Obtenha respostas para perguntas comuns sobre a proteção de contêineres
Quais são as opções para viabilizar o novo plano em escala?
Você pode usar a Política Configure Microsoft Defender for Containers to be enabled
do Azure , para habilitar o Defender for Containers em escala. Você também pode ver todas as opções disponíveis para habilitar o Microsoft Defender for Containers.
O Microsoft Defender para Contentores suporta clusters do AKS com conjuntos de dimensionamento de máquinas virtuais?
Sim.
O Microsoft Defender para Contentores suporta AKS sem conjunto de dimensionamento (predefinição)?
N.º Apenas clusters do Azure Kubernetes Service (AKS) que utilizam Conjuntos de Dimensionamento de Máquinas Virtuais para os nós são suportados.
Tenho de instalar a extensão de VM do Log Analytics nos meus nós do AKS para proteção de segurança?
Não, o AKS é um serviço gerido e a manipulação dos recursos de IaaS não é suportada. A extensão de VM do Log Analytics não é necessária e pode resultar em cobranças extras.
Como posso utilizar a minha área espaço de trabalho do Log Analytics existente?
Você pode usar seu espaço de trabalho existente do Log Analytics seguindo as etapas na seção Atribuir um espaço de trabalho personalizado deste artigo.
Posso excluir os espaços de trabalho padrão criados pelo Defender for Cloud?
Não recomendamos excluir o espaço de trabalho padrão. O Defender for Containers usa os espaços de trabalho padrão para coletar dados de segurança de seus clusters. O Defender for Containers não poderá coletar dados, e algumas recomendações e alertas de segurança ficarão indisponíveis se você excluir o espaço de trabalho padrão.
Eu excluí meu espaço de trabalho padrão, como posso recuperá-lo?
Para recuperar seu espaço de trabalho padrão, você precisa remover o sensor Defender e reinstalá-lo. A reinstalação do sensor Defender cria um novo espaço de trabalho padrão.
Onde está localizado o espaço de trabalho padrão do Log Analytics?
Dependendo da sua região, o espaço de trabalho padrão do Log Analytics pode estar localizado em vários locais. Para verificar sua região, consulte Onde o espaço de trabalho padrão do Log Analytics é criado?
Minha organização exige que eu marque meus recursos, e o sensor necessário não foi instalado, o que deu errado?
O sensor do Defender usa o espaço de trabalho de análise de log para enviar dados de seus clusters Kubernetes para o Defender for Cloud. O Defender for Cloud adiciona o espaço de trabalho analítico Log e o grupo de recursos como um parâmetro a ser usado pelo sensor.
No entanto, se sua organização tiver uma política que exija uma tag específica em seus recursos, isso poderá fazer com que a instalação do sensor falhe durante o grupo de recursos ou o estágio de criação do espaço de trabalho padrão. Se falhar, pode:
Atribua um espaço de trabalho personalizado e adicione qualquer tag que sua organização requeira.
ou
Se a sua empresa exigir que etiquete o seu recurso, deverá navegar até essa política e eliminar os seguintes recursos:
- O grupo de recursos
DefaultResourceGroup-<RegionShortCode>
- O espaço de trabalho
DefaultWorkspace-<sub-id>-<RegionShortCode>
RegionShortCode é uma cadeia de 2 a 4 letras.
- O grupo de recursos
Como o Defender para Contentores analisa uma imagem?
O Defender for Containers extrai a imagem do Registro e a executa em uma área restrita isolada com o Gerenciamento de Vulnerabilidades do Microsoft Defender para ambientes multicloud. O scanner extrai uma lista de vulnerabilidades conhecidas.
O Defender para a Cloud filtra e classifica os resultados do scanner. Quando uma imagem está em bom estado de funcionamento, o Defender para a Cloud marca-a como tal. O Defender para a Cloud gera recomendações de segurança apenas para imagens que têm problemas a resolver. Ao notificá-lo apenas quando existem problemas, o Defender para a Cloud reduz o potencial de alertas informativos indesejados.
Como posso identificar eventos de pull realizados pelo scanner?
Para identificar eventos pull executados pelo scanner, execute as seguintes etapas:
- Procure eventos pull com o UserAgent do AzureContainerImageScanner.
- Extraia a identidade associada a este evento.
- Use a identidade extraída para identificar eventos pull do scanner.
Qual é a diferença entre Recursos Não Aplicáveis e Recursos Não Verificados?
- Recursos não aplicáveis são recursos para os quais a recomendação não pode dar uma resposta definitiva. A guia não aplicável inclui motivos para cada recurso que não pôde ser avaliado.
- Recursos não verificados são recursos programados para serem avaliados, mas ainda não avaliados.
Por que o Defender for Cloud está me alertando sobre vulnerabilidades sobre uma imagem que não está no meu registro?
Algumas imagens podem reutilizar tags de uma imagem que já foi digitalizada. Por exemplo, você pode reatribuir a tag "Mais recente" toda vez que adicionar uma imagem a um resumo. Nesses casos, a imagem "antiga" ainda existe no registro e ainda pode ser puxada por seu resumo. Se a imagem tiver descobertas de segurança e for extraída, ela exporá vulnerabilidades de segurança.
O Defender for Containers verifica imagens no Microsoft Container Registry?
Atualmente, o Defender for Containers pode digitalizar imagens somente no Azure Container Registry (ACR) e no AWS Elastic Container Registry (ECR). Não há suporte para o Docker Registry, o Microsoft Artifact Registry/Microsoft Container Registry e o registro de imagem de contêiner interno do Microsoft Azure Red Hat OpenShift (ARO). As imagens devem primeiro ser importadas para o ACR. Saiba mais sobre como importar imagens de contêiner para um registro de contêiner do Azure.
Posso obter os resultados da verificação via API REST?
Sim. Os resultados estão em Subavaliações REST API. Além disso, você pode usar o Azure Resource Graph (ARG), a API semelhante ao Kusto para todos os seus recursos: uma consulta pode buscar uma verificação específica.
Como faço para verificar qual tipo de mídia meus contêineres estão usando?
Para verificar um tipo de imagem, você precisa usar uma ferramenta que possa verificar o manifesto da imagem bruta, como o skopeo, e inspecionar o formato da imagem bruta.
- Para o formato Docker v2, o tipo de mídia de manifesto seria application/vnd.docker.distribution.manifest.v1+json ou application/vnd.docker.distribution.manifest.v2+json, conforme documentado aqui.
- Para o formato de imagem OCI, o tipo de mídia de manifesto seria application/vnd.oci.image.manifest.v1+json e config media type application/vnd.oci.image.config.v1+json, conforme documentado aqui.
Quais são as extensões para o gerenciamento de postura de contêiner sem agente?
Há duas extensões que fornecem a funcionalidade CSPM sem agente:
- Avaliações de vulnerabilidade de contêineres sem agente: fornece avaliações de vulnerabilidade de contêineres sem agente. Saiba mais sobre a avaliação de vulnerabilidade do Contêiner sem agente.
- Descoberta sem agente para Kubernetes: fornece descoberta baseada em API de informações sobre arquitetura de cluster do Kubernetes, objetos de carga de trabalho e configuração.
Como posso integrar várias subscrições de uma só vez?
Para integrar várias assinaturas ao mesmo tempo, você pode usar esse script.
Por que não vejo os resultados dos meus clusters?
Se não vir os resultados dos seus clusters, verifique as seguintes perguntas:
- Vocês pararam os clusters?
- Os seus grupos de recursos, subscrições ou clusters estão bloqueados? Se a resposta a qualquer uma destas perguntas for sim, ver as respostas nas perguntas seguintes.
O que posso fazer se tiver interrompido clusters?
Não suportamos nem carregamos clusters parados. Para obter o valor das capacidades sem agente num cluster parado, pode voltar a executar o cluster.
O que devo fazer se tiver grupos de recursos, subscrições ou clusters bloqueados?
Sugerimos que você desbloqueie o grupo/assinatura/cluster de recursos bloqueado, faça as solicitações relevantes manualmente e, em seguida, bloqueie novamente o grupo/assinatura/cluster de recursos fazendo o seguinte:
- Habilite o sinalizador de recurso manualmente via CLI usando o Acesso Confiável.
“az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview”
- Execute a operação de ligação na CLI:
az account set -s <SubscriptionId> az extension add --name aks-preview az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles "Microsoft.Security/pricings/microsoft-defender-operator"
Para clusters bloqueados, você também pode executar uma das seguintes etapas:
- Remova a fechadura.
- Execute a operação de ligação manualmente fazendo uma solicitação de API. Saiba mais sobre recursos bloqueados.
Você está usando uma versão atualizada do AKS?
Qual é o intervalo de atualização para a descoberta sem agente do Kubernetes?
Pode levar até 24 horas para que as alterações reflitam no gráfico de segurança, nos caminhos de ataque e no explorador de segurança.
Como faço upgrade da avaliação de vulnerabilidade Trivy aposentada para a avaliação de vulnerabilidade da AWS fornecida pelo Microsoft Defender Vulnerability Management?
As etapas a seguir removerão a recomendação de registro único alimentada pelo Trivy e adicionarão as novas recomendações de registro e tempo de execução que são alimentadas pelo MDVM.
- Abra o conector da AWS relevante.
- Abra a página Configurações do Defender for Containers.
- Habilite a avaliação de vulnerabilidade de contêiner sem agente.
- Conclua as etapas do assistente de conector, incluindo a implantação do novo script de integração na AWS.
- Exclua manualmente os recursos criados durante a integração:
- Bucket do S3 com o prefixo defender-for-containers-va
- Cluster ECS com o nome defender-for-containers-va
- VPC:
- Marcar
name
com o valordefender-for-containers-va
- Sub-rede IP CIDR 10.0.0.0/16
- Associado ao security group padrão com a tag
name
e o valordefender-for-containers-va
que tem uma regra de todo o tráfego de entrada. - Sub-rede com a tag
name
e o valordefender-for-containers-va
nadefender-for-containers-va
VPC com a sub-rede IP CIDR 10.0.1.0/24 usada pelo cluster ECSdefender-for-containers-va
- Internet Gateway com a tag
name
e o valordefender-for-containers-va
- Tabela de rotas - Tabela de rotas com a tag
name
e o valordefender-for-containers-va
, e com estas rotas:- Destino:
0.0.0.0/0
; Destino: Gateway da Internet com a tagname
e o valordefender-for-containers-va
- Destino:
10.0.0.0/16
; Público-alvo:local
- Destino:
- Marcar
Para obter avaliações de vulnerabilidade para imagens em execução, habilite a descoberta sem agente para Kubernetes ou implante o sensor Defender em seus clusters Kubernetes.