通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查看和修正 Kubernetes 群集上运行的容器的漏洞(基于风险)

  • 项目

注意

本页介绍 Microsoft Defender for Cloud 中用于漏洞管理的基于风险的新方法。 如果你正在使用 Defender for Cloud 云安全态势管理 (CSPM) 计划,应使用此方法。 若要使用经典安全功能分数方法,请参阅查看和修正 Kubernetes 群集上运行的映像的漏洞(安全功能分数)

Defender for Cloud 使客户能够根据云环境中漏洞的上下文风险分析确定 Kubernetes 群集上运行的漏洞容器的修正优先级。 在本文中,我们将回顾 Azure 中运行的容器应解决发现的漏洞这一建议。 对于其他云,请参阅使用 Microsoft Defender 漏洞管理对 AWS 进行漏洞评估使用 Microsoft Defender 漏洞管理对 GCP 进行漏洞评估中的并行建议。

为了提供建议的发现结果,Defender for Cloud 会使用 Kubernetes 无代理发现Defender 传感器来创建 Kubernetes 群集及其工作负载的完整清单,并将该清单与为注册表映像创建的漏洞报告相关联。 建议会显示正在运行的容器以及与每个容器使用的映像关联的漏洞和修正步骤。

Defender for Cloud 将评估结果和相关信息作为建议呈现,包括修复步骤和相关 CVE 等相关信息。 可以查看一个或多个订阅或特定资源的已识别漏洞。

查看容器的漏洞

若要查看容器的漏洞,请执行以下操作:

  1. 在 Defender for Cloud 中,打开“建议”页。 如果你不在基于风险的新页面上,请在顶部菜单中选择“按风险列出的建议”。 如果发现问题,你将看到建议 Azure 中运行的容器应解决发现的漏洞。 选择建议。

    显示“运行容器映像应已解决漏洞发现”建议行的屏幕截图。

  2. “建议详细信息”页随即打开,并且其中包含其他信息。 此信息包括有关易受攻击的映像和修正步骤的详细信息。

    显示相应建议对应的受影响群集的屏幕截图。

  3. 选择“发现结果”选项卡以查看影响容器的漏洞列表

    显示包含漏洞的“发现结果”选项卡的屏幕截图。

  4. 选择每个漏洞,获取漏洞的详细说明、受该漏洞影响的其他容器、有助于解决漏洞的软件版本的信息,以及有助于修补漏洞的外部资源的链接。

    显示容器漏洞的屏幕截图。

若要查找受特定漏洞影响的所有容器,请按标题对建议进行分组。 有关详细信息,请参阅按标题对建议进行分组

有关如何修正漏洞的信息,请参阅修正建议

下一步