Valutazioni delle vulnerabilità per AWS con Gestione delle vulnerabilità di Microsoft Defender
La valutazione della vulnerabilità per AWS, basata su Gestione delle vulnerabilità di Microsoft Defender, è una soluzione predefinita che consente ai team di sicurezza di individuare e correggere facilmente le vulnerabilità nelle immagini dei contenitori Linux, con zero configurazione per l'onboarding e senza distribuzione di sensori.
Nota
Questa funzionalità supporta l'analisi delle immagini solo nell'ECR. Le immagini archiviate in altri registri contenitori devono essere importate in ECR per la copertura. Informazioni su come importare immagini del contenitore in un registro contenitori.
In ogni account in cui viene completata l'abilitazione di questa funzionalità, tutte le immagini archiviate in ECR che soddisfano i criteri per i trigger di analisi vengono analizzate per individuare le vulnerabilità senza alcuna configurazione aggiuntiva di utenti o registri. Le raccomandazioni con report sulle vulnerabilità vengono fornite per tutte le immagini in ECR, nonché per le immagini attualmente in esecuzione nel servizio Azure Kubernetes estratte da un registro ECR o da qualsiasi altro registro Defender per il cloud supportato (ACR, GCR o GAR). Le immagini vengono analizzate poco dopo l'aggiunta a un registro e analizzate nuovamente per individuare nuove vulnerabilità ogni 24 ore.
La valutazione della vulnerabilità dei contenitori all’interno di Gestione delle vulnerabilità di Microsoft Defender offre le funzionalità seguenti:
Analisi dei pacchetti del sistema operativo: la valutazione della vulnerabilità dei contenitori consente di analizzare le vulnerabilità nei pacchetti installati dalla gestione pacchetti del sistema operativo nei sistemi operativi Linux e Windows. Vedere l'elenco completo del sistema operativo supportato e delle relative versioni.
Pacchetti specifici della lingua , solo Linux, supporto per pacchetti e file specifici della lingua e le relative dipendenze installate o copiate senza gestione pacchetti del sistema operativo. Vedere l'elenco completo delle lingue supportate.
Informazioni sull'exploit: ogni report sulla vulnerabilità viene cercato tramite database di sfruttabilità per aiutare i clienti a determinare il rischio effettivo associato a ogni vulnerabilità segnalata.
Reporting - Valutazione della vulnerabilità dei contenitori per AWS con tecnologia Gestione delle vulnerabilità di Microsoft Defender fornisce report sulle vulnerabilità usando le raccomandazioni seguenti:
Queste sono le nuove raccomandazioni di anteprima che segnalano vulnerabilità del contenitore di runtime e vulnerabilità dell'immagine del Registro di sistema. Queste nuove raccomandazioni non vengono conteggiati per il punteggio di sicurezza durante l'anteprima. Il motore di analisi per tali nuove raccomandazioni è identico a quello delle raccomandazioni di disponibilità generale correnti e fornisce gli stessi risultati. Questi consigli sono più adatti per i clienti che usano la nuova visualizzazione basata sul rischio per le raccomandazioni e hanno abilitato il piano CSPM di Defender.
Suggerimento | Descrizione | Chiave di valutazione |
---|---|---|
[Anteprima] Le immagini dei contenitori nel registro AWS devono avere i risultati della vulnerabilità risolti | Defender per il cloud analizza le immagini del Registro di sistema per individuare vulnerabilità note (CVE) e fornisce risultati dettagliati per ogni immagine analizzata. L'analisi e la correzione delle vulnerabilità per le immagini dei contenitori nel registro consentono di mantenere una catena di approvvigionamento software sicura e affidabile, riduce il rischio di eventi imprevisti di sicurezza e garantisce la conformità agli standard del settore. | 2a139383-ec7e-462a-90ac-b1b60e87d576 |
[Anteprima] I risultati delle vulnerabilità dei contenitori in esecuzione in AWS devono essere risolti | Defender per il cloud crea un inventario di tutti i carichi di lavoro dei contenitori attualmente in esecuzione nei cluster Kubernetes e fornisce report sulle vulnerabilità per tali carichi di lavoro associando le immagini usate e i report sulle vulnerabilità creati per le immagini del Registro di sistema. L'analisi e la correzione delle vulnerabilità dei carichi di lavoro dei contenitori è fondamentale per garantire una catena di approvvigionamento software affidabile e sicura, ridurre il rischio di incidenti di sicurezza e garantire la conformità agli standard di settore. | 8749bb43-cd24-4cf9-848c-2a50f632043c |
Queste raccomandazioni sulla disponibilità generale corrente segnalano le vulnerabilità nei contenitori contenuti in un cluster Kubernetes e nelle immagini del contenitore contenute in un registro contenitori. Queste raccomandazioni sono più adatte per i clienti che usano la visualizzazione classica per le raccomandazioni e non hanno il piano CSPM di Defender abilitato.
Suggerimento | Descrizione | Chiave di valutazione |
---|---|---|
Le immagini del contenitore del registro AWS devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | Analizza le immagini del contenitore dei registri AWS per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | c27441ae-775c-45be-8ffa-655de37362ce |
Le immagini del contenitore in esecuzione AWS devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Elastic Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | 682b2595-d045-4cff-b5aa-46624eb2dd8f |
Eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph : possibilità di eseguire query sulle informazioni sulle vulnerabilità tramite Azure Resource Graph. Informazioni su come eseguire query sulle raccomandazioni tramite ARG.
Eseguire query sui risultati dell'analisi tramite l'API REST : informazioni su come eseguire query sui risultati dell'analisi tramite l'API REST.
Trigger di analisi
I trigger per un'analisi di immagini sono:
Trigger monouso:
- Ogni immagine sottoposta a push in un registro contenitori viene attivata per l'analisi. Nella maggior parte dei casi, l'analisi viene completata entro poche ore, ma in rari casi potrebbe richiedere fino a 24 ore.
- Ogni immagine estratta da un registro viene attivata per essere analizzata entro 24 ore.
Attivazione continua per ripetere l'analisi: è necessaria una nuova analisi continua per assicurarsi che le immagini analizzate in precedenza per individuare le vulnerabilità vengano analizzate di nuovo per aggiornare i report sulle vulnerabilità nel caso in cui venga pubblicata una nuova vulnerabilità.
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
- Le immagini inserite negli ultimi 90 giorni.
- Le immagini estratte negli ultimi 30 giorni.
- Immagini attualmente in esecuzione nei cluster Kubernetes monitorati da Defender per il cloud (tramite l'individuazione senza agente per Kubernetes o il sensore Defender).
- La ripetizione dell'analisi viene eseguita una volta al giorno per:
Come funziona l'analisi delle immagini?
Una descrizione dettagliata del processo di analisi è descritta di seguito:
Quando si abilita la valutazione della vulnerabilità dei contenitori per AWS con tecnologia Gestione delle vulnerabilità di Microsoft Defender, si autorizza Defender per il cloud a analizzare le immagini dei contenitori nei registri contenitori elastici.
Defender per il cloud individua automaticamente tutti i registri dei contenitori, i repository e le immagini (creati prima o dopo l'abilitazione di questa funzionalità).
Una volta al giorno e per le nuove immagini inserite in un registro:
- Tutte le immagini appena individuate vengono estratte e viene creato un inventario per ogni immagine. L'inventario delle immagini viene mantenuto per evitare ulteriori pull di immagini, a meno che non siano necessarie nuove funzionalità dello scanner.
- Usando l'inventario, i report sulle vulnerabilità vengono generati per le nuove immagini e aggiornati per le immagini analizzate in precedenza che sono state estratte negli ultimi 90 giorni a un registro, o sono attualmente in esecuzione. Per determinare se un'immagine è attualmente in esecuzione, Defender per il cloud usa l'individuazione senza agente per Kubernetes e l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi del servizio Azure Kubernetes
- I report sulle vulnerabilità per le immagini del contenitore del registro vengono forniti come raccomandazione.
Per i clienti che usano l'individuazione senza agente per Kubernetes o l'inventario raccolti tramite il sensore Defender in esecuzione nei nodi del servizio Azure Kubernetes, Defender per il cloud crea anche una raccomandazione per correggere le vulnerabilità per le immagini vulnerabili in esecuzione in un cluster del servizio Azure Kubernetes. Per i clienti che usano solo l'individuazione senza agente per Kubernetes, il tempo di aggiornamento per l'inventario in questa raccomandazione è una volta ogni sette ore. I cluster che eseguono anche il sensore Defender traggono vantaggio da una frequenza di aggiornamento dell'inventario di due ore. I risultati dell'analisi delle immagini vengono aggiornati in base all'analisi del registro in entrambi i casi e, pertanto, vengono aggiornati solo ogni 24 ore.
Nota
Per i registri contenitori di Defender per contenitori (deprecato), le immagini vengono analizzate una volta al push, al pull e analizzate di nuovo una sola volta alla settimana.
Se si rimuove un'immagine dal registro, quanto tempo ci vorrà prima che i report sulle vulnerabilità di quell'immagine vengano rimossi?
Sono necessarie 30 ore dopo l'eliminazione di un'immagine da ECR prima che i report vengano rimossi.
Passaggi successivi
- Altre informazioni sui piani Defender di Defender per il cloud.
- Vedere domande comuni su Defender per contenitori.