获取有关保护容器的常见问题的解答
用于大规模启用新计划的选项有哪些?
可以使用 Azure Policy“Configure Microsoft Defender for Containers to be enabled
”大规模启用 Defender for Containers。 还可以查看可用于启用 Microsoft Defender for Containers 的所有选项。
Microsoft Defender for Containers 是否支持具有虚拟机规模集的 AKS 群集?
是的。
Microsoft Defender for Containers 是否支持无规模集的 AKS(默认设置)?
不是。 只有将虚拟机规模集用于节点的 Azure Kubernetes 服务 (AKS) 群集受支持。
我是否需要在 AKS 节点上安装 Log Analytics VM 扩展来保障安全?
不可以,AKS 是托管服务,不支持操作 IaaS 资源。 Log Analytics VM 扩展不是必需的,可能会产生额外费用。
我如何使用现有的 Log Analytics 工作区?
可以按照本文的分配自定义工作区部分中所述的步骤使用现有的 Log Analytics 工作区。
是否可以删除 Defender for Cloud 创建的默认工作区?
我们不建议删除默认工作区。 Defender for Containers 使用默认工作区从群集中收集安全数据。 如果删除默认工作区,Defender for Containers 将无法收集数据,并且不会提供某些安全建议和警报。
我删除了默认工作区,如何恢复它?
若要恢复默认工作区,需要删除 Defender 传感器,然后重新安装该传感器。 重新安装 Defender 传感器会创建新的默认工作区。
默认 Log Analytics 工作区位于何处?
根据你所在的区域,默认 Log Analytics 工作区可能位于不同的位置。 若要检查你所在的区域,请参阅默认 Log Analytics 工作区是在何处创建的?
我的组织要求我标记资源,并且所需的传感器并未安装,出了什么问题?
Defender 传感器 使用 Log Analytics 工作区将数据从 Kubernetes 群集发送到 Defender for Cloud。 Defender for Cloud 将 Log Analytic 工作区和资源组添加为参数,供传感器使用。
但是,如果组织存在相关策略,要求对资源使用特定标记,则可能会导致传感器安装在资源组或默认工作区创建阶段失败。 如果失败,可以:
分配自定义工作区并添加组织需要的任何标记。
或
如果公司要求标记资源,则应导航到该策略并排除以下资源:
- 资源组
DefaultResourceGroup-<RegionShortCode>
- 工作区
DefaultWorkspace-<sub-id>-<RegionShortCode>
RegionShortCode 是一个 2-4 个字母的字符串。
- 资源组
Defender for Containers 如何扫描映像?
Defender for Containers 从注册表拉取映像,并使用适用于多云环境的 Microsoft Defender 漏洞管理在隔离的沙盒中运行映像。 扫描程序会提取已知漏洞的列表。
Defender for Cloud 将对扫描程序的发现进行筛选和分类。 当映像正常运行时,Defender for Cloud 会将其标记为正常。 Defender for Cloud 仅为有待解决问题的映像生成安全建议。 Defender for Cloud 仅在出现问题时通知你,可降低发送不必要的信息警报的可能性。
如何识别扫描程序执行的拉取事件?
要识别扫描程序执行的拉取事件,请执行以下步骤:
- 使用 AzureContainerImageScanner 的 UserAgent 搜索拉取事件。
- 提取与此事件关联的标识。
- 使用提取的标识识别来自扫描程序的拉取事件。
“不适用的资源”和“未验证的资源”之间的区别是什么?
- 不适用的资源是建议无法为其提供明确答案的资源。 “不适用”选项卡会为每个无法评估的资源提供原因。
- 未验证的资源是计划评估,但尚未评估的资源。
为什么 Defender for Cloud 要向我发送关于映像不在我的注册表中的漏洞的警报?
某些映像可能会重复使用来自已扫描映像的标记。 例如,每次你向摘要添加映像时,都可能会重新分配标记“Latest”。 在这种情况下,“旧”映像仍在注册表中,可能仍会被其摘要拉取。 如果发现该映像存在安全问题,且它被拉取了,那么就将暴露安全漏洞。
Defender for Containers 是否扫描 Microsoft 容器注册表中的映像?
目前,Defender for Containers 只能扫描 Azure 容器注册表 (ACR) 和 AWS 弹性容器注册表 (ECR) 中的映像。 不支持扫描 Docker 注册表、Microsoft 工件注册表/Microsoft 容器注册表和 Microsoft Azure Red Hat OpenShift (ARO) 内置容器映像注册表。 应首先将映像导入 ACR。 详细了解如何将容器映像导入 Azure 容器注册表。
是否可以通过 REST API 获取扫描结果?
是的。 结果位于子评估 REST API 下。 此外,还可以对所有资源使用 Azure Resource Graph (ARG),一个类似于 Kusto 的 API:查询可以提取特定扫描。
如何查看容器使用的媒体类型?
若要查看映像类型,需要使用可以查看原始映像清单的工具(如 skopeo),并检查原始映像格式。
什么是适用于无代理容器态势管理的扩展?
无代理 CSPM 功能是通过两个扩展来提供的:
- 无代理容器漏洞评估:提供无代理容器漏洞评估。 详细了解无代理容器漏洞评估。
- Kubernetes 的无代理发现:提供有关 Kubernetes 群集体系结构、工作负载对象和设置的基于 API 的信息发现。
如何一次载入多个订阅?
要一次性加入多个订阅,可以使用此脚本。
为什么看不到群集的结果?
如果未看到群集的结果,请检查以下问题:
- 是否已停止群集?
- 资源组、订阅或群集是否已锁定? 如果上述任一问题的答案为“是”,请参阅以下问题中的答案。
如果我已停止群集,该怎么办?
我们不支持已停止的群集,也不会对其收费。 若要享受已停止的群集上的无代理功能,可以重新运行群集。
如果已锁定资源组、订阅或群集,该怎么办?
建议解锁锁定的资源组/订阅/群集,手动发出相关请求,然后执行以下操作来重新锁定资源组/订阅/群集:
- 使用受信任的访问通过 CLI 手动启用功能标志。
“az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”
- 在 CLI 中执行绑定操作:
az account set -s <SubscriptionId> az extension add --name aks-preview az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles "Microsoft.Security/pricings/microsoft-defender-operator"
对于锁定的群集,还可以执行以下步骤之一:
- 解除锁定。
- 通过发出 API 请求手动执行绑定操作。 详细了解锁定的资源。
是否使用的是 AKS 的更新版本?
Kubernetes 的无代理发现刷新间隔是多少?
更改可能需要长达24 小时才能反映在安全图、攻击路径和安全资源管理器中。
如何从已停用的 Trivy 漏洞评估升级到由 Microsoft Defender 漏洞管理提供支持的 AWS 漏洞评估?
以下步骤将删除由 Trivy 提供支持的单个注册表建议,并添加由 MDVM 提供支持的新注册表和运行时建议。
- 打开相关的 AWS 连接器。
- 打开 Defender for Containers 的“设置”页。
- 启用“无代理容器漏洞评估”。
- 完成连接器向导的步骤,包括在 AWS 中部署新的载入脚本。
- 手动删除载入期间创建的资源:
- 带有前缀 defender-for-containers-va 的 S3 存储桶
- 名为 defender-for-containers-va 的 ECS 群集
- VPC:
- 具有值
defender-for-containers-va
的标记name
- IP 子网 CIDR 10.0.0.0/16
- 与具有标记
name
和值defender-for-containers-va
的“默认安全组”相关联,该组具有所有传入流量的规则。 defender-for-containers-va
VPC 中具有标记name
和值defender-for-containers-va
的子网与 ECS 群集defender-for-containers-va
使用的 CIDR 10.0.1.0/24 IP 子网- Internet 网关,具有标记
name
和值defender-for-containers-va
- 路由表 - 具有标记
name
和值defender-for-containers-va
以及以下路由的路由表:- 目标:
0.0.0.0/0
;目标:具有标记name
和值defender-for-containers-va
的 Internet 网关 - 目标:
10.0.0.0/16
;目标:local
- 目标:
- 具有值
若要获取正在运行的映像的漏洞评估,可在 Kubernetes 群集上启用 Kubernetes 的无代理发现或部署 Defender 传感器。