Använd Azure Defender för containerregister för att genomsöka dina avbildningar efter säkerhetsrisker

Den här sidan beskriver hur du använder den inbyggda sårbarhetsskannern för att genomsöka containeravbildningarna som lagras i Azure Resource Manager-baserade Azure Container Registry.

När Azure Defender för containerregister är aktiverat genomsöks alla avbildningar du överför till registret omedelbart. Dessutom genomsöks alla avbildningar som har dragits under de senaste 30 dagarna.

När skannern rapporterar sårbarheter till Security Center visar Security Center resultaten och relaterad information som rekommendationer. Dessutom innehåller resultaten relaterad information, till exempel reparationssteg, relevanta CVE:er, CVSS-poäng med mera. Du kan visa de identifierade säkerhetsriskerna för en eller flera prenumerationer eller för ett specifikt register.

Tips

Du kan också genomsöka containeravbildningar efter sårbarheter när avbildningarna har skapats i dina CI/CD GitHub arbetsflöden. Läs mer i Identifiera sårbara containeravbildningar i dina CI/CD-arbetsflöden.

Identifiera sårbarheter i avbildningar i Azure-containerregister

Så här aktiverar du sårbarhetsgenomsökningar av bilder som Azure Resource Manager i din Azure Container Registry:

  1. Aktivera Azure Defender för containerregister för din prenumeration. Security Center är nu redo att skanna avbildningar i dina register.

    Anteckning

    Den här funktionen debiteras per bild.

  2. Avbildningsgenomsökningar utlöses vid varje push-avbildning eller import, och om avbildningen har gjorts inom de senaste 30 dagarna.

    När genomsökningen är klar (vanligtvis efter cirka 2 minuter, men kan ta upp till 15 minuter), är resultaten tillgängliga som Security Center rekommendationer.

  3. Visa och åtgärda resultat enligt förklaringen nedan.

Identifiera sårbarheter i avbildningar i andra containerregister

  1. Använd ACR-verktygen för att hämta avbildningar till registret från Docker Hub eller Microsoft Container Registry. När importen är klar genomsöks de importerade avbildningarna av Azure Defender.

    Läs mer i Importera containeravbildningar till ett containerregister

    När genomsökningen är klar (vanligtvis efter cirka 2 minuter, men kan ta upp till 15 minuter), är resultaten tillgängliga som Security Center rekommendationer.

  2. Visa och åtgärda resultat enligt förklaringen nedan.

Visa och åtgärda resultat

  1. Om du vill visa resultaten går du Rekommendationer sidan. Om problem har hittats visas rekommendationen Sårbarheter i Azure Container Registry bör åtgärdas

    Rekommendation för att åtgärda problem .

  2. Välj rekommendationen.

    Sidan med rekommendationsinformation öppnas med ytterligare information. Den här informationen innehåller listan över register med sårbara avbildningar ("Berörda resurser") och reparationsstegen.

  3. Välj ett specifikt register om du vill se lagringsplatsen i det som har sårbara lagringsplatsen.

    Välj ett register.

    Sidan registerinformation öppnas med listan över berörda lagringsplatsen.

  4. Välj en specifik lagringsplats för att se lagringsplatserna i den som har sårbara avbildningar.

    Välj en lagringsplats.

    Sidan med information om lagringsplatsen öppnas. Den visar en lista över sårbara bilder tillsammans med en utvärdering av resultatens allvarlighetsgrad.

  5. Välj en specifik avbildning för att se säkerhetsriskerna.

    Välj bilder.

    Listan över resultat för den valda bilden öppnas.

    Lista över resultat.

  6. Om du vill veta mer om en finding (hitta) väljer du alternativet för att hitta.

    Fönstret med resultatinformation öppnas.

    Informationsfönster för resultat.

    Det här fönstret innehåller en detaljerad beskrivning av problemet och länkar till externa resurser för att minimera hoten.

  7. Följ stegen i avsnittet Reparation i det här fönstret.

  8. När du har vidtagit de åtgärder som krävs för att åtgärda säkerheten ersätter du avbildningen i registret:

    1. Push-skicka den uppdaterade avbildningen. Detta utlöser en genomsökning.

    2. På rekommendationssidan finns rekommendationen "Sårbarheter i Azure Container Registry bör åtgärdas".

      Om rekommendationen fortfarande visas och den bild som du har hanterat fortfarande visas i listan över sårbara avbildningar kontrollerar du reparationsstegen igen.

    3. När du är säker på att den uppdaterade avbildningen har push-lagts till, genomsökts och inte längre visas i rekommendationen tar du bort den "gamla" sårbara avbildningen från registret.

Inaktivera specifika resultat (förhandsversion)

Anteckning

I tilläggs villkoren för Azure Preview ingår ytterligare juridiska villkor som gäller för Azure-funktioner som är i beta, för hands version eller på annat sätt ännu inte har publicerats i allmän tillgänglighet.

Om du har en organisation som behöver ignorera en finding i stället för att åtgärda den kan du inaktivera den om du vill. Inaktiverade resultat påverkar inte säkerhetspoängen eller genererar oönskade brus.

När en finding matchar de kriterier som du har definierat i dina inaktiveringsregler visas den inte i listan över resultat. Vanliga scenarier är:

  • Inaktivera resultat med allvarlighetsgrad under medel
  • Inaktivera resultat som inte kan korrigeras
  • Inaktivera resultat med CVSS-poäng under 6,5
  • Inaktivera resultat med specifik text i säkerhetskontrollen eller kategorin (till exempel "RedHat", "CentOS-säkerhetsuppdatering för sudo")

Viktigt

Om du vill skapa en regel behöver du behörighet att redigera en princip i Azure Policy.

Läs mer i Azure RBAC-behörigheter i Azure Policy.

Du kan använda något av följande villkor:

  • Hitta ID
  • Kategori
  • Säkerhetskontroll
  • CVSS v3-poäng
  • Allvarlighetsgrad
  • Uppdateringsbar status

Så här skapar du en regel:

  1. På detaljsidan för rekommendationer för Sårbarheter i Azure Container Registry ska åtgärdas väljer du Inaktivera regel.

  2. Välj relevant omfång.

  3. Definiera dina kriterier.

  4. Välj Tillämpa regel.

    Skapa en inaktiveringsregel för VA-resultat i registret.

  5. Så här visar, åsidosätter eller tar du bort en regel:

    1. Välj Inaktivera regel.
    2. Från omfångslistan visas prenumerationer med aktiva regler som Regel tillämpade. Ändra eller ta bort en befintlig regel.
    3. Om du vill visa eller ta bort regeln väljer du ellipsmenyn ("...").

Nästa steg