Évaluations des vulnérabilités pour GCP avec la Gestion des vulnérabilités de Microsoft Defender

L’évaluation des vulnérabilités pour GCP, avec la Gestion des vulnérabilités de Microsoft Defender, est une solution prête à l’emploi qui permet aux équipes de sécurité de détecter et de corriger facilement des vulnérabilités dans des images conteneur Linux, sans aucune configuration pour l’intégration ni aucun déploiement de capteurs.

Dans chaque compte où cette fonctionnalité est activée, toutes les images stockées dans les registres Google (GAR et GCR) qui répondent aux critères pour les déclencheurs d’analyse sont analysées pour détecter des vulnérabilités sans aucune configuration supplémentaire d’utilisateurs ou de registres. Des recommandations avec des rapports de vulnérabilité sont fournies pour toutes les images dans les registres Google (GAR et GCR), les images qui s’exécutent actuellement dans GKE qui ont été extraites de Registres Google (GAR et GCR) ou tout autre Registre Defender pour le cloud pris en charge (ACR ou ERC). Les images sont analysées peu de temps après leur ajout à un registre, puis réanalysées à la recherche de nouvelles vulnérabilités toutes les 24 heures.

L’évaluation des vulnérabilités des conteneurs avec la Gestion des vulnérabilités de Microsoft Defender offre les fonctionnalités suivantes :

  • Analyse des packages de système d’exploitation : L’évaluation des vulnérabilités des conteneurs permet de rechercher les vulnérabilités dans les packages installés par le gestionnaire de package de système d’exploitation dans les systèmes d’exploitation Windows et Linux. Consultez la liste complète du système d’exploitation pris en charge et de leurs versions.

  • Packages spécifiques à la langue : Linux uniquement : prise en charge des packages et fichiers spécifiques à la langue, ainsi que de leurs dépendances installées ou copiées sans le gestionnaire de package de système d’exploitation. Consultez la liste complète des langues prises en charge.

  • Informations sur l’exploitabilité : Chaque rapport de vulnérabilité fait l’objet d’une recherche dans les bases de données d’exploitabilité pour aider nos clients à déterminer le risque réel associé à chaque vulnérabilité signalée.

  • Rapports : Évaluation des vulnérabilités de conteneur pour GCP avec la Gestion des vulnérabilités de Microsoft Defender fournit des rapports de vulnérabilité en utilisant les recommandations suivantes :

Voici les nouvelles recommandations en préversion qui signalent les vulnérabilités des conteneurs d’exécution et les vulnérabilités des images du registre. Ces nouvelles recommandations ne sont pas comptabilisées dans le cadre du niveau de sécurité lors de la préversion. Le moteur d’analyse de ces nouvelles recommandations est le même que les recommandations en disponibilité générale actuelles et fournit les mêmes résultats. Ces recommandations seraient mieux adaptées aux clients qui utilisent la nouvelle vue basée sur les risques pour les recommandations et que le plan CSPM Defender soit activé.

Recommandation Description Clé d’évaluation
[Préversion] Les résultats de l’analyse de vulnérabilité des images conteneur dans le registre GCP doivent être résolus Defender pour le cloud analyse vos images de Registre pour détecter les vulnérabilités connues (CVE), et fournit des résultats détaillés pour chaque image analysée. L’analyse et la correction des vulnérabilités pour les images conteneur dans le Registre permettent de maintenir une chaîne d’approvisionnement logicielle sécurisée et fiable, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. 24e37609-dcf5-4a3b-b2b0-b7d76f2e4e04
[Préversion] Les résultats de l’analyse de vulnérabilité des conteneurs exécutés dans GCP doivent être résolus Defender pour le cloud crée un inventaire de toutes les charges de travail de conteneur en cours d’exécution dans vos clusters Kubernetes, et fournit des rapports de vulnérabilité pour ces charges de travail grâce à une mise en correspondance des images utilisées avec les rapports de vulnérabilité créés pour les images de Registre. L’analyse et la correction des vulnérabilités pour les charges de travail de conteneur est essentielle afin de garantir une chaîne d’approvisionnement logicielle robuste et sécurisée, réduisent le risque d’incidents de sécurité, et garantissent la conformité aux normes du secteur. 1b3abfa4-9e53-46f1-9627-51f2957f8bba

Ces recommandations actuellement en disponibilité générale signalent les vulnérabilités dans les conteneurs contenus dans un cluster Kubernetes et sur les images conteneur contenues dans un registre de conteneurs. Ces recommandations conviennent mieux aux clients qui utilisent la vue classique pour les recommandations et dont le plan CSPM Defender n’est pas activé.

Recommandation Description Clé d’évaluation
Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs du registre GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure Analyse vos registres GCP pour détecter les vulnérabilités connues (CVE) et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. c27441ae-775c-45be-8ffa-655de37362ce
Les résultats de l’analyse des vulnérabilités doivent être résolus pour les images conteneurs exécutant GCP (optimisé par l’agent de Gestion des vulnérabilités de Microsoft Defender) - Microsoft Azure L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Google Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. 5cc3a2c1-8397-456f-8792-fe9d0d4c9145
  • Interroger les informations de vulnérabilité via Azure Resource Graph : possibilité d’interroger les informations de vulnérabilité via le Azure Resource Graph. Découvrez comment interroger des recommandations via ARG.

  • Résultats de l’analyse de requête via l’API REST : Découvrez comment interroger les résultats de l’analyse via API REST.

Analysez des déclencheurs

Les déclencheurs d’une analyse d’image sont les suivants :

  • Déclenchement unique :

    • Chaque image envoyée à un registre de conteneurs est déclenchée pour être analysée. Dans la plupart des cas, l’analyse est effectuée en quelques heures. Dans de rares cas toutefois, elle peut prendre jusqu’à 24 heures.
    • Chaque image extraite d’un registre est déclenchée pour être analysée dans les 24 heures.
  • Déclenchement d’une nouvelle analyse continue : une nouvelle analyse continue est nécessaire pour garantir que les images qui ont été précédemment analysées pour la recherche de vulnérabilités et sont réanalysées pour mettre à jour leurs rapports de vulnérabilité en cas de publication d’une nouvelle vulnérabilité.

    • Une nouvelle analyse est effectuée une fois par jour pour :
      • Images envoyées au cours des 90 derniers jours.
      • Images tirées (pulled) au cours des 30 derniers jours.
      • Images en cours d’exécution sur les clusters Kubernetes surveillés par Defender pour le cloud (via la Détection sans agent pour Kubernetes ou le capteur Defender).

Comment fonctionne l’analyse des images ?

Une description détaillée du processus d’analyse est la suivante :

  • Lorsque vous activez l’évaluation des vulnérabilités de conteneur pour GCP optimisée par la Gestion des vulnérabilités de Microsoft Defender , vous autorisez Defender pour le cloud à analyser des images conteneur dans vos registres Elastic Container.

  • Defender pour le cloud découvre automatiquement tous les registres, référentiels et images de conteneurs (créés avant ou après l’activation de la capacité).

  • Une fois par jour, et pour les nouvelles images envoyées à un registre :

    • Toutes les images nouvellement découvertes sont extraites et un inventaire est créé pour chaque image. L’inventaire des images est conservé pour éviter d’autres extractions d’images, sauf si cela est requis par les nouvelles fonctionnalités du scanneur.
    • À l’aide de l’inventaire, des rapports de vulnérabilité sont générés pour les nouvelles images et mis à jour pour les images précédemment analysées qui ont été envoyées à un registre au cours des 90 derniers jours ou qui sont en cours d’exécution. Pour déterminer si une image est en cours d’exécution, Defender pour le cloud utilise à la fois la Détection sans agent pour Kubernetes et l’inventaire collecté via le capteur Defender s’exécutant sur des nœuds GKE
    • Les rapports de vulnérabilité pour des images conteneurs de registre sont fournis à titre de recommandation.
  • Pour les clients utilisant la Détection sans agent pour Kubernetes ou un inventaire collecté via le capteur Defender s’exécutant sur des nœuds GKE, Defender pour le cloud crée également une recommandation afin de corriger les vulnérabilités liées aux images vulnérables s’exécutant sur un cluster GKE. Pour les clients qui utilisent uniquement la Détection sans agent pour Kubernetes, l’heure d’actualisation de l’inventaire dans cette recommandation est une fois toutes les sept heures. Les clusters qui exécutent également le capteur Defender bénéficient d’un taux d’actualisation de l’inventaire de deux heures. Les résultats de l’analyse d’image sont mis à jour en fonction de l’analyse du registre dans les deux cas et ne sont donc actualisés que toutes les 24 heures.

Remarque

Pour Defender pour les registres de conteneurs (déprécié), les images sont analysées une fois au moment de l’envoi (push), de l’extraction (pull), puis réanalysées une seule fois par semaine.

Si je supprime une image de mon registre, le temps restant avant la suppression des rapports de vulnérabilités sur cette image ?

Il faut attendre 30 heures après la suppression d’une image des registres Google (GAR et GCR) pour que les rapports soient supprimés.

Étapes suivantes

  • En savoir plus sur les plans Defender pour le cloud.
  • Consultez les questions courantes sur Defender pour les conteneurs.