Defender for Containers gebruiken om uw ACR-installatiekopieën te scannen op beveiligingsproblemen

Op deze pagina wordt uitgelegd hoe u Defender for Containers kunt gebruiken om de containerinstallatiekopieën te scannen die zijn opgeslagen in uw op Azure Resource Manager gebaseerde Azure Container Registry, als onderdeel van de beveiligingen die zijn geboden in Microsoft Defender voor Cloud.

Als u het scannen van beveiligingsproblemen in containers wilt inschakelen, moet u Defender for Containers inschakelen. Wanneer de scanner, mogelijk gemaakt door Qualys, beveiligingsproblemen rapporteert, Defender voor Cloud de bevindingen en gerelateerde informatie als aanbevelingen weergeeft. Daarnaast bevatten de bevindingen gerelateerde informatie, zoals herstelstappen, relevante CVS's, CVSS-scores en meer. U kunt de geïdentificeerde beveiligingsproblemen voor een of meer abonnementen of voor een specifiek register bekijken.

Tip

U kunt containerinstallatiekopieën ook scannen op beveiligingsproblemen omdat de installatiekopieën zijn gebouwd in uw CI/CD-GitHub-werkstromen. Meer informatie over het identificeren van kwetsbare containerinstallatiekopieën in uw CI/CD-werkstromen.

Er zijn vier triggers voor een installatiekopieënscan:

  • Bij push : wanneer een installatiekopieën naar uw register worden gepusht, scant Defender for Containers die installatiekopieën automatisch. U kunt het scannen van een installatiekopie activeren door deze naar uw opslagplaats te pushen.

  • Onlangs opgehaald - Aangezien er elke dag nieuwe beveiligingsproblemen worden gedetecteerd, scant Microsoft Defender for Containers ook wekelijks alle installatiekopieën die in de afgelopen 30 dagen zijn opgehaald. Er worden geen extra kosten in rekening gebracht voor deze herscans; zoals hierboven vermeld, wordt er één keer per afbeelding gefactureerd.

  • Bij import: Azure Container Registry heeft functies voor het importeren van installatiekopieën in uw register vanuit Docker Hub, Microsoft-containerregister of een ander Azure-containerregister. Microsoft Defender for Containers scant alle ondersteunde installatiekopieën die u importeert. Zie Containerinstallatiekopieën importeren in een containerregister voor meer informatie.

  • Continue scan: deze trigger heeft twee modi:

    • Een continue scan op basis van een pull-installatiekopie. Deze scan wordt elke zeven dagen uitgevoerd nadat een installatiekopie is opgehaald en slechts 30 dagen nadat de installatiekopie is opgehaald. Voor deze modus is het beveiligingsprofiel of de extensie niet vereist.

    • (Preview) Doorlopend scannen op actieve installatiekopieën. Deze scan wordt elke zeven dagen uitgevoerd zolang de installatiekopieën worden uitgevoerd. Deze modus wordt uitgevoerd in plaats van de bovenstaande modus wanneer het Defender-profiel of de extensie wordt uitgevoerd op het cluster.

Deze scan wordt doorgaans binnen 2 minuten voltooid, maar het kan tot 40 minuten duren. Voor elk geïdentificeerd beveiligingsprobleem biedt Defender voor Cloud bruikbare aanbevelingen, samen met een ernstclassificatie en richtlijnen voor het oplossen van het probleem.

Defender voor Cloud filters en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, Defender voor Cloud deze als zodanig markeert. Defender voor Cloud genereert alleen beveiligingsaankopieën die problemen hebben die moeten worden opgelost. Door alleen te waarschuwen wanneer er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Beveiligingsproblemen met installatiekopieën in Azure-containerregisters identificeren

Beveiligingsscans inschakelen van installatiekopieën die zijn opgeslagen in uw azure-Resource Manager op basis van Azure Container Registry:

  1. Schakel Defender for Containers in voor uw abonnement. Defender for Containers is nu klaar om installatiekopieën in uw registers te scannen.

    Notitie

    Deze functie wordt in rekening gebracht per installatiekopie.

    Wanneer een scan wordt geactiveerd, zijn bevindingen beschikbaar als Defender voor Cloud aanbevelingen van 2 minuten tot 15 minuten nadat de scan is voltooid.

  2. Bekijk en herstel bevindingen zoals hieronder wordt uitgelegd.

Beveiligingsproblemen in installatiekopieën in andere containerregisters identificeren

  1. Gebruik de ACR-hulpprogramma's om installatiekopieën vanuit Docker Hub of Microsoft Container Registry naar uw register te brengen. Wanneer het importeren is voltooid, worden de geïmporteerde installatiekopieën gescand door de ingebouwde oplossing voor evaluatie van beveiligingsproblemen.

    Meer informatie in Containerinstallatiekopieën importeren in een containerregister

    Wanneer de scan is voltooid (meestal na ongeveer 2 minuten, maar maximaal 15 minuten kan duren), zijn bevindingen beschikbaar als Defender voor Cloud aanbevelingen.

  2. Bekijk en herstel bevindingen zoals hieronder wordt uitgelegd.

Bevindingen weergeven en herstellen

  1. Als u de resultaten wilt bekijken, opent u de pagina Aanbevelingen. Als er problemen zijn gevonden, ziet u dat de aanbevelingen voor containerregisterinstallatiekopieën moeten worden opgelost met resultaten van beveiligingsproblemen.

    Recommendation to remediate issues .

  2. Selecteer de aanbeveling.

    De pagina met aanbevelingsgegevens wordt geopend met aanvullende informatie. Deze informatie omvat de lijst met registers met kwetsbare installatiekopieën ('Betrokken resources') en de herstelstappen.

  3. Selecteer een specifiek register om de opslagplaatsen erin te zien die kwetsbare opslagplaatsen bevatten.

    Select a registry.

    De pagina met registergegevens wordt geopend met de lijst met betrokken opslagplaatsen.

  4. Selecteer een specifieke opslagplaats om de opslagplaatsen hierin te zien met kwetsbare installatiekopieën.

    Select a repository.

    De pagina met details van de opslagplaats wordt geopend. De lijst bevat de kwetsbare afbeeldingen, samen met een beoordeling van de ernst van de bevindingen.

  5. Selecteer een specifieke afbeelding om de beveiligingsproblemen te bekijken.

    Select images.

    De lijst met resultaten voor de geselecteerde afbeelding wordt geopend.

    List of findings.

  6. Als u meer wilt weten over een bevinding, selecteert u de zoeking.

    Het detailvenster met resultaten wordt geopend.

    Findings details pane.

    Dit deelvenster bevat een gedetailleerde beschrijving van het probleem en koppelingen naar externe resources om de bedreigingen te beperken.

  7. Volg de stappen in de sectie Herstel van dit deelvenster.

  8. Wanneer u de stappen hebt uitgevoerd die nodig zijn om het beveiligingsprobleem op te lossen, vervangt u de installatiekopieën in het register:

    1. Push de bijgewerkte installatiekopieën om een scan te activeren.

    2. Controleer de aanbevelingenpagina voor de aanbeveling containerregisterinstallatiekopieën als er beveiligingsproblemen moeten zijn opgelost.

      Als de aanbeveling nog steeds wordt weergegeven en de afbeelding die u hebt afgehandeld, nog steeds wordt weergegeven in de lijst met kwetsbare installatiekopieën, controleert u de herstelstappen opnieuw.

    3. Wanneer u zeker weet dat de bijgewerkte installatiekopieën zijn gepusht, gescand en niet meer worden weergegeven in de aanbeveling, verwijdert u de 'oude' kwetsbare installatiekopieën uit uw register.

Specifieke bevindingen uitschakelen

Notitie

De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde bevindingen hebben geen invloed op uw beveiligingsscore of genereren ongewenste ruis.

Wanneer een resultaat overeenkomt met de criteria die u hebt gedefinieerd in de regels voor uitschakelen, wordt dit niet weergegeven in de lijst met resultaten. Typische scenario's zijn:

  • Bevindingen uitschakelen met ernst onder gemiddeld
  • Bevindingen uitschakelen die niet patchbaar zijn
  • Resultaten uitschakelen met CVSS-score lager dan 6,5
  • Resultaten uitschakelen met specifieke tekst in de beveiligingscontrole of categorie (bijvoorbeeld 'RedHat', 'CentOS-beveiligingsupdate voor sudo')

Belangrijk

Als u een regel wilt maken, hebt u machtigingen nodig om een beleid in Azure Policy te bewerken.

Meer informatie in Azure RBAC-machtigingen in Azure Policy.

U kunt een van de volgende criteria gebruiken:

  • Id zoeken
  • Categorie
  • Beveiligingscontrole
  • CVSS v3-scores
  • Ernst
  • Patchbare status

Een regel maken:

  1. Selecteer op de detailpagina met aanbevelingen voor containerregisterinstallatiekopieën de optie Regel uitschakelen.

  2. Selecteer het relevante bereik.

  3. Definieer uw criteria.

  4. Selecteer Regel toepassen.

    Create a disable rule for VA findings on registry.

  5. Een regel weergeven, overschrijven of verwijderen:

    1. Selecteer Regel uitschakelen.
    2. In de lijst met bereiken worden abonnementen met actieve regels weergegeven als Toegepaste regel. Modify or delete an existing rule.
    3. Als u de regel wilt weergeven of verwijderen, selecteert u het beletseltekenmenu (...).

Veelgestelde vragen

Hoe scant Defender for Containers een installatiekopieën?

Defender for Containers haalt de installatiekopie op uit het register en voert deze uit in een geïsoleerde sandbox met de Qualys-scanner. De scanner extraheert een lijst met bekende beveiligingsproblemen.

Defender voor Cloud filters en classificeert bevindingen van de scanner. Wanneer een afbeelding in orde is, Defender voor Cloud deze als zodanig markeert. Defender voor Cloud alleen beveiligingsaanaanveling genereert voor installatiekopieën met problemen die moeten worden opgelost. Door u alleen op de hoogte te stellen wanneer er problemen zijn, vermindert Defender voor Cloud het potentieel voor ongewenste informatieve waarschuwingen.

Kan ik de scanresultaten verkrijgen via REST API?

Ja. De resultaten bevinden zich onder de REST API voor subevaluaties. U kunt ook gebruikmaken van Azure Resource Graph (ARG), de Kusto-achtige API voor al uw resources: een query kan een specifieke scan ophalen.

Welke registertypen worden gescand? Welke typen worden gefactureerd?

Zie Beschikbaarheid voor een lijst met de typen containerregisters die worden ondersteund door Microsoft Defender voor containerregisters.

Als u niet-ondersteunde registers verbindt met uw Azure-abonnement, scant Defender for Containers ze niet en wordt u er niet voor gefactureerd.

Kan ik de bevindingen van de kwetsbaarheidsscanner aanpassen?

Ja. Als u een organisatorische behoefte hebt om een resultaat te negeren in plaats van dit te herstellen, kunt u het eventueel uitschakelen. Uitgeschakelde resultaten hebben geen invloed op uw beveiligingsscore en genereren geen ongewenste ruis.

Meer informatie over het maken van rollen om bevindingen uit te schakelen uit het geïntegreerde evaluatiehulpprogramma voor beveiligingsproblemen.

Waarom waarschuwt Defender voor Cloud mij op beveiligingsproblemen over een installatiekopieën die zich niet in mijn register bevindt?

Het kan zijn dat sommige installatiekopieën tags gebruiken van een installatiekopie die al is gescand. U kunt bijvoorbeeld de tag 'Meest recent' telkens opnieuw toewijzen wanneer u een installatiekopie aan een samenvatting toevoegt. In dergelijke gevallen is de 'oude' installatiekopie nog steeds aanwezig in het register en kan deze nog steeds worden opgehaald door de samenvatting. Als er beveiligingsresultaten voor deze installatiekopie zijn en deze wordt opgehaald, worden er beveiligingsproblemen vastgesteld.

Volgende stappen

Meer informatie over de geavanceerde beveiligingsplannen van Microsoft Defender voor Cloud.