Dela via


Sårbarhetsbedömningar för AWS med Microsoft Defender – hantering av säkerhetsrisker

Sårbarhetsbedömning för AWS, som drivs av Microsoft Defender – hantering av säkerhetsrisker, är en inbyggd lösning som gör det möjligt för säkerhetsteam att enkelt identifiera och åtgärda sårbarheter i Linux-containeravbildningar, utan konfiguration för registrering och utan distribution av sensorer.

Kommentar

Den här funktionen har endast stöd för genomsökning av bilder i ECR. Avbildningar som lagras i andra containerregister bör importeras till ECR för täckning. Lär dig hur du importerar containeravbildningar till ett containerregister.

I varje konto där aktiveringen av den här funktionen har slutförts genomsöks alla bilder som lagras i ECR som uppfyller kriterierna för genomsökningsutlösare efter sårbarheter utan extra konfiguration av användare eller register. Rekommendationer med sårbarhetsrapporter tillhandahålls för alla avbildningar i ECR samt avbildningar som för närvarande körs i EKS som hämtades från ett ECR-register eller andra Defender för molnet register som stöds (ACR, GCR eller GAR). Bilder genomsöks kort efter att de har lagts till i ett register och genomsöks efter nya sårbarheter en gång var 24:e timme.

Sårbarhetsbedömning av containrar som drivs av Microsoft Defender – hantering av säkerhetsrisker har följande funktioner:

  • Genomsökning av OS-paket – sårbarhetsbedömning av containrar har möjlighet att genomsöka sårbarheter i paket som installerats av OS-pakethanteraren i Linux- och Windows-operativsystem. Se den fullständiga listan över operativsystemet som stöds och deras versioner.

  • Språkspecifika paketendast Linux – stöd för språkspecifika paket och filer och deras beroenden installerade eller kopierade utan operativsystemets pakethanterare. Se den fullständiga listan över språk som stöds.

  • Information om sårbarhet – Varje sårbarhetsrapport genomsöks via sårbarhetsdatabaser för att hjälpa våra kunder att fastställa faktiska risker som är associerade med varje rapporterad sårbarhet.

  • Rapportering – Sårbarhetsbedömning för containrar för AWS som drivs av Microsoft Defender – hantering av säkerhetsrisker tillhandahåller sårbarhetsrapporter med hjälp av följande rekommendationer:

Det här är de nya förhandsversionsrekommendationerna som rapporterar om sårbarheter för körningscontainer och sårbarheter i registeravbildningar. Dessa nya rekommendationer räknas inte mot säker poäng i förhandsversionen. Genomsökningsmotorn för dessa nya rekommendationer är densamma som de aktuella GA-rekommendationerna och ger samma resultat. De här rekommendationerna passar bäst för kunder som använder den nya riskbaserade vyn för rekommendationer och har Defender CSPM-planen aktiverad.

Rekommendation beskrivning Utvärderingsnyckel
[Förhandsversion] Containeravbildningar i AWS-registret bör ha sårbarhetsresultat lösta Defender för molnet söker igenom dina registeravbildningar efter kända säkerhetsrisker (CVE) och ger detaljerade resultat för varje skannad avbildning. Genom att genomsöka och åtgärda säkerhetsrisker för containeravbildningar i registret kan du upprätthålla en säker och tillförlitlig leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. 2a139383-ec7e-462a-90ac-b1b60e87d576
[Förhandsversion] Containrar som körs i AWS bör ha sårbarhetsresultat lösta Defender för molnet skapar en inventering av alla containerarbetsbelastningar som för närvarande körs i dina Kubernetes-kluster och tillhandahåller sårbarhetsrapporter för dessa arbetsbelastningar genom att matcha de avbildningar som används och de sårbarhetsrapporter som skapats för registeravbildningarna. Genomsökning och reparation av sårbarheter i containerarbetsbelastningar är viktigt för att säkerställa en robust och säker leverantörskedja för programvara, minska risken för säkerhetsincidenter och säkerställa efterlevnad av branschstandarder. 8749bb43-cd24-4cf9-848c-2a50f632043c

Dessa aktuella GA-rekommendationer rapporterar om sårbarheter i containrar som finns i ett Kubernetes-kluster och om containeravbildningar som finns i ett containerregister. De här rekommendationerna passar bäst för kunder som använder den klassiska vyn för rekommendationer och inte har Defender CSPM-plan aktiverat.

Rekommendation beskrivning Utvärderingsnyckel
AWS-registercontaineravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) Genomsöker dina AWS-register containeravbildningar efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje bild. Att lösa säkerhetsrisker kan avsevärt förbättra din säkerhetsstatus, vilket säkerställer att avbildningar är säkra att använda före distributionen. c27441ae-775c-45be-8ffa-655de37362ce
AWS som kör containeravbildningar bör ha sårbarhetsresultat lösta (drivs av Microsoft Defender – hantering av säkerhetsrisker) Sårbarhetsbedömning av containeravbildning söker igenom registret efter vanliga säkerhetsrisker (CVE) och ger en detaljerad sårbarhetsrapport för varje avbildning. Den här rekommendationen ger synlighet för sårbara avbildningar som för närvarande körs i dina Elastic Kubernetes-kluster. Att åtgärda sårbarheter i containeravbildningar som för närvarande körs är nyckeln till att förbättra din säkerhetsstatus, vilket avsevärt minskar attackytan för dina containerbaserade arbetsbelastningar. 682b2595-d045-4cff-b5aa-46624eb2dd8f

Genomsökningsutlösare

Utlösarna för en bildgenomsökning är:

  • Engångsutlösare:

    • Varje avbildning som skickas till ett containerregister utlöses för genomsökning. I de flesta fall slutförs genomsökningen inom några timmar, men i sällsynta fall kan det ta upp till 24 timmar.
    • Varje avbildning som hämtas från ett register utlöses för att genomsökas inom 24 timmar.
  • Kontinuerlig återsökningsutlösare – kontinuerlig genomsökning krävs för att säkerställa att bilder som tidigare har genomsökts efter sårbarheter genomsöks igen för att uppdatera sina sårbarhetsrapporter om en ny säkerhetsrisk publiceras.

    • Omsökningen utförs en gång om dagen för:
      • Bilder som har push-överförts under de senaste 90 dagarna.
      • Bilder som hämtats under de senaste 30 dagarna.
      • Bilder som för närvarande körs i Kubernetes-kluster som övervakas av Defender för molnet (antingen via Agentlös identifiering för Kubernetes eller Defender-sensorn).

Hur fungerar bildgenomsökning?

En detaljerad beskrivning av genomsökningsprocessen beskrivs på följande sätt:

Kommentar

För Defender för containerregister (inaktuella) genomsöks bilderna en gång vid push, vid pull-överföring och genomsöks bara en gång i veckan.

Hur lång tid tar det innan sårbarhetsrapporter på avbildningen tas bort om jag tar bort en avbildning från mitt register?

Det tar 30 timmar efter att en bild har tagits bort från ECR innan rapporterna tas bort.

Nästa steg