你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用 Microsoft Defender 漏洞管理进行 AWS 漏洞评估

由 Microsoft Defender 漏洞管理提供支持的 AWS 漏洞评估是一种现成的解决方案,使安全团队能够轻松发现和修复 Linux 容器映像中的漏洞,零配置启动,无需部署任何传感器。

注意

此功能仅支持扫描 ECR 中的映像。 应将存储在其他容器注册表中的映像导入到 ECR 中以实现覆盖。 了解如何将容器映像导入容器注册表

在启用此功能的每个帐户中,ECR 中存储的满足扫描触发器标准的所有映像都会被扫描以查找漏洞,而无需任何额外的用户或注册表配置。 为 ECR 中的所有映像,以及当前在 EKS 中运行的、从 ECR 注册表或任何其他 Defender for Cloud 支持的注册表(ACR、GCR 或 GAR)中拉取的映像提供了漏洞报告建议。 将映像添加到注册表后,将会立即对其进行扫描,并每隔 24 小时重新扫描一次新的漏洞。

由 Microsoft Defender 漏洞管理提供支持的容器漏洞评估具有以下功能:

  • 扫描 OS 包 - 容器漏洞评估能够扫描 Linux 和 Windows 操作系统中 OS 包管理器安装的包中的漏洞。 请参阅受支持的 OS 及其版本的完整列表

  • 特定于语言的包 - 仅限 Linux - 支持特定于语言的包和文件,以及在没有 OS 包管理器的情况下安装或复制的依赖项。 请参阅受支持的语言的完整列表

  • 可利用性信息 - 通过可利用性数据库搜索每个漏洞报告,以帮助客户确定与每个报告的漏洞关联的实际风险。

  • 报告 - 由 Microsoft Defender 漏洞管理提供支持的 AWS 容器漏洞评估使用以下建议提供漏洞报告:

这些新预览建议会报告运行时容器漏洞和注册表映像漏洞。 这些新建议在预览期间不计入安全分数。 这些新建议的扫描引擎与当前 GA 建议相同,并提供相同的发现。 这些建议最适合使用基于风险的新建议视图并启用了 Defender CSPM 计划的客户。

建议 说明 评估密钥
[预览] AWS 注册表中的容器映像应解决漏洞问题 Defender for Cloud 会扫描注册表映像中是否存在已知漏洞 (CVE),并提供每个扫描映像的详细结果。 扫描并修正注册表中容器映像的漏洞有助于维护安全可靠的软件供应链,降低安全事件风险,并确保符合行业标准。 2a139383-ec7e-462a-90ac-b1b60e87d576
[预览]在 AWS 中运行的容器应解决漏洞问题 Defender for Cloud 会创建 Kubernetes 群集中当前运行的所有容器工作负载的清单,并通过匹配正在使用的映像和为注册表映像创建的漏洞报告来提供这些工作负载的漏洞报告。 扫描并修正容器工作负载的漏洞对于确保强大且安全的软件供应链、降低安全事件风险和确保符合行业标准至关重要。 8749bb43-cd24-4cf9-848c-2a50f632043c

这些当前的 GA 建议报告了 Kubernetes 群集中包含的容器以及容器注册表中包含的容器映像中的漏洞。 这些建议最适合使用经典建议视图且未启用 Defender CSPM 计划的客户。

建议 说明 评估密钥
AWS 注册表容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) 扫描 AWS 注册表容器映像中常见的漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 c27441ae-775c-45be-8ffa-655de37362ce
AWS 运行容器映像应已解决漏洞结果(由 Microsoft Defender 漏洞管理提供支持) 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Elastic Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 682b2595-d045-4cff-b5aa-46624eb2dd8f

扫描触发器

映像扫描的触发器为:

  • 一次性触发

    • 每个推送到容器注册表的映像都会被触发进行扫描。 在大多数情况下,扫描将在几小时内完成,但在极少数情况下可能需要长达 24 个小时。
    • 从注册表提取的每个映像都会在 24 小时内触发扫描。
  • 连续重新扫描触发 - 需要连续重新扫描,以确保重新扫描以前扫描过漏洞的映像,以便在发布新漏洞时更新其漏洞报告。

    • 每天对以下内容执行一次重新扫描

映像扫描的工作原理是什么?

扫描过程的详细说明如下所述:

注意

对于 Defender for Container Registries(已弃用),将在推送、拉取映像时扫描一次映像,并且每周仅重新扫描一次。

如果我从注册表中移除某个映像,多久之后会移除有关该映像的漏洞报告?

在从 ECR 中删除映像后,需要 30 小时才能删除报表。

后续步骤