除外を作成し、コンテナー レジストリ イメージと実行中のイメージの脆弱性評価の結果を無効にする
注意
セキュリティ スコアから管理グループ、サブスクリプション、または特定のリソースを除外して、脆弱性評価エクスペリエンスをカスタマイズできます。 リソースまたはサブスクリプションの除外を作成する方法について説明します。
組織のニーズとして、検出結果を修復するのではなく無視する必要がある場合は、必要に応じて検出結果を無効にできます。 検出結果を無効にすると、セキュリティ スコアが影響を受けることも、不要なノイズが生成されることもなくなります。
無効化のルールで定義した条件と一致する検出結果は、検出結果の一覧には表示されません。 一般的なシナリオの例を次に示します:
- 重大度が中以下の検出結果を無効にする
- ベンダーが修正しないイメージの結果を無効にする
重要
ルールを作成するには、Azure Policy でポリシーを編集するためのアクセス許可が必要です。 詳細については、「Azure Policy における RBAC アクセス許可」を参照してください。
次のいずれかの条件を組み合わせて使用できます:
- CVE - 除外する結果の CVE を入力します。 CVE が有効であることを確認します。 複数の CVE はセミコロンで区切ります。 たとえば、CVE-2020-1347、CVE-2020-1346 です。
- イメージ ダイジェスト - イメージ ダイジェストに基づいて脆弱性を除外する必要があるイメージを指定します。 複数のダイジェストはセミコロンで区切ります、例:
sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
- OS バージョン - イメージ OS に基づいて脆弱性を除外する必要があるイメージを指定します。 複数のバージョンをセミコロンで区切ります (例: ubuntu_linux_20.04;alpine_3.17)
- 最小重大度 - [低]、[中]、[高]、または [重大] を選択して、指定された重大度レベルより低い脆弱性を除外します。
- [修正の状態] - 修正の状態に基づいて脆弱性を除外するオプションを選択します。
たとえば、レジストリ イメージとランタイム イメージの両方で CVE-2017-17512 を無効にするには、推奨事項ごとにルールを無効にする必要があります。この無効化ルールは両方の場所で構成する必要があります。
注意
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
ルールを作成するには
コンテナー レジストリ イメージの推奨事項の詳細ページで、Microsoft Defender 脆弱性管理を利用して解決された脆弱性の結果、または Azure で実行されているコンテナー脆弱性の結果が解決されている の詳細ページから、[ルールの無効化] を選択します。
関連するスコープを選択します。
条件を定義します。 次のいずれかの条件を使用できます。
- CVE - 除外する結果の CVE を入力します。 CVE が有効であることを確認します。 複数の CVE はセミコロンで区切ります。 たとえば、CVE-2020-1347、CVE-2020-1346 です。
- イメージ ダイジェスト - イメージ ダイジェストに基づいて脆弱性を除外する必要があるイメージを指定します。 複数のダイジェストはセミコロンで区切ります、例:
sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
- OS バージョン - イメージ OS に基づいて脆弱性を除外する必要があるイメージを指定します。 複数のバージョンをセミコロンで区切ります (例: ubuntu_linux_20.04;alpine_3.17)
- [最小重大度] - [低]、[中]、[高]、または [重大] を選択して、指定された重大度レベル以下の脆弱性を除外します。
- [修正の状態] - 修正の状態に基づいて脆弱性を除外するオプションを選択します。
[理由] テキスト ボックスに、特定の脆弱性が無効にされた正当な理由を追加します。 これにより、ルールを見直すすべてのユーザーがより明確に理解することができます。
[ルールの適用] を選択します。
重要
変更が有効になるまでに最大 24 時間かかることがあります。
ルールを表示、無効化、または削除するには、次の手順に従います
推奨事項の詳細ページで、[ルールを無効にする] を選択します。
アクティブなルールが適用されているサブスクリプションは、スコープの一覧に [Rule applied](ルール適用済み) と表示されます。
ルールを表示または削除するには、省略記号メニュー ("...") を選択します。
次のいずれかの操作を行います。
- 無効化ルールを表示またはオーバーライドするには、[ルールの表示] を選択し、必要な変更を行い、[ルールのオーバーライド] を選択します。
- 無効化ルールを削除するには、[ルールの削除] を選択します。
次のステップ
- レジストリ イメージの脆弱性評価の結果を表示して修復する方法についてご説明します。
- Agentless Container Posture についてご説明します。