Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina riepiloga i modelli di accesso usati da Microsoft Defender per le funzionalità dei contenitori, il metodo di abilitazione richiesto, il piano applicabile e il supporto del cluster privato.
Visualizzare le informazioni di riferimento sull'accesso alla rete e sulle autorizzazioni per i requisiti dettagliati di rete e autorizzazione per ogni modello di accesso.
Annotazioni
La colonna Supporto cluster privato include i requisiti di supporto e i prerequisiti correlati per alcune funzionalità.
- Supportato abilitando un endpoint API pubblico con restrizioni significa che la funzionalità supporta i cluster privati quando l'API Kubernetes viene esposta tramite un endpoint pubblico con restrizioni.
- Requires l'accesso HTTPS in uscita significa che il cluster deve consentire la connettività HTTPS in uscita a Microsoft Defender per il cloud.
- Alcune voci descrivono i prerequisiti delle funzionalità anziché il comportamento di supporto del cluster privato.
Modelli di connettività usati da Defender per contenitori
Microsoft Defender per i contenitori usa più modelli di connettività per raccogliere segnali di sicurezza e fornire protezione nell'ambiente, tra cui:
- Registry access: connessioni da Microsoft Defender per il cloud a registri contenitori per analizzare le immagini per individuare le vulnerabilità e, in alcuni casi, pubblicare i risultati della valutazione nel registro.
- accesso api Kubernetes: connessioni da Microsoft Defender per il cloud agli endpoint API Kubernetes per l'individuazione del cluster, la valutazione del comportamento e l'analisi dei rischi.
- Sensor in uscita connettività: dati di telemetria di runtime inviati dai nodi del ruolo di lavoro Kubernetes a Microsoft Defender per il cloud per il rilevamento delle minacce.
- Inserimento del log di controllo nativo del cloud: inserimento di log di controllo Kubernetes dai servizi di registrazione nativi del cloud per il rilevamento delle minacce del piano di controllo.
- Asto access: connessioni da Microsoft Defender per il cloud alle API del provider di servizi cloud per l'individuazione delle risorse, la valutazione del comportamento, l'inventario e l'analisi dei rischi.
Funzionalità di valutazione della vulnerabilità
La tabella seguente riepiloga le funzionalità di valutazione della vulnerabilità e i relativi modelli di accesso.
| Feature | Risorse supportate | Metodo di abilitazione | Piani di Defender | Modello di accesso | Supporto e prerequisiti del cluster privato |
|---|---|---|---|---|---|
| Valutazione della vulnerabilità del Registro Contenitori | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Accesso al Registro di sistema | Contenitori; CSPM | Accesso al Registro di sistema | Supportato |
| Valutazione della vulnerabilità del contenitore di runtime (basata sull'analisi del Registro di sistema) | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Analisi senza agente per computer e accesso all'API Kubernetes o Defender sensore | Contenitori; CSPM | Accesso al Registro di sistema e accesso all'API Kubernetes | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
| Valutazione della vulnerabilità del contenitore di runtime (indipendente dal Registro di sistema) | AKS | Analisi senza agente per computer e accesso all'API Kubernetes o Defender sensore | Contenitori; CSPM | Accesso al provider di servizi cloud e accesso all'API Kubernetes | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
| Distribuzione controllata | Servizio Azure Kubernetes, EKS, GKE | Defender sensore, risultati della sicurezza e accesso al Registro di sistema | Contenitori | Accesso all'API Kubernetes e connettività in uscita del sensore | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
Funzionalità di protezione del runtime
La tabella seguente riepiloga le funzionalità di protezione del runtime e i relativi modelli di accesso.
| Feature | Risorse supportate | Metodo di abilitazione | Piani di Defender | Modello di accesso | Supporto e prerequisiti del cluster privato |
|---|---|---|---|---|---|
| Rilevamento del piano di controllo | Servizio Azure Kubernetes, EKS, GKE | Abilitato con il piano contenitori | Contenitori | Inserimento del log di controllo nativo del cloud | Supportato |
| Rilevamento del carico di lavoro | Servizio Azure Kubernetes, EKS, GKE | Sensore Defender | Contenitori | Connettività in uscita del sensore | Richiede l'accesso HTTPS in uscita |
| Rilevamento della deriva binaria | Servizio Azure Kubernetes, EKS, GKE | Sensore Defender | Contenitori | Accesso all'API Kubernetes e connettività in uscita del sensore | Le definizioni dei criteri richiedono l'abilitazione di un endpoint API pubblico con restrizioni. Richiede l'accesso HTTPS in uscita. |
| Rilevamento DNS | Servizio Azure Kubernetes, EKS, GKE | Defender sensore installato con Helm | Contenitori | Connettività in uscita del sensore | Richiede l'accesso HTTPS in uscita |
| Ricerca avanzata in XDR | Servizio Azure Kubernetes, EKS, GKE | Sensore Defender | Contenitori | Connettività in uscita del sensore | Richiede l'accesso HTTPS in uscita |
| Azioni di risposta in XDR | Servizio Azure Kubernetes, EKS, GKE | Defender l'accesso all'API Kubernetes e al sensore | Contenitori | Accesso all'API Kubernetes | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
| Rilevamento malware | Nodi del servizio Azure Kubernetes | Analisi senza agente per le macchine | Contenitori; Server P2 | Accesso all'API Kubernetes e connettività in uscita del sensore | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni. Richiede l'accesso HTTPS in uscita. |
Funzionalità di gestione del comportamento
La tabella seguente riepiloga le funzionalità di gestione del comportamento e i relativi modelli di accesso.
| Feature | Risorse supportate | Metodo di abilitazione | Piani di Defender | Modello di accesso | Supporto e prerequisiti del cluster privato |
|---|---|---|---|---|---|
| Rilevamento senza agente per Kubernetes | Servizio Azure Kubernetes, EKS, GKE | Accesso all'API Kubernetes | Contenitori; CSPM | Accesso al provider di servizi cloud | Supportato |
| Funzionalità complete di inventario | Registri: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Cluster: servizio Azure Kubernetes, EKS, GKE | Accesso all'API Kubernetes | Contenitori; CSPM | Accesso all'API Kubernetes e accesso al provider di servizi cloud | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
| Analisi del percorso di attacco | Registri: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Cluster: servizio Azure Kubernetes, EKS, GKE | Accesso all'API Kubernetes | Defender CSPM | Accesso all'API Kubernetes e accesso al provider di servizi cloud | Le funzionalità di inventario sono un prerequisito |
| Ricerca avanzata dei rischi | Registri: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Cluster: servizio Azure Kubernetes, EKS, GKE | Accesso all'API Kubernetes | Contenitori; CSPM | Accesso all'API Kubernetes e accesso al provider di servizi cloud | Le funzionalità di inventario sono un prerequisito |
| Protezione avanzata del piano di controllo | Registri: Registro Azure Container. Cluster: servizio Azure Kubernetes, EKS, GKE | Abilitato con il piano contenitori | Free | Accesso al provider di servizi cloud | Supportato |
| Indurimento del carico di lavoro | Servizio Azure Kubernetes, EKS, GKE | Criteri di Azure per Kubernetes | Free | Accesso all'API Kubernetes | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |
| Servizio Kubernetes CIS | Servizio Azure Kubernetes, EKS, GKE | Assegnato come standard di sicurezza | Contenitori; CSPM | Accesso all'API Kubernetes | Supportato dall'abilitazione di un endpoint API pubblico con restrizioni |