Sicherheitsrisikobewertungen für AWS mit Microsoft Defender Vulnerability Management

Die Sicherheitsrisikobewertung für AWS von Microsoft Defender Vulnerability Management ist eine sofort einsatzbereite Lösung, die es Sicherheitsteams ermöglicht, Sicherheitsrisiken in Linux-Containerimages ohne Konfiguration für das Onboarding und ohne Bereitstellung von Sensoren einfach zu erkennen und zu beheben.

Hinweis

Dieses Feature unterstützt nur die Überprüfung von Images im ECR. Images, die in anderen Containerregistrierungen gespeichert sind, sollten zur Abdeckung in ECR importiert werden. Weitere Informationen zur Vorgehensweise finden Sie unter Importieren von Containerimages in eine Containerregistrierung.

In jedem Konto, bei dem die Aktivierung dieser Funktion abgeschlossen ist, werden alle in ECR gespeicherten Images, die die Kriterien für Scantrigger erfüllen, auf Sicherheitsrisiken ohne zusätzliche Konfiguration von Benutzer*innen oder Registrierungen überprüft. Empfehlungen mit Sicherheitsrisikoberichten werden für alle Images in ECR sowie für Images bereitgestellt, die derzeit in EKS ausgeführt werden und aus einer ECR-Registrierung abgerufen wurden oder einer anderen von Defender for Cloud unterstützten Registrierung (ACR, GCR oder GAR). Images werden kurz nach dem Hinzufügen zu einer Registrierung überprüft und alle 24 Stunden erneut auf neue Sicherheitsrisiken überprüft.

Die Containersicherheitsbewertung, unterstützt von Microsoft Defender Vulnerability Management, bietet die folgenden Funktionen:

  • Überprüfen von Betriebssystempaketen: Mit der Containersicherheitsbewertung können vom Betriebssystempaket-Manager unter Linux und Windows-Betriebssystemen installierte Pakete auf Sicherheitsrisiken überprüft werden. Sehen Sie sich die vollständige Liste der unterstützten Betriebssysteme und Versionen an.

  • Sprachspezifische Pakete: nur Linux – Unterstützung für ohne den Betriebssystempaket-Manager installierte oder kopierte sprachspezifische Pakete und Dateien sowie deren Abhängigkeiten. Sehen Sie sich die vollständige Liste der unterstützten Sprachen an.

  • Informationen zur Ausnutzbarkeit: Jeder Sicherheitsrisikobericht wird durch Datenbanken zur Ausnutzbarkeit durchsucht, um unsere Kunden bei der Ermittlung des tatsächlichen Risikos zu unterstützen, das mit den einzelnen gemeldeten Sicherheitsrisiken verbunden ist.

  • Berichterstellung: Die Sicherheitsrisikobewertung von Containern für AWS von Microsoft Defender Vulnerability Management stellt Sicherheitsrisikoberichte mit den folgenden Empfehlungen bereit:

Dies sind die neuen Vorschauempfehlungen, die Sicherheitsrisiken in Runtimecontainern und Registrierungsimages melden. Diese neuen Empfehlungen zählen nicht zur Sicherheitsbewertung während der Vorschau. Die Scan-Engine für diese neuen Empfehlungen ist identisch mit den aktuellen allgemein verfügbaren Empfehlungen und liefert die gleichen Ergebnisse. Diese Empfehlungen eignen sich am besten für Kunden, die die neue risikobasierte Ansicht für Empfehlungen verwenden und den Defender CSPM-Plan aktiviert haben.

Empfehlung BESCHREIBUNG Bewertungsschlüssel
[Vorschau] Bei Containerimages in der AWS-Registrierung sollten ermittelte Sicherheitsrisiken behoben sein. Defender for Cloud überprüft Ihre Registrierungsimages auf bekannte Sicherheitsrisiken (CVEs) und stellt detaillierte Ergebnisse für jedes gescannte Image bereit. Das Scannen und Beheben von Sicherheitsrisiken für Containerimages in der Registrierung trägt dazu bei, eine sichere und zuverlässige Softwarelieferkette aufrechtzuerhalten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. 2a139383-ec7e-462a-90ac-b1b60e87d576
[Vorschau] Bei in AWS ausgeführten Containern sollten ermittelte Sicherheitsrisiken behoben sein. Defender for Cloud erstellt eine Bestandsaufnahme aller Containerworkloads, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden, und stellt Sicherheitsrisikoberichte für diese Workloads bereit, indem die verwendeten Images mit den für die Registrierungsimages erstellten Sicherheitsrisikoberichten abgeglichen werden. Das Scannen und Beheben von Sicherheitsrisiken in Containerworkloads ist von entscheidender Bedeutung, um eine stabile und sichere Softwarelieferkette zu gewährleisten, das Risiko von Sicherheitsvorfällen zu verringern und die Einhaltung von Branchenstandards sicherzustellen. 8749bb43-cd24-4cf9-848c-2a50f632043c

Diese aktuellen allgemein verfügbaren Empfehlungen berichten über Sicherheitsrisiken in Containern, die in einem Kubernetes-Cluster enthalten sind, und auf Containerimages, die in einer Containerregistrierung enthalten sind. Diese Empfehlungen eignen sich am besten für Kunden, die die klassische Ansicht für Empfehlungen verwenden und keinen Defender CSPM-Plan aktiviert haben.

Empfehlung BESCHREIBUNG Bewertungsschlüssel
Sicherheitsrisiken bei AWS-Containerregistrierungsimages sollten behoben werden (unterstützt von Microsoft Defender Vulnerability Management) Überprüft Ihre AWS-Containerregistrierungsimages auf bekannte häufige Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. c27441ae-775c-45be-8ffa-655de37362ce
Sicherheitsrisiken bei ausgeführten AWS-Containerimages sollten behoben werden (unterstützt von Microsoft Defender Vulnerability Management) Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für risikobehaftete Images, die derzeit in Ihren Elastic Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. 682b2595-d045-4cff-b5aa-46624eb2dd8f
  • Abfragen von Informationen zu Sicherheitsrisiken über Azure-Resource Graph: Möglichkeit, Informationen zu Sicherheitsrisiken über Azure-Resource Graph abzufragen. Erfahren Sie, wie Sie Empfehlungen über ARG abfragen.

  • Abfragen von Scanergebnissen über die REST-API – Erfahren Sie, wie Sie Scanergebnisse über die REST-API abfragen.

Auslöser überprüfen

Die Trigger für eine Imageüberprüfung sind:

  • Einmaliges Auslösen:

    • Jedes Image, das an eine Containerregistrierung übertragen wird, wird ausgelöst, um gescannt zu werden. In den meisten Fällen wird der Scan innerhalb weniger Stunden abgeschlossen, aber in seltenen Fällen kann es bis zu 24 Stunden dauern.
    • Jedes Image, das aus einer Registrierung abgerufen wird, wird ausgelöst, um innerhalb von 24 Stunden gescannt zu werden.
  • Auslösung fortlaufender erneuter Überprüfungen – Fortlaufende erneute Überprüfungen sind erforderlich, um sicherzustellen, dass Images, die zuvor auf Sicherheitsrisiken überprüft wurden, bei Veröffentlichung eines neuen Sicherheitsrisikos erneut überprüft werden, um die Sicherheitsrisikoberichte zu aktualisieren.

    • Die erneute Überprüfungen erfolgen für folgende Elemente einmal täglich:
      • Images, die in den letzten 90 Tagen per Push übertragen wurden.
      • Bilder , die in den letzten 30 Tagenabgerufen wurden.
      • Images, die derzeit auf den von Defender for Cloud überwachten Kubernetes-Clustern ausgeführt werden (entweder über Ermittlung ohne Agent für Kubernetes oder den Defender-Sensor).

Wie funktioniert die Imageüberprüfung?

Eine detaillierte Beschreibung des Scan-Vorgangs wird folgendermaßen beschrieben:

  • Wenn Sie die Bewertung der Sicherheitsanfälligkeit in Containern für AWS von Microsoft Defender Vulnerability Management aktivieren, autorisieren Sie Defender for Cloud, Containerimages in Ihren Elastic Container-Registrierungen zu überprüfen.

  • Defender for Cloud ermittelt automatisch alle Containerregistrierungen, Repositorys und Images (die vor oder nach der Aktivierung dieser Fähigkeit erstellt wurden).

  • Einmal täglich und für neue Images, die an eine Registrierung übertragen wurden:

    • Alle neu entdeckten Images werden abgerufen, und für jedes Image wird ein Inventar erstellt. Der Imagebestand wird beibehalten, um weitere Imageabrufe zu vermeiden, sofern die neue Scannerfunktionen dies nicht erforderlich macht.
    • Anhand des Bestands werden Sicherheitsrisikoberichte für neue Images generiert und für bereits gescannte Images aktualisiert, die entweder in den letzten 90 Tagen in eine Registrierung übertragen wurden oder derzeit ausgeführt werden. Um festzustellen, ob ein Image derzeit ausgeführt wird, verwendet Defender for Cloud sowohl die Agentlose Ermittlung für Kubernetes als auch Inventar, das über den Defender-Sensor gesammelt wird, der auf EKS-Knoten ausgeführt wird.
    • Sicherheitsrisikoberichte für Registrierungscontainerimages werden als Empfehlung bereitgestellt.
  • Für Kund*innen, die entweder die Ermittlung ohne Agents für Kubernetes oder über den Defender-Sensor gesammelten Bestand auf EKS-Knoten verwenden, erstellt Defender for Cloud auch eine Empfehlung zur Behebung von Sicherheitsrisiken für anfällige Images, die in einem EKS-Cluster ausgeführt werden. Für Kunden, die nur Agentless Discovery für Kubernetes verwenden, beträgt die Aktualisierungszeit für den Bestand in dieser Empfehlung einmal alle 7 Stunden. Cluster, die auch den Defender-Sensor ausführen, profitieren von einer zweistündigen Bestandsaktualisierungsrate. Die Ergebnisse der Bildscans werden basierend auf der Registrierungsüberprüfung in beiden Fällen aktualisiert und daher nur alle 24 Stunden aktualisiert.

Hinweis

Für Defender für Containerregistrierungen (veraltet) werden Images einmal per Push und per Pull gescannt und nur einmal pro Woche erneut gescannt.

Wenn ich ein Image aus meiner Registrierung entferne, wie lange dauert es dann, bis die Berichte über Sicherheitsrisiken für dieses Image entfernt sind?

Es dauert 30 Stunden, nachdem ein Image aus ECR gelöscht wurde, bevor die Berichte entfernt werden.

Nächste Schritte