適用於容器登錄的 Microsoft Defender 簡介(已淘汰)
重要
我們已開始公開預覽 MDVM 所提供的 Azure 弱點評量。 如需詳細資訊,請參閱使用 Microsoft Defender 弱點管理 的 Azure 弱點評估。
Azure Container Registry (ACR) 是受控的私人 Docker 登錄服務,可在中央登錄中儲存和管理 Azure 部署的容器映射。 其以開放原始碼 Docker 登錄 2.0 為基礎。
若要保護訂用帳戶中的 Azure Resource Manager 型登錄,請在訂用帳戶層級啟用 適用於容器登錄 的 Microsoft Defender。 適用於雲端的 Defender 接著會在推送至登錄、匯入登錄或在過去 30 天內提取時掃描所有映像。 每個掃描的影像都會向您收取費用, 每個影像一次。
可用性
重要
適用於容器的 Microsoft Defender 登錄已被適用於容器的 Defender 取代。 如果您已在訂用帳戶上啟用適用於容器登錄的 Defender,您可以繼續加以使用。 不過,您不會取得適用於容器的 Defender 改善和新功能。
此方案已無法再供尚未啟用的訂用帳戶使用。
若要升級至適用於容器的 Microsoft Defender,請在入口網站中開啟 Defender 方案頁面,並啟用新的方案:
在版本資訊中深入了解這項變更。
| 層面 | 詳細資料 |
|---|---|
| 版本狀態: | 已淘汰 (使用 適用於容器的 Microsoft Defender) |
| 支援的登入與映射: | ACR 登錄中的 Linux 映射可從具有殼層存取的公用因特網存取 使用 Azure Private Link 保護的 ACR 登錄 |
| 不支援的登入與映射: | Windows 映像 「私人」登錄(除非授與 信任服務的存取權) 超級極簡映像,例如 Docker 臨時 映像,或只包含應用程式及其運行時間相依性的「散發套件」映射,而不需要套件管理員、殼層或 OS 具有 開放式容器計劃 (OCI) 映像格式規格的映像 |
| 必要的角色和權限: | 安全性讀取器和Azure Container Registry 角色和許可權 |
| 雲端: |  商業雲端 國家/省(Azure Government,由 21Vianet 營運的 Microsoft Azure) |
適用於容器登錄的 Microsoft Defender 有哪些優點?
適用於雲端的 Defender 識別訂用帳戶中以 Azure Resource Manager 為基礎的 ACR 登錄,並順暢地為您的登錄映像提供 Azure 原生弱點評估和管理。
適用於容器登錄的 Microsoft Defender 包含弱點掃描器,可掃描 Azure Resource Manager 型 Azure Container Registry 登錄中的映像,並提供更深入的映射弱點可見度。
找到問題時,您會在工作負載保護儀錶板中收到通知。 針對每個弱點,適用於雲端的 Defender 提供可採取動作的建議,以及嚴重性分類,以及如何補救問題的指引。 如需容器 適用於雲端的 Defender 建議的詳細數據,請參閱建議的參考清單。
適用於雲端的 Defender 會篩選並分類掃描器得出的結果。 當映像檔案狀況良好時,適用於雲端的 Defender 會對其進行標記。 適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。 適用於雲端的 Defender 提供每個回報弱點和嚴重性分類的詳細數據。 此外,它提供如何補救每個映射上找到的特定弱點的指引。
只要在發生問題時通知,適用於雲端的 Defender 可減少不必要的資訊警示潛力。
何時掃描影像?
影像掃描有三個觸發程式:
推送時 - 每當映射推送至您的登錄時,適用於容器登錄的Defender會自動掃描該映像。 若要觸發映像的掃描,請將其推送至您的存放庫。
最近提取 - 由於每天都發現新的弱點, 適用於容器登錄 的 Microsoft Defender 也會每周掃描過去 30 天內提取的任何映像。 這些重新掃描不需額外費用;如上所述,每個映像會向您收取一次費用。
匯入時 - Azure Container Registry 具有匯入工具,可將映像從 Docker Hub、Microsoft Container Registry 或另一個 Azure Container Registry 導入您的登錄中。 適用於容器登錄的 Microsoft Defender 會 掃描您匯入的任何支援映像。 深入了解如何將容器映像匯入至容器登錄。
掃描通常會在 2 分鐘內完成,但最多可能需要 40 分鐘的時間。 結果會以安全性建議的形式提供,例如:
適用於雲端的 Defender 如何使用 Azure Container Registry
以下是使用 適用於雲端的 Defender 保護登錄的元件和優點的高階圖表。
常見問題 - Azure Container Registry 映射掃描
適用於雲端的 Defender 如何掃描影像?
適用於雲端的 Defender 從登錄提取映像,並使用掃描器在隔離的沙箱中執行映像。 掃描器會擷取已知弱點的清單。
適用於雲端的 Defender 會篩選並分類掃描器得出的結果。 當映像檔案狀況良好時,適用於雲端的 Defender 會對其進行標記。 適用於雲端的 Defender 只會針對有待解決問題的映像檔案產生安全性建議。 透過僅在發生問題時通知您,適用於雲端的 Defender 減少出現不必要資訊警示的可能性。
是否可透過 REST API 取得掃描結果?
是。 結果會存放在子評定 REST API 下。 此外,您可以使用 Azure Resource Graph (ARG),這是適用於所有資源的類 Kusto API:查詢可以擷取特定的掃描。
掃描了哪些登錄類型? 哪些類型會計費?
如需適用於容器登錄的 Microsoft Defender 所支援的容器登錄類型清單,請參閱 可用性。
如果您將不支援的登錄連線到您的 Azure 訂用帳戶,適用於雲端的 Defender 將不會掃描它們,也不會向您收取費用。
我可以從弱點掃描器自定義結果嗎?
是。 如果您的組織需要忽略某個結果,而不是將其修復,您可以選擇性地停用該結果。 停用的結果不會影響您的安全分數或產生不想要的雜訊。
為什麼適用於雲端的 Defender 會向我發出並非我登錄中映像的弱點警示?
適用於雲端的 Defender 會針對登錄中推送或提取的每個映像提供弱點評定。 某些影像可能會重複使用已掃描影像中的標籤。 例如,每次將影像新增至摘要時,您可能會重新指派標籤 “Latest”。 在這種情況下,「舊」映射仍存在於登錄中,而且可能仍由其摘要提取。 如果映像具有安全性結果並已提取,則會公開安全性弱點。