Реализация управления уязвимостями Microsoft Defender и управление ими
Оценка уязвимостей для Azure, на основе Управление уязвимостями Microsoft Defender, — это встроенное решение, которое позволяет командам безопасности легко обнаруживать и устранять уязвимости в образах контейнеров с нулевой конфигурацией для подключения и без развертывания каких-либо агентов.
Примечание.
Эта функция поддерживает только сканирование изображений в Реестр контейнеров Azure (ACR). Изображения, хранящиеся в других реестрах контейнеров, должны быть импортированы в ACR для покрытия. Узнайте, как импортировать образы контейнеров в реестр контейнеров.
В каждой подписке, в которой эта возможность включена, все образы, хранящиеся в ACR, которые соответствуют критериям триггеров сканирования, проверяются на наличие уязвимостей без дополнительной настройки пользователей или реестров. Рекомендации с отчетами об уязвимостях предоставляются для всех образов в ACR, а также образов, которые в настоящее время выполняются в AKS, которые были извлечены из реестра ACR или любого другого Defender для облака поддерживаемого реестра (ECR, GCR или GAR). Образы сканируются вскоре после добавления в реестр и повторно сканируются для новых уязвимостей каждые 24 часа.
Оценка уязвимостей контейнера, реализованная Управление уязвимостями Microsoft Defender, имеет следующие возможности:
- Сканирование пакетов ОС — оценка уязвимостей контейнера имеет возможность сканировать уязвимости в пакетах, установленных диспетчером пакетов ОС в Linux и Ос Windows. Полный список поддерживаемых ОС и их версий.
- Языковые пакеты — только Linux — поддержка языковых пакетов и файлов, а также их зависимостей, установленных или скопированных без диспетчера пакетов ОС. Полный список поддерживаемых языков.
- Сканирование изображений в Приватный канал Azure . Оценка уязвимостей контейнеров Azure обеспечивает возможность сканирования образов в реестрах контейнеров, доступных через Приватный канал Azure. Для этой возможности требуется доступ к доверенным службам и проверке подлинности с помощью реестра. Узнайте, как разрешить доступ доверенным службам.
- Сведения об эксплойтируемости. Каждый отчет об уязвимостях выполняется поиск по базам данных эксплойтируемости, чтобы помочь нашим клиентам определить фактический риск, связанный с каждой сообщаемой уязвимостью.
- Отчеты. Оценка уязвимостей контейнеров для Azure с помощью Управление уязвимостями Microsoft Defender предоставляет отчеты об уязвимостях с помощью следующих рекомендаций:
Это новые рекомендации предварительной версии, которые сообщают об уязвимостях контейнера среды выполнения и уязвимостях образа реестра. Эти новые рекомендации не учитываются в отношении оценки безопасности во время предварительной версии. Модуль сканирования для этих новых рекомендаций совпадает с текущими рекомендациями по общедоступной версии и предоставляет те же результаты. Эти рекомендации лучше всего подходят для клиентов, использующих новое представление на основе рисков для рекомендаций и включенный план CSPM Defender.
| Рекомендация | Описание | Ключ оценки |
|---|---|---|
| [Предварительная версия] Образы контейнеров в реестре Azure должны иметь устранённые уязвимости. | Defender для облака проверяет образы реестра на наличие известных уязвимостей (CVEs) и предоставляет подробные результаты для каждого сканированного образа. Сканирование и устранение уязвимостей для образов контейнеров в реестре помогает поддерживать безопасную и надежную цепочку поставок программного обеспечения, снижает риск инцидентов безопасности и обеспечивает соответствие отраслевым стандартам. | xxxx-xxxx-xxxx-xxxx-xxxx-xxxx |
| [Предварительная версия] Контейнеры, работающие в Azure, должны устранить уязвимости | Defender для облака создает инвентаризацию всех рабочих нагрузок контейнеров, работающих в кластерах Kubernetes, и предоставляет отчеты об уязвимостях для этих рабочих нагрузок, сопоставляя используемые образы и отчеты об уязвимостях, созданные для образов реестра. Сканирование и устранение уязвимостей рабочих нагрузок контейнеров критически важно для обеспечения надежной и безопасной цепочки поставок программного обеспечения, снижения риска инцидентов безопасности и обеспечения соответствия отраслевым стандартам. | xxxx-xxxx-xxxx-xxxx-xxxx-xxxx |
Эти текущие рекомендации по общедоступной версии сообщают об уязвимостях в контейнерах, содержащихся в кластере Kubernetes, и на образах контейнеров, содержащихся в реестре контейнеров. Эти рекомендации лучше всего подходят для клиентов, использующих классическое представление рекомендаций и не включающих план CSPM Defender.
| Рекомендация | Описание | Ключ оценки |
|---|---|---|
| Уязвимости в образах контейнеров реестра Azure должны быть устранены с помощью управления уязвимостями Microsoft Defender | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Устранение уязвимостей может значительно повысить уровень безопасности, обеспечивая безопасность образов, безопасных для использования до развертывания. | xxxx-xxxx-xxxx-xxxx-xxxx-xxxx |
| У запущенных образов контейнеров в Azure должны быть устранены уязвимости (в рамках системы управления уязвимостями Microsoft Defender) | Оценка уязвимостей образа контейнера проверяет реестр на наличие распространенных уязвимостей (CVEs) и предоставляет подробный отчет об уязвимостях для каждого образа. Эта рекомендация обеспечивает видимость уязвимых образов, работающих в настоящее время в кластерах Kubernetes. Исправление уязвимостей в образах контейнеров, которые в настоящее время выполняются, является ключом к улучшению состояния безопасности, значительно уменьшая область атаки для контейнерных рабочих нагрузок. | xxxx-xxxx-xxxx-xxxx-xxxx-xxxx |
- Запрос сведений об уязвимостях с помощью Графа ресурсов Azure — возможность запрашивать сведения об уязвимостях с помощью Azure Resource Graph. Узнайте, как запрашивать рекомендации с помощью ARG.
- Результаты сканирования запросов с помощью REST API— узнайте, как запрашивать результаты сканирования с помощью REST API.
- Поддержка исключений. Узнайте, как создавать правила исключения для группы управления, группы ресурсов или подписки.
- Поддержка отключения уязвимостей — узнайте, как отключить уязвимости на образах.
Триггеры сканирования
Триггеры для сканирования изображений:
Одноразовая активация:
- Каждый образ, отправленный или импортированный в реестр контейнеров, активируется для проверки. В большинстве случаев сканирование завершается в течение нескольких минут, но в редких случаях может потребоваться до часа.
- Каждый образ, извлекаемый из реестра, активируется для проверки в течение 24 часов.
Активация непрерывного повторного сканирования — для обеспечения повторного сканирования образов, которые ранее были проверены на наличие уязвимостей, повторно сканируются, чтобы обновить отчеты об уязвимостях в случае публикации новой уязвимости.
Повторная проверка выполняется один раз в день:
- Изображения, отправленные за последние 90 дней.
- Изображения извлеклись за последние 30 дней.
- Образы, которые в настоящее время работают в кластерах Kubernetes, отслеживаемых Defender для облачных решений (либо через безагентское обнаружение для Kubernetes, либо через сенсор Defender).
Примечание.
Новая рекомендация по предварительной версии создается для изображений, отправленных за последние 30 дней.
Как работает сканирование изображений?
Подробное описание процесса сканирования описано следующим образом:
Если включить оценку уязвимостей контейнера для Azure, на базе службы "Управление уязвимостями Microsoft Defender", вы авторизуете Defender для облака для сканирования образов контейнеров в реестрах контейнеров Azure.
Defender для облака автоматически обнаруживает все реестры контейнеров, репозитории и образы (созданные до или после включения этой возможности).
Defender для облака получает уведомления при отправке нового образа в Реестр контейнеров Azure. Затем новый образ сразу же добавляется в каталог образов, Defender для облака поддерживается, и выполняется очередь действия для немедленного сканирования изображения.
Один раз в день и для новых образов, отправленных в реестр:
- Все недавно обнаруженные изображения извлекаются, и для каждого образа создается инвентаризация. Инвентаризация изображений сохраняется, чтобы избежать дальнейшего извлечения изображений, если не требуется новых возможностей сканера.
- С помощью инвентаризации отчеты об уязвимостях создаются для новых образов и обновляются для ранее сканированных образов, которые были отправлены за последние 90 дней в реестр или в настоящее время выполняются. Чтобы определить, запущен ли образ, Defender for Cloud использует бесагентное обнаружение для Kubernetes и инвентарь, собранный с помощью датчика Defender, работающего на узлах AKS.
- Отчеты об уязвимостях для образов контейнеров реестра предоставляются в качестве рекомендации.
Для клиентов, использующих обнаружение без агента для Kubernetes или инвентаризацию, собранную с помощью датчика Defender, работающего на узлах AKS, Defender для облака также создает рекомендацию по устранению уязвимостей для уязвимых образов, работающих в кластере AKS. Для клиентов, использующих только обнаружение без агента для Kubernetes, время обновления инвентаря в соответствии с этой рекомендацией составляет каждые семь часов. Кластеры, которые также работают с датчиком Defender, получают преимущества от двухчасовой частоты обновления инвентаризации. Результаты сканирования изображений обновляются на основе сканирования реестра в обоих случаях и поэтому обновляются только каждые 24 часа.
Примечание.
Для Defender для контейнерных реестров (не рекомендуется) изображения сканируются один раз при отправке, один раз при извлечении и повторно сканируются только один раз в неделю.
Если удалить образ из реестра, как долго до того, как будут удалены отчеты об уязвимостях на этом образе?
Реестры контейнеров Azure уведомляют Defender для облака при удалении образов и удаляют оценку уязвимостей для удаленных образов в течение одного часа. В некоторых редких случаях Defender для облака могут не получать уведомления об удалении и удалении связанных уязвимостей в таких случаях может занять до трех дней.