取得保護容器常見問題的解答
大規模啟用新方案的選項有哪些?
您可以使用 Azure 原則 Configure Microsoft Defender for Containers to be enabled
,以大規模啟用適用於容器的 Defender。 您也可以查看所有可用來啟用適用於容器的 Microsoft Defender 的選項。
適用於容器的 Microsoft Defender 是否支援具有虛擬機器擴展集的 AKS 叢集?
是。
適用於容器的 Microsoft Defender 是否支援沒有擴展集的 AKS (預設)?
否。 僅支援針對節點使用虛擬機器擴展集的 Azure Kubernetes Service (AKS) 叢集。
我需要在 AKS 節點上安裝 Log Analytics VM 擴充功能以實現安全性保護嗎?
否,AKS 是受控服務,不支援對 IaaS 資源的操作。 不需要 Log Analytics VM 延伸模組,而且可能導致額外費用。
如何使用現有的 Log Analytics 工作區?
您可以遵循本文中指派自訂工作區小節中的步驟,使用現有的 Log Analytics 工作區。
我可以刪除適用於雲端的 Defender 所建立預設工作區嗎?
我們不建議刪除預設工作區。 適用於容器的 Defender 會使用預設工作區,從您的叢集收集安全性資料。 如果您刪除預設工作區,適用於容器的 Defender 將無法收集資料,而且有些安全性建議和警示將無法使用。
我刪除了預設工作區,該如何回復?
若要復原預設工作區,您必須移除 Defender 感應器,然後重新安裝感應器。 重新安裝 Defender 感應器會建立新的預設工作區。
預設 Log Analytics 工作區位於何處?
視您的區域而定,預設 Log Analytics 工作區可能位於各種位置。 若要查看您的區域,請參閱預設的 Log Analytics 工作區會在何處建立?
我的組織要求我標記資源,而且必要的感應器並未安裝,發生了什麼問題?
Defender 感應器使用 Log Analytics 工作區,將資料從 Kubernetes 叢集傳送至適用於雲端的 Defender。 適用於雲端的 Defender 會將 Log Analytic 工作區和資源群組新增為參數以供感應器使用。
然而,如果您的組織有原則要求資源上要有特定標記,則可能會導致感應器在資源群組或預設工作區建立階段期間安裝失敗。 如果失敗,您可以:
指派自訂工作區,然後新增組織要求的任何標記。
或
如果您的公司要求您標記資源,您應該 覽至該原則並排除下列資源:
- 資源群組
DefaultResourceGroup-<RegionShortCode>
- 工作區
DefaultWorkspace-<sub-id>-<RegionShortCode>
RegionShortCode 是 2-4 個字母的字串。
- 資源群組
適用於容器的 Defender 如何掃描映像檔案?
適用於容器的 Defender 會從登錄提取映像,並使用適用於多雲端環境的 Microsoft Defender 弱點管理在隔離的沙箱中執行映像。 掃描器會擷取已知弱點的清單。
適用於雲端的 Defender 會篩選並分類掃描器得出的結果。 當映像檔案狀況良好時,適用於雲端的 Defender 會對其進行標記。 適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。 透過僅在發生問題時通知您,適用於雲端的 Defender 減少出現不必要資訊警示的可能性。
如何識別掃描程式執行的提取事件?
若要識別掃描程式所執行的提取事件,請執行下列步驟:
- 使用 AzureContainerImageScanner 的UserAgent 搜尋提取事件。
- 擷取與此事件相關聯的身分識別。
- 使用擷取的身分識別來識別來自掃描程式的提取事件。
不適用的資源與未驗證的資源之間的差異為何?
- 不適用的資源為建議無法提供明確答案的資源。 不適用的索引標籤包含無法評估每個資源的原因。
- 未驗證的資源是排定要評估但尚未評估的資源。
為什麼適用於雲端的 Defender 會向我發出不在我登錄中映像的弱點警示?
有些映像可能會重複使用來自已掃描映像的標籤。 例如,您可能會在每次將映像新增至摘要時,重新指派「最新」標籤。 在這種情況下,「舊」映像仍然存在於登錄中,而且可能仍會由其摘要提取。 如果有人提取了具安全疑慮的映像,則會暴露安全性弱點。
適用於容器的 Defender 是否會掃描 Microsoft Container Registry 中的映像?
目前,適用於容器的 Defender 只能掃描 Azure Container Registry (ACR) 和 AWS Elastic Container Registry (ECR) 中的映像。 不支援 Docker Registry、Microsoft 成品登錄/Microsoft Container Registry 和 Microsoft Azure Red Hat OpenShift (ARO) 內建容器映像登錄。 映像應該先匯入至 ACR。 深入了解如何將容器映像匯入 Azure Container Registry。
是否可透過 REST API 取得掃描結果?
是。 結果會存放在子評定 REST API 下。 此外,您可以使用 Azure Resource Graph (ARG),這是適用於所有資源的類 Kusto API:查詢可以擷取特定的掃描。
如何檢查容器所使用的媒體類型?
若要檢查映像類型,您必須使用可檢查原始映像資訊清單的工具,例如 skopeo,並檢查原始映像格式。
無代理程式容器態勢管理的延伸模組為何?
有兩個延伸模組提供無代理程式 CSPM 功能:
- 無代理程式容器弱點評量:提供無代理程式容器弱點評量。 深入了解無代理程式容器弱點評量。
- Kubernetes 的無代理程式探索:提供以 API 為基礎探索 Kubernetes 叢集架構、工作負載物件和設定的相關資訊。
如何一次上線多個訂用帳戶?
若要一次上線多個訂用帳戶,您可以使用此指令碼。
為什麼我看不到叢集的結果?
如果您沒有看到叢集的結果,請檢查下列問題:
- 是否已停止叢集?
- 您的資源群組、訂用帳戶或叢集是否已鎖定? 如果上述任一問題的答案為是,請參閱下列問題中的解答。
如果我已停止叢集,該怎麼辦?
我們不支援已停止的叢集,也不對已停止的叢集收費。 若要在已停止的叢集上取得無代理功能的值,您可以重新執行叢集。
如果我的資源群組、訂用帳戶或叢集已鎖定,該怎麼辦?
建議您將鎖定的資源群組/訂用帳戶/叢集解除鎖定,手動提出相關要求,然後執行下列動作來重新鎖定資源群組/訂用帳戶/叢集:
- 使用受信任的存取,透過 CLI 手動啟用功能旗標。
“az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”
- 在 CLI 中執行繫結作業:
az account set -s <SubscriptionId> az extension add --name aks-preview az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles "Microsoft.Security/pricings/microsoft-defender-operator"
針對鎖定的叢集,您也可以執行下列步驟之一:
- 移除鎖定。
- 藉由發出 API 要求,手動執行繫結作業。 深入瞭解鎖定的資源。
您是否使用更新的 AKS 版本?
Kubernetes 無代理程式探索的重新整理間隔為何?
變更最多可能需要 24 小時才會反映在安全性圖表、攻擊路徑和安全性總管中。
如何從已淘汰的 Trivy 弱點評量升級至由 Microsoft Defender 弱點管理所提供的 AWS 弱點評量?
下列步驟會移除 Trivy 提供的單一登錄建議,並新增 MDVM 提供的新登錄和執行階段建議。
- 開啟相關的 AWS 連接器。
- 開啟適用於容器的 Defender 的 [設定] 頁面。
- 啟用 [無代理程式容器弱點評量]。
- 完成連接器精靈的步驟,包括在 AWS 中部署新的上線指令碼。
- 手動刪除上線期間建立的資源:
- 具有 defender-for-containers-va 前置詞的 S3 貯體
- 名為 defender-for-containers-va 的 ECS 叢集
- VPC:
- 值為
defender-for-containers-va
的標籤name
- IP 子網路 CIDR 10.0.0.0/16
- 與具有標籤
name
和值defender-for-containers-va
的預設安全性群組相關聯,其具有一個所有傳入流量的規則。 - 在
defender-for-containers-va
VPC 中具有標籤name
和值defender-for-containers-va
的子網路,並具有 ECS 叢集defender-for-containers-va
所使用的 CIDR 10.0.1.0/24 IP 子網路 - 具有標籤
name
和值defender-for-containers-va
的網際網路閘道 - 路由表 - 具有標籤
name
和值defender-for-containers-va
的路由表,並具有下列路由:- 目的地:
0.0.0.0/0
;目標:具有標籤name
和值defender-for-containers-va
的網際網路閘道 - 目的地:
10.0.0.0/16
;目標:local
- 目的地:
- 值為
若要取得執行中映像的弱點評量,請啟用 Kubernetes 的無代理程式探索,或在 Kubernetes 叢集上部署 Defender 感應器。