Condividi tramite

Creare esenzioni e disabilitare i risultati della valutazione della vulnerabilità nelle immagini del Registro Container e nelle immagini in esecuzione

Annotazioni

È possibile personalizzare l'esperienza di valutazione della vulnerabilità esentando gruppi di gestione, sottoscrizioni o risorse specifiche dal punteggio di sicurezza. Informazioni su come creare un'esenzione per una risorsa o una sottoscrizione.

Se un'organizzazione deve ignorare una ricerca, anziché correggerla, è possibile disabilitarla facoltativamente. I risultati disabilitati non influiscono sul punteggio di sicurezza e non generano elementi non significativi.

Quando un risultato corrisponde ai criteri definiti nelle regole di disabilitazione, non viene visualizzato nell'elenco di risultati. Esempi tipici di scenari includono:

  • Disabilitare i risultati con gravità inferiore al medio
  • Disabilitare i risultati per le immagini che il fornitore non correggerà

Importante

Per creare una regola, sono necessarie le autorizzazioni per modificare un criterio in Criteri di Azure. Per altre informazioni, vedere autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Criteri di Azure.

È possibile usare una combinazione di uno dei criteri seguenti:

  • CVE : immettere le CVE dei risultati da escludere. Verificare che le CVE siano valide. Separare più CVE con un punto e virgola. Ad esempio, CVE-2020-1347; CVE-2020-1346.
  • Digest immagine: specificare le immagini per le quali è necessario escludere le vulnerabilità in base al digest dell'immagine. Separare più digest con un punto e virgola, ad esempio: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Versione del sistema operativo : specificare le immagini per le quali devono essere escluse le vulnerabilità in base al sistema operativo dell'immagine. Separare più versioni con un punto e virgola, ad esempio: ubuntu_linux_20.04; alpine_3.17
  • Gravità minima : selezionare bassa, media, alta o critica per escludere vulnerabilità inferiori al livello di gravità specificato.
  • Correzione dello stato : selezionare l'opzione per escludere le vulnerabilità in base allo stato di correzione.

Le regole di disabilitazione si applicano per raccomandazione, ad esempio, per disabilitare CVE-2017-17512 sia nelle immagini del Registro di sistema che nelle immagini di runtime, la regola di disabilitazione deve essere configurata in entrambe le posizioni.

Annotazioni

Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Per creare una regola

  1. Accedi al portale di Azure.

  2. Passare a Raccomandazioni su Microsoft Defender per cloud>.

  3. Cercare Container registry images should have vulnerability findings resolved powered by Microsoft Defender Vulnerability Management o Containers running in Azure should have vulnerability findings resolved.

  4. Selezionare il suggerimento.

  5. Selezionare Disabilita regola.

  6. Selezionare l'ambito pertinente.

  7. Definisci i tuoi criteri. È possibile usare uno dei criteri seguenti:

    • CVE : immettere le CVE dei risultati da escludere. Verificare che le CVE siano valide. Separare più CVE con un punto e virgola. Ad esempio, CVE-2020-1347; CVE-2020-1346.
    • Digest immagine: specificare le immagini per le quali è necessario escludere le vulnerabilità in base al digest dell'immagine. Separare più digest con un punto e virgola, ad esempio: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Versione del sistema operativo : specificare le immagini per le quali devono essere escluse le vulnerabilità in base al sistema operativo dell'immagine. Separare più versioni con un punto e virgola, ad esempio: ubuntu_linux_20.04; alpine_3.17
    • Gravità minima : selezionare bassa, media, alta o critica per escludere le vulnerabilità minori e uguali al livello di gravità specificato.
    • Correzione dello stato : selezionare l'opzione per escludere le vulnerabilità in base allo stato di correzione.

  8. Nella casella di testo giustificazione aggiungere la giustificazione per il motivo per cui una vulnerabilità specifica è stata disabilitata. Ciò fornisce chiarezza e comprensione per chiunque riveda la regola.

  9. Selezionare Applica regola.

    Screenshot che mostra dove creare una regola di disabilitazione per i risultati della vulnerabilità nelle immagini del Registro di sistema.

    Importante

    L'applicazione delle modifiche potrebbe richiedere fino a 24 ore.

Per visualizzare, eseguire l'override o eliminare una regola

  1. Nella pagina dei dettagli delle raccomandazioni selezionare Disabilita regola.

  2. Nell'elenco di ambiti, le sottoscrizioni con regole attive vengono visualizzate come regola applicata.

  3. Per visualizzare o eliminare la regola, selezionare il menu con i puntini di sospensione ("...").

  4. Esegui una delle operazioni seguenti:

    • Per visualizzare o eseguire l'override di una regola di disabilitazione: selezionare Visualizza regola, apportare le modifiche desiderate e selezionare Sostituisci regola.
    • Per eliminare una regola di disabilitazione, selezionare Elimina regola.

    Screenshot che mostra dove visualizzare, eliminare o sostituire una regola per i rilevamenti di vulnerabilità nelle immagini del registro.

Passaggi successivi

  • Last updated on