A Defender for Containers használata az ACR-rendszerképek biztonsági réseinek vizsgálatához

Ez az oldal azt ismerteti, hogyan használható a Defender for Containers az Azure Resource Manager-alapú Azure Container Registry tárolt tárolórendszerképek vizsgálatára a Felhőhöz készült Microsoft Defender nyújtott védelem részeként.

A tárolók biztonsági réseinek vizsgálatához engedélyeznie kell a Defender for Containerst. Amikor a Qualys által működtetett szkenner biztonsági réseket jelent, Felhőhöz készült Defender javaslatként jeleníti meg az eredményeket és a kapcsolódó információkat. A megállapítások emellett olyan kapcsolódó információkat is tartalmaznak, mint a szervizelési lépések, a releváns CVE-k, a CVSS-pontszámok és egyebek. Megtekintheti egy vagy több előfizetés vagy egy adott beállításjegyzék azonosított biztonsági réseit.

Tipp

A tárolórendszerképek biztonsági réseit is megvizsgálhatja, mivel a rendszerképek a CI/CD-GitHub munkafolyamatokban vannak létrehozva. További információ: Sebezhető tárolólemezképek azonosítása a CI-/CD-munkafolyamatokban.

A képvizsgálatnak négy eseményindítója van:

  • Leküldéskor – Amikor rendszerképet küld a regisztrációs adatbázisba, a Defender for Containers automatikusan megvizsgálja a rendszerképet. A rendszerkép vizsgálatának elindításához küldje le azt az adattárba.

  • Nemrégiben lekért – Mivel minden nap új biztonsági réseket fedeznek fel, a Microsoft Defender for Containers heti rendszerességgel ellenőrzi az elmúlt 30 napban lekért rendszerképeket is. Ezekért a rescans-okért nem kell külön díjat fizetni; ahogy fent említettük, a rendszerképenként egyszer kell fizetnie.

  • Importáláskor – Azure Container Registry rendelkezik olyan importálási eszközökkel, amelyeket a rendszerképek a Docker Hub, a Microsoft Container Registry vagy egy másik Azure-beli tárolóregisztrációs adatbázisból való importálásához használhat. A Microsoft Defender for Containers megvizsgálja az importált támogatott rendszerképeket. További információ: Tárolórendszerképek importálása tárolóregisztrációs adatbázisba.

  • Folyamatos vizsgálat – Ennek az eseményindítónak két módja van:

    • Kép lekérésén alapuló folyamatos vizsgálat. Ez a vizsgálat a kép lekérése után hét naponta történik, és csak a kép lekérése után 30 napig. Ehhez a módhoz nincs szükség biztonsági profilra vagy bővítményre.

    • (Előzetes verzió) Rendszerképek folyamatos vizsgálata. Ez a vizsgálat hét naponta történik mindaddig, amíg a rendszerkép fut. Ez a mód a fenti mód helyett fut, amikor a Defender-profil vagy -bővítmény fut a fürtön.

Ez a vizsgálat általában 2 percen belül befejeződik, de akár 40 percet is igénybe vehet. Minden azonosított biztonsági rés esetében Felhőhöz készült Defender végrehajtható javaslatokat, valamint súlyossági besorolást és útmutatást nyújt a probléma megoldásához.

Felhőhöz készült Defender szűrőket, és osztályozza az eredményeket a képolvasóból. Ha egy kép kifogástalan állapotú, Felhőhöz készült Defender megjelöli ilyenként. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Ha csak akkor küld értesítést, ha problémák merülnek fel, Felhőhöz készült Defender csökkenti a nem kívánt tájékoztatási riasztások esélyét.

Az Azure-beli tárolóregisztrációs adatbázisokban lévő rendszerképek biztonsági réseinek azonosítása

Az Azure Resource Manager-alapú Azure Container Registry tárolt képek sebezhetőségi vizsgálatának engedélyezése:

  1. Engedélyezze a Defender for Containerst az előfizetéshez. A Defender for Containers most már készen áll a regisztrációs adatbázisokban lévő rendszerképek vizsgálatára.

    Megjegyzés

    Ez a funkció képenként díjköteles.

    Amikor egy vizsgálat aktiválódik, az eredmények Felhőhöz készült Defender javaslatokként érhetők el a vizsgálat befejezése után 2 perctől 15 percig.

  2. Az eredmények megtekintése és kijavítása az alábbiak szerint.

Más tárolóregisztrációs adatbázisokban lévő rendszerképek biztonsági réseinek azonosítása

  1. Az ACR-eszközökkel lemezképeket hozhat létre a regisztrációs adatbázisba Docker Hub vagy a Microsoft Container Registryből. Az importálás befejezése után az importált képeket a beépített sebezhetőségi felmérési megoldás ellenőrzi.

    További információ: Tárolórendszerképek importálása tárolóregisztrációs adatbázisba

    Amikor a vizsgálat befejeződik (általában körülbelül 2 perc, de akár 15 perc is lehet), az eredmények Felhőhöz készült Defender javaslatokként érhetők el.

  2. Az eredmények megtekintése és kijavítása az alábbiak szerint.

Eredmények megtekintése és szervizelése

  1. Az eredmények megtekintéséhez nyissa meg a Javaslatok lapot. Ha problémákat talál, látni fogja, hogy a tárolóregisztrációs adatbázis lemezképeinek biztonsági résekkel kapcsolatos megállapításokat kell megoldaniuk.

    Recommendation to remediate issues .

  2. Válassza ki a javaslatot.

    Megnyílik a javaslat részleteit tartalmazó lap további információkkal. Ez az információ tartalmazza a sebezhető rendszerképeket ("érintett erőforrásokat") tartalmazó regisztrációs adatbázisok listáját és a szervizelési lépéseket.

  3. Válasszon ki egy adott beállításjegyzéket a sebezhető adattárakkal rendelkező adattárak megtekintéséhez.

    Select a registry.

    Megnyílik a beállításjegyzék részleteinek oldala az érintett adattárak listájával.

  4. Válasszon ki egy adott adattárat a sebezhető képeket tartalmazó adattárak megtekintéséhez.

    Select a repository.

    Megnyílik az adattár részleteinek lapja. A sebezhető képeket az eredmények súlyosságának felmérésével együtt sorolja fel.

  5. Válasszon ki egy adott képet a biztonsági rések megtekintéséhez.

    Select images.

    Megnyílik a kijelölt kép eredményeinek listája.

    List of findings.

  6. Ha többet szeretne megtudni a keresésről, válassza ki a keresett elemet.

    Megnyílik az Eredmények részletei panel.

    Findings details pane.

    Ez a panel a probléma részletes leírását és külső erőforrásokra mutató hivatkozásokat tartalmaz a fenyegetések elhárításához.

  7. Kövesse a panel szervizelési szakaszának lépéseit.

  8. Ha elvégezte a biztonsági probléma elhárításához szükséges lépéseket, cserélje le a rendszerképet a beállításjegyzékben:

    1. Leküldheti a frissített képet egy vizsgálat indításához.

    2. Ellenőrizze a javaslatok oldalán, hogy a tárolóregisztrációs adatbázis lemezképeinek nincsenek-e megoldva a biztonságirés-megállapítások.

      Ha a javaslat továbbra is megjelenik, és a kezelt kép továbbra is megjelenik a sebezhető képek listájában, ellenőrizze újra a javítási lépéseket.

    3. Ha biztos abban, hogy a frissített rendszerkép le lett küldve, beolvasva, és már nem jelenik meg a javaslatban, törölje a "régi" sebezhető lemezképet a beállításjegyzékből.

Adott eredmények letiltása

Megjegyzés

Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon általánosan még nem elérhető Azure-funkciókra vonatkoznak.

Ha a szervezetnek figyelmen kívül kell hagynia egy megállapítást a szervizelése helyett, igény szerint letilthatja azt. A letiltott eredmények nem befolyásolják a biztonsági pontszámot, és nem okoznak nemkívánatos zajt.

Ha egy találat megfelel a letiltás szabályaiban meghatározott feltételeknek, az nem jelenik meg az eredmények listájában. A tipikus forgatókönyvek a következők:

  • A közepesnél súlyosabb eredmények letiltása
  • Nem javítható eredmények letiltása
  • A 6,5 alatti CVSS-pontszámmal kapcsolatos eredmények letiltása
  • Tiltsa le az eredményeket adott szöveggel a biztonsági ellenőrzésben vagy kategóriában (például "RedHat", "CentOS biztonsági frissítés sudo-hoz")

Fontos

Szabály létrehozásához engedélyekre van szüksége egy szabályzat szerkesztéséhez Azure Policy.

További információ az Azure RBAC-engedélyekről a Azure Policy-ben.

Az alábbi feltételek bármelyikét használhatja:

  • Azonosító keresése
  • Kategória
  • Biztonsági ellenőrzés
  • CVSS v3 pontszámok
  • Súlyosság
  • Javítható állapot

Szabály létrehozása:

  1. A Tárolóregisztrációs adatbázis lemezképeihez tartozó javaslatok részletező oldalán válassza a Szabály letiltása lehetőséget.

  2. Válassza ki a megfelelő hatókört.

  3. Adja meg a feltételeket.

  4. Válassza a Szabály alkalmazása lehetőséget.

    Create a disable rule for VA findings on registry.

  5. Szabály megtekintése, felülbírálása vagy törlése:

    1. Válassza a Szabály letiltása lehetőséget.
    2. A hatókörlistában az aktív szabályokkal rendelkező előfizetések szabályként jelennek meg. Modify or delete an existing rule.
    3. A szabály megtekintéséhez vagy törléséhez válassza a három pont menüt ("...").

GYIK

Hogyan vizsgálja a Defender for Containers a rendszerképeket?

A Defender for Containers lekéri a lemezképet a beállításjegyzékből, és egy elkülönített tesztkörnyezetben futtatja a Qualys-szkennerrel. A szkenner kinyeri az ismert biztonsági rések listáját.

Felhőhöz készült Defender szűri és osztályozza a szkenner eredményeit. Ha egy kép kifogástalan állapotú, Felhőhöz készült Defender megjelöli. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Azáltal, hogy csak akkor értesíti Önt, ha problémák merülnek fel, Felhőhöz készült Defender csökkenti a nem kívánt tájékoztatási riasztások lehetőségét.

Lekérhetem a vizsgálati eredményeket a REST API-val?

Igen. Az eredmények a Sub-Assessments REST API alatt találhatók. Emellett használhatja az Azure Resource Graph (ARG) Kusto-szerű API-t az összes erőforráshoz: egy lekérdezés lekérhet egy adott vizsgálatot.

Milyen beállításjegyzék-típusokat vizsgál a rendszer? Milyen típusú számlázást kell fizetnie?

A Microsoft Defender által a tárolóregisztrációs adatbázisokhoz támogatott tárolóregisztrációs adatbázisok típusainak listáját a Rendelkezésre állás című témakörben találja.

Ha nem támogatott regisztrációs adatbázisokat csatlakoztat az Azure-előfizetéséhez, a Defender for Containers nem ellenőrzi őket, és nem fogja kiszámlázni őket.

Testre szabhatom a biztonságirés-ellenőrző eredményeit?

Igen. Ha a szervezetnek figyelmen kívül kell hagynia egy megállapítást, és nem kell szervizelnie, letilthatja azt. A letiltott eredmények nem befolyásolják a biztonsági pontszámot, és nem okoznak nemkívánatos zajt.

Megtudhatja, hogyan hozhat létre szabályokat az integrált sebezhetőség-felmérési eszköz eredményeinek letiltására.

Miért Felhőhöz készült Defender figyelmeztet egy olyan rendszerkép biztonsági résére, amely nem szerepel a beállításjegyzékben?

Egyes képek újra felhasználhatják a már beolvasott képek címkéinek használatát. A "Latest" címkét például minden alkalommal hozzárendelheti, amikor képet ad hozzá egy kivonathoz. Ilyen esetekben a "régi" rendszerkép továbbra is létezik a beállításjegyzékben, és a kivonat még lekérehető. Ha a rendszerkép biztonsági megállapításokkal rendelkezik, és lekérte, biztonsági réseket fog felfedni.

Következő lépések

További információ a Felhőhöz készült Microsoft Defender speciális védelmi terveiről.