Valutazioni delle vulnerabilità per GCP con Gestione delle vulnerabilità di Microsoft Defender
La valutazione della vulnerabilità per GCP, basata su Gestione delle vulnerabilità di Microsoft Defender, è una soluzione predefinita che consente ai team di sicurezza di individuare e correggere facilmente le vulnerabilità nelle immagini dei contenitori Linux, con zero configurazione per l'onboarding e senza distribuzione di sensori.
In ogni account in cui viene completata l'abilitazione di questa funzionalità, tutte le immagini archiviate in Registri Google (GAR e GCR) che soddisfano i criteri per i trigger di analisi vengono analizzate per individuare vulnerabilità senza alcuna configurazione aggiuntiva di utenti o registri. Consigli con i report sulle vulnerabilità vengono forniti per tutte le immagini in Registri Google (GAR e GCR), immagini attualmente in esecuzione in GKE estratte da Registri Google (GAR e GCR) o da qualsiasi altro registro Defender per il cloud supportato (ACR o ECR). Le immagini vengono analizzate poco dopo l'aggiunta a un registro e analizzate nuovamente per individuare nuove vulnerabilità ogni 24 ore.
La valutazione della vulnerabilità dei contenitori all’interno di Gestione delle vulnerabilità di Microsoft Defender offre le funzionalità seguenti:
Analisi dei pacchetti del sistema operativo: la valutazione della vulnerabilità dei contenitori consente di analizzare le vulnerabilità nei pacchetti installati dalla gestione pacchetti del sistema operativo nei sistemi operativi Linux e Windows. Vedere l'elenco completo del sistema operativo supportato e delle relative versioni.
Pacchetti specifici della lingua , solo Linux, supporto per pacchetti e file specifici della lingua e le relative dipendenze installate o copiate senza gestione pacchetti del sistema operativo. Vedere l'elenco completo delle lingue supportate.
Informazioni sull'exploit: ogni report sulla vulnerabilità viene cercato tramite database di sfruttabilità per aiutare i clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
Reporting - Valutazione della vulnerabilità dei contenitori per GCP con tecnologia Gestione delle vulnerabilità di Microsoft Defender fornisce report sulle vulnerabilità usando le raccomandazioni seguenti:
Queste sono le nuove raccomandazioni che segnalano vulnerabilità del contenitore di runtime e vulnerabilità delle immagini del Registro di sistema. Sono attualmente in anteprima, ma sono destinati a sostituire le raccomandazioni precedenti. Queste nuove raccomandazioni non vengono conteggiati per il punteggio di sicurezza durante l'anteprima. Il motore di analisi per entrambi i set di raccomandazioni è lo stesso.
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| [Anteprima] Le immagini del contenitore nel registro GCP devono avere i risultati della vulnerabilità risolti | Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore. | 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04 |
| [Anteprima] I contenitori in esecuzione in GCP devono avere i risultati della vulnerabilità risolti | Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore. | c7c1d31d-a604-4b86-96df-63448618e165 |
Questi sono i consigli precedenti attualmente in un percorso di ritiro:
| Suggerimento | Descrizione | Chiave di valutazione |
|---|---|---|
| Le immagini del contenitore del registro GCP devono avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure | Analizza le immagini del contenitore dei registri GCP per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c27441ae-775c-45be-8ffa-655de37362ce |
| GCP che esegue immagini del contenitore deve avere i risultati della vulnerabilità risolti (basati su Gestione delle vulnerabilità di Microsoft Defender) - Microsoft Azure | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Google Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | 5cc3a2c1-8397-456f-8792-fe9d0d4c9145 |
Eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph : possibilità di eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph. Informazioni su come eseguire query sulle raccomandazioni tramite ARG.
Eseguire query sui risultati dell'analisi tramite l'API REST : informazioni su come eseguire query sui risultati dell'analisi tramite l'API REST.
Trigger di analisi
I trigger per un'analisi di immagini sono:
Trigger monouso:
- Ogni immagine sottoposta a push in un registro contenitori viene attivata per l'analisi. Nella maggior parte dei casi, l'analisi viene completata entro poche ore, ma in rari casi potrebbe richiedere fino a 24 ore.
- Ogni immagine estratta da un registro viene attivata per essere analizzata entro 24 ore.
Attivazione continua per ripetere l'analisi: è necessaria una nuova analisi continua per assicurarsi che le immagini analizzate in precedenza per individuare le vulnerabilità vengano analizzate di nuovo per aggiornare i report sulle vulnerabilità nel caso in cui venga pubblicata una nuova vulnerabilità.
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
- Le immagini inserite negli ultimi 90 giorni.
- Le immagini estratte negli ultimi 30 giorni.
- Immagini attualmente in esecuzione nei cluster Kubernetes monitorati da Defender per il cloud (tramite l'individuazione senza agente per Kubernetes o il sensore Defender).
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
Come funziona l'analisi delle immagini?
Una descrizione dettagliata del processo di analisi è descritta di seguito:
Quando si abilita la valutazione della vulnerabilità del contenitore per GCP con tecnologia Gestione delle vulnerabilità di Microsoft Defender, si autorizza Defender per il cloud a analizzare le immagini del contenitore nei registri contenitori elastici.
Defender per il cloud individua automaticamente tutti i registri dei contenitori, i repository e le immagini (creati prima o dopo l'abilitazione di questa funzionalità).
Una volta al giorno e per le nuove immagini inserite in un registro:
- Tutte le immagini appena individuate vengono estratte e viene creato un inventario per ogni immagine. L'inventario delle immagini viene mantenuto per evitare ulteriori pull di immagini, a meno che non siano necessarie nuove funzionalità dello scanner.
- Usando l'inventario, i report sulle vulnerabilità vengono generati per le nuove immagini e aggiornati per le immagini analizzate in precedenza che sono state estratte negli ultimi 90 giorni a un registro, o sono attualmente in esecuzione. Per determinare se un'immagine è attualmente in esecuzione, Defender per il cloud usa l'individuazione senza agente per Kubernetes e l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi GKE
- I report sulle vulnerabilità per le immagini del contenitore del registro vengono forniti come raccomandazione.
Per i clienti che usano l'individuazione senza agente per Kubernetes o l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi GKE, Defender per il cloud crea anche una raccomandazione per correggere le vulnerabilità per le immagini vulnerabili in esecuzione in un cluster GKE. Per i clienti che usano solo l'individuazione senza agente per Kubernetes, il tempo di aggiornamento per l'inventario in questa raccomandazione è una volta ogni sette ore. I cluster che eseguono anche il sensore Defender traggono vantaggio da una frequenza di aggiornamento dell'inventario di due ore. I risultati dell'analisi delle immagini vengono aggiornati in base all'analisi del registro in entrambi i casi e, pertanto, vengono aggiornati solo ogni 24 ore.
Nota
Per i registri contenitori di Defender per contenitori (deprecato), le immagini vengono analizzate una volta al push, al pull e analizzate di nuovo una sola volta alla settimana.
Se si rimuove un'immagine dal registro, quanto tempo ci vorrà prima che i report sulle vulnerabilità di quell'immagine vengano rimossi?
Sono necessarie 30 ore dopo l'eliminazione di un'immagine da Registri Google (GAR e GCR) prima che i report vengano rimossi.
Passaggi successivi
- Altre informazioni sui piani di Defender per il cloud Defender.
- Vedere le domande comuni su Defender per contenitori.