注意事項
この記事では、2024 年 6 月 30 日にサービス終了になる Linux ディストリビューションである CentOS を参照します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
この記事には、Microsoft Defender for Cloud でのコンテナー機能のサポート情報がまとめられています。
ノート
- 具体的な機能はプレビュー段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
- Defender for Cloud では、クラウド ベンダーによってサポートされる AKS、EKS、GKE のバージョンのみが正式にサポートされます。
サポートされているクラウド環境とコンテナー レジストリに対して Defender for Containers によって提供される機能を次に示します。
脆弱性評価 (VA) の機能
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コンテナー レジストリ VA |
コンテナー レジストリ内のイメージの脆弱性評価 |
ACR |
GA |
GA |
レジストリ アクセス 1が必要です |
Defender for Containers または Defender CSPM |
商用クラウド
ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| ランタイム コンテナー VA |
実行中のコンテナー イメージの脆弱性評価 |
コンテナー レジストリ ソースに依存しない |
プレビュー
(ACR イメージを含むコンテナーは GA です) |
GA |
マシン用エージェントレス スキャンが必要で、K8S API アクセスまたはDefender センサー1のいずれかも必要です。 |
Defender for Containers または Defender CSPM |
商用クラウド
ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
1国内クラウドは自動的に有効になり、無効にすることはできません。
| 機能 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コンテナー レジストリ VA |
コンテナー レジストリ内のイメージの脆弱性評価 |
ECR |
GA |
GA |
レジストリ アクセスが必要 |
Defender for Containers または Defender CSPM |
AWS |
| ランタイム コンテナー VA |
実行中のコンテナー イメージの脆弱性評価 |
サポートされているコンテナー レジストリ |
プレビュー |
- |
エージェントレス スキャンおよびK8S API アクセスまたはDefender センサーがマシンに必要です。 |
Defender for Containers または Defender CSPM |
AWS |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コンテナー レジストリ VA |
コンテナー レジストリ内のイメージの脆弱性評価 |
GAR、GCR |
GA |
GA |
レジストリ アクセスの切り替えを有効にする |
Defender for Containers または Defender CSPM |
AWS |
| ランタイム コンテナー VA |
実行中のコンテナー イメージの脆弱性評価 |
サポートされているコンテナー レジストリ |
プレビュー |
- |
マシンのエージェントレス スキャンと、K8S API アクセスまたはDefender センサーのいずれかが必要です。 |
Defender for Containers または Defender CSPM |
Google Cloud Platform (GCP) |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コンテナー レジストリ VA |
コンテナー レジストリ内のイメージの脆弱性評価 |
Docker Hub、JFrog Artifactory |
プレビュー |
プレビュー |
コネクタの作成 |
Defender for Containers または Defender CSPM |
NA |
脆弱性評価のレジストリとイメージのサポート
| 特徴 |
詳細 |
| レジストリとイメージ |
サポートあり
* Docker V2 形式のコンテナー イメージ
* Open Container Initiative (OCI) のイメージ形式仕様を使用するイメージ
サポート対象外
* Docker scratch イメージなどのスーパーミニマリスト イメージは現在サポートされていません
* パブリック リポジトリ
* マニフェスト リスト
|
| オペレーティング システム |
サポートあり
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6 - 9
* CentOS 6-9 (CentOS は、2024 年 6 月 30 日にサービス終了になります。詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
* Oracle Linux 6 - 9
* Amazon Linux 1、2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE Enterprise Linux 11 - 15
* Debian GNU/Linux 7 - 12
* Google Distroless (Debian GNU/Linux 7 - 12 ベース)
* Ubuntu 12.04 - 22.04
* Fedora 31 - 37
* Azure Linux 1-2
* Windows Server 2016、2019、2022 |
言語固有のパッケージ
|
サポートあり
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
* Java
* Go |
ランタイム保護機能
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コントロールプレーン検出 |
Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 |
AKS |
GA |
GA |
プランで有効化済み |
Defender for Containers または Defender CSPM |
商用クラウド ナショナル クラウド: Azure Government、21Vianet が運用する Azure |
| ワークロードの検出 |
コンテナー化されたワークロードの脅威を監視し、疑わしいアクティビティにアラートを送信します |
AKS |
GA |
- |
Defender センサーが必要 |
コンテナ用ディフェンダー |
商用クラウドと国内クラウド: Azure Government、21Vianet が運用する Azure |
| バイナリドリフト検出 |
コンテナー イメージからランタイム コンテナーのバイナリを検出します |
AKS |
GA |
GA |
Defender センサーが必要 |
Defender for Containers |
商用クラウド |
| XDR での高度なハンティング |
Microsoft XDR でクラスター インシデントとアラートを表示する |
AKS |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
Defender センサーが必要 |
コンテナ用 Defender |
商用クラウドと国内クラウド: Azure Government、21Vianet が運用する Azure |
| XDR での応答アクション |
Microsoft XDR で自動および手動修復を提供します |
AKS |
プレビュー |
プレビュー |
Defender センサーと K8S アクセス API が必要 |
コンテナ用のディフェンダー |
商用クラウドと国内クラウド: Azure Government、21Vianet が運用する Azure |
| マルウェア検出 |
マルウェアの検出 |
AKS ノード |
プレビュー |
プレビュー |
マシンのエージェントレス スキャンが必要 |
Defender for Containers または Defender for Servers プラン 2 |
商用クラウド |
Azure での実行時の脅威保護のための Kubernetes ディストリビューションと構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみが Azure でテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
注
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
| 機能 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コントロールプレーン検出 |
Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 |
EKS |
GA |
GA |
プランで有効化済み |
Defender for Containers または Defender CSPM |
AWS |
| ワークロードの検出 |
コンテナー化されたワークロードの脅威を監視し、疑わしいアクティビティにアラートを送信します |
EKS |
GA |
- |
Defender センサーが必要 |
Defender for Containers |
AWS |
| バイナリ ドリフト検出 |
コンテナー イメージからランタイム コンテナーのバイナリを検出します |
EKS |
ジェネラルアセンブリー (General Assembly) |
GA |
Defender センサーが必要 |
Defender for Containers |
AWS |
| XDR での高度なハンティング |
Microsoft XDR でクラスター インシデントとアラートを表示する |
EKS |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
Defender センサーが必要 |
Defender for Containers |
AWS |
| XDR での応答アクション |
Microsoft XDR で自動および手動修復を提供します |
EKS |
プレビュー |
プレビュー |
Defender センサーと K8S アクセス API が必要 |
コンテナ用ディフェンダー |
AWS |
| マルウェア検出 |
マルウェアの検出 |
- |
- |
- |
- |
- |
- |
AWS での実行時の脅威保護に対する Kubernetes ディストリビューション/構成のサポート
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
注
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
| 機能 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コントロール プレーン検出 |
Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 |
GKE |
GA |
GA |
プランで有効化済み |
コンテナ用ディフェンダー |
GCP |
| ワークロードの検出 |
コンテナー化されたワークロードの脅威を監視し、疑わしいアクティビティにアラートを送信します |
GKE |
GA |
- |
Defender センサーが必要 |
Defender for Containers |
Google Cloud Platform (GCP) |
| バイナリ ドリフト検出 |
コンテナー イメージからランタイム コンテナーのバイナリを検出します |
GKE |
GA |
GA |
Defender センサーが必要 |
コンテナー向けディフェンダー |
GCP |
| XDR での高度なハンティング |
Microsoft XDR でクラスター インシデントとアラートを表示する |
GKE |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
Defender センサーが必要 |
コンテナ用ディフェンダー |
Google クラウド プラットフォーム (GCP) |
| XDR での応答アクション |
Microsoft XDR で自動および手動修復を提供します |
GKE |
プレビュー |
プレビュー |
Defender センサーと K8S アクセス API が必要 |
コンテナー向けDefender |
GCP |
| マルウェア検出 |
マルウェアの検出 |
- |
- |
- |
- |
- |
- |
GCP での実行時の脅威保護に対する Kubernetes ディストリビューション/構成のサポート
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
注記
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| コントロール プレーン検出 |
Kubernetes の監査証跡に基づく Kubernetes の疑わしいアクティビティの検出 |
Arc 対応 K8s クラスター |
プレビュー |
プレビュー |
Defender センサーが必要 |
コンテナ防御プログラム |
|
| ワークロードの検出 |
コンテナー化されたワークロードの脅威を監視し、疑わしいアクティビティにアラートを送信します |
Arc 対応 Kubernetes クラスター |
プレビュー |
- |
Defender センサーが必要 |
コンテナ用ディフェンダー |
|
| バイナリ ドリフト検出 |
コンテナー イメージからランタイム コンテナーのバイナリを検出します |
|
- |
- |
- |
- |
- |
| XDR での高度なハンティング |
Microsoft XDR でクラスター インシデントとアラートを表示する |
Arc 対応 Kubernetes クラスター |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
プレビュー - 現在、監査ログとプロセス イベントをサポートしています |
Defender センサーが必要 |
Defender for Containers |
|
| XDR での応答アクション |
Microsoft XDR で自動および手動修復を提供します |
- |
- |
- |
- |
- |
|
| マルウェア検出 |
マルウェアの検出 |
- |
- |
- |
- |
- |
- |
Arc 対応 Kubernetes でのランタイム脅威保護のための Kubernetes ディストリビューション/構成
1 Cloud Native Computing Foundation (CNCF) 認定 Kubernetes クラスターはすべてサポートされますが、指定されたクラスターのみがテストされています。
2Microsoft Defender for Containers で環境を保護するには、Azure Arc 対応 Kubernetes をオンボードし、Defender for Containers を Arc 拡張機能として有効にする必要があります。
メモ
Kubernetes ワークロード保護のその他の要件については、既存の制限事項に関する記事を参照してください。
セキュリティ体制管理機能
| 機能 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| Kubernetes のエージェントレス検出1 |
Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 |
AKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
Azure 商用クラウド |
| 包括的なインベントリ機能 |
セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 |
ACR、AKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
Azure 商用クラウド |
| 攻撃パス分析 |
クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 |
ACR、AKS |
GA |
GA |
K8S API アクセスが必要 |
Defender CSPM |
Azure 商用クラウド |
| 強化されたリスク ハンティング |
セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 |
ACR、AKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
Azure 商用クラウド |
| コントロール プレーンのセキュリティ強化1 |
クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 |
ACR、AKS |
GA |
GA |
プランで有効化済み |
無料 |
商用クラウド
ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| ワークロードの強化1 |
Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 |
AKS |
GA |
- |
Azure Policy が必要 |
無料 |
商用クラウド
ナショナル クラウド: Azure Government、21Vianet が運営する Azure |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service ベンチマーク |
AKS |
GA |
- |
セキュリティ標準として割り当てられます |
Defender for Containers または Defender CSPM |
商用クラウド
|
1 この機能は、クラスター リソース レベルで Defender for Containers を有効にする際に、個々のクラスターに対して有効にすることができます。
| 機能 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| Kubernetes のエージェントレス検出 |
Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 |
EKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
Azure 商用クラウド |
| 包括的なインベントリ機能 |
セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 |
ECR、EKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
AWS |
| 攻撃パス分析 |
クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 |
ECR、EKS |
GA |
GA |
K8S API アクセスが必要 |
Defender CSPM (Kubernetes のエージェントレス検出を有効にする必要があります) |
AWS |
| 強化されたリスク ハンティング |
セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 |
ECR、EKS |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
AWS |
| コントロール プレーンのセキュリティ強化 |
クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 |
- |
- |
- |
- |
- |
- |
| ワークロードの強化 |
Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 |
EKS |
GA |
- |
Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする必要があります |
無料 |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service ベンチマーク |
EKS |
GA |
- |
セキュリティ標準として割り当てられます |
Defender for Containers または Defender CSPM |
AWS |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| Kubernetes のエージェントレス検出 |
Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 |
GKE |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
GCP |
| 包括的なインベントリ機能 |
セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 |
GCR、GAR、GKE |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
GCP(Google Cloud Platform) |
| 攻撃パス分析 |
クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 |
GCR、GAR、GKE |
GA |
GA |
K8S API アクセスが必要 |
Defender CSPM |
GCP |
| 強化されたリスク ハンティング |
セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 |
GCR、GAR、GKE |
GA |
GA |
K8S API アクセスが必要 |
Defender for Containers または Defender CSPM |
GCP |
| 制御プレーンの強化 |
クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 |
GKE |
GA |
GA |
プランでアクティブ化済み |
無料 |
Google Cloud Platform (GCP) |
| ワークロードの強化 |
Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 |
GKE |
GA |
- |
Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする必要があります |
無料 |
Google クラウド プラットフォーム (GCP) |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service ベンチマーク |
GKE(Google Kubernetes Engine) |
GA |
- |
セキュリティ標準として割り当てられます |
Defender for Containers または Defender CSPM |
GCP(Google Cloud Platform) |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| Kubernetes のエージェントレス検出 |
Kubernetes のクラスター、その構成とデプロイが、フットプリントがゼロの API ベースで検出されます。 |
- |
- |
- |
- |
- |
- |
| 包括的なインベントリ機能 |
セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 |
- |
- |
- |
- |
- |
- |
| 攻撃パス分析 |
クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 |
- |
- |
- |
- |
- |
- |
| 強化されたリスク ハンティング |
セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 |
- |
- |
- |
- |
- |
- |
| コントロール プレーンのセキュリティ強化 |
クラスターの構成を継続的に評価し、それらを、サブスクリプションに適用されているイニシアチブと比較します。 構成ミスが見つかると、Defender for Cloud の [レコメンデーション] ページには、使用できるセキュリティに関する推奨事項が生成されます。 レコメンデーションを使用すると、問題を調査して修復できます。 |
- |
- |
- |
- |
- |
- |
| ワークロードの強化 |
Kubernetes コンテナーのワークロードをベスト プラクティスの推奨事項で保護します。 |
Arc 対応 Kubernetes クラスター |
GA |
- |
Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする必要があります |
コンテナ用ディフェンダー |
Arc 対応 Kubernetes クラスター |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service ベンチマーク |
Arc 対応 VM |
プレビュー |
- |
セキュリティ標準として割り当てられます |
Defender for Containers または Defender CSPM |
Arc 対応 Kubernetes クラスター |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| 包括的なインベントリ機能 |
セキュリティ エクスプローラーを使用してリソース、ポッド、サービス、リポジトリ、イメージ、および構成を探索し、資産を簡単に監視および管理できます。 |
Docker Hub、JFrog Artifactory |
プレビュー |
プレビュー |
コネクタの作成 |
基本的な CSPM または Defender CSPM または Defender for Containers |
- |
| 攻撃パス分析 |
クラウド セキュリティ グラフをスキャンする、グラフ ベースのアルゴリズム。 このスキャンは、ご利用の環境を攻撃者が侵害するために使用する恐れのある、悪用可能なパスを明らかにします。 |
Docker Hub、JFrog Artifactory |
プレビュー |
プレビュー |
コネクタの作成 |
Defender CSPM |
- |
| 強化されたリスク ハンティング |
セキュリティ管理者は、セキュリティ エクスプローラーのクエリ (組み込みおよびカスタム) とセキュリティ分析情報を使用して、コンテナー化された資産にある態勢の問題を積極的に検出できます。 |
Docker Hub、JFrog |
プレビュー |
プレビュー |
コネクタの作成 |
Defender for Containers(またはDefender CSPM) |
|
コンテナーソフトウェアのサプライチェーン保護機能
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| 限定的な展開 |
Kubernetes 環境へのコンテナー イメージの段階的デプロイメント |
AKS 1.32 以上 |
プレビュー |
プレビュー |
プランで有効化済み |
Defender for Containers または Defender CSPM |
商用クラウド ナショナル クラウド: Azure Government、21Vianet が運用する Azure |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| 限定的な展開 |
Kubernetes 環境へのコンテナー イメージの段階的デプロイメント |
- |
- |
- |
- |
- |
- |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| 限定的な展開 |
Kubernetes 環境へのコンテナー イメージのゲート付きデプロイ |
- |
- |
- |
- |
- |
- |
| 特徴 |
説明 |
サポートされているリソース |
Linux リリース状態 |
Windows リリース状態 |
有効化方法 |
プラン |
クラウドの可用性 |
| 限定的な展開 |
Kubernetes 環境へのコンテナーイメージの制御されたデプロイメント |
- |
- |
- |
- |
- |
- |
ネットワークの制限
| 側面 |
詳細 |
| 送信プロキシのサポート |
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。 |
| IP 制限があるクラスター |
AWS の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「Amazon EKS クラスター エンドポイントアクセス制御 - Amazon EKS」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれます。 |
| 側面 |
詳細 |
| 送信プロキシのサポート |
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。 |
| IP 制限があるクラスター |
GCP の Kubernetes クラスターでコントロール プレーンの IP 制限が有効になっている場合 (「 GKE - コントロール プレーン アクセス用に承認されたネットワークを追加 する」を参照)、コントロール プレーンの IP 制限構成が更新され、Microsoft Defender for Cloud の CIDR ブロックが含まれます。 |
| 側面 |
詳細 |
| 送信プロキシのサポート |
認証なしの送信プロキシと基本認証を使用した送信プロキシがサポートされます。 現時点では、信頼できる証明書が必要な送信プロキシはサポートされていません。 |
サポートされているホスト オペレーティング システム
Defender for Containers は、いくつかの機能について Defender センサーに依存しています。 Defender センサーは、次のホスト オペレーティング システム上の Linux カーネル 5.4 以降でのみサポートされます。
- Amazon Linux 2
- CentOS 8 (CentOS は、2024 年 6 月 30 日にサービス終了になります。詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。)
- Debian 10
- Debian 11
- Google コンテナ最適化OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Kubernetes ノードが、これらの検証済みオペレーティング システムのいずれかで実行されていることを確認します。 サポートされていないホスト オペレーティング システムを使用しているクラスターでは、Defender センサーに依存する機能の利点は得られません。
Defender センサーの制限事項
AKS V1.28 以下の Defender センサーは、Arm64 ノードではサポートされていません。
次のステップ