Evaluaties van beveiligingsproblemen voor ondersteunde omgevingen

In een ondersteunde omgeving (Azure, AWS of GCP) kan Defender for Containers een agentloze kwetsbaarheidsbeoordeling uitvoeren op afbeeldingen in een ondersteund containerregister en op draaiende containers. Relevante aanbevelingen worden gegenereerd voor kwetsbaarheden die zijn gedetecteerd in een containerregisterafbeelding of actieve container.

Kwetsbaarhedenevaluatie van images in ondersteunde containerregisters wordt uitgevoerd wanneer registertoegang is ingeschakeld voor de plannen Defender for Cloud Security Posture Management of Defender for Containers. Kwetsbaarheidsbeoordeling van lopende containers wordt uitgevoerd wanneer scannen zonder agent voor machines is ingeschakeld in de abonnementen Defender for Cloud Security Posture Management of Defender for Containers, ongeacht de bron van de containerimage. Evaluatie van beveiligingsproblemen voor lopende containers biedt meer waarde in vergelijking met alleen het scannen van afbeeldingen in containerregisters die worden ondersteund, omdat het ook Kubernetes-invoegtoepassingen en tools van derden bevat die in het cluster draaien.

Notitie

Containers die zijn gemaakt op basis van containerafbeeldingen in niet-ondersteunde registraties worden alleen gescand op beveiligingsproblemen indien zij draaien binnen de AKS-omgeving.

Evaluatie van beveiligingsproblemen van containerinstallatiekopieën, mogelijk gemaakt door Microsoft Defender Vulnerability Management, heeft de volgende mogelijkheden:

• Het scannen van besturingssysteempakketten - containerbeveiligingsscans kunnen kwetsbaarheden scannen in pakketten die zijn geïnstalleerd door de pakketbeheerder van het besturingssysteem in Linux en Windows-besturingssystemen. Bekijk de volledige lijst met het ondersteunde besturingssysteem en de bijbehorende versies.

• Taalspecifieke pakketten , alleen Linux - ondersteuning voor taalspecifieke pakketten en bestanden, en hun afhankelijkheden die zijn geïnstalleerd of gekopieerd zonder besturingssysteempakketbeheer. Bekijk de volledige lijst met ondersteunde talen.

• Scannen van installatiekopieën in Azure Private Link : evaluatie van beveiligingsproblemen van Azure-containers kan installatiekopieën scannen in containerregisters die toegankelijk zijn via Azure Private Links. Deze mogelijkheid vereist toegang tot vertrouwde services en verificatie met het register. Meer informatie over het toestaan van toegang door vertrouwde services.

• Exploitabiliteitsinformatie : elk rapport over beveiligingsproblemen wordt doorzocht via exploitabiliteitsdatabases om onze klanten te helpen bij het bepalen van het werkelijke risico dat is gekoppeld aan elk gerapporteerd beveiligingsprobleem.

• Rapportage : evaluatie van containerproblemen voor Azure, mogelijk gemaakt door Microsoft Defender Vulnerability Management, biedt rapporten over beveiligingsproblemen met behulp van de volgende aanbevelingen:

• Exploitabiliteitsinformatie : elk rapport over beveiligingsproblemen wordt doorzocht via exploitabiliteitsdatabases om onze klanten te helpen bij het bepalen van het werkelijke risico dat is gekoppeld aan elk gerapporteerd beveiligingsprobleem.

• Rapportage : evaluatie van containerproblemen mogelijk gemaakt door Microsoft Defender Vulnerability Management biedt rapporten over beveiligingsproblemen met behulp van de volgende aanbevelingen:

• Query's uitvoeren op informatie over beveiligingsproblemen via Azure Resource Graph : mogelijkheid om informatie over beveiligingsproblemen op te vragen via Azure Resource Graph. Meer informatie over het opvragen van aanbevelingen via ARG.

• Scanresultaten opvragen via REST API - Leer hoe je scanresultaten kunt opvragen via de REST API.

• Ondersteuning voor uitzonderingen : informatie over het maken van uitzonderingsregels voor een beheergroep, resourcegroep of abonnement.

• Ondersteuning voor het uitschakelen van beveiligingsproblemen - Meer informatie over het uitschakelen van beveiligingsproblemen op installatiekopieën.

• Kwetsbaarheidsbevindingen bij ondertekening en verificatie van artefacten - Het artefact met kwetsbaarheidsbevindingen van elke afbeelding wordt ondertekend met een Microsoft-certificaat voor integriteit en echtheid en is gekoppeld aan de containerafbeelding in het register voor validatiedoeleinden.

Aanbevelingen voor evaluatie van beveiligingsproblemen

De volgende nieuwe preview-aanbevelingen rapporteren over beveiligingsproblemen in runtimecontainers en beveiligingsproblemen met registerinstallatiekopieën en tellen niet mee voor een beveiligingsscore in de preview-fase. De scanengine voor de nieuwe aanbevelingen is dezelfde als de huidige GA-aanbevelingen en levert dezelfde bevindingen op. De nieuwe aanbevelingen zijn het meest geschikt voor klanten die gebruikmaken van de nieuwe weergave op basis van risico's voor aanbevelingen en waarvoor het Defender CSPM-plan is ingeschakeld.

Azure

Aanbeveling	Beschrijving	Evaluatiesleutel
[Preview] Containerafbeeldingen in Azure-register moeten opgeloste kwetsbaarheidsbevindingen hebben	Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.	33422d8f-ab1e-42be-bc9a-38685bb567b9
[Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost	Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de gebruikte installatiekopieën en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën te koppelen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.	c5045ea3-afc6-4006-ab8f-86c8574dbf3d

AWS

Aanbeveling	Beschrijving	Evaluatiesleutel
[Preview] Containerafbeeldingen in het AWS-register moeten opgeloste kwetsbaarheidsbevindingen hebben	Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.	2a139383-ec7e-462a-90ac-b1b60e87d576
[Preview] Containers die worden uitgevoerd in AWS, moeten gevonden beveiligingsproblemen hebben opgelost	Defender for Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt rapporten over beveiligingsproblemen voor deze workloads door de gebruikte installatiekopieën te koppelen aan de kwetsbaarheidsrapporten die zijn gemaakt voor de registerafbeeldingen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.	8749bb43-cd24-4cf9-848c-2a50f632043c

GCP

Aanbeveling	Beschrijving	Evaluatiesleutel
[Preview] Containerafbeeldingen in het GCP-register moeten opgeloste kwetsbaarheden bevatten	Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.	24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04
[Preview] Voor containers die in GCP draaien, moeten kwetsbaarheden worden opgelost	Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de gebruikte installatiekopieën en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën te koppelen. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.	1b3abfa4-9e53-46f1-9627-51f2957f8bba

De volgende huidige algemeen beschikbare aanbevelingen doen verslag van kwetsbaarheden in containers binnen een Kubernetes-cluster en in containerafbeeldingen binnen een containerregister. Deze aanbevelingen zijn het meest geschikt voor klanten die gebruikmaken van de klassieke weergave voor aanbevelingen en waarvoor Defender CSPM-abonnement niet is ingeschakeld.

Azure

Aanbeveling	Beschrijving	Evaluatiesleutel
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)	Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van kwetsbaarheden kan uw beveiligingspostuur aanzienlijk verbeteren, waarmee u ervoor zorgt dat afbeeldingen veilig kunnen worden gebruikt vóór de implementatie.	c0b7cfc6-3172-465a-b378-53c7ff2cc0d5
Azure-containers die installatiekopieën uitvoeren, moeten kwetsbaarheden hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)	Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van kwetsbaarheden in containerafbeeldingen die momenteel actief zijn, is essentieel voor het verbeteren van uw beveiligingspositie, waardoor het aanvalsoppervlak voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.	c609cf0f-71ab-41e9-a3c6-9a1f7fe1b8d5

AWS

Aanbeveling	Beschrijving	Evaluatiesleutel
AwS-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)	Scant uw AWS-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van kwetsbaarheden kan uw veiligheidspositie aanzienlijk verbeteren, zodat afbeeldingen veilig kunnen worden gebruikt voor de implementatie.	c27441ae-775c-45be-8ffa-655de37362ce
Containerafbeeldingen uitgevoerd op AWS moeten kwetsbaarheidsbevindingen opgelost hebben (mogelijk gemaakt door Microsoft Defender Vulnerability Management)	Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare images die momenteel worden uitgevoerd in uw Elastic Kubernetes-clusters. Het oplossen van kwetsbaarheden in container images die nu draaien is essentieel voor het verbeteren van uw beveiligingshouding, waardoor het aanvalsoppervlak voor uw gecontaineriseerde workloads aanzienlijk wordt verminderd.	682b2595-d045-4cff-b5aa-46624eb2dd8f

GCP

Aanbeveling	Beschrijving	Evaluatiesleutel
GCP-registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) - Microsoft Azure	Scant uw GCP-containerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van kwetsbaarheden kan uw beveiligingspostuur aanzienlijk verbeteren, zodat beelden veilig kunnen worden gebruikt vóór de implementatie.	c27441ae-775c-45be-8ffa-655de37362ce
GCP waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) - Microsoft Azure	Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare afbeeldingen die momenteel worden uitgevoerd in uw Google Kubernetes-clusters. Het oplossen van kwetsbaarheden in containerafbeeldingen die momenteel draaien, is cruciaal voor het verbeteren van uw beveiligingspositie, waardoor het aanvalsoppervlak van uw containerized workloads aanzienlijk wordt verkleind.	5cc3a2c1-8397-456f-8792-fe9d0d4c9145

Hoe kwetsbaarheidsbeoordeling voor images en containers werkt

Afbeeldingen scannen in ondersteunde registers in Defender for Containers

Notitie

De registertoegangsextensie moet zijn ingeschakeld voor kwetsbaarheidsbeoordeling van afbeeldingen in containerregisters.

De scan van een afbeelding in een containerregister maakt een inventarisatie van de afbeelding en geeft aanbevelingen voor kwetsbaarheden. De ondersteunde containerinstallatiekopieregisters zijn: Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Google Artifact Registry (GAR), Google Container Registry (GCR) en geconfigureerde externe registers. Een afbeelding wordt gescand wanneer:

• Er wordt een nieuwe image gepusht of geïmporteerd naar het containerregister. De afbeelding wordt binnen een paar uur gescand.
• Doorlopend opnieuw scannen activeren: doorlopend opnieuw scannen is vereist om ervoor te zorgen dat installatiekopieën die eerder zijn gescand op kwetsbaarheden, opnieuw worden gescand om hun kwetsbaarheidsrapporten bij te werken voor het geval er een nieuwe kwetsbaarheid wordt gepubliceerd.

  • Opnieuw scannen wordt eenmaal per dag uitgevoerd voor:

    • Afbeeldingen die in de afgelopen 90 dagen zijn gepusht.^*
    • Afbeeldingen die de afgelopen 30 dagen zijn opgehaald.
    • Installatiekopieën die momenteel worden uitgevoerd op de Kubernetes-clusters die worden bewaakt door Defender voor Cloud (via detectie zonder agent voor Kubernetes of de Defender-sensor).

    ^* De nieuwe preview-aanbeveling wordt gegenereerd voor afbeeldingen die in de afgelopen 30 dagen zijn geüpload.

Frequentie van afbeeldingsscans

Een afbeelding wordt binnen 24 uur gescand wanneer deze is gehaald uit het containerregister.

Notitie

In sommige zeldzame gevallen kan het tot 24 uur duren voordat een nieuwe afbeelding in het register wordt gescand.

Bovendien worden de volgende afbeeldingen elke 24 uur gescand om hun aanbevelingen voor beveiligingsproblemen bij te werken, in het geval dat er een nieuw beveiligingsprobleem wordt gepubliceerd.

• Een afbeelding wordt in de afgelopen 90 dagen naar het containerregister gepusht of geïmporteerd.

• In de afgelopen 30 dagen wordt een installatiekopie opgehaald uit het containerregister.

Notitie

Voor Defender voor Container Registers (verouderd) worden afbeeldingen eenmaal gescand op push, op pull en slechts één keer per week opnieuw gescand.

Containers scannen die worden uitgevoerd in de clusterworkload

Containers die in de clusterworkload worden uitgevoerd, worden elke 24 uur gescand op beveiligingsproblemen. De scan is onafhankelijk van het bronregister van de actieve containerafbeeldingen en omvat Kubernetes-add-ons en tools van derden. De relevante aanbevelingen worden gegenereerd voor elke kwetsbare container.

Notitie

Scannen zonder agent voor actieve containers wordt uitgevoerd wanneer beide extensies zijn ingeschakeld:

• Scannen van machines zonder agent
• K8S-API-toegang of Defender-sensor

Notitie

Containers die zijn gemaakt met behulp van afbeeldingen van niet-ondersteunde containerregisters, worden alleen gescand als ze draaien in de AKS-omgeving.

Aanbevelingen voor een actieve container met behulp van een installatiekopie uit een ondersteund containerregister worden gegenereerd op basis van de scan van containerregisterafbeeldingen, zelfs als een klant het scannen van machines zonder agent niet inschakelt.

Notitie

De containerruntimelaag kan niet worden gescand op beveiligingsproblemen. Bovendien kunnen de volgende containers niet worden gescand op beveiligingsproblemen:

• Containers in knooppunten met behulp van tijdelijke AKS-besturingssysteemschijven
• Windows-besturingssysteemcontainers

Geconfigureerde AKS-clusters die automatisch worden geschaald, kunnen gedeeltelijke of geen resultaten opleveren als een of alle clusterknooppunten niet beschikbaar zijn op het moment dat de beveiligingsproblemen worden gescand.

Als ik een afbeelding uit mijn register verwijder, hoelang duurt het voordat rapporten over kwetsbaarheden in die afbeelding worden verwijderd?

Azure ContainerRegistries meldt Defender voor Cloud wanneer installatiekopieën worden verwijderd en verwijdert de evaluatie van beveiligingsproblemen voor verwijderde installatiekopieën binnen één uur. In sommige zeldzame gevallen wordt Defender voor Cloud mogelijk niet op de hoogte gesteld van het verwijderen en kan het verwijderen van gekoppelde beveiligingsproblemen in dergelijke gevallen tot drie dagen duren.

Volgende stappen

• Meer informatie over de Defender voor Cloud Defender-abonnementen.
• Bekijk veelgestelde vragen over Defender for Containers.