Questions courantes sur la protection des conteneurs

Obtenir les réponses aux questions courantes sur la protection des conteneurs

Quelles sont les options permettant d’activer le nouveau plan à grande échelle ?

Vous pouvez utiliser le Azure Policy Configure Microsoft Defender for Containers to be enabled pour activer Defender pour conteneurs à grande échelle. Vous pouvez également voir toutes les options disponibles pour activer Microsoft Defender pour conteneurs.

Les clusters AKS avec groupe de machines virtuelles identiques sont-ils pris en charge par Microsoft Defender pour les conteneurs ?

Oui.

Les clusters AKS sans groupe identique (par défaut) sont-ils pris en charge par Microsoft Defender pour les conteneurs ?

Non. Seuls les clusters Azure Kubernetes Service (AKS) qui utilisent des groupes de machines virtuelles identiques pour les nœuds sont pris en charge.

Dois-je installer l’extension de machine virtuelle Log Analytics sur mes nœuds AKS pour la protection de la sécurité ?

Non, AKS est un service géré et la manipulation des ressources IaaS n’est pas prise en charge. L’extension de machine virtuelle Log Analytics n’est pas nécessaire et pourrait occasionner des frais supplémentaires.

Comment puis-je utiliser mon espace de travail Log Analytics existant ?

Vous pouvez utiliser votre espace de travail Log Analytics existant en suivant les étapes décrites dans la section Attribuer un espace de travail personnalisé de cet article.

Puis-je supprimer les espaces de travail par défaut créés par Defender pour le cloud ?

Il n’est pas recommandé de supprimer l’espace de travail par défaut. Defender pour les conteneurs utilise les espaces de travail par défaut pour collecter les données de sécurité de vos clusters. Defender pour les conteneurs ne pourra pas collecter de données, et certaines recommandations et alertes de sécurité seront indisponibles si vous supprimez l’espace de travail par défaut.

J’ai supprimé mon espace de travail par défaut, comment puis-je le récupérer ?

Pour récupérer votre espace de travail par défaut, vous devez supprimer le capteur Defender et le réinstaller. La réinstallation du capteur Defender crée un nouvel espace de travail par défaut.

Où se trouve l’espace de travail Log Analytics par défaut ?

Selon votre région, l’espace de travail Log Analytics par défaut peut se trouver dans différents emplacements. Pour vérifier votre région, consultez Où est créé l’espace de travail Log Analytics par défaut ?

Mon organisation m’oblige à étiqueter mes ressources et le capteur requis n’a pas été installé. Que s’est-il passé ?

Le capteur Defender utilise l’espace de travail Log Analytics pour envoyer des données de vos clusters Kubernetes à Defender pour le cloud. Defender pour le cloud ajoute l’espace de travail Log Analytics et le groupe de ressources en tant que paramètre que le capteur doit utiliser.

En revanche, si votre organisation a une stratégie qui exige une étiquette spécifique sur vos ressources, cela risque de faire échouer l’installation du capteur lors de l’étape de création du groupe de ressources ou de l’espace de travail par défaut. En cas d’échec, vous pouvez :

  • Attribuer un espace de travail personnalisé et ajouter les étiquettes dont votre organisation a besoin.

    ou

  • Si votre entreprise vous oblige à étiqueter votre ressource, vous devez accéder à cette stratégie et exclure les ressources suivantes :

    1. Le groupe de ressources DefaultResourceGroup-<RegionShortCode>
    2. L’espace de travail DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode est une chaîne de 2 à 4 lettres.

Comment Defender pour les conteneurs analyse-t-il une image ?

Defender pour les conteneurs extrait l’image du registre, puis l’exécute dans un bac à sable isolé avec Microsoft Defender Vulnerability Management pour les environnements multiclouds. L’analyseur extrait une liste des vulnérabilités connues.

Defender pour le cloud filtre et classe les résultats du scanneur. Quand une image est saine, Defender pour le cloud la marque comme telle. Defender pour le cloud génère des recommandations de sécurité uniquement pour les images qui ont des problèmes à résoudre. En vous avertissant seulement en cas de problème, Defender pour le cloud réduit la possibilité d’alertes informatives indésirables.

Comment puis-je identifier des événements d’extraction effectués par le scanneur ?

Pour identifier des événements d’extraction effectués par le scanneur, procédez comme suit :

  1. Recherchez des événements d’extraction avec UserAgent d’AzureContainerImageScanner.
  2. Extrayez l’identité associée à cet événement.
  3. Utilisez l’identité extraite pour identifier les événements d’extraction du scanneur.

Quelle est la différence entre des ressources non applicables et des ressources non vérifiées ?

  • Les Ressources non applicables sont des ressources pour lesquelles la recommandation ne peut pas donner de réponse définitive. L’onglet non applicable inclut les raisons pour chaque ressource qui n’a pas pu être évaluée.
  • Les ressources non vérifiées sont des ressources planifiées pour l’évaluation, mais qui n’ont pas encore été évaluées.

Pourquoi Microsoft Defender pour le cloud m'alerte-t-il des vulnérabilités d'une image qui ne se trouve pas dans mon registre ?

Certaines images peuvent réutiliser des étiquettes à partir d’une image déjà analysée. Par exemple, vous pourriez réassigner l’étiquette « latest » chaque fois que vous ajoutez une image à une synthèse. Dans ce cas, l’« ancienne » image existe toujours dans le registre et pourrait encore être extraite par sa synthèse. Si l’image présente des résultats de sécurité et qu’elle est extraite, elle exposera des vulnérabilités de sécurité.

Les images sont-elles analysées dans Microsoft Container Registry par Defender pour les conteneurs ?

Actuellement, Defender pour les conteneurs ne peut analyser les images que dans Azure Container Registry (ACR) et AWS Elastic Container Registry (ECR). Le Registre Docker, le Registre des artefacts Microsoft/Microsoft Container Registry et le registre d’images conteneur intégré Microsoft Azure Red Hat OpenShift (ARO) ne sont pas pris en charge. Les images doivent d’abord être importées dans ACR. Découvrez comment importer des images conteneur dans un registre de conteneurs Azure.

Puis-je obtenir les résultats de l’analyse via l’API REST ?

Oui. Les résultats se trouvent sous l’API REST Sous-évaluations. De plus, vous pouvez utiliser Azure Resource Graph (ARG), l’API de type Kusto pour toutes vos ressources : une requête peut extraire une analyse spécifique.

Comment puis-je vérifier quel type de support mes conteneurs utilisent ?

Pour vérifier un type d'image, vous devez utiliser un outil capable de vérifier le manifeste d'image brute tel que skopeo et d'inspecter le format d'image brute.

  • Pour le format Docker v2, le type de média manifeste serait application/vnd.docker.distribution.manifest.v1+json ou application/vnd.docker.distribution.manifest.v2+json, comme documenté ici.
  • Pour le format d'image OCI, le type de média manifeste serait application/vnd.oci.image.manifest.v1+json et le type de média de configuration application/vnd.oci.image.config.v1+json, comme documenté ici.

Quelles sont les extensions pour la gestion de la posture de conteneur sans agent ?

Il existe deux extensions qui fournissent des fonctionnalités CSPM sans agent :

  • Évaluations des vulnérabilités de conteneur sans agent : fournit des évaluations des vulnérabilités de conteneurs sans agent. En savoir plus sur l’évaluation des vulnérabilités des conteneurs.
  • Découverte sans agent pour Kubernetes : fournit la découverte, basée sur une API, d’informations sur l’architecture du cluster Kubernetes, les objets de charge de travail et la configuration.

Comment intégrer plusieurs abonnements à la fois ?

Pour intégrer plusieurs abonnements à la fois, vous pouvez utiliser ce script.

Pourquoi les résultats ne sont-ils pas visibles depuis mes clusters ?

Si vous ne voyez pas les résultats dans vos clusters, vérifiez les questions suivantes :

  • Avez-vous des clusters arrêtés ?
  • Vos groupes de ressources, abonnements ou clusters sont-ils verrouillés ? Si la réponse à l’une de ces questions est oui, veuillez consulter les réponses dans les questions suivantes.

Que puis-je faire si j’ai arrêté des clusters ?

Nous ne prenons pas en charge ou ne facturons pas les clusters arrêtés. Pour obtenir la valeur des fonctionnalités sans agent sur un cluster à l’arrêt, vous pouvez redémarrer le cluster.

Que faire si j’ai verrouillé des groupes de ressources, des abonnements ou des clusters ?

Nous vous suggérons de déverrouiller le groupe de ressources/abonnement/cluster verrouillé, d’effectuer manuellement les requêtes appropriées, puis de verrouiller à nouveau le groupe de ressources/abonnement/cluster en procédant comme suit :

  1. Activez l’indicateur de fonctionnalité manuellement via l’interface CLI en tirant parti de l’Accès approuvé.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. Effectuez l’opération de liaison dans l’interface CLI :
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

Pour les clusters verrouillés, vous pouvez aussi effectuer une des étapes suivantes :

  • Supprimer le verrou.
  • Réaliser l’opération de liaison manuellement en effectuant une requête d’API. Découvrez-en plus sur les ressources verrouillées.

Utilisez-vous une version mise à jour d’AKS ?

Quel est l’intervalle d’actualisation pour la Détection sans agent de Kubernetes ?

Il peut s’écouler jusqu’à 24 heures avant que les modifications ne se reflètent dans le graphique de sécurité, les chemins d’attaque et l’explorateur de sécurité.

Comment faire pour mettre à niveau l’évaluation des vulnérabilités Trivy mise hors service vers l’évaluation des vulnérabilités AWS alimentée par Microsoft Defender Vulnerability Management ?

Les étapes suivantes suppriment la recommandation de registre unique alimentée par Trivy, puis ajoutent les nouvelles recommandations de registre et d’exécution alimentées par MDVM.

  1. Ouvrez le connecteur AWS approprié.
  2. Ouvrez la page Paramètres de Defender pour les conteneurs.
  3. Activez Évaluation des vulnérabilités de conteneur sans agent.
  4. Effectuez les étapes de l’Assistant connecteur, y compris le déploiement du nouveau script d’intégration dans AWS.
  5. Supprimez manuellement les ressources créées lors de l’intégration :
    • Compartiment S3 avec le préfixe defender-for-containers-va
    • Cluster ECS avec le nom defender-for-containers-va
    • VPC :
      • Balise name avec la valeur defender-for-containers-va
      • CIDR du sous-réseau IP 10.0.0.0/16
      • Associé au groupe de sécurité par défaut avec la balise name et la valeur defender-for-containers-va qui a une règle de tout le trafic entrant.
      • Sous-réseau avec la balise name et la valeur defender-for-containers-va dans le defender-for-containers-va VPC avec le sous-réseau IP CIDR 10.0.1.0/24 utilisé par le cluster ECS defender-for-containers-va
      • Passerelle Internet avec la balise name et la valeur defender-for-containers-va
      • Table de routage - Table de routage avec la balise name et la valeur defender-for-containers-va, et avec les itinéraires suivants :
        • Destination : 0.0.0.0/0; Cible : Passerelle Internet avec la balise name et la valeur defender-for-containers-va
        • Destination : 10.0.0.0/16; Cible: local

Pour obtenir des évaluations des vulnérabilités pour l’exécution d’images, activez Découverte sans agent pour Kubernetes ou déployez le capteur Defender sur vos clusters Kubernetes.