Kapsayıcıları koruma hakkında sık sorulan sorular

Kapsayıcılar için Defender'ı uygun ölçekte etkinleştirmek için Azure İlkesi Configure Microsoft Defender for Containers to be enabledkullanabilirsiniz. Kapsayıcılar için Microsoft Defender'ı etkinleştirmek için kullanılabilen tüm seçenekleri de görebilirsiniz.

Evet.

Hayır Yalnızca düğümler için Sanal Makine Ölçek Kümeleri kullanan Azure Kubernetes Service (AKS) kümeleri desteklenir.

Hayır, AKS yönetilen bir hizmettir ve IaaS kaynaklarının değiştirilmesi desteklenmez. Log Analytics VM uzantısı gerekli değildir ve ek ücrete neden olabilir.

Bu makalenin Özel çalışma alanı çalışma alanı atama bölümündeki adımları izleyerek mevcut Log Analytics çalışma alanınızı kullanabilirsiniz.

Varsayılan çalışma alanını silmenizi önermiyoruz. Kapsayıcılar için Defender, kümelerinizden güvenlik verilerini toplamak için varsayılan çalışma alanlarını kullanır. Kapsayıcılar için Defender veri toplayamaz ve varsayılan çalışma alanını silerseniz bazı güvenlik önerileri ve uyarıları kullanılamaz duruma gelir.

Varsayılan çalışma alanınızı kurtarmak için Defender algılayıcısını kaldırmanız ve algılayıcıyı yeniden yüklemeniz gerekir. Defender algılayıcısını yeniden yüklemek yeni bir varsayılan çalışma alanı oluşturur.

Bölgenize bağlı olarak, varsayılan Log Analytics çalışma alanı çeşitli konumlarda bulunabilir. Bölgenizi denetlemek için bkz. Varsayılan Log Analytics çalışma alanı nerede oluşturulur?

Defender algılayıcısı, Kubernetes kümelerinizden Bulut için Defender'a veri göndermek için Log analytics çalışma alanını kullanır. Bulut için Defender, Log analytic çalışma alanını ve kaynak grubunu algılayıcının kullanması için parametre olarak ekler.

Ancak, kuruluşunuzun kaynaklarınızda belirli bir etiket gerektiren bir ilkesi varsa, bu durum algılayıcı yüklemesinin kaynak grubu veya varsayılan çalışma alanı oluşturma aşamasında başarısız olmasına neden olabilir. Başarısız olursa şunları yapabilirsiniz:

• Özel bir çalışma alanı atayın ve kuruluşunuzun gerektirdiği herhangi bir etiketi ekleyin.

  veya

• Şirketiniz kaynağınızı etiketlemenizi gerektiriyorsa bu ilkeye gitmeniz ve aşağıdaki kaynakları dışlamanız gerekir:

  1. Kaynak grubu DefaultResourceGroup-<RegionShortCode>
  2. Çalışma Alanı DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode 2-4 harfli bir dizedir.

Kapsayıcılar için Defender, görüntüyü kayıt defterinden çeker ve çok bulutlu ortamlar için Microsoft Defender Güvenlik Açığı Yönetimi içeren yalıtılmış bir korumalı alanda çalıştırır. Tarayıcı, bilinen güvenlik açıklarının listesini ayıklar.

Bulut için Defender tarayıcıdaki bulguları filtreler ve sınıflandırır. Görüntü iyi durumdayken Bulut için Defender, bunu bu şekilde işaretler. Bulut için Defender yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri oluşturur. Bulut için Defender, yalnızca sorun olduğunda sizi bilgilendirerek istenmeyen bilgilendirme uyarıları olasılığını azaltır.

Tarayıcı tarafından gerçekleştirilen çekme olaylarını belirlemek için aşağıdaki adımları uygulayın:

1. AzureContainerImageScanner UserAgent ile çekme olayları arayın.
2. Bu olayla ilişkili kimliği ayıklayın.
3. Ayıklanan kimliği kullanarak tarayıcıdan çekme olaylarını belirleyin.

• Geçerli olmayan kaynaklar , önerinin kesin bir yanıt verebildiği kaynaklardır. Uygulanamaz sekmesi, değerlendirilemeyen her kaynağın nedenlerini içerir.
• İyileştirilmemiş kaynaklar , değerlendirilmek üzere zamanlanmış ancak henüz değerlendirilmemiş kaynaklardır.

Bazı görüntüler, daha önce taranmış bir görüntüden etiketleri yeniden kullanabilir. Örneğin, özete her görüntü eklediğinizde "En Son" etiketini yeniden atayabilirsiniz. Bu gibi durumlarda , 'eski' görüntü kayıt defterinde hala mevcut ve hala özeti tarafından çekilebilir. Görüntüde güvenlik bulguları varsa ve çekilirse güvenlik açıkları ortaya çıkar.

Şu anda Kapsayıcılar için Defender yalnızca Azure Container Registry (ACR) ve AWS Elastic Container Registry'deki (ECR) görüntüleri tarayabiliyor. Docker Registry, Microsoft Yapıt Kayıt Defteri/Microsoft Container Registry ve Microsoft Azure Red Hat OpenShift (ARO) yerleşik kapsayıcı görüntüsü kayıt defteri desteklenmez. Görüntüler önce ACR'ye aktarılmalıdır. Kapsayıcı görüntülerini Azure kapsayıcı kayıt defterine aktarma hakkında daha fazla bilgi edinin.

Evet. Sonuçlar Alt Değerlendirmeler REST API'sinin altındadır. Ayrıca tüm kaynaklarınız için Kusto benzeri API olan Azure Kaynak Grafı (ARG) kullanabilirsiniz: sorgu belirli bir taramayı getirebilir.

Bir görüntü türünü denetlemek için, skopeo gibi ham görüntü bildirimini denetleyebilen ve ham görüntü biçimini inceleyebilen bir araç kullanmanız gerekir.

• Docker v2 biçimi için bildirim medya türü burada belirtildiği gibi application/vnd.docker.distribution.manifest.v1+json veya application/vnd.docker.distribution.manifest.v2+json olabilir.
• OCI görüntü biçimi için bildirim medya türü application/vnd.oci.image.manifest.v1+json ve burada belgelendiği gibi application/vnd.oci.image.config.v1+json yapılandırma medya türü olacaktır.

Aracısız CSPM işlevselliği sağlayan iki uzantı vardır:

• Aracısız Kapsayıcı güvenlik açığı değerlendirmeleri: Aracısız kapsayıcılar güvenlik açığı değerlendirmeleri sağlar. Aracısız Kapsayıcı güvenlik açığı değerlendirmesi hakkında daha fazla bilgi edinin.
• Kubernetes için aracısız bulma: Kubernetes küme mimarisi, iş yükü nesneleri ve kurulum hakkında API tabanlı bilgi bulma sağlar.

Aynı anda birden çok abonelik eklemek için bu betiği kullanabilirsiniz.

Kümelerinizin sonuçlarını görmüyorsanız aşağıdaki soruları denetleyin:

• Kümeleri durdurdunuz mu?
• Kaynak gruplarınız, abonelikleriniz veya kümeleriniz kilitli mi? Bu sorulardan birinin yanıtı evet ise aşağıdaki sorulardaki yanıtlara bakın.

Durmuş kümeleri desteklemiyor veya ücretlendirmiyoruz. Durmuş bir kümedeki aracısız özelliklerin değerini almak için kümeyi yeniden çalıştırabilirsiniz.

Kilitli kaynak grubunun/aboneliğin/kümenin kilidini açmanızı, ilgili istekleri el ile yapmanızı ve ardından aşağıdakileri yaparak kaynak grubunu/aboneliği/kümeyi yeniden kilitlemenizi öneririz:

1. Güvenilen Erişim'i kullanarak CLI aracılığıyla özellik bayrağını el ile etkinleştirin.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. CLI'da bağlama işlemini gerçekleştirin:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Kilitli kümeler için aşağıdaki adımlardan birini de gerçekleştirebilirsiniz:

• Kilidi kaldırın.
• API isteğinde bulunarak bağlama işlemini el ile gerçekleştirin. Kilitli kaynaklar hakkında daha fazla bilgi edinin.

Azure Kubernetes Service'te (AKS) desteklenen Kubernetes sürümleri hakkında daha fazla bilgi edinin.

Değişikliklerin güvenlik grafiğine , saldırı yollarına ve güvenlik gezginine yansıması 24 saat kadar sürebilir.

Aşağıdaki adımlar Trivy tarafından desteklenen tek kayıt defteri önerisini kaldırır ve MDVM tarafından desteklenen yeni kayıt defteri ve çalışma zamanı önerilerini ekler.

1. İlgili AWS bağlayıcısını açın.
2. Kapsayıcılar için Defender'ın Ayarlar sayfasını açın.
3. Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesini etkinleştirin.
4. AWS'de yeni ekleme betiğinin dağıtımı da dahil olmak üzere bağlayıcı sihirbazının adımlarını tamamlayın.
5. Ekleme sırasında oluşturulan kaynakları el ile silin:
   • Defender-for-containers-va ön ekine sahip S3 demeti
   • defender-for-containers-va adlı ECS kümesi
   • VPC:
     • Değeriyle etiketle namedefender-for-containers-va
     • IP alt ağı CIDR 10.0.0.0/16
     • Etiketi name ve tüm gelen trafiğin tek kuralına sahip olan değer defender-for-containers-va ile varsayılan güvenlik grubuyla ilişkilendirildi.
     • ETIKETli alt ağ ve ECS kümesi tarafından kullanılan CIDR 10.0.1.0/24 IP alt ağı ile VPC'deki defender-for-containers-va değer defender-for-containers-vanamedefender-for-containers-va
     • Etiketi name ve değeriyle Internet Gatewaydefender-for-containers-va
     • Yönlendirme tablosu - Etiket name ve değere defender-for-containers-vasahip ve şu yollara sahip yönlendirme tablosu:
       • Hedef: 0.0.0.0/0; Hedef: Etiketi name ve değeriyle Internet Gateway defender-for-containers-va
       • Hedef: 10.0.0.0/16; Hedef: local

Görüntüleri çalıştırmaya yönelik güvenlik açığı değerlendirmeleri almak için Kubernetes için Aracısız bulma özelliğini etkinleştirin veya Kubernetes kümelerinizde Defender algılayıcısını dağıtın.

Sonraki adımlar

Kapsayıcılar için Defender hakkında bilgi edinin