Risolvere i problemi di Microsoft Defender per i contenitori

Problemi di distribuzione comuni

• Installazione del sensore Defender fallisce

  • Symptoms:kubectl get pods -n kube-system -l app=defender mostra Defender sensor pod in Pending, CrashLoopBackOff o Error.
  • Risoluzione:
    • Risorse insufficienti: Controllare la capacità del nodo. Usare kubectl top nodes per verificare se i nodi hanno cpu e memoria sufficienti per pianificare il sensore.
    • Uscita di rete: Verificare che il firewall del cluster o il gruppo di sicurezza di rete consenta il traffico in uscita verso i nomi di dominio completi necessari.
    • Taints e Tolerations: Assicurarsi che i taints sui nodi non impediscano ai pod di essere programmati su pool di nodi specifici.

• Raccomandazioni mancanti

  • Symptoms: I cluster vengono visualizzati come "Integri", ma sono mancanti raccomandazioni specifiche come "I cluster del servizio Azure Kubernetes devono avere Defender profilo abilitato".
  • Risoluzione:
    • Tempo di attesa: Le analisi di valutazione possono richiedere fino a 24 ore per essere visualizzate nel dashboard.
    • Tag di esclusione: Controllare se la risorsa ha il tag ms_defender_container_exclude_sensors = true.
    • Componenti aggiuntivi di Criteri di Azure: Assicurarsi che il componente aggiuntivo di Criteri di Azure sia installato; senza di esso, le raccomandazioni basate sulla configurazione non verranno attivate.

Problemi di analisi della vulnerabilità

• Mancanza di risultati delle vulnerabilità per le immagini nel Registro dei Contenitori di Azure

  • Symptoms: I risultati della vulnerabilità non vengono visualizzati per le immagini archiviate in Registro Azure Container.
  • Risoluzione:
    • Registry scanning: Verificare che la funzionalità di analisi del registro pertinente sia abilitata per Defender per i container. Nel portale di Azure verificare che Registry access sia abilitato per l'ambito pertinente.
    • Ulteriori indagini: Se l'analisi del Registro di sistema è abilitata e i risultati sono ancora mancanti, aprire un caso di supporto con il nome del Registro di sistema, il nome dell'immagine, il digest dell'immagine e i dettagli di ricerca previsti.

• Rilevamenti di vulnerabilità mancanti per le immagini in esecuzione nei cluster AKS

  • Sintomi: I risultati delle vulnerabilità non vengono visualizzati per le immagini che sono attualmente in esecuzione nei carichi di lavoro AKS.
  • Risoluzione:
    • Analisi vulnerabilità: Verificare che la funzionalità pertinente di analisi delle vulnerabilità sia abilitata per Defender per Containers. I risultati della vulnerabilità di runtime dipendono dai risultati dell'analisi disponibili per l'immagine in esecuzione, ad esempio i risultati dell'analisi del Registro di sistema o dell'analisi del disco.
    • Raccolta di inventario pod: Verificare che la raccolta di inventario dei pod sia abilitata per il cluster. Per AKS, l'inventario dei pod può essere raccolto dal sensore Defender o dalla raccolta senza agente, a seconda della configurazione della distribuzione.
    • Ulteriori indagini: Se l'analisi delle vulnerabilità e la raccolta dell'inventario dei pod sono abilitati, ma i risultati continuano a mancare, aprire un caso di supporto con il nome del cluster, lo spazio dei nomi, il nome del carico di lavoro, il nome dell'immagine e il digest dell'immagine.

Connettore e individuazione

• Connettore AWS disconnesso

  • CloudFormation status: controllare l'interfaccia AWS CloudFormation per assicurarsi che lo stack di onboarding sia nello CREATE_COMPLETE stato.
  • Autorizzazioni: Verificare che il MDCContainersAgentlessDiscoveryK8sRole ruolo non sia stato modificato. Questo ruolo è necessario affinché Defender per il cloud scopra i tuoi cluster tramite l'API di EKS.

• Cluster di Amazon EKS non visualizzati nell'inventario

  • Accesso all'API Kubernetes: Assicurarsi che questo componente sia attivato nelle impostazioni del connettore AWS.
  • IAM identity mapping: Verificare che l'aws-auth ConfigMap sia stato aggiornato per includere il ruolo di Defender per il cloud o che sia stata creata una voce di accesso EKS Access Entry per il ruolo.

Problemi di analisi della vulnerabilità

• Individuazioni di vulnerabilità mancanti per le immagini in Amazon Elastic Container Registry

  • Sintomi: I risultati della vulnerabilità non vengono visualizzati per le immagini archiviate in Amazon Elastic Container Registry.
  • Risoluzione:
    • Registry scanning: Verificare che la funzionalità di analisi del registro pertinente sia abilitata per Defender per i container. Nelle impostazioni del connettore AWS verificare che l'accesso al Registro di sistema sia abilitato.
    • Ulteriori indagini: Se l'analisi del Registro di sistema è abilitata e i risultati sono ancora mancanti, aprire un caso di supporto con il nome del Registro di sistema, il nome dell'immagine, il digest dell'immagine e i dettagli di ricerca previsti.

• Risultati mancanti delle vulnerabilità per le immagini in esecuzione nei cluster EKS

  • Sintomi: I risultati della vulnerabilità non vengono visualizzati per le immagini attualmente in esecuzione nei carichi di lavoro di Amazon EKS.
  • Risoluzione:
    • Analisi vulnerabilità: Verificare che la funzionalità pertinente di analisi delle vulnerabilità sia abilitata per Defender per Containers. I risultati della vulnerabilità di runtime dipendono dai risultati dell'analisi disponibili per l'immagine in esecuzione, ad esempio i risultati dell'analisi del Registro di sistema o dell'analisi del disco.
    • Raccolta di inventario pod: Verificare che la raccolta di inventario dei pod sia abilitata per il cluster. L'inventario pod può essere raccolto dal Defender sensor o attraverso la raccolta senza l'uso di un agente, in base alla configurazione di distribuzione.
    • Connettore e autorizzazioni: Verificare che il connettore AWS e le autorizzazioni cloud necessarie siano configurati correttamente.
    • Ulteriori indagini: Se l'analisi delle vulnerabilità, la raccolta dell'inventario dei pod e le autorizzazioni del connettore sono configurate ma i risultati sono ancora assenti, aprire un caso di supporto con il nome del cluster, lo spazio dei nomi, il nome del carico di lavoro, il nome dell'immagine e il digest dell'immagine.

Avvisi di runtime

• Nessun avviso del piano di controllo generato
  • Registrazione di controllo: I log di controllo devono essere abilitati per ogni cluster. Esegui: aws eks update-cluster-config --name <cluster-name> --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'
  • Configurazione SQS: Verificare che CloudTrail invii correttamente i log alla coda SQS usata dal connettore. Verificare che l'ARN SQS sia accurato nelle impostazioni del connettore.

Postura e scoperta

• Limitazioni di GKE Autopilot

  Importante

  Nei cluster GKE Autopilot non è possibile configurare o ignorare manualmente i limiti delle risorse per il sensore Defender. Il sensore è progettato per richiedere automaticamente le risorse minime richieste dalla pianificazione specializzata di Autopilot.

• Errori dell'account di servizio

  • Service Account Email: Confermare che il messaggio di posta elettronica dell'account del servizio nel portale di Azure corrisponda al messaggio di posta elettronica generato nella console GCP.
  • Ruoli IAM: Verificare che l'account del servizio abbia i ruoli container.viewer e container.clusters.update a livello progetto.

Problemi di valutazione del Registro di sistema

• Risultati della vulnerabilità mancanti nel Registro artefatti

  • Sintomi: I risultati della vulnerabilità non vengono visualizzati per le immagini archiviate in Google Artifact Registry.
  • Risoluzione:
    • Registry scanning: Verificare che la funzionalità di analisi del registro pertinente sia abilitata per Defender per i container. Nelle impostazioni del connettore GCP verificare che l'accesso al Registro di sistema sia abilitato.
    • Ulteriori indagini: Se l'analisi del Registro di sistema è abilitata e i risultati sono ancora mancanti, aprire un caso di supporto con il nome del Registro di sistema, il nome dell'immagine, il digest dell'immagine e i dettagli di ricerca previsti.

• Segnalazioni di vulnerabilità mancanti per le immagini in esecuzione nei cluster GKE

  • Sintomi: I risultati della vulnerabilità non vengono visualizzati per le immagini attualmente in esecuzione nei carichi di lavoro GKE.
  • Risoluzione:
    • Analisi vulnerabilità: Verificare che la funzionalità pertinente di analisi delle vulnerabilità sia abilitata per Defender per Containers. I risultati della vulnerabilità di runtime dipendono dai risultati dell'analisi disponibili per l'immagine in esecuzione, ad esempio i risultati dell'analisi del Registro di sistema o dell'analisi del disco.
    • Raccolta di inventario pod: Verificare che la raccolta di inventario dei pod sia abilitata per il cluster. L'inventario pod può essere raccolto dal Defender sensor o attraverso la raccolta senza l'uso di un agente, in base alla configurazione di distribuzione.
    • Connettore e autorizzazioni: Verificare che il connettore GCP e le autorizzazioni cloud necessarie siano configurati correttamente.
    • Ulteriori indagini: Se l'analisi delle vulnerabilità e la raccolta dell'inventario dei pod sono abilitati, ma i risultati continuano a mancare, aprire un caso di supporto con il nome del cluster, lo spazio dei nomi, il nome del carico di lavoro, il nome dell'immagine e il digest dell'immagine.

Connettività Arc

• Stato del cluster "Disconnesso"
  • Network Egress: Assicurarsi che il cluster possa raggiungere gli endpoint di Azure Arc necessari su TCP 443.
  • Sincronizzazione dell'ora: Verificare che l'ora del sistema del nodo sia accurata e sincronizzata tramite NTP. Se il tempo del nodo deriva significativamente, l'handshake del certificato Arc avrà esito negativo, impedendo la distribuzione dei componenti.
  • Configurazione proxy: Se l'ambiente utilizza un proxy, verificare che gli agenti Arc siano configurati con le impostazioni corrette http_proxy e https_proxy durante il passaggio az connectedk8s connect.

Gestione estensioni

• Estensione di Defender bloccata su "Creazione" o "Non riuscito"

  • Log dell'agente: Controllare i log dell'agente Arc per verificare la presenza di errori dettagliati: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent
  • Reinstallazione: Se l'estensione rimane bloccata, eliminarla e ricrearla tramite l'interfaccia della riga di comando: az k8s-extension delete --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --name microsoft.azuredefender.kubernetes

• Defender pod del sensore "ImagePullBackOff"

  • Sintomi: I pod non iniziano a causa di un errore di estrazione dell'immagine.
  • Risoluzione:
    • Connettività MCR: Verifica che i nodi possano raggiungere mcr.microsoft.com per scaricare l'immagine del sensore Defender.
    • Conflitti dello spazio dei nomi: Assicurarsi che nessun'altra soluzione di sicurezza o controller di ammissione interferisca con lo spazio dei mdc nomi.