Bevezetés a Tárolóregisztrációs adatbázisokhoz készült Microsoft Defender használatába (elavult)
Fontos
Elindítottuk az Azure Sebezhetőségi felmérés nyilvános előzetes verzióját, amely az MDVM-et használja. További információ: Az Azure biztonságirés-felmérései Microsoft Defender biztonságirés-kezelés.
Az Azure Container Registry (ACR) egy felügyelt, privát Docker-beállításjegyzék-szolgáltatás, amely egy központi beállításjegyzékben tárolja és kezeli a tárolólemezképeket az Azure-üzemelő példányokhoz. Ez a nyílt forráskódú Docker Registry 2.0-n alapul.
Az Azure Resource Manager-alapú regisztrációs adatbázisok előfizetésben való védelméhez engedélyezze a Microsoft Defendert a tárolóregisztrációs adatbázisokhoz az előfizetés szintjén. Felhőhöz készült Defender ezután beolvassa az összes képet, amikor leküldi őket a beállításjegyzékbe, importálja őket a beállításjegyzékbe, vagy lekérte őket az elmúlt 30 napban. Minden beolvasott képért díjat számítunk fel – képenként egyszer.
Elérhetőség
Fontos
A tárolóregisztrációs adatbázisokhoz készült Microsoft Defendert a Microsoft Defender for Containersre cseréltük. Ha már engedélyezte a Defendert egy előfizetés tárolóregisztrációs adatbázisaihoz, továbbra is használhatja. A Defender for Containers fejlesztései és új funkciói azonban nem érhetők el.
Ez a csomag már nem érhető el olyan előfizetésekhez, ahol még nincs engedélyezve.
A Microsoft Defender for Containersre való frissítéshez nyissa meg a Defender csomagok lapját a portálon, és engedélyezze az új csomagot:
További információ erről a változásról a kibocsátási megjegyzésben.
| Szempont | Részletek |
|---|---|
| Kiadási állapot: | Elavult (a Microsoft Defender for Containers használata) |
| Támogatott adatbázisok és rendszerképek: | Linux-rendszerképek a nyilvános internetről elérhető ACR-adatbázisokban rendszerhéj-hozzáféréssel Az Azure Private Linkdel védett ACR-regisztrációs adatbázisok |
| Nem támogatott adatbázisok és rendszerképek: | Windows-rendszerképek "Privát" nyilvántartások (kivéve, ha hozzáférést kapnak a megbízható szolgáltatásokhoz) Szuper minimalista rendszerképek, például Docker-kaparós képek vagy "Distroless" képek, amelyek csak egy alkalmazást és annak futtatókörnyezeti függőségeit tartalmaznak csomagkezelő, rendszerhéj vagy operációs rendszer nélkül Az Open Container Initiative (OCI) rendszerképformátumának specifikációja |
| Szükséges szerepkörök és engedélyek: | Biztonsági olvasó és Azure Container Registry-szerepkörök és engedélyek |
| Felhők: |  Kereskedelmi felhők National (Azure Government, Microsoft Azure által üzemeltetett 21Vianet) |
Milyen előnyökkel jár a Microsoft Defender a tárolóregisztrációs adatbázisok esetében?
Felhőhöz készült Defender azonosítja az Azure Resource Manager-alapú ACR-adatbázisokat az előfizetésében, és zökkenőmentesen biztosítja az Azure natív biztonságirés-felmérését és kezelését a beállításjegyzék lemezképeihez.
A Microsoft Defender tárolóregisztrációs adatbázisokhoz tartalmaz egy biztonságirés-ellenőrzőt az Azure Resource Manager-alapú Azure Container Registry-nyilvántartások rendszerképeinek vizsgálatához, és mélyebb betekintést nyújt a rendszerképek biztonsági réseibe.
Ha problémákat talál, értesítést kap a számítási feladatok védelmének irányítópultján. Az Felhőhöz készült Defender minden biztonsági réshez használható javaslatokat, valamint súlyossági besorolást és útmutatást nyújt a probléma megoldásához. A Felhőhöz készült Defender tárolókra vonatkozó javaslatainak részleteiért tekintse meg a javaslatok referencialistáját.
A Defender for Cloud kiszűri és osztályozza az átvilágításból származó eredményeket. Ha egy kép egészséges, a Defender for Cloud annak jelöli. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Felhőhöz készült Defender részletesen ismerteti az egyes jelentett biztonsági réseket és a súlyossági besorolást. Emellett útmutatást nyújt az egyes képeken található biztonsági rések elhárításához.
Ha csak akkor küld értesítést, ha problémák merülnek fel, Felhőhöz készült Defender csökkenti a nemkívánatos tájékoztatási riasztások előfordulásának lehetőségét.
Mikor ellenőrzik a rendszerképeket?
A képvizsgálatnak három eseményindítója van:
Leküldéskor – Amikor egy rendszerképet leküld a beállításjegyzékbe, a Tárolóregisztrációs defender automatikusan megvizsgálja a rendszerképet. Egy kép vizsgálatának elindításához nyomja le az adattárba.
Nemrég lekért – Mivel minden nap új biztonsági réseket fedeznek fel, a Microsoft Defender tárolóregisztrációs adatbázisai heti rendszerességgel minden olyan képet is beolvasnak, amelyet az elmúlt 30 napban lekértek. Ezekért a rescansért nem jár további díj; a fent említettek szerint képenként egyszer kell fizetnie.
Importáláskor – Az Azure Container Registry importálási eszközökkel rendelkezik, a rendszerképek a Docker Hubról, a Microsoft Container Registryből vagy egy másik Azure-tárolóregisztrációs adatbázisból való importálásához. A Microsoft Defender tárolóregisztrációs adatbázisai ellenőrzik az importált támogatott rendszerképeket. További információ: Tárolólemezképek importálása tárolóregisztrációs adatbázisba.
A vizsgálat általában 2 percen belül befejeződik, de akár 40 percet is igénybe vehet. A megállapításokat biztonsági javaslatokként, például az alábbihoz hasonló módon teszik elérhetővé:
Hogyan működik Felhőhöz készült Defender az Azure Container Registry
Az alábbiakban egy magas szintű diagramot talál a regisztrációs adatbázisok Felhőhöz készült Defender való védelmének összetevőiről és előnyeiről.
Gyakori kérdések – Az Azure Container Registry rendszerképének vizsgálata
Hogyan Felhőhöz készült Defender beolvasni egy képet?
Felhőhöz készült Defender lekéri a rendszerképet a beállításjegyzékből, és egy elkülönített tesztkörnyezetben futtatja a képolvasóval. A szkenner kivonja az ismert sebezhetőségek listáját.
A Defender for Cloud kiszűri és osztályozza az átvilágításból származó eredményeket. Ha egy kép egészséges, a Defender for Cloud annak jelöli. Felhőhöz készült Defender csak a megoldandó problémákat tartalmazó képekre vonatkozóan hoz létre biztonsági javaslatokat. Azáltal, hogy a Defender for Cloud csak akkor értesíti Önt, ha probléma merül fel, csökkenti a nem kívánt információs riasztások lehetőségét.
Lekérhetem a vizsgálati eredményeket a REST API-val?
Igen. Az eredmények a Sub-Assessments REST API alatt találhatók. Emellett használhatja az Azure Resource Graphot (ARG), a Kusto-szerű API-t az összes erőforráshoz: egy lekérdezés lekérhet egy adott vizsgálatot.
Milyen beállításjegyzéktípusokat vizsgál a rendszer? Milyen típusú díjakat számlázunk ki?
A Microsoft Defender által a tárolóregisztrációs adatbázisokhoz támogatott tárolóregisztrációs adatbázisok típusainak listáját a Rendelkezésre állás című témakörben találja.
Ha nem támogatott regisztrációs adatbázisokat csatlakozik az Azure-előfizetéséhez, Felhőhöz készült Defender nem ellenőrzi őket, és nem fogja kiszámlázni őket.
Testre szabhatom a biztonságirés-ellenőrző eredményeit?
Igen. Ha a cégnek figyelmen kívül kell hagynia egy találatot, és nem kell szervizelnie, akkor tetszés szerint letilthatja azt. A letiltott eredmények nem befolyásolják a biztonságos pontszámot, és nem okoznak nemkívánatos zajt.
Megtudhatja, hogyan hozhat létre szabályokat az integrált sebezhetőség-felmérési eszköz megállapításainak letiltására.
Miért figyelmeztet Felhőhöz készült Defender a nem a beállításjegyzékben nem szereplő rendszerkép biztonsági réseire?
Felhőhöz készült Defender a beállításjegyzékben leküldett vagy lekért összes kép sebezhetőségi felmérését biztosítja. Egyes képek újra felhasználhatják a már beolvasott képek címkéinek használatát. Előfordulhat például, hogy a "Legújabb" címkét minden alkalommal hozzárendeli, amikor képet ad hozzá egy kivonathoz. Ilyen esetekben a "régi" rendszerkép továbbra is létezik a beállításjegyzékben, és még mindig lekérte a kivonata. Ha a rendszerkép biztonsági megállapításokkal rendelkezik, és le van húzva, biztonsági réseket tesz elérhetővé.