Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se resumen los patrones de acceso utilizados por Microsoft Defender para las características de Contenedores, el método de habilitación necesario, el plan aplicable y la compatibilidad con clústeres privados.
Vea la referencia de permisos y acceso de red para obtener requisitos detallados de red y permisos para cada patrón de acceso.
Note
La columna Compatibilidad con clústeres privados incluye los requisitos de soporte técnico y los requisitos previos relacionados para algunas características.
- Compatible con la habilitación de un punto de conexión de API pública restringido significa que la característica admite clústeres privados cuando la API de Kubernetes se expone a través de un punto de conexión público restringido.
- Requires el acceso HTTPS saliente significa que el clúster debe permitir la conectividad HTTPS saliente a Microsoft Defender para la nube.
- Algunas entradas describen los requisitos previos de características en lugar del comportamiento de compatibilidad con clústeres privados.
Patrones de conectividad usados por Defender para contenedores
Microsoft Defender para contenedores usa varios patrones de conectividad para recopilar señales de seguridad y proporcionar protección en todo el entorno, entre los que se incluyen:
- Registry access: Connections from Microsoft Defender para la nube to container registries to scan images for vulnerabilities and, in some cases, publish assessment results back to the Registry.
- Acceso a la API deKubernetes: conexiones de Microsoft Defender para la nube a puntos de conexión de API de Kubernetes para la detección de clústeres, la evaluación de la posición y el análisis de riesgos.
- Sensor de conectividad saliente: telemetría en tiempo de ejecución enviada desde nodos de trabajo de Kubernetes a Microsoft Defender para la nube para la detección de amenazas.
- Ingesta de registros de auditoría nativa de la nube: ingesta de registros de auditoría de Kubernetes desde los servicios de registro nativos de la nube para la detección de amenazas del plano de control.
- acceso Cloud-provider: conexiones de Microsoft Defender para la nube a API de proveedor de nube para la detección de recursos, la evaluación de la posición, el inventario y el análisis de riesgos.
Características de la evaluación de vulnerabilidades
En la tabla siguiente se resumen las características de evaluación de vulnerabilidades y sus patrones de acceso.
| Feature | Recursos compatibles | Método de habilitación | Planes de Defender | Patrón de acceso | Compatibilidad con clústeres privados y requisitos previos |
|---|---|---|---|---|---|
| Evaluación de vulnerabilidades de Container Registry | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Acceso al registro | Contenedores; CSPM | Acceso al registro | Compatible |
| Evaluación de vulnerabilidades del contenedor en tiempo de ejecución (basada en el examen del registro) | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Examen sin agente de máquinas y acceso a la API de Kubernetes o Defender sensor | Contenedores; CSPM | Acceso al registro y acceso a la API de Kubernetes | Compatible con la habilitación de un punto de conexión de API pública restringido |
| Evaluación de vulnerabilidades del contenedor en tiempo de ejecución (independiente del registro) | AKS | Examen sin agente de máquinas y acceso a la API de Kubernetes o Defender sensor | Contenedores; CSPM | Acceso de proveedor de nube y acceso a la API de Kubernetes | Compatible con la habilitación de un punto de conexión de API pública restringido |
| Implementación controlada | AKS, EKS, GKE | Defender sensor, búsqueda de seguridad y acceso al registro | Containers | Acceso a la API de Kubernetes y conectividad saliente del sensor | Compatible con la habilitación de un punto de conexión de API pública restringido |
Características de protección en tiempo de ejecución
En la tabla siguiente se resumen las características de protección en tiempo de ejecución y sus patrones de acceso.
| Feature | Recursos compatibles | Método de habilitación | Planes de Defender | Patrón de acceso | Compatibilidad con clústeres privados y requisitos previos |
|---|---|---|---|---|---|
| Detección del plano de control | AKS, EKS, GKE | Habilitado con el plan de contenedores | Containers | Ingesta de registros de auditoría nativa de la nube | Compatible |
| Detección de cargas de trabajo | AKS, EKS, GKE | Sensor de Defender | Containers | Conectividad saliente del sensor | Requiere acceso HTTPS saliente |
| Detección de desfase binario | AKS, EKS, GKE | Sensor de Defender | Containers | Acceso a la API de Kubernetes y conectividad saliente del sensor | Las definiciones de directiva requieren habilitar un punto de conexión de API pública restringido. Requiere acceso HTTPS saliente. |
| Detección de DNS | AKS, EKS, GKE | Defender sensor instalado mediante Helm | Containers | Conectividad saliente del sensor | Requiere acceso HTTPS saliente |
| Búsqueda avanzada en XDR | AKS, EKS, GKE | Sensor de Defender | Containers | Conectividad saliente del sensor | Requiere acceso HTTPS saliente |
| Acciones de respuesta en XDR | AKS, EKS, GKE | acceso al sensor de Defender y a la API de Kubernetes | Containers | Acceso a la API de Kubernetes | Compatible con la habilitación de un punto de conexión de API pública restringido |
| Detección de malware | Nodos de AKS | Exploración sin agente para máquinas | Contenedores; Servidores P2 | Acceso a la API de Kubernetes y conectividad saliente del sensor | Compatible con la habilitación de un punto de conexión de API pública restringido. Requiere acceso HTTPS saliente. |
Características de administración de posturas
En la tabla siguiente se resumen las características de administración de la posición y sus patrones de acceso.
| Feature | Recursos compatibles | Método de habilitación | Planes de Defender | Patrón de acceso | Compatibilidad con clústeres privados y requisitos previos |
|---|---|---|---|---|---|
| Detección sin agente para Kubernetes | AKS, EKS, GKE | Acceso a la API de Kubernetes | Contenedores; CSPM | Acceso de proveedor de nube | Compatible |
| Funcionalidades de inventario completas | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clústeres: AKS, EKS, GKE | Acceso a la API de Kubernetes | Contenedores; CSPM | Acceso a la API de Kubernetes y acceso al proveedor de nube | Compatible con la habilitación de un punto de conexión de API pública restringido |
| Análisis de ruta de ataque | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clústeres: AKS, EKS, GKE | Acceso a la API de Kubernetes | Defender CSPM | Acceso a la API de Kubernetes y acceso al proveedor de nube | Las funcionalidades de inventario son un requisito previo |
| Búsqueda de riesgos mejorada | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clústeres: AKS, EKS, GKE | Acceso a la API de Kubernetes | Contenedores; CSPM | Acceso a la API de Kubernetes y acceso al proveedor de nube | Las funcionalidades de inventario son un requisito previo |
| Protección del plano de control | Registros: ACR. Clústeres: AKS, EKS, GKE | Habilitado con el plan de contenedores | Gratuito | Acceso de proveedor de nube | Compatible |
| Endurecimiento de cargas de trabajo | AKS, EKS, GKE | Azure Policy para Kubernetes | Gratuito | Acceso a la API de Kubernetes | Compatible con la habilitación de un punto de conexión de API pública restringido |
| CIS Kubernetes Service | AKS, EKS, GKE | Asignado como estándar de seguridad | Contenedores; CSPM | Acceso a la API de Kubernetes | Compatible con la habilitación de un punto de conexión de API pública restringido |