Běžné dotazy týkající se ochrany kontejnerů

Azure Policy Configure Microsoft Defender for Containers to be enabledmůžete použít k povolení defenderu pro kontejnery ve velkém měřítku. Zobrazí se také všechny možnosti, které jsou k dispozici pro povolení Microsoft Defenderu pro kontejnery.

Ano.

Ne. Podporovány jsou jen clustery Azure Kubernetes Service (AKS), které pro uzly používají Virtual Machine Scale Sets.

Ne, AKS je spravovaná služba a manipulace s prostředky IaaS není podporována. Rozšíření virtuálního počítače Log Analytics není potřeba a může mít za následek další poplatky.

Existující pracovní prostor služby Log Analytics můžete použít podle kroků v části Přiřazení vlastního pracovního prostoru tohoto článku.

Nedoporučujeme odstranit výchozí pracovní prostor. Defender for Containers používá výchozí pracovní prostory ke shromažďování dat zabezpečení z vašich clusterů. Defender for Containers nebude moct shromažďovat data a pokud odstraníte výchozí pracovní prostor, přestanou být k dispozici některá doporučení a výstrahy zabezpečení.

Pokud chcete obnovit výchozí pracovní prostor, musíte senzor Defenderu odebrat a znovu nainstalovat senzor. Opětovná instalace senzoru Defenderu vytvoří nový výchozí pracovní prostor.

V závislosti na vaší oblasti se výchozí pracovní prostor služby Log Analytics může nacházet v různých umístěních. Pokud chcete zkontrolovat oblast, podívejte se, kde je vytvořený výchozí pracovní prostor služby Log Analytics?

Senzor Defenderu používá pracovní prostor Log Analytics k odesílání dat z clusterů Kubernetes do Defenderu pro cloud. Defender pro cloud přidá pracovní prostor LogAnalytic a skupinu prostředků jako parametr pro použití senzoru.

Pokud má ale vaše organizace zásadu, která vyžaduje konkrétní značku vašich prostředků, může způsobit selhání instalace senzoru během skupiny prostředků nebo výchozí fáze vytvoření pracovního prostoru. Pokud dojde k chybě, můžete:

• Přiřaďte vlastní pracovní prostor a přidejte všechny značky, které vaše organizace vyžaduje.

  nebo

• Pokud vaše společnost vyžaduje označení vašeho prostředku, přejděte na tuto zásadu a vylučte následující prostředky:

  1. Skupina prostředků DefaultResourceGroup-<RegionShortCode>
  2. Pracovní prostor DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode je řetězec s 2 až 4 písmeny.

Defender for Containers načítá image z registru a spustí ji v izolovaném sandboxu s Microsoft Defender Správa zranitelností pro prostředí s více cloudy. Kontrola extrahuje seznam známých ohrožení zabezpečení.

Defender for Cloud filtruje a klasifikuje zjištění ze skeneru. Když je image v pořádku, Defender for Cloud ho tak označí. Defender for Cloud generuje doporučení zabezpečení jenom pro image, které mají problémy, které se mají vyřešit. Tím, že vás Defender for Cloud upozorní jen na problémy, snižuje potenciál nežádoucích informačních výstrah.

Pokud chcete identifikovat události přijetí změn prováděné skenerem, proveďte následující kroky:

1. Vyhledejte události přijetí změn pomocí UserAgent služby AzureContainerImageScanner.
2. Extrahujte identitu přidruženou k této události.
3. Extrahovaná identita slouží k identifikaci událostí vyžádání ze skeneru.

• Nepoužitelné prostředky jsou prostředky , pro které doporučení nemůže poskytnout konečnou odpověď. Karta Nejde použít, obsahuje důvody pro každý prostředek, který se nepodařilo posoudit.
• Neověřené zdroje jsou zdroje, které se mají vyhodnotit, ale zatím se neposuzují.

Některé obrázky můžou opakovaně používat značky z obrázku, který už byl naskenován. Při každém přidání obrázku do přehledu můžete například značku "Latest" znovu přiřadit. V takových případech image "old" v registru stále existuje a může být stále načítaná hodnotou hash. Pokud image obsahuje zjištění zabezpečení a načítá se, zobrazí se ohrožení zabezpečení.

Defender for Containers v současné době může prohledávat image pouze ve službě Azure Container Registry (ACR) a AWS Elastic Container Registry (ECR). Registr Dockeru, Registr artefaktů Microsoft/ Microsoft Container Registry a Microsoft Azure Red Hat OpenShift (ARO) integrovaného registru imagí kontejneru se nepodporují. Obrázky by se měly nejprve importovat do služby ACR. Přečtěte si další informace o importu imagí kontejnerů do registru kontejneru Azure.

Ano. Výsledky jsou pod rozhraním REST API dílčích posouzení. Můžete také použít Azure Resource Graph (ARG), rozhraní API podobné Kusto pro všechny vaše prostředky: dotaz může načíst konkrétní kontrolu.

Pokud chcete zkontrolovat typ obrázku, musíte použít nástroj, který může zkontrolovat nezpracovaný manifest obrázku, jako je skopeo, a zkontrolovat formát nezpracovaného obrázku.

• Ve formátu Dockeru v2 by typ média manifestu byl application/vnd.docker.distribution.manifest.v1+json nebo application/vnd.docker.distribution.manifest.v2+json, jak je uvedeno zde.
• Pro formát image OCI by typ média manifestu byl application/vnd.oci.image.manifest.v1+json a typ média konfigurace application/vnd.oci.image.config.v1+json, jak je uvedeno zde.

Existují dvě rozšíření, která poskytují funkce CSPM bez agentů:

• Posouzení ohrožení zabezpečení kontejneru bez agentů: Poskytuje posouzení ohrožení zabezpečení kontejnerů bez agentů. Přečtěte si další informace o posouzení ohrožení zabezpečení kontejneru bez agentů.
• Zjišťování bez agentů pro Kubernetes: Poskytuje zjišťování informací o architektuře clusteru Kubernetes, objektech úloh a nastavení založené na rozhraní API.

Pokud chcete připojit více předplatných najednou, můžete použít tento skript.

Pokud se vám nezobrazují výsledky z clusterů, podívejte se na následující otázky:

• Zastavili jste clustery?
• Jsou vaše skupiny prostředků, předplatná nebo clustery uzamčené? Pokud je odpověď na některou z těchto otázek ano, podívejte se na odpovědi v následujících otázkách.

Zastavené clustery nepodporujeme ani neúčtujeme. Pokud chcete získat hodnotu funkcí bez agentů v zastaveném clusteru, můžete cluster spustit znovu.

Doporučujeme odemknout uzamčenou skupinu prostředků, předplatné nebo cluster, provést příslušné požadavky ručně a potom znovu uzamknout skupinu prostředků, předplatné nebo cluster následujícím způsobem:

1. Pomocí důvěryhodného přístupu povolte příznak funkce ručně prostřednictvím rozhraní příkazového řádku.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Proveďte operaci vytvoření vazby v rozhraní příkazového řádku:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

U uzamčených clusterů můžete také provést jeden z následujících kroků:

• Odeberte zámek.
• Operaci vytvoření vazby proveďte ručně provedením požadavku rozhraní API. Přečtěte si další informace o uzamčených prostředcích.

Další informace o podporovaných verzích Kubernetes ve službě Azure Kubernetes Service (AKS)

Může trvat až 24 hodin , než se změny projeví v grafu zabezpečení, v cestách útoku a v Průzkumníku zabezpečení.

Následující kroky odeberou doporučení pro jeden registr využívající Trivy a přidají nová doporučení registru a modulu runtime, která využívají MDVM.

1. Otevřete příslušný konektor AWS.
2. Otevřete stránku Nastavení pro Defender for Containers.
3. Povolte posouzení ohrožení zabezpečení kontejneru bez agentů.
4. Dokončete kroky průvodce konektorem, včetně nasazení nového skriptu onboardingu v AWS.
5. Ručně odstraňte prostředky vytvořené během onboardingu:
   • Kontejner S3 s předponou defender-for-containers-va
   • Cluster ECS s názvem defender-for-containers-va
   • VPC:
     • Značka name s hodnotou defender-for-containers-va
     • Podsíť PROTOKOLU IP CIDR 10.0.0.0/16
     • Přidruženo k výchozí skupině zabezpečení se značkou name a hodnotou defender-for-containers-va , která má jedno pravidlo všech příchozích přenosů.
     • Podsíť se značkou name a hodnotou defender-for-containers-va VPC defender-for-containers-va s podsítí PROTOKOLU CIDR 10.0.1.0/24 používanou clusterem ECSdefender-for-containers-va
     • Internetová brána se značkou name a hodnotou defender-for-containers-va
     • Směrovací tabulka – Směrovací tabulka se značkou name a hodnotou defender-for-containers-vaa s těmito trasami:
       • Cíl: 0.0.0.0/0; Cíl: Internetová brána se značkou name a hodnotou defender-for-containers-va
       • Cíl: 10.0.0.0/16; Cíl: local

Pokud chcete získat posouzení ohrožení zabezpečení pro spuštěné image, povolte zjišťování bez agentů pro Kubernetes nebo nasaďte senzor Defenderu do clusterů Kubernetes.

Další kroky

Další informace o defenderu pro kontejnery