Q: 大規模啟用新計劃的選項有哪些？

您可以使用 Azure 原則 Configure Microsoft Defender for Containers to be enabled ，大規模啟用適用於容器的 Defender。 您也可以查看所有可用來 啟用適用於容器 的 Microsoft Defender 選項。

Q: 適用於容器的 Microsoft Defender 是否支援沒有擴展集的 AKS (預設)？

否。 僅支援針對節點使用虛擬機器擴展集的 Azure Kubernetes Service (AKS) 叢集。

Q: 我需要在 AKS 節點上安裝 Log Analytics VM 擴充功能以實現安全性保護嗎？

否，AKS 是受控服務，不支援對 IaaS 資源的操作。 不需要 Log Analytics VM 擴充功能，而且可能會導致額外費用。

Q: 如何使用現有的 Log Analytics 工作區？

您可以遵循本文的指派自定義工作區 一節中的 步驟，使用現有的Log Analytics工作區。

Q: 我可以刪除 適用於雲端的 Defender 所建立的預設工作區嗎？

不建議刪除預設工作區。 適用於容器的Defender會使用預設工作區來收集叢集的安全性數據。 適用於容器的 Defender 將無法收集數據，如果您刪除預設工作區，某些安全性建議和警示將會變成無法使用。

Q: 我刪除了預設工作區，該如何取回它？

若要復原預設工作區，您需要移除 Defender 感測器 ，然後重新安裝感測器。 重新安裝Defender感測器會建立新的預設工作區。

Q: 默認Log Analytics工作區位於何處？

視您的區域而定，預設Log Analytics工作區可能位於各種位置。 若要查看您的區域，請參閱 建立預設Log Analytics工作區的位置？

Q: 我的組織要求我標記我的資源，而必要的感測器未安裝，發生什麼問題？

Defender 感測器 會使用Log Analytics工作區，將數據從 Kubernetes 叢集傳送至 適用於雲端的 Defender。 適用於雲端的 Defender 會將Log Analytic工作區和資源群組新增為要使用的感測器參數。 不過，如果您的組織有需要資源上特定標籤的原則，可能會導致感測器安裝在資源群組或預設工作區建立階段期間失敗。 如果失敗，您可以： 指派自定義工作區 ，並新增組織所需的任何標籤。 或 如果您的公司要求您標記資源，您應該 覽至該原則並排除下列資源： 資源群組 DefaultResourceGroup-<RegionShortCode> 工作區 DefaultWorkspace-<sub-id>-<RegionShortCode> RegionShortCode 是 2-4 個字母字串。

Question 1

大規模啟用新計劃的選項有哪些？

Accepted Answer

您可以使用 Azure 原則 Configure Microsoft Defender for Containers to be enabled，大規模啟用適用於容器的 Defender。您也可以查看所有可用來啟用適用於容器的 Microsoft Defender 選項。

Question 2

適用於容器的 Microsoft Defender 是否支援具有虛擬機器擴展集的 AKS 叢集？

Accepted Answer

Question 3

適用於容器的 Microsoft Defender 是否支援沒有擴展集的 AKS (預設)？

Accepted Answer

否。僅支援針對節點使用虛擬機器擴展集的 Azure Kubernetes Service (AKS) 叢集。

Question 4

我需要在 AKS 節點上安裝 Log Analytics VM 擴充功能以實現安全性保護嗎？

Accepted Answer

否，AKS 是受控服務，不支援對 IaaS 資源的操作。不需要 Log Analytics VM 擴充功能，而且可能會導致額外費用。

Question 5

如何使用現有的 Log Analytics 工作區？

Accepted Answer

您可以遵循本文的指派自定義工作區一節中的步驟，使用現有的Log Analytics工作區。

Question 6

我可以刪除 適用於雲端的 Defender 所建立的預設工作區嗎？

Accepted Answer

不建議刪除預設工作區。適用於容器的Defender會使用預設工作區來收集叢集的安全性數據。適用於容器的 Defender 將無法收集數據，如果您刪除預設工作區，某些安全性建議和警示將會變成無法使用。

Question 7

我刪除了預設工作區，該如何取回它？

Accepted Answer

若要復原預設工作區，您需要移除 Defender 感測器，然後重新安裝感測器。重新安裝Defender感測器會建立新的預設工作區。

Question 8

默認Log Analytics工作區位於何處？

Accepted Answer

視您的區域而定，預設Log Analytics工作區可能位於各種位置。若要查看您的區域，請參閱建立預設Log Analytics工作區的位置？

Question 9

我的組織要求我標記我的資源，而必要的感測器未安裝，發生什麼問題？

Accepted Answer

Defender 感測器會使用Log Analytics工作區，將數據從 Kubernetes 叢集傳送至適用於雲端的 Defender。適用於雲端的 Defender 會將Log Analytic工作區和資源群組新增為要使用的感測器參數。

不過，如果您的組織有需要資源上特定標籤的原則，可能會導致感測器安裝在資源群組或預設工作區建立階段期間失敗。如果失敗，您可以：

指派自定義工作區，並新增組織所需的任何標籤。

或
如果您的公司要求您標記資源，您應該覽至該原則並排除下列資源：
1. 資源群組 DefaultResourceGroup-
2. 工作區 DefaultWorkspace--
RegionShortCode 是 2-4 個字母字串。

Question 10

適用於容器的 Defender 如何掃描映像檔案？

Accepted Answer

適用於容器的 Defender 會從登錄提取映像，並在具有多重雲端環境的 Microsoft Defender 弱點管理隔離沙盒中執行映像。掃描器會擷取已知弱點的清單。

適用於雲端的 Defender 會篩選並分類掃描器得出的結果。當映像檔案狀況良好時，適用於雲端的 Defender 會對其進行標記。適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。透過僅在發生問題時通知您，適用於雲端的 Defender 減少出現不必要資訊警示的可能性。

Question 11

如何識別掃描器所執行的提取事件？

Accepted Answer

若要識別掃描器所執行的提取事件，請執行下列步驟：

使用 AzureContainerImageScanner 的 UserAgent 搜尋提取事件。
擷取與此事件相關聯的身分識別。
使用擷取的身分識別來識別掃描器的提取事件。

Question 12

不適用資源與未驗證資源之間的差異為何？

Accepted Answer

不適用的資源 是建議無法提供明確答案的資源。不適用的索引標籤包含無法評估之每個資源的原因。
未驗證的資源 是排定要評估的資源，但尚未評估。

Question 13

為什麼 適用於雲端的 Defender 警示我是否有不在登錄中之映射的弱點？

Accepted Answer

某些影像可能會重複使用已掃描影像中的標籤。例如，每次將影像新增至摘要時，您可能會重新指派標籤 “Latest”。在這種情況下，「舊」映射仍存在於登錄中，而且可能仍由其摘要提取。如果有人提取了具安全疑慮的映像，則會暴露安全性弱點。

Question 14

適用於容器的 Defender 是否掃描 Microsoft Container Registry 中的映射？

Accepted Answer

目前，適用於容器的 Defender 只能掃描 Azure Container Registry （ACR）和 AWS Elastic Container Registry （ECR）中的映像。不支援 Docker Registry、Microsoft 成品登錄/Microsoft Container Registry 和 Microsoft Azure Red Hat OpenShift （ARO）內建容器映射登錄。映像應該先匯入 ACR。深入瞭解如何將容器映像匯入 Azure 容器登錄。

Question 15

是否可透過 REST API 取得掃描結果？

Accepted Answer

是。結果會存放在子評定 REST API 下。此外，您可以使用 Azure Resource Graph (ARG)，這是適用於所有資源的類 Kusto API：查詢可以擷取特定的掃描。

Question 16

如何? 檢查容器所使用的媒體類型？

Accepted Answer

若要檢查影像類型，您必須使用可檢查原始影像指令清單的工具，例如 skopeo，並檢查原始影像格式。

針對 Docker v2 格式，指令清單媒體類型會是 application/vnd.docker.distribution.manifest.v1+json 或 application/vnd.docker.distribution.manifest.v2+json，如這裡所述。
針對 OCI 映射格式，指令清單媒體類型會是 application/vnd.oci.image.manifest.v1+json，以及設定媒體類型 application/vnd.oci.image.config.v1+json，如這裡所述。

Question 17

無代理程式容器狀態管理的擴充功能為何？

Accepted Answer

有兩個延伸模組提供無代理程式 CSPM 功能：

無代理程式容器弱點評估：提供無代理程式容器弱點評估。深入瞭解無代理程式容器弱點評估。
Kubernetes 的無代理程式探索：提供 API 型探索 Kubernetes 叢集架構、工作負載對象和設定的相關信息。

Question 18

如何一次上線多個訂用帳戶？

Accepted Answer

若要一次上線多個訂用帳戶，您可以使用此腳本。

Question 19

為什麼我看不到叢集的結果？

Accepted Answer

如果您沒有看到叢集的結果，請檢查下列問題：

您是否已停止叢集？
您的資源群組、訂用帳戶或叢集是否已鎖定？如果上述任一問題的答案是是，請參閱下列問題中的解答。

Question 20

如果我已停止叢集，該怎麼辦？

Accepted Answer

我們不支援已停止的叢集，也不對已停止的叢集收費。若要在已停止的叢集上取得無代理功能的值，您可以重新執行叢集。

Question 21

如果我有鎖定的資源群組、訂用帳戶或叢集，該怎麼辦？

Accepted Answer

建議您解除鎖定的資源群組/訂用帳戶/叢集、手動提出相關要求，然後執行下列動作來重新鎖定資源群組/訂用帳戶/叢集：

使用受信任的存取，透過 CLI 手動啟用功能旗標。

“az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”

在 CLI 中執行系結作業：

az account set -s  
az extension add --name aks-preview 
az aks trustedaccess rolebinding create --resource-group  --cluster-name  --name defender-cloudposture --source-resource-id /subscriptions//providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator"

針對鎖定的叢集，您也可以執行下列步驟之一：

拿掉鎖定。
藉由發出 API 要求，手動執行系結作業。深入瞭解鎖定的資源。

Question 22

您是否使用更新的 AKS 版本？

Accepted Answer

深入了解 Azure Kubernetes Service (AKS) 中支援的 Kubernetes 版本。

Question 23

Kubernetes 無代理程式探索的重新整理間隔為何？

Accepted Answer

變更最多 可能需要 24 小時 才會反映在安全性圖表、攻擊路徑和安全性總管中。

Question 24

如何? 從淘汰的 Trivy 弱點評估升級至由 Microsoft Defender 弱點管理 提供的 AWS 弱點評估？

Accepted Answer

下列步驟會移除 Trivy 所提供的單一登錄建議，並新增 MDVM 所提供的新登錄和運行時間建議。

開啟相關的 AWS 連接器。
開啟適用於容器的Defender 設定頁面。
啟用 無代理程式容器弱點評估。
完成連接器精靈的步驟，包括在 AWS 中部署新的上線腳本。
手動刪除上線期間建立的資源：
- 具有 defender-for-containers-va 前置詞的 S3 貯體
- 名為 defender-for-containers-va 的 ECS 叢集
- Vpc：
  - 具有值的標記namedefender-for-containers-va
  - IP 子網 CIDR 10.0.0.0/16
  - 與具有標籤name的預設安全組相關聯，以及具有所有傳入流量規則的值defender-for-containers-va。
  - 具有捲標的子網，以及 ECS 叢集所使用 CIDR 10.0.1.0/24 IP 子網之 SSL 中的defender-for-containers-va值defender-for-containers-vanamedefender-for-containers-va
  - 具有標籤name和值的因特網閘道defender-for-containers-va
  - 路由表 - 具有標籤name和值的defender-for-containers-va路由表，以及具有下列路由的路由表：
    - 目的地： 0.0.0.0/0;目標：具有標籤 name 和值的因特網閘道 defender-for-containers-va
    - 目的地： 10.0.0.0/16;目標： local

若要取得執行中映像的弱點評估，請啟用 Kubernetes 的無代理程式探索，或在 Kubernetes 叢集上部署 Defender 感測器。

保護容器的常見問題

大規模啟用新計劃的選項有哪些？

適用於容器的 Microsoft Defender 是否支援具有虛擬機器擴展集的 AKS 叢集？

適用於容器的 Microsoft Defender 是否支援沒有擴展集的 AKS (預設)？

我需要在 AKS 節點上安裝 Log Analytics VM 擴充功能以實現安全性保護嗎？

如何使用現有的 Log Analytics 工作區？

我可以刪除適用於雲端的 Defender 所建立的預設工作區嗎？

我刪除了預設工作區，該如何取回它？

默認Log Analytics工作區位於何處？

我的組織要求我標記我的資源，而必要的感測器未安裝，發生什麼問題？

適用於容器的 Defender 如何掃描映像檔案？

如何識別掃描器所執行的提取事件？

不適用資源與未驗證資源之間的差異為何？

為什麼適用於雲端的 Defender 警示我是否有不在登錄中之映射的弱點？

適用於容器的 Defender 是否掃描 Microsoft Container Registry 中的映射？

是否可透過 REST API 取得掃描結果？

如何? 檢查容器所使用的媒體類型？

無代理程式容器狀態管理的擴充功能為何？

如何一次上線多個訂用帳戶？

為什麼我看不到叢集的結果？

如果我已停止叢集，該怎麼辦？

如果我有鎖定的資源群組、訂用帳戶或叢集，該怎麼辦？

您是否使用更新的 AKS 版本？

Kubernetes 無代理程式探索的重新整理間隔為何？

如何? 從淘汰的 Trivy 弱點評估升級至由 Microsoft Defender 弱點管理提供的 AWS 弱點評估？

下一步

意見反應

其他資源

保護容器的常見問題

大規模啟用新計劃的選項有哪些？

適用於容器的 Microsoft Defender 是否支援具有虛擬機器擴展集的 AKS 叢集？

適用於容器的 Microsoft Defender 是否支援沒有擴展集的 AKS (預設)？

我需要在 AKS 節點上安裝 Log Analytics VM 擴充功能以實現安全性保護嗎？

如何使用現有的 Log Analytics 工作區？

我可以刪除 適用於雲端的 Defender 所建立的預設工作區嗎？

我刪除了預設工作區，該如何取回它？

默認Log Analytics工作區位於何處？

我的組織要求我標記我的資源，而必要的感測器未安裝，發生什麼問題？

適用於容器的 Defender 如何掃描映像檔案？

如何識別掃描器所執行的提取事件？

不適用資源與未驗證資源之間的差異為何？

為什麼 適用於雲端的 Defender 警示我是否有不在登錄中之映射的弱點？

適用於容器的 Defender 是否掃描 Microsoft Container Registry 中的映射？

是否可透過 REST API 取得掃描結果？

如何? 檢查容器所使用的媒體類型？

無代理程式容器狀態管理的擴充功能為何？

如何一次上線多個訂用帳戶？

為什麼我看不到叢集的結果？

如果我已停止叢集，該怎麼辦？

如果我有鎖定的資源群組、訂用帳戶或叢集，該怎麼辦？

您是否使用更新的 AKS 版本？

Kubernetes 無代理程式探索的重新整理間隔為何？

如何? 從淘汰的 Trivy 弱點評估升級至由 Microsoft Defender 弱點管理 提供的 AWS 弱點評估？

下一步

意見反應

其他資源

我可以刪除適用於雲端的 Defender 所建立的預設工作區嗎？

為什麼適用於雲端的 Defender 警示我是否有不在登錄中之映射的弱點？

如何? 從淘汰的 Trivy 弱點評估升級至由 Microsoft Defender 弱點管理提供的 AWS 弱點評估？