Оценки уязвимостей для AWS с Управление уязвимостями Microsoft Defender

Оценка уязвимостей для AWS, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров Linux с нулевой конфигурацией для подключения и без развертывания датчиков.

Примечание.

Эта функция поддерживает только сканирование изображений в ECR. Изображения, хранящиеся в других реестрах контейнеров, следует импортировать в ECR для покрытия. Узнайте, как импортировать образы контейнеров в реестр контейнеров.

В каждой учетной записи, в которой включена эта возможность, все образы, хранящиеся в ECR, которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех образов в ECR, а также образов, которые в настоящее время выполняются в EKS, которые были извлечены из реестра ECR или любого другого Defender для облака поддерживаемого реестра (ACR, GCR или GAR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.

Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:

  • Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность проверять уязвимости в пакетах, установленных диспетчером пакетов ОС в операционных системах Linux и Windows. Полный список поддерживаемых ОС и их версий.

  • Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.

  • Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.

  • Отчеты. Оценка уязвимостей контейнеров для AWS с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:

Это новые рекомендации предварительной версии, которые сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра. Эти новые рекомендации не учитываются в отношении оценки безопасности во время предварительной версии. Модуль сканирования для этих новых рекомендаций совпадает с текущими рекомендациями по общедоступной версии и предоставляет те же результаты. Эти рекомендации лучше всего подходят для клиентов, использующих новое представление на основе рисков для рекомендаций и включенный план CSPM Defender.

Рекомендация Description Ключ оценки
[предварительная версия] Образы контейнеров в реестре AWS должны быть устранены с результатами уязвимостей. Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. 2a139383-ec7e-462a-90ac-b1b60e87d576
[предварительная версия] Контейнеры, работающие в AWS, должны иметь устраненные результаты уязвимостей Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. 8749bb43-cd24-4cf9-848c-2a50f632043c

Эти текущие рекомендации по общедоступной версии сообщают об уязвимостях в контейнерах, содержащихся в кластере Kubernetes, и на образах контейнеров, содержащихся в реестре контейнеров. Эти рекомендации лучше всего подходят для клиентов, использующих классическое представление рекомендаций и не включающих план CSPM Defender.

Рекомендация Description Ключ оценки
Образы контейнеров реестра AWS должны иметь устраненные результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) Сканирует образы контейнеров реестров AWS для известных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. c27441ae-775c-45be-8ffa-655de37362ce
Для образов контейнеров aws, на которых выполняются образы контейнеров, должны быть устранены результаты уязвимостей (на основе Управление уязвимостями Microsoft Defender) Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Elastic Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. 682b2595-d045-4cff-b5aa-46624eb2dd8f
  • Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.

  • Результаты сканирования запросов с помощью REST API — узнайте, как запрашивать результаты сканирования с помощью REST API.

Триггеры сканирования

Триггеры для сканирования изображений:

  • Одноразовая активация:

    • Каждый образ, отправленный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких часов, но в редких случаях может занять до 24 часов.
    • Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
  • Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.

    • Повторная проверка выполняется один раз в день:
      • Изображения, отправленные за последние 90 дней.
      • Изображения извлеклись за последние 30 дней.
      • Образы, работающие в кластерах Kubernetes, отслеживаемые Defender для облака (с помощью обнаружения без агента для Kubernetes или датчика Defender).

Как работает сканирование изображений?

Подробное описание процесса сканирования описано следующим образом:

Примечание.

Для Defender для реестров контейнеров (не рекомендуется) изображения сканируются один раз при отправке, на вытягивании и повторно сканируются только один раз в неделю.

Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?

До удаления отчетов требуется 30 часов после удаления образа из ECR.

Следующие шаги