Kapsayıcıları koruma hakkında sık sorulan sorular

Kapsayıcıları koruma hakkında sık sorulan soruların yanıtlarını alın

Yeni planı uygun ölçekte etkinleştirme seçenekleri nelerdir?

Kapsayıcılar için Defender'ı uygun ölçekte etkinleştirmek için Azure İlkesi Configure Microsoft Defender for Containers to be enabledkullanabilirsiniz. Kapsayıcılar için Microsoft Defender'ı etkinleştirmek için kullanılabilen tüm seçenekleri de görebilirsiniz.

Kapsayıcılar için Microsoft Defender, sanal makine ölçek kümelerine sahip AKS kümelerini destekliyor mu?

Evet.

Kapsayıcılar için Microsoft Defender, ölçek kümesi (varsayılan) olmadan AKS'yi destekliyor mu?

Hayır Yalnızca düğümler için Sanal Makine Ölçek Kümeleri kullanan Azure Kubernetes Service (AKS) kümeleri desteklenir.

Güvenlik koruması için AKS düğümlerime Log Analytics VM uzantısını yüklemem gerekiyor mu?

Hayır, AKS yönetilen bir hizmettir ve IaaS kaynaklarının değiştirilmesi desteklenmez. Log Analytics VM uzantısı gerekli değildir ve ek ücrete neden olabilir.

Mevcut Log Analytics çalışma alanımı nasıl kullanabilirim?

Bu makalenin Özel çalışma alanı çalışma alanı atama bölümündeki adımları izleyerek mevcut Log Analytics çalışma alanınızı kullanabilirsiniz.

Bulut için Defender tarafından oluşturulan varsayılan çalışma alanlarını silebilir miyim?

Varsayılan çalışma alanını silmenizi önermiyoruz. Kapsayıcılar için Defender, kümelerinizden güvenlik verilerini toplamak için varsayılan çalışma alanlarını kullanır. Kapsayıcılar için Defender veri toplayamaz ve varsayılan çalışma alanını silerseniz bazı güvenlik önerileri ve uyarıları kullanılamaz duruma gelir.

Varsayılan çalışma alanımı sildim, nasıl geri alabilirim?

Varsayılan çalışma alanınızı kurtarmak için Defender algılayıcısını kaldırmanız ve algılayıcıyı yeniden yüklemeniz gerekir. Defender algılayıcısını yeniden yüklemek yeni bir varsayılan çalışma alanı oluşturur.

Varsayılan Log Analytics çalışma alanı nerede bulunur?

Bölgenize bağlı olarak, varsayılan Log Analytics çalışma alanı çeşitli konumlarda bulunabilir. Bölgenizi denetlemek için bkz. Varsayılan Log Analytics çalışma alanı nerede oluşturulur?

Kuruluşum kaynaklarımı etiketlememi gerektiriyor ve gerekli algılayıcı yüklenmedi, ne oldu?

Defender algılayıcısı, Kubernetes kümelerinizden Bulut için Defender'a veri göndermek için Log analytics çalışma alanını kullanır. Bulut için Defender, Log analytic çalışma alanını ve kaynak grubunu algılayıcının kullanması için parametre olarak ekler.

Ancak, kuruluşunuzun kaynaklarınızda belirli bir etiket gerektiren bir ilkesi varsa, bu durum algılayıcı yüklemesinin kaynak grubu veya varsayılan çalışma alanı oluşturma aşamasında başarısız olmasına neden olabilir. Başarısız olursa şunları yapabilirsiniz:

  • Özel bir çalışma alanı atayın ve kuruluşunuzun gerektirdiği herhangi bir etiketi ekleyin.

    veya

  • Şirketiniz kaynağınızı etiketlemenizi gerektiriyorsa bu ilkeye gitmeniz ve aşağıdaki kaynakları dışlamanız gerekir:

    1. Kaynak grubu DefaultResourceGroup-<RegionShortCode>
    2. Çalışma Alanı DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode 2-4 harfli bir dizgidir.

Kapsayıcılar için Defender bir görüntüyü nasıl tarar?

Kapsayıcılar için Defender, görüntüyü kayıt defterinden çeker ve çok bulutlu ortamlar için Microsoft Defender Güvenlik Açığı Yönetimi içeren yalıtılmış bir korumalı alanda çalıştırır. Tarayıcı, bilinen güvenlik açıklarının listesini ayıklar.

Bulut için Defender tarayıcıdaki bulguları filtreler ve sınıflandırır. Görüntü iyi durumdayken Bulut için Defender, bunu bu şekilde işaretler. Bulut için Defender yalnızca çözülmesi gereken sorunları olan görüntüler için güvenlik önerileri oluşturur. Bulut için Defender, yalnızca sorun olduğunda sizi bilgilendirerek istenmeyen bilgilendirme uyarıları olasılığını azaltır.

Tarayıcı tarafından gerçekleştirilen çekme olaylarını nasıl belirleyebilirim?

Tarayıcı tarafından gerçekleştirilen çekme olaylarını belirlemek için aşağıdaki adımları uygulayın:

  1. AzureContainerImageScanner UserAgent ile çekme olayları arayın.
  2. Bu olayla ilişkili kimliği ayıklayın.
  3. Ayıklanan kimliği kullanarak tarayıcıdan çekme olaylarını belirleyin.

Geçerli Olmayan Kaynaklar ile İyileştirilmemiş Kaynaklar arasındaki fark nedir?

  • Geçerli olmayan kaynaklar , önerinin kesin bir yanıt verebildiği kaynaklardır. Uygulanamaz sekmesi, değerlendirilemeyen her kaynağın nedenlerini içerir.
  • İyileştirilmemiş kaynaklar , değerlendirilmek üzere zamanlanmış ancak henüz değerlendirilmemiş kaynaklardır.

Bulut için Defender neden kayıt defterimde olmayan bir görüntüyle ilgili güvenlik açıklarına karşı beni uyarıyor?

Bazı görüntüler, daha önce taranmış bir görüntüden etiketleri yeniden kullanabilir. Örneğin, özete her görüntü eklediğinizde "En Son" etiketini yeniden atayabilirsiniz. Bu gibi durumlarda , 'eski' görüntü kayıt defterinde hala mevcut ve hala özeti tarafından çekilebilir. Görüntüde güvenlik bulguları varsa ve çekilirse güvenlik açıkları ortaya çıkar.

Kapsayıcılar için Defender, Microsoft Container Registry'deki görüntüleri tarar mı?

Şu anda Kapsayıcılar için Defender yalnızca Azure Container Registry (ACR) ve AWS Elastic Container Registry'deki (ECR) görüntüleri tarayabiliyor. Docker Registry, Microsoft Yapıt Kayıt Defteri/Microsoft Container Registry ve Microsoft Azure Red Hat OpenShift (ARO) yerleşik kapsayıcı görüntüsü kayıt defteri desteklenmez. Görüntüler önce ACR'ye aktarılmalıdır. Kapsayıcı görüntülerini Azure kapsayıcı kayıt defterine aktarma hakkında daha fazla bilgi edinin.

Tarama sonuçlarını REST API aracılığıyla alabilir miyim?

Evet. Sonuçlar Alt Değerlendirmeler REST API'sinin altındadır. Ayrıca tüm kaynaklarınız için Kusto benzeri API olan Azure Kaynak Grafı (ARG) kullanabilirsiniz: sorgu belirli bir taramayı getirebilir.

Kapsayıcılarımın hangi medya türünü kullandığını kontrol Nasıl yaparım??

Bir görüntü türünü denetlemek için, skopeo gibi ham görüntü bildirimini denetleyebilen ve ham görüntü biçimini inceleyebilen bir araç kullanmanız gerekir.

  • Docker v2 biçimi için bildirim medya türü burada belirtildiği gibi application/vnd.docker.distribution.manifest.v1+json veya application/vnd.docker.distribution.manifest.v2+json olabilir.
  • OCI görüntü biçimi için bildirim medya türü application/vnd.oci.image.manifest.v1+json ve burada belgelendiği gibi application/vnd.oci.image.config.v1+json yapılandırma medya türü olacaktır.

Aracısız kapsayıcı duruş yönetimi için uzantılar nelerdir?

Aracısız CSPM işlevselliği sağlayan iki uzantı vardır:

  • Aracısız Kapsayıcı güvenlik açığı değerlendirmeleri: Aracısız kapsayıcılar güvenlik açığı değerlendirmeleri sağlar. Aracısız Kapsayıcı güvenlik açığı değerlendirmesi hakkında daha fazla bilgi edinin.
  • Kubernetes için aracısız bulma: Kubernetes küme mimarisi, iş yükü nesneleri ve kurulum hakkında API tabanlı bilgi bulma sağlar.

Aynı anda birden çok aboneliği nasıl ekleyebilirim?

Aynı anda birden çok abonelik eklemek için bu betiği kullanabilirsiniz.

Kümelerimden neden sonuç göremiyorum?

Kümelerinizin sonuçlarını görmüyorsanız aşağıdaki soruları denetleyin:

  • Kümeleri durdurdunuz mu?
  • Kaynak gruplarınız, abonelikleriniz veya kümeleriniz kilitli mi? Bu sorulardan birinin yanıtı evet ise aşağıdaki sorulardaki yanıtlara bakın.

Kümeleri durdurduysam ne yapabilirim?

Durmuş kümeleri desteklemiyor veya ücretlendirmiyoruz. Durmuş bir kümedeki aracısız özelliklerin değerini almak için kümeyi yeniden çalıştırabilirsiniz.

Kaynak gruplarını, abonelikleri veya kümeleri kilitlediysem ne yapmalıyım?

Kilitli kaynak grubunun/aboneliğin/kümenin kilidini açmanızı, ilgili istekleri el ile yapmanızı ve ardından aşağıdakileri yaparak kaynak grubunu/aboneliği/kümeyi yeniden kilitlemenizi öneririz:

  1. Güvenilen Erişim'i kullanarak CLI aracılığıyla özellik bayrağını el ile etkinleştirin.
    “az feature register --namespace "Microsoft.ContainerService" --name "TrustedAccessPreview” 
    
  2. CLI'da bağlama işlemini gerçekleştirin:
    az account set -s <SubscriptionId> 
    az extension add --name aks-preview 
    az aks trustedaccess rolebinding create --resource-group <cluster resource group> --cluster-name <cluster name> --name defender-cloudposture --source-resource-id /subscriptions/<SubscriptionId>/providers/Microsoft.Security/pricings/CloudPosture/securityOperators/DefenderCSPMSecurityOperator --roles  "Microsoft.Security/pricings/microsoft-defender-operator" 
    

Kilitli kümeler için aşağıdaki adımlardan birini de gerçekleştirebilirsiniz:

  • Kilidi kaldırın.
  • API isteğinde bulunarak bağlama işlemini el ile gerçekleştirin. Kilitli kaynaklar hakkında daha fazla bilgi edinin.

AKS'nin güncelleştirilmiş bir sürümünü mü kullanıyorsunuz?

Azure Kubernetes Service'te (AKS) desteklenen Kubernetes sürümleri hakkında daha fazla bilgi edinin.

Kubernetes'in Aracısız keşfi için yenileme aralığı nedir?

Değişikliklerin güvenlik grafiğine , saldırı yollarına ve güvenlik gezginine yansıması 24 saat kadar sürebilir.

Kullanımdan kaldırılan Trivy güvenlik açığı değerlendirmesinden Microsoft Defender Güvenlik Açığı Yönetimi tarafından desteklenen AWS güvenlik açığı değerlendirmesine yükseltme Nasıl yaparım??

Aşağıdaki adımlar Trivy tarafından desteklenen tek kayıt defteri önerisini kaldırır ve MDVM tarafından desteklenen yeni kayıt defteri ve çalışma zamanı önerilerini ekler.

  1. İlgili AWS bağlayıcısını açın.
  2. Kapsayıcılar için Defender'ın Ayarlar sayfasını açın.
  3. Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesini etkinleştirin.
  4. AWS'de yeni ekleme betiğinin dağıtımı da dahil olmak üzere bağlayıcı sihirbazının adımlarını tamamlayın.
  5. Ekleme sırasında oluşturulan kaynakları el ile silin:
    • Defender-for-containers-va ön ekine sahip S3 demeti
    • defender-for-containers-va adlı ECS kümesi
    • VPC:
      • Değeriyle etiketle namedefender-for-containers-va
      • IP alt ağı CIDR 10.0.0.0/16
      • Etiketi name ve tüm gelen trafiğin tek kuralına sahip olan değer defender-for-containers-va ile varsayılan güvenlik grubuyla ilişkilendirildi.
      • ETIKETli alt ağ ve ECS kümesi tarafından kullanılan CIDR 10.0.1.0/24 IP alt ağı ile VPC'deki defender-for-containers-va değer defender-for-containers-va namedefender-for-containers-va
      • Etiketi name ve değeriyle Internet Gatewaydefender-for-containers-va
      • Yönlendirme tablosu - Etiket name ve değere defender-for-containers-vasahip ve şu yollara sahip yönlendirme tablosu:
        • Hedef: 0.0.0.0/0; Hedef: Etiketi name ve değeriyle Internet Gateway defender-for-containers-va
        • Hedef: 10.0.0.0/16; Hedef: local

Görüntüleri çalıştırmaya yönelik güvenlik açığı değerlendirmeleri almak için Kubernetes için Aracısız bulma özelliğini etkinleştirin veya Kubernetes kümelerinizde Defender algılayıcısını dağıtın.