Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Defender for Containers to natywne dla chmury rozwiązanie umożliwiające ulepszanie, monitorowanie i utrzymywanie zabezpieczeń konteneryzowanych zasobów (klastry Kubernetes, węzły, obciążenia, rejestry, obrazy i inne) oraz ich aplikacje w środowiskach wielochmurowych i lokalnych.
Usługa Defender for Containers ułatwia obsługę czterech podstawowych domen zabezpieczeń kontenerów:
Zarządzanie stanem zabezpieczeń umożliwia ciągłe monitorowanie interfejsów API chmury, interfejsów API platformy Kubernetes i obciążeń Kubernetes w celu odnajdywania zasobów w chmurze, zapewnienia kompleksowych możliwości spisu, wykrywania błędów konfiguracji za pomocą wytycznych dotyczących ograniczania ryzyka, zapewniania kontekstowej oceny ryzyka i umożliwia użytkownikom wykonywanie rozszerzonych funkcji wyszukiwania zagrożeń za pośrednictwem eksploratora zabezpieczeń Defender dla Chmury.
ocena luk w zabezpieczeniach — przeprowadza bezagentowe ocenianie luk w zabezpieczeniach obrazów rejestru kontenerów, uruchomionych kontenerów i obsługiwanych węzłów K8s z wytycznymi naprawy, zerową konfiguracją, codziennym ponownym skanowaniem, obejmuje pakiety systemu operacyjnego i językowe oraz wglądami w podatność na exploity. Artefakt dotyczący luk w zabezpieczeniach jest podpisany przy użyciu certyfikatu firmy Microsoft dla zapewnienia integralności oraz autentyczności i jest skojarzony z obrazem kontenera w rejestrze w celu walidacji.
Ochrona przed zagrożeniami w czasie rzeczywistym — bogaty pakiet wykrywania zagrożeń dla klastrów Kubernetes, węzłów i obciążeń, wspieranego przez wiodącą analizę zagrożeń firmy Microsoft, zapewnia mapowanie do struktury MITRE ATT&CK w celu łatwiejszego zrozumienia ryzyka i odpowiedniego kontekstu oraz automatyczną reakcję. Operatorzy zabezpieczeń mogą również badać zagrożenia dla usług Kubernetes i reagować na nie za pośrednictwem portalu XDR w usłudze Microsoft Defender.
Wdrażanie & monitoring — monitoruje klastry Kubernetes pod kątem brakujących sensorów i zapewnia bezproblemowe wdrażanie na dużą skalę funkcji bazujących na sensorach, obsługę standardowych narzędzi do monitorowania Kubernetes i zarządzanie niemonitorowanymi zasobami.
Więcej informacji można uzyskać, oglądając ten wideo z serii 'Defender dla Chmury w terenie': Microsoft Defender for Containers.
Dostępność planu Microsoft Defender dla Kontenerów
| Aspekt | Szczegóły |
|---|---|
| Stan wydania: | Ogólna dostępność Niektóre funkcje są dostępne w wersji zapoznawczej. Aby uzyskać pełną listę, zobacz macierz obsługi kontenerów w usłudze Defender for Cloud |
| Dostępność funkcji | Zapoznaj się z macierzą wsparcia dla kontenerów w Defender dla Chmury, aby uzyskać dodatkowe informacje na temat stanu i dostępności wersji funkcji. |
| Cennik: | Opłaty za usługę Microsoft Defender for Containers są naliczane, jak pokazano na stronie cennika |
| Wymagane role i uprawnienia: | * Aby wdrożyć wymagane składniki, zobacz uprawnienia dla każdego ze składników * Administrator zabezpieczeń może odrzucać alerty * Czytelnik zabezpieczeń może wyświetlać wyniki oceny luk w zabezpieczeniach Zobacz również Role w zakresie korygowania oraz role i uprawnienia usługi Azure Container Registry |
| Chmury: | Wyświetl macierz obsługi kontenerów w usłudze Defender for Cloud, aby zobaczyć dostępność chmury. |
Zarządzanie stanem zabezpieczeń
Możliwości bez agenta
Odnajdywanie bez agenta dla platformy Kubernetes — zapewnia bezśladowe odnajdywanie oparte na interfejsie API klastrów, konfiguracji i wdrożeń Kubernetes
Bezagentowa ocena luk w zabezpieczeniach — zapewnia ocenę luk w zabezpieczeniach dla węzłów klastra i wszystkich obrazów kontenerów, w tym rekomendacje dotyczące rejestru i środowiska uruchomieniowego, szybkie skanowanie nowych obrazów, codzienne odświeżanie wyników, informacje o możliwości wykorzystania i nie tylko. Informacje o lukach w zabezpieczeniach są dodawane do grafu zabezpieczeń na potrzeby kontekstowej oceny ryzyka i obliczania ścieżek ataków oraz możliwości wyszukiwania zagrożeń.
Kompleksowe możliwości spisu — umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pośrednictwem Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.
Ulepszone poszukiwanie zagrożeń — umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z konfiguracją w zasobach konteneryzowanych za pomocą zapytań (wbudowanych i niestandardowych) oraz informacji dotyczących zabezpieczeń w eksploratorze zabezpieczeń
Wzmacnianie zabezpieczeń płaszczyzny sterowania — stale ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.
Możesz użyć filtru zasobów, aby przejrzeć zaległe zalecenia dotyczące zasobów związanych z kontenerem, niezależnie od tego, czy są dostępne w spisie zasobów, czy na stronie zaleceń:
Aby uzyskać szczegółowe informacje zawarte w tej funkcji, zapoznaj się z zaleceniami dotyczącymi kontenerów i poszukaj zaleceń o typie "Płaszczyzna sterowania"
Możliwości oparte na czujnikach
Wykrywanie dryfu binarnego — usługa Defender for Containers zapewnia funkcję opartą na czujnikach, która ostrzega o potencjalnych zagrożeniach bezpieczeństwa przez wykrywanie nieautoryzowanych procesów zewnętrznych w kontenerach. Polityki dryfu można zdefiniować w celu określenia warunków, w których powinny być generowane alerty, co ułatwia rozróżnienie między uzasadnionymi działaniami a potencjalnymi zagrożeniami. Aby uzyskać więcej informacji, zobacz Binarna ochrona dryfu (wersja zapoznawcza).
Wzmacnianie zabezpieczeń płaszczyzny danych platformy Kubernetes — aby chronić obciążenia kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań, możesz zainstalować usługę Azure Policy dla platformy Kubernetes. Dowiedz się więcej o komponentach monitorowania w usłudze Defender for Cloud.
Dzięki zasadom zdefiniowanym dla klastra Kubernetes każde żądanie do serwera API Kubernetes jest monitorowane względem wstępnie zdefiniowanego zestawu najlepszych praktyk, zanim zostanie zapisane w klastrze. Następnie można ją skonfigurować, aby wymusić najlepsze rozwiązania i zastosować je do przyszłych obciążeń.
Na przykład można zabronić tworzenia uprzywilejowanych kontenerów, a wszelkie przyszłe żądania będą blokowane.
Więcej informacji na temat wzmacniania zabezpieczeń płaszczyzny danych Kubernetes.
Ocena luk w zabezpieczeniach
Usługa Defender for Containers skanuje system operacyjny i oprogramowanie aplikacji węzłów klastra, obrazy kontenerów w usłudze Azure Container Registry (ACR), Amazon AWS Elastic Container Registry (ECR), Rejestr Google Artifact (GAR), rejestr Google Container (GCR) i obsługiwane zewnętrzne rejestry obrazów w celu zapewnienia bezagentowej oceny podatności.
Obecnie w przypadku publicznej wersji zapoznawczej w środowisku usługi AKS, usługa Defender dla Kontenerów wykonuje również codzienne skanowanie wszystkich uruchomionych kontenerów, aby zapewnić zaktualizowaną ocenę luk w zabezpieczeniach, niezależnie od rejestru obrazów kontenerów.
Informacje o lukach w zabezpieczeniach obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender są dodawane do grafu zabezpieczeń chmury na potrzeby kontekstowego ryzyka, obliczania ścieżek ataków i możliwości wyszukiwania zagrożeń.
Dowiedz się więcej o ocenach luk w zabezpieczeniach dla środowisk obsługiwanych przez usługę Defender for Containers, w tym o ocenie luk w zabezpieczeniach dla węzłów klastra.
Ochrona podczas działania dla węzłów i klastrów Kubernetes
Usługa Defender for Containers zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obsługiwanych środowisk konteneryzowanych i generuje alerty dotyczące podejrzanych działań. Te informacje pozwalają na szybkie rozwiązywanie problemów dotyczących zabezpieczeń i poprawę bezpieczeństwa kontenerów.
Ochrona przed zagrożeniami jest zapewniana dla platformy Kubernetes na poziomie klastra, węzła i obciążenia. Oba pokrycie oparte na czujnikach, które wymaga czujnika usługi Defender i pokrycia bez agenta na podstawie analizy dzienników inspekcji platformy Kubernetes, są używane do wykrywania zagrożeń. Alerty zabezpieczeń są wyzwalane tylko dla akcji i wdrożeń występujących po włączeniu usługi Defender for Containers w ramach subskrypcji.
Przykłady zdarzeń zabezpieczeń monitorowanych przez usługę Microsoft Defenders for Containers:
- Uwidocznione pulpity nawigacyjne platformy Kubernetes
- Tworzenie ról z wysokimi uprawnieniami
- Tworzenie poufnych uchwytów
Aby uzyskać dodatkowe informacje o alertach wykrywanych przez Defender for Containers, w tym o narzędziu do symulacji alertów, zobacz alerty dotyczące klastrów Kubernetes.
Usługa Defender for Containers obejmuje wykrywanie zagrożeń z ponad 60 analizami dostosowanymi do platformy Kubernetes, wykorzystującymi sztuczną inteligencję i wykrywanie anomalii na podstawie obciążenia w środowisku uruchomieniowym.
Defender dla Chmury monitoruje obszar ataków wdrożeń platformy Kubernetes w wielu chmurach w oparciu o Macierz MITRE ATT&CK® dla kontenerów, struktura opracowana przez Center for Threat-Informed Defense we ścisłej współpracy z firmą Microsoft.
Defender dla Chmury jest zintegrowana z usługą Microsoft Defender XDR. Gdy usługa Defender for Containers jest włączona, operatorzy zabezpieczeń mogą używać usługi Defender XDR do badania i reagowania na problemy z zabezpieczeniami w obsługiwanych usługach Kubernetes.
Dowiedz się więcej
Dowiedz się więcej o usłudze Defender for Containers w następujących blogach:
Następne kroki
W tym omówieniu przedstawiono podstawowe elementy zabezpieczeń kontenerów w Microsoft Defender dla Chmury. Aby włączyć plan, zobacz:
- Włączanie usługi Defender for Containers
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.