共用方式為

檢閱 Docker 主機強化建議

  • 發行項

適用於雲端的 Microsoft Defender 中的適用於伺服器的Defender方案會識別裝載於IaaS Linux VM或其他執行 Docker 容器的 Linux 機器上裝載的 Unmanaged 容器。 適用於伺服器的 Defender 會持續評估這些 Docker 主機的設定,並將其與 因特網安全性中心 (CIS) Docker 基準檢驗進行比較。

  • 適用於雲端的 Defender 包含 CIS Docker 基準的整個規則集,並會在您的容器無法滿足任何控制時發出警示。
  • 當發現設定錯誤時,適用於伺服器的 Defender 會產生安全性建議來解決結果。- 找到弱點時,它們會分組在單一建議內。

注意

Docker 主機強化會使用 Log Analytics 代理程式(也稱為Microsoft監視代理程式 #MMA)來收集主機資訊以進行評量。 MMA 即將淘汰,Docker 主機強化功能將在 2024 年 11 月淘汰。

必要條件

  • 您需要 適用於伺服器的 Defender 方案 2 才能使用此功能。
  • 這些 CIS 基準檢查不會在 AKS 管理的執行個體或 Databricks 管理的 VM 上執行。
  • 您需要主機所連線工作區的讀取者許可權。

識別 Docker 組態問題

  1. 從適用於雲端的 Defender 功能表中,開啟 [建議] 頁面。

  2. 篩選至 [應補救容器安全性設定中的建議弱點] 的建議,然後選取建議。

    建議頁面會顯示受影響的資源 (Docker 主機)。

    建議補救容器安全性設定中的弱點。

    注意

    未執行 Docker 的機器會顯示在 [不適用的資源] 索引標籤中。這些機器在 Azure 原則中會顯示為 [相容]。

  3. 若要檢視及補救特定主機未成功執行的 CIS 控制,請選取您要調查的主機。

    提示

    如果您從資產清查頁面開始,並從該處到達此建議,請選取建議頁面上的 [採取動作] 按鈕。

    [採取動作] 按鈕以啟動 Log Analytics。

    Log Analytics 隨即開啟,且有可供執行的自訂作業。 預設自訂查詢會列出所有已評估的失敗規則,以及協助您解決問題的指導方針。

    Log Analytics 頁面,其中查詢顯示所有失敗的 CIS 控制項。

  4. 視需要調整查詢參數。

  5. 當您確定命令正確,且已可供主機使用時,請選取 [執行]

下一步

深入瞭解 適用於雲端的 Defender 中的容器安全性。