Macierz obsługi kontenerów w usłudze Defender dla Chmury

Artykuł
04/04/2025

Uwaga

W tym artykule odwołuje się do systemu CentOS, dystrybucji systemu Linux, której wsparcie zostanie zakończone 30 czerwca 2024 r. Weź pod uwagę swoje użycie i odpowiednio zaplanuj. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Ten artykuł zawiera podsumowanie informacji o obsłudze funkcji kontenera w Microsoft Defender dla Chmury.

Uwaga

Określone funkcje są dostępne w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Tylko wersje usług AKS, EKS i GKE obsługiwane przez dostawcę chmury są oficjalnie obsługiwane przez Defender dla Chmury.

Poniżej przedstawiono funkcje udostępniane przez usługę Defender for Containers dla obsługiwanych środowisk w chmurze i rejestrów kontenerów.

Funkcje oceny luk w zabezpieczeniach

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Repozytorium kontenerów VA	Oceny luk w zabezpieczeniach obrazów w rejestrach kontenerów	ACR	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do rejestru¹	Defender for Containers lub Defender CSPM	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Kontener środowiska uruchomieniowego VA	Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów	Niezależne od źródła rejestru kontenerów	Podgląd (Kontener z obrazami usługi ACR jest ogólnie dostępny)	Ogólna dostępność	Wymaga skanowania bez agenta dla maszyn i dostępu do interfejsu API K8S lub czujnika Defender¹	Defender for Containers lub Defender CSPM	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet

¹Chmury krajowe są automatycznie włączone i nie można ich wyłączyć.

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	metoda umożliwiania	Plany	Dostępność chmur
Va rejestru kontenerów	Oceny podatności obrazów w rejestrach kontenerów	ECR	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do rejestru	Defender for Containers lub Defender CSPM	AWS
Kontener środowiska uruchomieniowego VA	Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów	Obsługiwane rejestry kontenerów	Podgląd	-	Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender	Defender for Containers lub Defender CSPM	AWS

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	metoda umożliwiająca	Plany	Dostępność chmur
Rejestr kontenerów VA	Oceny podatności obrazów w repozytoriach kontenerów	GAR, GCR	Ogólna dostępność	Ogólna dostępność	Włącz przełącznik Dostępu do rejestru	Defender for Containers lub Defender CSPM	AWS
Kontener środowiska uruchomieniowego VA	Oceny luk w zabezpieczeniach uruchamiania obrazów kontenerów	Obsługiwane rejestry kontenerów	Podgląd	-	Wymaga skanowania maszyn bez agenta i dostępu do API Kubernetes (K8S) lub czujnika Defender	Defender for Containers lub Defender CSPM	GCP

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Rejestr kontenerów VA	Oceny podatności obrazów w rejestrach kontenerów	Docker Hub, JFrog Artifactory	Podgląd	Podgląd	Tworzenie łącznika	Defender for Containers lub Defender CSPM	NIE

Rejestry i obrazy obsługują ocenę luk w zabezpieczeniach

Aspekt	Szczegóły
Rejestry i obrazy	Obsługiwane * Obrazy kontenerów w formacie platformy Docker V2 * Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI) Nieobsługiwane * Bardzo minimalistyczne obrazy, takie jak obrazy tymczasowe platformy Docker, są obecnie nieobsługiwane * Repozytoria publiczne * Listy manifestów
Systemy operacyjne	Obsługiwane * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS to koniec usługi od 30 czerwca 2024 r.). Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS). * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (oparte na Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Azure Linux 1-2 * Windows Server 2016, 2019, 2022
Pakiety specyficzne dla języka	Obsługiwane Pyton Node.js * PHP Rubin Rdza .NET *Jawa Idź

Funkcje ochrony środowiska uruchomieniowego

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Wykrywanie płaszczyzny sterowania	Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes	AKS	Ogólna dostępność (GA)	Ogólna dostępność	Włączone w ramach planu	Defender for Containers lub Defender CSPM	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Wykrywanie obciążenia	Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań.	AKS	Ogólna dostępność	-	Wymaga czujnika Defender	Defender for Containers	Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Wykrywanie binarnego przesunięcia	Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera	AKS	Ogólna dostępność	Ogólna dostępność	Wymaga czujnika Defender	Defender for Containers	Chmury komercyjne
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR	Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR	AKS	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wymaga czujnika Defender	Defender for Containers	Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Akcje odpowiedzi w systemie XDR	Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR	AKS	Wersja Podgląd	Podgląd	Wymaga sensora Defender i interfejsu API dostępu K8S	Defender for Containers	Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Wykrywanie złośliwego oprogramowania	Wykrywanie złośliwego oprogramowania	Węzły AKS	Podgląd	Podgląd	Wymaga skanowania bez agenta dla maszyn	Defender for Containers lub Defender for Servers Plan 2	Chmury komercyjne

Dystrybucje i konfiguracje platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami na platformie Azure

Aspekt	Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes	Wspierane * Usługa Azure Kubernetes Service (AKS) z RBAC w Kubernetes Obsługiwane przez Kubernetes z obsługą Arc¹² * Hybrydowa usługa Azure Kubernetes Service * Kubernetes * Aparat AKS * Azure Red Hat OpenShift

¹ Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry zostały przetestowane na platformie Azure.

² Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Enablement, metoda	Plany	Dostępność chmur
Wykrywanie płaszczyzny sterowania	Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes	EKS	Dostępność ogólna	Ogólna dostępność	Włączone z planem	Defender for Containers lub Defender CSPM	AWS
Wykrywanie obciążenia	Monitoruje konteneryzowane obciążenia pod kątem zagrożeń i wysyła alerty dotyczące podejrzanych działań.	EKS	Ogólna dostępność	-	Wymaga czujnika Defender	Defender for Containers	AWS
Wykrywanie dryfu binarnego	Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera	EKS	Ogólna dostępność (GA)	Ogólna dostępność	Wymaga czujnika Defender	Defender for Containers	AWS
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR	Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR	EKS	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wymaga czujnika Defendera	Defender for Containers	AWS
Akcje odpowiedzi w usłudze XDR	Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR	EKS	Podgląd	Wersja Preview	Wymaga czujnika usługi Defender i interfejsu API dostępu K8S	Defender for Containers	AWS
Wykrywanie złośliwego oprogramowania	Wykrywanie złośliwego oprogramowania	-	-	-	-	-	-

Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony przed zagrożeniami w środowisku uruchomieniowym na platformie AWS

Aspekt	Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes	Obsługiwane * Amazon Elastic Kubernetes Service (EKS) Obsługiwane przez Kubernetes z włączoną funkcją Arc ¹² * Kubernetes Nieobsługiwane * Klastry prywatne EKS

¹ Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda włączenia	Plany	Dostępność chmur
Wykrywanie płaszczyzny sterowania	Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes	GKE	Ogólna dostępność	Globalna dostępność	Aktywowane z planem	Defender for Containers	GCP
Wykrywanie obciążenia	Monitoruje konteneryzowane obciążenia pod kątem zagrożeń i udostępnia alerty podejrzanym działaniom	GKE	Ogólna dostępność	-	Wymaga czujnika usługi Defender	Defender for Containers	GCP
Wykrywanie dryfu binarnego	Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera	GKE	Ogólna dostępność	Ogólna dostępność	Wymaga czujnika Defender	Defender for Containers	GCP
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR	Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR	GKE (Google Kubernetes Engine)	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wymaga czujnika Defender	Defender for Containers	GCP
Działania reakcyjne w systemie XDR	Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR	GKE	Wersja Preview	Podgląd	Wymaga czujnika Defender i interfejsu API dostępu Kubernetes (K8S)	Defender for Containers	GCP
Wykrywanie złośliwego oprogramowania	Wykrywanie złośliwego oprogramowania	-	-	-	-	-	-

Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami w GCP

Aspekt	Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes	Obsługiwane * Google Kubernetes Engine (GKE) Standard Obsługiwane przez Kubernetes z włączoną integracją usługi Arc¹² * Kubernetes Nieobsługiwane * Klastry sieci prywatnej * Autopilot GKE * GKE AuthorizedNetworksConfig

¹ Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Wykrywanie płaszczyzny sterowania	Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes	Klastry K8s z obsługą usługi Arc	Podgląd	Podgląd	Wymaga czujnika Defender	Ochrona dla Kontenerów
Wykrywanie obciążenia	Monitoruje obciążenia w kontenerach pod kątem zagrożeń i wysyła alerty o podejrzanych działaniach.	Klastry Kubernetes z obsługą Arc	Podgląd	-	Wymaga czujnika Defender	Defender for Containers
Wykrywanie dryfu binarnego	Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera		-	-	-	-	-
Zaawansowane wyszukiwanie zagrożeń w usłudze XDR	Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR	Klastry Kubernetes z obsługą Arc	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów	Wymaga czujnika usługi Defender	Obrońca dla kontenerów
Akcje odpowiedzi w systemie XDR	Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR	-	-	-	-	-
Wykrywanie złośliwego oprogramowania	Wykrywanie złośliwego oprogramowania	-	-	-	-	-	-

Dystrybucje/konfiguracje platformy Kubernetes do ochrony środowiska uruchomieniowego przed zagrożeniami w rozwiązaniu Kubernetes z obsługą Arc

Aspekt	Szczegóły
Dystrybucje i konfiguracje platformy Kubernetes	Obsługiwane za pośrednictwem Kubernetes z włączoną obsługą Arc¹² * Hybrydowa usługa Azure Kubernetes Service * Azure Red Hat OpenShift * Red Hat OpenShift (wersja 4.6 lub nowsza)

¹ Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale przetestowano tylko określone klastry.

Uwaga

Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.

Funkcje zarządzania stanem zabezpieczeń

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Odnajdywanie bez agenta dla platformy Kubernetes¹	Zapewnia bezśladowe, oparte na API odkrywanie klastrów Kubernetes, wraz z ich konfiguracjami i wdrożeniami.	AKS	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender dla Kontenerów OR Defender CSPM	Chmury komercyjne platformy Azure
Kompleksowe możliwości inwentaryzacji	Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.	ACR, AKS	Ogólna dostępność	Ogólna Dostępność	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR CSPM w usłudze Defender	Chmury komercyjne platformy Azure
Analiza ścieżki ataku	Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska.	ACR, AKS	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender CSPM	Chmury komercyjne platformy Azure
Ulepszone polowanie na ryzyko	Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń.	ACR, AKS	Ogólna dostępność	GA (Ogólna dostępność)	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	Chmury komercyjne platformy Azure
Wzmacnianie płaszczyzny kontrolnej¹	Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.	ACR, AKS	Ogólna dostępność	Ogólna dostępność	Włączone z planem	Bezpłatna	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
Uodpornienie obciążenia¹	Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań.	AKS	Ogólna dostępność	-	Wymaga Azure Policy	Bezpłatna	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet
CIS Azure Kubernetes Service	CIS Azure Kubernetes Service Benchmark	AKS	Ogólna dostępność	-	Przypisane jako standard zabezpieczeń	Defender for Containers OR Defender CSPM	Chmury komercyjne

¹ Tę funkcję można włączyć dla pojedynczego klastra podczas włączania usługi Defender for Containers na poziomie zasobu klastra.

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Odnajdywanie bez agenta dla platformy Kubernetes	Zapewnia odkrywanie oparte na API klastrów Kubernetes, ich konfiguracji i wdrożeń bez konieczności instalacji.	EKS	Dostępność ogólna	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	Chmury komercyjne platformy Azure
Kompleksowe możliwości inwentaryzacji	Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.	ECR, EKS	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	AWS
Analiza ścieżki ataku	Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska.	ECR, EKS	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	CSPM w usłudze Defender (wymaga włączenia odnajdywania bez agenta dla platformy Kubernetes)	AWS
Ulepszone polowanie na ryzyko	Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz informacji o zabezpieczeniach w Eksploratorze zabezpieczeń.	ECR, EKS	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	AWS
Wzmacnianie płaszczyzny sterowania	Ciągle ocenia konfiguracje twoich klastrów i porównuje je z inicjatywami zastosowanymi w twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.	-	-	-	-	-	-
Wzmacnianie obciążenia	Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań.	EKS	Ogólna dostępność	-	Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc	Bezpłatna	AWS
CIS Azure Kubernetes Service	CIS Azure Kubernetes Service Benchmark	EKS	Ogólna dostępność	-	Przypisane jako standard zabezpieczeń	Ochrona dla kontenerów OR Ochrona CSPM	AWS

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Odnajdywanie bez agenta dla platformy Kubernetes	Zapewnia zerowe ślady, odnajdywanie oparte na interfejsie API klastrów Kubernetes, ich konfiguracji i wdrożeń.	GKE	Ogólna dostępność	Ogólna dostępność	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	GCP
Kompleksowe możliwości spisu	Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.	GCR, GAR, GKE	Ogólna dostępność	GA	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	Google Cloud Platform
Analiza ścieżki ataku	Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska.	GCR, GAR, GKE	Ogólna dostępność	GA (Ogólna dostępność)	Wymaga dostępu do interfejsu API K8S	Defender CSPM	GCP
Ulepszone polowanie na ryzyko	Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w Eksploratorze zabezpieczeń.	GCR, GAR, GKE	Ogólna dostępność	GA	Wymaga dostępu do interfejsu API K8S	Defender for Containers OR Defender CSPM	GCP
Wzmacnianie płaszczyzny sterowania	Ciągle ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi do Twoich subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.	GKE	Ogólna dostępność	Ogólna dostępność	Aktywowano z planem	Bezpłatna	GCP
Wzmacnianie obciążenia roboczego	Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań.	GKE	Ogólna dostępność	-	Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc	Bezpłatna	GCP (Google Cloud Platform)
CIS Azure Kubernetes Service	CIS Azure Kubernetes Service Benchmark	GKE	Ogólna dostępność	-	Przypisane jako standard zabezpieczeń	Defender for Containers OR Defender CSPM	GCP

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda wykonywania działania	Plany	Dostępność chmur
Odnajdywanie bez agenta dla platformy Kubernetes	Zapewnia odnajdywanie oparte na interfejsie API klastrów Kubernetes, ich konfiguracji i wdrożeń, z minimalnym wpływem na zasoby.	-	-	-	-	-	-
Kompleksowe możliwości inwentaryzacji	Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.	-	-	-	-	-	-
Analiza ścieżki ataku	Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska.	-	-	-	-	-	-
Ulepszone polowanie na ryzyko	Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz informacji o bezpieczeństwie w Eksploratorze zabezpieczeń.	-	-	-	-	-	-
Wzmacnianie płaszczyzny sterowania	Ciągle ocenia konfiguracje klastrów i porównuje je z inicjatywami zastosowanymi w odniesieniu do subskrypcji. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów.	-	-	-	-	-	-
Wzmacnianie bezpieczeństwa obciążenia	Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań.	Klaster Kubernetes z obsługą Arc	Ogólna dostępność	-	Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc	Defender dla Kontenerów	Klaster Kubernetes z obsługą Arc
CIS Azure Kubernetes Service	CIS Azure Kubernetes Service Benchmark	Maszyny wirtualne obsługujące Arc	Podgląd	-	Przypisane jako standard zabezpieczeń	Defender for Containers OR Defender CSPM	Klaster Kubernetes z obsługą Arc

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Kompleksowe możliwości inwentaryzacji	Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi.	Docker Hub, JFrog Artifactory	Podgląd	Wersja Podgląd	Tworzenie łącznika	Podstawowe CSPM LUB Defender CSPM LUB Defender dla Kontenerów	-
Analiza ścieżki ataku	Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których osoby atakujące mogą używać do naruszenia środowiska.	Docker Hub, JFrog Artifactory	Podgląd	Podgląd	Tworzenie łącznika	Defender CSPM	-
Ulepszone polowanie na ryzyko	Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów ze stanem w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz szczegółowych informacji o zabezpieczeniach w Eksploratorze zabezpieczeń.	Docker Hub, JFrog	Podgląd	Podgląd	Tworzenie łącznika	Defender for Containers OR Defender CSPM

Funkcje ochrony łańcucha dostaw dla oprogramowania kontenerów

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	metoda enablementu	Plany	Dostępność chmur
Wdrożenie kontrolowane	Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes	Wersja AKS 1.32 lub nowsza	Podgląd	Podgląd	Włączone zgodnie z planem	Defender for Containers lub Defender CSPM	Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Wdrożenie kontrolowane	Kontrolowane wdrażanie obrazów kontenerów do twojego środowiska Kubernetes	-	-	-	-	-	-

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwienia	Plany	Dostępność chmur
Wdrożenie kontrolowane	Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes	-	-	-	-	-	-

Funkcja	opis	Obsługiwane zasoby	Stan wydania systemu Linux	Stan wydania systemu Windows	Metoda umożliwiania	Plany	Dostępność chmur
Wdrożenie kontrolowane	Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes	-	-	-	-	-	-

Ograniczenia sieci

Aspekt	Szczegóły
Obsługa wychodzącego serwera proxy	Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Klastry z ograniczeniami adresów IP	Jeśli klaster Kubernetes na platformie AWS ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Kontrola dostępu do punktu końcowego klastra Amazon EKS — Amazon EKS), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury.

Aspekt	Szczegóły
Obsługa wychodzącego serwera proxy	Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.
Klastry z ograniczeniami adresów IP	Jeśli klaster Kubernetes w GCP ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz GKE — Dodawanie autoryzowanych sieci na potrzeby dostępu do płaszczyzny sterowania ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR usługi Microsoft Defender for Cloud.

Aspekt	Szczegóły
Obsługa wychodzącego serwera proxy	Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Serwer proxy ruchu wychodzącego, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany.

Obsługiwane systemy operacyjne hosta

Defender for Containers korzysta z czujnika Defender do kilku funkcji. Czujnik usługi Defender jest obsługiwany tylko w przypadku jądra systemu Linux w wersji 5.4 lub nowszej w następujących systemach operacyjnych hosta:

Amazon Linux 2
CentOS 8 (CentOS to koniec usługi od 30 czerwca 2024 r.). Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
Debian 10
Debian 11
System operacyjny Zoptymalizowany pod kątem kontenera Google
Azure Linux 1.0
Azure Linux 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04

Upewnij się, że węzeł Kubernetes jest uruchomiony w jednym z tych zweryfikowanych systemów operacyjnych. Klastry z nieobsługiwanymi systemami operacyjnymi hosta nie czerpią korzyści z funkcji zależnych od czujnika usługi Defender.

Ograniczenia czujnika programu Defender

W wersji AKS 1.28 lub starszej czujnik usługi Defender nie jest obsługiwany w węzłach Arm64.

Następne kroki

Dowiedz się, jak Defender dla Chmury zbiera dane za pomocą agenta Log Analytics.
Dowiedz się, jak Defender dla Chmury zarządza danymi i zabezpiecza je.
Przejrzyj platformy, które obsługują Defender dla Chmury.

Udostępnij za pośrednictwem

Macierz obsługi kontenerów w usłudze Defender dla Chmury

Funkcje oceny luk w zabezpieczeniach

Rejestry i obrazy obsługują ocenę luk w zabezpieczeniach

Funkcje ochrony środowiska uruchomieniowego

Dystrybucje i konfiguracje platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami na platformie Azure

Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony przed zagrożeniami w środowisku uruchomieniowym na platformie AWS

Obsługa dystrybucji/konfiguracji platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami w GCP

Dystrybucje/konfiguracje platformy Kubernetes do ochrony środowiska uruchomieniowego przed zagrożeniami w rozwiązaniu Kubernetes z obsługą Arc

Funkcje zarządzania stanem zabezpieczeń

Funkcje ochrony łańcucha dostaw dla oprogramowania kontenerów

Ograniczenia sieci

Obsługiwane systemy operacyjne hosta

Ograniczenia czujnika programu Defender

Następne kroki

Opinia

Dodatkowe zasoby