - 每個弱點報告都是透過惡意探索資料庫來搜尋,以協助我們的客戶判斷與每個報告弱點相關聯的實際風險。
報告 - 由 Microsoft Defender 弱點管理 支援的 AWS 容器弱點評估會使用下列建議提供弱點報告:
這些是報告運行時間容器弱點和登錄映像弱點的新建議。 它們目前處於預覽狀態,但旨在取代舊的建議。 在預覽期間,這些新建議不會計入安全分數。 這兩組建議的掃描引擎都相同。
| 建議 | 描述 | 評定金鑰 |
|---|---|---|
| [預覽]AWS 登錄中的容器映像應該已解決弱點結果 | 適用於雲端的 Defender 會掃描您的登錄映像是否有已知的弱點(CVE),並提供每個掃描影像的詳細結果。 掃描和補救登錄中容器映射的弱點有助於維護安全且可靠的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準。 | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
| [預覽]在 AWS 中執行的容器應該已解決弱點結果 | 適用於雲端的 Defender 會建立 Kubernetes 叢集中目前執行的所有容器工作負載清查,並比對所使用的映射和針對登錄映像建立的弱點報告,為這些工作負載提供弱點報告。 掃描和補救容器工作負載的弱點,對於確保健全且安全的軟體供應鏈、降低安全性事件的風險,並確保符合業界標準至關重要。 | d5d1e526-363a-4223-b860-f4b6e710859f |
以下是目前處於淘汰路徑的較舊建議:
| 建議 | 描述 | 評定金鑰 |
|---|---|---|
| AWS 登錄容器映射應已解決弱點結果(由 Microsoft Defender 弱點管理 提供電源) | 掃描 AWS 登錄容器映射中常見的弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | c27441ae-775c-45be-8ffa-655de37362ce |
| AWS 執行中的容器映像應該已解決弱點結果(由 Microsoft Defender 弱點管理 提供電源) | 容器映像弱點評估會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在彈性 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
透過 Azure Resource Graph 查詢弱點資訊 - 能夠透過 Azure Resource Graph 查詢弱點資訊。 瞭解如何 透過ARG查詢建議。
透過 REST API 查詢掃描結果 - 瞭解如何透過 REST API 查詢掃描結果。
掃描觸發程序
映像掃描的觸發程序如下:
單次觸發:
- 每個推送至容器登錄的映像都會觸發掃描。 在大部分情況下,掃描會在幾個小時內完成,但在罕見的情況下,最多可能需要 24 小時的時間。
- 從登錄提取的每個映像都會在 24 小時內觸發掃描。
持續重新掃描觸發 – 需要持續重新掃描,以確保先前掃描過弱點的映像會重新掃描,以在發佈新的弱點時更新弱點報告。
- 每天執行一次重新掃描 :
- 過去 90 天內推送的映像。
- 過去 30 天內提取的映像。
- 目前在由 適用於雲端的 Defender 監視的 Kubernetes 叢集上執行的映射(無論是透過 Kubernetes 的無代理程式探索或 Defender 感測器)。
- 每天執行一次重新掃描 :
映像掃描如何運作?
掃描流程的詳細描述如下:
當您為由 Microsoft Defender 弱點管理 支援的 AWS 啟用容器弱點評估時,您會授權 適用於雲端的 Defender 掃描彈性容器登錄中的容器映像。
適用於雲端的 Defender 會自動探索所有容器登錄、存放庫和映像 (在啟用此功能之前或之後建立)。
一天一次,並適用於推送至登錄的新映像:
- 系統會提取所有新探索到的映像,並針對每個映像建立清查。 除非新的掃描儀功能需要,否則會保留影像清查以避免進一步的影像提取。
- 使用清查時,系統會針對新的映像產生弱點報告,並針對先前掃描的映像進行更新,這些映像是在過去 90 天內推送至登錄,或目前正在執行中。 若要判斷映像目前是否正在執行,適用於雲端的 Defender 使用 Kubernetes 的無代理程式探索,以及透過在 EKS 節點上執行的 Defender 感測器收集的清查
- 登錄容器映像的弱點報告是作為建議提供。
對於使用 Kubernetes 的無代理程式探索或透過在 EKS 節點上執行的 Defender 感測器收集的清查的客戶,適用於雲端的 Defender 也會針對在 EKS 叢集上執行的易受攻擊映射補救弱點建立建議。 對於只 針對 Kubernetes 使用無代理程式探索的客戶,此建議中的清查重新整理時間是每 7 小時一次。 同時執行Defender感測器的叢集受益於兩小時的清查重新整理速率。 映像掃描結果會根據這兩種情況下的登錄掃描進行更新,因此只會每隔 24 小時重新整理一次。
注意
針對 適用於容器登錄的 Defender(已淘汰),映像會在推送、提取時掃描一次,並每周只重新掃描一次。
如果我從登錄中移除映像,該映像的弱點報告多久才會移除?
在移除報表之前,從 ECR 刪除映像需要 30 小時的時間。
下一步
- 深入瞭解 適用於雲端的 Defender Defender 方案。
- 請參閱 適用於容器的Defender的常見問題 。