Domande comuni sulla protezione dei contenitori

È possibile usare Criteri di Azure Configure Microsoft Defender for Containers to be enabled, per abilitare Defender per contenitori su larga scala. È anche possibile visualizzare tutte le opzioni disponibili per abilitare Microsoft Defender per contenitori.

Sì.

No. Sono supportati solo servizio AKS cluster che usano set di scalabilità di macchine virtuali per i nodi.

No, AKS è un servizio gestito e la manipolazione delle risorse IaaS non è supportata. L'estensione della macchina virtuale di Log Analytics non è necessaria e potrebbe comportare dei costi aggiuntivi.

È possibile usare l'area di lavoro Log Analytics esistente seguendo la procedura descritta nella sezione Assegnare un'area di lavoro personalizzata di questo articolo.

Non è consigliabile eliminare l'area di lavoro predefinita. Defender per contenitori usa le aree di lavoro predefinite per raccogliere dati di sicurezza dai cluster. Defender per contenitori non sarà in grado di raccogliere dati e alcuni consigli, e avvisi di sicurezza non saranno più disponibili se si elimina l'area di lavoro predefinita.

Per ripristinare l'area di lavoro predefinita, è necessario rimuovere il sensore Defender e reinstallare il sensore. La reinstallazione del sensore Defender crea una nuova area di lavoro predefinita.

A seconda dell'area geografica, l'area di lavoro Log Analytics predefinita potrebbe trovarsi in diverse posizioni. Per controllare l'area, vedere Dove viene creata l'area di lavoro log Analytics predefinita?

Il sensore Defender usa l'area di lavoro Log Analytics per inviare dati dai cluster Kubernetes a Defender per il Cloud. Defender per il cloud aggiunge l'area di lavoro Log analytics e il gruppo di risorse come parametro da usare per il sensore.

Tuttavia, se l'organizzazione dispone di criteri che richiedono un tag specifico per le risorse, l'installazione del sensore potrebbe non riuscire durante il gruppo di risorse o la fase di creazione dell'area di lavoro predefinita. In caso di errore, è possibile:

• Assegnare un'area di lavoro personalizzata e aggiungere qualsiasi tag richiesto dall'organizzazione.

  or

• Se l'azienda richiede di contrassegnare la risorsa, è necessario passare a tale criterio ed escludere le risorse seguenti:

  1. Gruppo di risorse DefaultResourceGroup-<RegionShortCode>
  2. L'area di lavoro DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode è una stringa di 2-4 lettere.

Defender per contenitori esegue il pull dell'immagine dal Registro di sistema ed esegue l'immagine in una sandbox isolata con Gestione delle vulnerabilità di Microsoft Defender per ambienti multicloud. Lo scanner estrae un elenco di vulnerabilità note.

Microsoft Defender per il cloud filtra e classifica i risultati dello scanner. Quando un'immagine è integra, Defender per il cloud la contrassegna come tale. Defender per il cloud genera raccomandazioni sulla sicurezza solo per le immagini che presentano problemi da risolvere. Inviando notifiche solo in caso di problemi individuati, Defender per il cloud riduce il rischio di avvisi informativi indesiderati.

Per identificare gli eventi pull eseguiti dallo scanner, seguire questa procedura:

1. Cercare eventi pull con UserAgent di AzureContainerImageScanner.
2. Estrarre l'identità associata a questo evento.
3. Usare l'identità estratta per identificare gli eventi pull dallo scanner.

• Risorse non disponibili sono risorse per le quali la raccomandazione non può fornire una risposta definitiva. La scheda non applicabile include i motivi per ogni risorsa che non è stato possibile valutare.
• Le risorse non verificate sono risorse pianificate per la valutazione, ma non ancora valutate.

Alcune immagini potrebbero riutilizzare i tag di un'immagine già analizzata. È ad esempio possibile riassegnare il tag "Il più recente" ogni volta che si aggiunge un'immagine a un digest. In questi casi, l'ultima immagine precedente esiste ancora nel registro e il rispettivo digest potrebbe eseguirne il pull. Se per l'immagine sono disponibili risultati relativi alla sicurezza e ne verrà eseguito il pull, verranno esposte vulnerabilità per la sicurezza.

Attualmente Defender per contenitori è in grado di analizzare le immagini solo in Registro Azure Container e in AWS Elastic Container Registry (ECR). Registro Docker, Registro artefatti Microsoft/Registro Contenitori Microsoft e Registro Azure Red Hat OpenShift (ARO) predefinito non sono supportati. Le immagini devono prima essere importate in Registro Azure Container. Altre informazioni sull’importazione di immagini del contenitore in un registro Azure Container.

Sì. I risultati si trovano nell'API REST Sub-Assessments. Si può anche usare Azure Resource Graph, l'API Kusto-per tutte le risorse: una query può recuperare un'analisi specifica.

Per controllare un tipo di immagine, è necessario usare uno strumento in grado di controllare il manifesto dell'immagine non elaborata, ad esempio skopeo, ed esaminare il formato dell'immagine non elaborata.

• Per il formato Docker v2, il tipo di supporto manifesto sarà application/vnd.docker.distribution.manifest.v1+json o application/vnd.docker.distribution.manifest.v2+json, come documentato qui.
• Per il formato di immagine OCI, il tipo di supporto manifesto sarà application/vnd.oci.image.manifest.v1+json e il tipo di supporto config application/vnd.oci.image.config.v1+json, come documentato qui.

Esistono due estensioni che forniscono funzionalità CSPM senza agente:

• Valutazioni delle vulnerabilità del contenitore senza agente: fornisce valutazioni delle vulnerabilità dei contenitori senza agente. Altre informazioni sulla Valutazione della vulnerabilità del contenitore senza agente.
• Individuazione senza agente per Kubernetes: fornisce l'individuazione basata su API di informazioni sull'architettura del cluster Kubernetes, sugli oggetti del carico di lavoro e sulla configurazione.

Per eseguire l'onboarding di più sottoscrizioni contemporaneamente, è possibile usare questo script.

Se i risultati dei cluster non vengono visualizzati, controllare le domande seguenti:

• I cluster sono stati arrestati?
• I gruppi di risorse, le sottoscrizioni o i cluster sono bloccati? Se la risposta a una di queste domande è sì, vedere le risposte nelle domande seguenti.

I cluster arrestati non sono supportati o caricati. Per ottenere il valore delle funzionalità senza agente in un cluster arrestato, è possibile rieseguire il cluster.

È consigliabile sbloccare manualmente il gruppo di risorse/sottoscrizione/cluster bloccato, effettuare manualmente le richieste pertinenti e quindi ribloccare il gruppo di risorse/sottoscrizione/cluster eseguendo le operazioni seguenti:

1. Abilitare manualmente il flag di funzionalità tramite l'interfaccia della riga di comando usando Accesso attendibile.

   “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
   

2. Eseguire l'operazione di associazione nell'interfaccia della riga di comando:

   az account set -s <SubscriptionId> 
   az extension add --name aks-preview 
   az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
   

Per i cluster bloccati, è anche possibile eseguire una delle operazioni seguenti:

• Rimuovere il blocco.
• Eseguire manualmente l'operazione di associazione effettuando una richiesta API. Altre informazioni sulle risorse bloccate.

Altre informazioni su versioni di Kubernetes supportate nel servizio Azure Kubernetes.

Possono essere necessarie fino a 24 ore per riflettere le modifiche nel grafico della sicurezza, nei percorsi di attacco e in Esplora sicurezza.

La procedura seguente rimuoverà la singola raccomandazione del Registro di sistema basata su Trivy e aggiungerà i nuovi consigli del Registro di sistema e del runtime basati su MDVM.

1. Aprire il connettore AWS pertinente.
2. Aprire la pagina di Impostazioni per Defender per contenitori.
3. Abilitare Valutazione della vulnerabilità del contenitore senza agente.
4. Completare i passaggi della procedura guidata del connettore, inclusa la distribuzione del nuovo script di onboarding in AWS.
5. Eliminare manualmente le risorse create durante l'onboarding:
   • Bucket S3 con il prefisso defender-for-containers-va
   • Cluster ECS con il nome defender-for-containers-va
   • VPC:
     • Contrassegna name con il valore defender-for-containers-va
     • CIDR subnet IP 10.0.0.0/16
     • Associato al gruppo di sicurezza predefinito con il tag name e il valore defender-for-containers-va con una regola di tutto il traffico in ingresso.
     • Subnet con il tag name e il valore defender-for-containers-va nel VPC defender-for-containers-va con la subnet IP CIDR 10.0.1.0/24 usata dal cluster ECS defender-for-containers-va
     • Gateway Internet con il tag name e il valore defender-for-containers-va
     • Tabella di route: tabella di route con il tag name e il valore defender-for-containers-va, e con queste route:
       • Destinazione: 0.0.0.0/0; Obiettivo: Gateway Internet con il tag name e il valore defender-for-containers-va
       • Destinazione: 10.0.0.0/16; Obiettivo: local

Per ottenere valutazioni delle vulnerabilità per l'esecuzione di immagini, abilitare l'individuazione senza agente per Kubernetes o distribuire il sensore Defender nei cluster Kubernetes.

Passaggi successivi

Informazioni su Defender per contenitori