Microsoft Defender 脆弱性の管理を使用した AWS の脆弱性評価

Microsoft Defender 脆弱性の管理を利用した AWS の脆弱性評価は、セキュリティ チームが、オンボードのための構成不要かつセンサーのデプロイもなしで Linux コンテナー イメージの脆弱性を簡単に検出し修復することを可能にする、すぐに使用できるソリューションです。

この機能の有効化が完了しているすべてのアカウントで、ECR に保存されている、スキャン トリガーの基準を満たしているすべてのイメージに対して脆弱性のスキャンが行われます。ユーザーやレジストリの追加の構成は必要ありません。 脆弱性レポートを含む推奨事項は、ECR 内のすべてのイメージと、ECR レジストリまたは Defender for Cloud でサポートされている他のレジストリ (ACR、GCR、または GAR) からプルされた EKS で現在実行されているイメージに対して提供されます。 イメージはレジストリに追加された直後にスキャンされ、24 時間ごとに新しい脆弱性について再スキャンされます。

Microsoft Defender 脆弱性の管理を利用したコンテナーの脆弱性評価には、次の機能があります。

• OS パッケージのスキャン - コンテナーの脆弱性評価には、Linux および Windows オペレーティング・システムの OS パッケージ マネージャーによりインストールされたパッケージでの脆弱性をスキャンする機能があります。 サポートされている OS とそのバージョンの完全な一覧を参照してください。

• 言語固有のパッケージ - Linux のみ - 言語固有のパッケージとファイル、および OS パッケージ マネージャーなしでインストールまたはコピーされた依存関係のサポート。 サポートされている言語の完全な一覧を確認してください。

• 悪用可能性情報 - 各脆弱性レポートは、報告された各脆弱性に関連する実際のリスクを判断するのに役立つように、悪用可能性データベースを通じて検索されます。

• レポート - Microsoft Defender 脆弱性の管理を利用した AWS のコンテナー脆弱性評価では、次の推奨事項を使用して脆弱性レポートを提供します。

これらは、ランタイム コンテナーの脆弱性とレジストリ イメージの脆弱性について報告する新しいプレビューの推奨事項です。 これらの新しい推奨事項は、プレビュー段階ではセキュア スコアにはカウントされません。 これらの新しい推奨事項のスキャン エンジンは、現行の GA 推奨事項と同じで、同じ結果が提供されます。 これらの推奨事項は、推奨事項に新しいリスクベースのビューを使用し、Defender CSPM プランを有効にしているお客様に最適です。

現在の GA 推奨事項では、Kubernetes クラスター内に含まれるコンテナーや、コンテナー レジストリに含まれるコンテナー イメージの脆弱性について報告しています。 これらの推奨事項は、推奨事項にクラシック ビューを使用し、Defender CSPM プランを有効にしていないお客様に最適です。

• Azure Resource Graph を使用して脆弱性情報のクエリを実行する - Azure Resource Graph を使用して脆弱性情報に対してクエリを実行する機能。 ARG を介して推奨事項のクエリを実行する方法をご確認ください。

• REST API を使用してスキャン結果をクエリする - REST API を使用してスキャン結果をクエリする方法について説明します。

スキャン トリガー

イメージ スキャンのトリガーは次のとおりです。

• 1 回限りのトリガー:

  • コンテナー レジストリにプッシュされた各イメージは、スキャンされるようにトリガーされます。 ほとんどの場合、スキャンは数時間以内に完了しますが、まれに、最大で 24 時間かかる場合があります。
  • レジストリからプルされた各イメージは、24 時間以内にスキャンされるようにトリガーされます。

• 継続的な再スキャン トリガー - 新しい脆弱性が公開された場合に、脆弱性について以前にスキャンされたイメージが再スキャンされて脆弱性レポートが更新されるようにするには、継続的な再スキャンが必要です。

  • 再スキャンは、次に対して 1 日に 1 回実行されます。
    • 過去 90 日間にプッシュされたイメージ。
    • 過去 30 日間にプルされたイメージ。
    • Defender for Cloud によって監視されている Kubernetes クラスターで現在実行されているイメージ (Kubernetes のエージェントレス検出または Defender センサーのどちらかを使用)。

イメージスキャンのしくみ

スキャン プロセスの詳細な説明は次のとおりです。

• Microsoft Defender 脆弱性の管理を利用した AWS のコンテナー脆弱性評価を有効にするときに、Defender for Cloud が Elastic Container Registry 内のコンテナー イメージをスキャンすることを承認します。

• Defender for Cloud により、(この機能を有効にする前または後に作成された) すべてのコンテナー レジストリ、リポジトリ、イメージが自動的に検出されます。

• 1 日に 1 回、レジストリにプッシュされた新しいイメージの場合:

  • 新しく検出されたすべてのイメージがプルされ、イメージごとにインベントリが作成されます。 新しいスキャナー機能で必要になる場合を除き、これ以上のイメージ プルを回避するためにイメージ インベントリが保持されます。
  • インベントリを使用すると、新しいイメージに対して脆弱性レポートが生成され、過去 90 日間にレジストリにプッシュされたか現在実行中の、以前にスキャンされたイメージに対して更新されます。 イメージが現在実行中かどうかを確認するために、Defender for Cloud では、Kubernetes のエージェントレス検出、および EKS ノードで実行されている Defender センサーを介して収集されたインベントリの両方が使用されます
  • リポジトリ コンテナー イメージの脆弱性レポートは推奨事項として提供されます。

• Kubernetes のエージェントレス検出または EKS ノードで実行されている Defender センサーを介して収集されたインベントリを使用しているお客様の場合、Defender for Cloud により、EKS クラスターで実行されている脆弱なイメージの脆弱性を修復するための推奨事項も作成されます。 Kubernetes のエージェントレス検出のみを使用しているお客様の場合、この推奨事項のインベントリの更新時間は 7 時間に 1 回です。 Defender センサーも実行しているクラスターには、2 時間のインベントリ更新頻度のメリットがあります。 イメージ スキャンの結果は、どちらの場合もレジストリ スキャンに基づいて更新されるため、24 時間ごとにのみ更新されます。

レジストリからイメージを削除すると、そのイメージに関する脆弱性レポートが削除されるまでにどれくらいの時間がかかりますか?

ECR からイメージが削除されてからレポートが削除されるまでに 30 時間かかります。

次のステップ

• 詳細については、Defender for Cloud Defender プランに関する説明を参照してください。
• Defender for Containers に関する一般的な質問をご確認ください。