你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看 Docker 主机强化建议

Microsoft Defender for Cloud 中的 Defender for Servers 计划会标识托管在 IaaS Linux VM 或运行 Docker 容器的其他 Linux 计算机上的非托管容器。 Defender for Servers 持续评估这些 Docker 主机的配置,并将其与 Center for Internet Security (CIS) Docker 基准进行比较。

  • Defender for Cloud 包括 CIS Docker 基准的整个规则集,如果容器不满足任何控制要求,则发出警报。
  • 当发现错误配置时,Defender for Servers 会生成安全建议用于解决发现的问题。- 发现漏洞时,它们会被分组到一个建议中。

注意

Docker 主机强化使用 Log Analytics 代理(也称为 Microsoft Monitoring Agent (MMA))收集主机信息以进行评估。 MMA 即将停用,Docker 主机强化功能于 2024 年 11 月弃用。

先决条件

  • 需要 Defender for Servers 计划 2 才能使用此功能。
  • 这些 CIS 基准检查不会在 AKS 托管实例或 Databricks 托管 VM 上运行。
  • 你需要具有主机连接到的工作区的“读者”权限。

识别 Docker 配置问题

  1. 在 Defender for Cloud 的菜单中,打开“建议”页。

  2. 筛选到建议 应修正容器安全配置中的漏洞并选择建议。

    建议页显示受影响的资源(Docker 主机)。

    修复容器安全配置中的漏洞的建议。

    注意

    未运行 Docker 的计算机将显示在“不适用的资源”选项卡中。它们将在 Azure Policy 中显示为“符合”。

  3. 若要查看和修正特定的故障主机的 CIS 控件,请选择要调查的主机。

    提示

    如果是从“资产清单”页开始并在那里获得此建议,请选择“建议”页上的“执行操作”按钮。

    用于启动 Log Analytics 的“执行操作”按钮。

    Log Analytics 随即打开,其中包含可运行的自定义操作。 默认自定义查询包括评估的所有失败规则的列表,以及有助于你解决问题的指南。

    带有查询的 Log Analytics 页,其中显示所有故障的 CIS 控件。

  4. 如有必要,请调整查询参数。

  5. 当确定命令适合主机使用时,请选择“运行”。

后续步骤

详细了解 Defender for Cloud 中的容器安全性