Obtenga respuestas a preguntas comunes sobre la protección de contenedores
¿Cuáles son las opciones para habilitar el nuevo plan a escala?
Puede usar el Azure Policy Configure Microsoft Defender for Containers to be enabled
, para habilitar Defender para contenedores a escala. También puede ver todas las opciones disponibles para habilitar Microsoft Defender para contenedores.
¿Microsoft Defender para contenedores admite clústeres de AKS con conjuntos de escalado de máquinas virtuales?
Sí.
¿Microsoft Defender para contenedores admite AKS con un conjunto de escalado (valor predeterminado)?
No. Solo se admiten los clústeres de Azure Kubernetes Service (AKS) que usan Virtual Machine Scale Sets para los nodos.
¿Necesito instalar la extensión de máquina virtual de Log Analytics en mis nodos de AKS con fines de protección de seguridad?
No, AKS es un servicio administrado y no se admite la manipulación de los recursos de IaaS. La extensión de máquina virtual de Log Analytics no es necesaria y puede generar cargos adicionales.
¿Cómo puedo usar mi área de trabajo de Log Analytics existente?
Puede usar el área de trabajo de Log Analytics existente siguiendo los pasos descritos en la sección de área de trabajo Asignación de un área de trabajo personalizada de este artículo.
¿Puedo eliminar las áreas de trabajo predeterminadas creadas por Defender for Cloud?
No se recomienda la eliminación del área de trabajo predeterminada. Defender para contenedores utiliza las áreas de trabajo predeterminadas para recopilar los datos de seguridad de los clústeres. Defender para contenedores no podrá recopilar datos y algunas recomendaciones y alertas de seguridad no estarán disponibles si elimina el área de trabajo predeterminada.
He eliminado mi área de trabajo predeterminada, ¿cómo puedo recuperarla?
Para recuperar el área de trabajo predeterminado, debe quitar el sensor de Defender y reinstalarlo. Al volver a instalar el sensor Defender se crea un nuevo área de trabajo predeterminado.
¿Dónde se localiza el área de trabajo predeterminada de Log Analytics?
En función de la región, el área de trabajo predeterminada de Log Analytics puede encontrarse en varias ubicaciones. Para comprobar la región, consulte ¿Dónde se crea el área de trabajo Log Analytics predeterminada?
Mi organización me exige que etiquete mis recursos, y el sensor requerido no se ha instalado, ¿a qué se debe?
El sensor de Defender usa el área de trabajo de Log Analytics para enviar datos de los clústeres de Kubernetes a Defender for Cloud. Defender for Cloud agrega el área de trabajo de Log Analytics y el grupo de recursos como parámetro para que el sensor lo use.
Sin embargo, si la organización tiene una directiva que requiere una etiqueta específica en los recursos, migbht hace que se produzca un error en la instalación del sensor durante el grupo de recursos o la fase de creación predeterminada del área de trabajo. Si se produce un error, puede:
Asignar un área de trabajo personalizada y agregar cualquier etiqueta que requiera su organización.
o
Si su empresa requiere que etiquete el recurso, debe ir a esa directiva y excluir los siguientes recursos:
- El grupo de recursos
DefaultResourceGroup-<RegionShortCode>
- El área de trabajo
DefaultWorkspace-<sub-id>-<RegionShortCode>
RegionShortCode es una cadena de que tiene de 2 a 4 letras.
- El grupo de recursos
¿Cómo Defender para contenedores escanea una imagen?
Defender for Containers extrae la imagen del Registro y la ejecuta en un espacio aislado con administración de vulnerabilidades de Microsoft Defender para entornos multinube. El detector extrae una lista de vulnerabilidades conocidas.
Defender para nube filtra y clasifica los resultados del análisis. Cuando una imagen es correcta, Defender para la nube la marca como tal. Defender para nube solo genera recomendaciones de seguridad para las imágenes que tienen incidencias sin resolver. Al enviar notificaciones solo cuando hay problemas, Defender para nube reduce las alertas informativas no deseadas.
¿Cómo puedo identificar los eventos de extracción realizados por el escáner?
Para identificar los eventos de extracción realizados por el escáner, siga estos pasos:
- Busque eventos de extracción con UserAgent de AzureContainerImageScanner.
- Extraiga la identidad asociada a este evento.
- Use la identidad extraída para identificar los eventos de extracción del escáner.
¿Cuál es la diferencia entre los recursos no aplicables y los recursos no comprobados?
- Los recursos no aplicables son recursos para los que la recomendación no puede dar una respuesta definitiva. La pestaña no aplicable incluye los motivos de cada recurso que no se pudo evaluar.
- Los recursos no comprobados están programados para evaluarse, pero aún no se han evaluado.
¿Por qué Defender for Cloud me alerta a vulnerabilidades sobre una imagen que no está en mi registro?
Algunas imágenes pueden reutilizar etiquetas de una imagen que ya se ha examinado. Por ejemplo, puede reasignar la etiqueta "Más reciente" cada vez que se agrega una imagen a un código hash. En tales casos, la imagen "antigua" sigue existiendo en el registro y es posible que su resumen lo extraiga. Si la imagen tiene información de seguridad y se extrae, mostrará las vulnerabilidades de la seguridad.
¿Defender para contenedores examina imágenes en Microsoft Container Registry?
Actualmente, Defender para contenedores solo puede examinar imágenes de Azure Container Registry (ACR) y AWS Elastic Container Registry (ECR). No se admite Docker Registry, el Registro de artefactos Microsoft y el registro de imágenes de contenedor integrado de Microsoft Red Hat OpenShift en Azure (ARO). Las imágenes deben importarse primero a ACR. Aprenda más sobre la importación de imágenes de contenedor en un registro de contenedor de Azure.
¿Se pueden obtener los resultados del examen mediante la API REST?
Sí. Los resultados se encuentran en la API de REST de valoración secundaria. Asimismo, puede usar Azure Resource Graph (ARG), la API similar a Kusto para todos los recursos: una consulta puede recuperar un análisis específico.
¿Cómo compruebo qué tipo de medio usan mis contenedores?
Para comprobar un tipo de imagen, debe usar una herramienta que pueda comprobar el manifiesto de imagen sin procesar, como skopeoe inspeccionar el formato de imagen sin formato.
- Para el formato Docker v2, el tipo de medio de manifiesto sería application/vnd.docker.distribution.manifest.v1+json o application/vnd.docker.distribution.manifest.v2+json, como se documenta aquí.
- Para el formato de imagen OCI, el tipo de medio de manifiesto sería application/vnd.oci.image.manifest.v1+jsony el tipo de soporte físico config application/vnd.oci.image.config.v1+json, como se documenta aquí.
¿Cuáles son las extensiones para la administración de la posición de contenedores sin agente?
Hay dos extensiones que proporcionan funcionalidad de CSPM sin agente:
- Evaluaciones de vulnerabilidades de contenedores sin agente: proporciona evaluaciones de vulnerabilidades de contenedores sin agente. Más información sobre Evaluación de vulnerabilidades de contenedores sin agente.
- Detección sin agente para Kubernetes: proporciona detección basada en API de información sobre la arquitectura, los objetos de carga de trabajo y la configuración del clúster de Kubernetes.
¿Cómo puedo incorporar varias suscripciones a la vez?
Para incorporar varias suscripciones a la vez, puede usar este script.
¿Por qué no veo los resultados de mis clústeres?
Si no ve los resultados de los clústeres, consulte las siguientes preguntas:
- ¿Tiene clústeres bloqueados?
- ¿Están bloqueados los grupos de recursos, las suscripciones o los clústeres? Si la respuesta a cualquiera de estas preguntas es sí, consulte las respuestas de las siguientes preguntas.
¿Qué puedo hacer si tengo clústeres detenidos?
No admitimos ni cargamos los clústeres detenidos. Para obtener el valor de las funcionalidades sin agente en un clúster detenido, puede volver a ejecutarlo.
¿Qué hago si he bloqueado los grupos de recursos, las suscripciones o los clústeres?
Se recomienda desbloquear el grupo de recursos, la suscripción o el clúster bloqueados, realizar las solicitudes pertinentes manualmente y, después, volver a bloquearlos siguiendo este procedimiento:
- Habilitar la marca de características manualmente a través de la CLI mediante el acceso de confianza.
“az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”
- Realice la operación de enlace en la CLI:
az account set -s <SubscriptionId> az extension add --name aks-preview az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles "Microsoft.Security/pricings/microsoft-defender-operator"
En el caso de los clústeres bloqueados, también puede realizar uno de los pasos siguientes:
- Elimine el bloqueo.
- Realice la operación de enlace manualmente mediante una solicitud a la API. Obtenga más información sobre los recursos bloqueados.
¿Usa una versión actualizada de AKS?
Obtenga más información sobre las versiones de Kubernetes compatibles en Azure Kubernetes Service (AKS).
¿Cuál es el intervalo de actualización de Detección sin agente de Kubernetes?
Los cambios pueden tardar hasta 24 horas en reflejarse en el grafo de seguridad, las rutas de acceso de ataque y el explorador de seguridad.
¿Cómo puedo actualizar de la evaluación de vulnerabilidades de Trivy retirada a la evaluación de vulnerabilidades de AWS con tecnología de Administración de vulnerabilidades de Microsoft Defender?
Los pasos siguientes quitarán la recomendación del registro único con tecnología de Trivy y agregarán la nuevas recomendaciones del registro y del entorno de ejecución que están basadas en MDVM.
- Abra el conector de AWS correspondiente.
- Abra la página configuración de para Defender for Containers.
- Habilite evaluación de vulnerabilidades de contenedor sin agente.
- Complete los pasos del asistente para conectores, incluida la implementación del nuevo script de incorporación en AWS.
- Elimine manualmente los recursos creados durante la incorporación:
- Cubo S3 con el prefijo defender-for-containers-va
- Clúster ECS con el nombre defender-for-containers-va
- VPC:
- Etiqueta
name
con el valordefender-for-containers-va
- CIDR de subred de IP 10.0.0.0/16
- Asociado con el grupo de seguridad predeterminado con la etiqueta
name
y el valordefender-for-containers-va
que tiene una regla de todo el tráfico entrante. - Subred con la etiqueta
name
y el valordefender-for-containers-va
de la VPCdefender-for-containers-va
con la subred de IP CIDR 10.0.1.0/24 usada por el clúster ECSdefender-for-containers-va
- Puerta de enlace de Internet con la etiqueta
name
y el valordefender-for-containers-va
- Tabla de rutas: tabla de rutas con la etiqueta
name
y el valordefender-for-containers-va
, y con estas rutas:- Destino:
0.0.0.0/0
; destino: puerta de enlace de Internet con la etiquetaname
y el valordefender-for-containers-va
- Destino:
10.0.0.0/16
; objetivo:local
- Destino:
- Etiqueta
Para obtener evaluaciones de vulnerabilidades para ejecutar imágenes, habilite la detección sin agente para kubernetes o implemente el sensor de Defender en los clústeres de Kubernetes.