Usare Microsoft Defender per registri contenitori per analizzare le vulnerabilità delle immagini

Nota

Centro sicurezza di Azure e Azure Defender sono ora denominati Microsoft Defender per cloud. Sono stati anche rinominati Azure Defender piani di Microsoft Defender. Ad esempio, Azure Defender per Archiviazione è ora Microsoft Defender per Archiviazione. Altre informazioni sulla ridenominazione recente dei servizi di sicurezza Microsoft.

Questa pagina illustra come usare lo scanner di vulnerabilità predefinito per analizzare le immagini del contenitore archiviate nella Azure Resource Manager basata su Registro Azure Container.

Quando Microsoft Defender per i registri contenitori è abilitato, qualsiasi immagine di cui si esegue il push nel registro verrà analizzata immediatamente. Viene inoltre eseguita l'analisi di qualsiasi immagine estratta negli ultimi 30 giorni.

Quando lo scanner segnala vulnerabilità a Defender for Cloud, Defender for Cloud presenta i risultati e le informazioni correlate come raccomandazioni. I risultati includono anche informazioni correlate, ad esempio passaggi di correzione, CVE pertinenti, punteggi CVSS e altro ancora. È possibile visualizzare le vulnerabilità identificate per una o più sottoscrizioni o per un registro specifico.

Suggerimento

È anche possibile analizzare le immagini dei contenitori alla ricerca di vulnerabilità, poiché le immagini sono compilate nei flussi di lavoro GitHub ci/CD. Per altre informazioni, vedere Identificare le immagini dei contenitori vulnerabili nei flussi di lavoro ci/CD.

Identificare le vulnerabilità nelle immagini dei registri contenitori di Azure

Per abilitare le analisi delle vulnerabilità delle immagini archiviate nella Azure Resource Manager basata su Registro Azure Container:

  1. Abilitare Microsoft Defender per i registri contenitori per la sottoscrizione. Defender for Cloud è ora pronto per analizzare le immagini nei registri.

    Nota

    Questa funzionalità prevede un addebito per ogni immagine.

  2. Le analisi delle immagini vengono attivate a ogni push o importazione e se l'immagine è stata trascinata negli ultimi 30 giorni.

    Al termine dell'analisi (in genere dopo circa 2 minuti, ma possono essere fino a 15 minuti), i risultati sono disponibili come raccomandazioni di Defender for Cloud.

  3. Visualizzare e correggere i risultati, come illustrato di seguito.

Identificare le vulnerabilità nelle immagini in altri registri contenitori

  1. Usare gli strumenti ACR per portare le immagini nel registro da Docker Hub o Microsoft Container Registry. Al termine dell'importazione, le immagini importate vengono analizzate dalla soluzione di valutazione della vulnerabilità predefinita.

    Per altre informazioni, vedere Importare immagini del contenitore in un registro contenitori

    Al termine dell'analisi (in genere dopo circa 2 minuti, ma possono essere fino a 15 minuti), i risultati sono disponibili come raccomandazioni di Defender for Cloud.

  2. Visualizzare e correggere i risultati, come illustrato di seguito.

Visualizzare e correggere i risultati

  1. Per visualizzare i risultati, aprire la Consigli pagina. Se vengono rilevati problemi, verrà visualizzata la raccomandazione Che le immagini del Registro Contenitori debbano avere risultati della vulnerabilità risolti (basati su Qualys).

    Recommendation to remediate issues .

  2. Selezionare la raccomandazione.

    Verrà visualizzata la pagina dei dettagli della raccomandazione con informazioni aggiuntive. Queste informazioni includono l'elenco dei registri con immagini vulnerabili ("Risorse interessate") e i passaggi di correzione.

  3. Selezionare un registro specifico per visualizzare i repository al suo interno che hanno repository vulnerabili.

    Select a registry.

    Verrà visualizzata la pagina dei dettagli del Registro di sistema con l'elenco dei repository interessati.

  4. Selezionare un repository specifico per visualizzare i repository al suo interno con immagini vulnerabili.

    Select a repository.

    Verrà visualizzata la pagina dei dettagli del repository. Elenca le immagini vulnerabili insieme a una valutazione della gravità dei risultati.

  5. Selezionare un'immagine specifica per visualizzare le vulnerabilità.

    Select images.

    Verrà visualizzato l'elenco dei risultati per l'immagine selezionata.

    List of findings.

  6. Per altre informazioni su una ricerca, selezionare la ricerca.

    Verrà visualizzato il riquadro dei dettagli dei risultati.

    Findings details pane.

    Questo riquadro include una descrizione dettagliata del problema e collegamenti a risorse esterne per attenuare le minacce.

  7. Seguire i passaggi nella sezione correzione di questo riquadro.

  8. Dopo aver seguito i passaggi necessari per correggere il problema di sicurezza, sostituire l'immagine nel Registro di sistema:

    1. Eseguire il push dell'immagine aggiornata. Verrà attivata un'analisi.

    2. Controllare la pagina delle raccomandazioni per la raccomandazione Che le immagini del Registro Contenitori debbano risolvere i risultati della vulnerabilità (basata su Qualys).

      Se la raccomandazione viene ancora visualizzata e l'immagine gestita viene ancora visualizzata nell'elenco delle immagini vulnerabili, controllare di nuovo i passaggi di correzione.

    3. Quando si è certi che l'immagine aggiornata sia stata inserita, analizzata e non venga più visualizzata nella raccomandazione, eliminare l'immagine vulnerabile "vecchia" dal Registro di sistema.

Disabilitare risultati specifici

Nota

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Se l'organizzazione deve ignorare un risultato invece di correggerlo, è possibile disabilitarlo facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non verrà visualizzato nell'elenco di risultati. Gli scenari tipici includono:

  • Disabilitare i risultati con gravità inferiore a media
  • Disabilitare i risultati non patchable
  • Disabilitare i risultati con il punteggio CVSS inferiore a 6,5
  • Disabilitare i risultati con testo specifico nel controllo di sicurezza o nella categoria (ad esempio, "RedHat", "CentOS Security Update for sudo")

Importante

Per creare una regola, sono necessarie le autorizzazioni per modificare un criterio in Criteri di Azure.

Per altre informazioni, vedere Autorizzazioni del controllo degli accessi in base al ruolo di Azure in Criteri di Azure.

È possibile usare uno dei criteri seguenti:

  • Ricerca dell'ID
  • Category
  • Controllo di sicurezza
  • Punteggi CVSS v3
  • Gravità
  • Stato patchable

Per creare una regola:

  1. Nella pagina dei dettagli delle raccomandazioni per le immagini del Registro Contenitori devono essere risolti i risultati della vulnerabilità (basati su Qualys)e selezionare Disabilita regola.

  2. Selezionare l'ambito pertinente.

  3. Definire i criteri.

  4. Selezionare Applica regola.

    Create a disable rule for VA findings on registry.

  5. Per visualizzare, eseguire l'override o eliminare una regola:

    1. Selezionare Disabilita regola.
    2. Nell'elenco di ambiti le sottoscrizioni con regole attive vengono mostrate come Regola applicata. Modify or delete an existing rule.
    3. Per visualizzare o eliminare la regola, selezionare il menu con i puntini di sospensione ("...").

Passaggi successivi

Altre informazioni sui piani di protezione avanzata di Microsoft Defender per cloud.