Problemen met Microsoft Defender voor containers oplossen

Veelvoorkomende implementatieproblemen

• Defender sensorinstallatie mislukt

  • Symptoms:kubectl get pods -n kube-system -l app=defender toont Defender sensor pods in Pending, CrashLoopBackOff en Error.
  • Resolutie:
    • Onvoldoende resources: Controleer de capaciteit van het knooppunt. Gebruik kubectl top nodes dit om te controleren of knooppunten voldoende CPU en geheugen hebben om de sensor te plannen.
    • Uitgaand netwerk: Controleer of uw clusterfirewall of NSG uitgaand verkeer naar de vereiste FQDN's toestaat.
    • Taints en toleranties: Zorg ervoor dat knooppunttaints niet verhinderen dat de pods worden gepland op specifieke knooppuntgroepen.

• Ontbrekende aanbevelingen

  • Symptoms: Clusters worden weergegeven als 'In orde', maar specifieke aanbevelingen, zoals dat 'AKS-clusters de Defender-profiel ingeschakeld moeten hebben', ontbreken.
  • Resolutie:
    • Wachttijd: Het kan tot 24 uur duren voordat evaluatiescans in het dashboard worden weergegeven.
    • Uitsluitingstags: Controleer of de resource de tag ms_defender_container_exclude_sensors = trueheeft.
    • Policy-invoegtoepassing: Zorg ervoor dat de Azure Policy-invoegtoepassing is geïnstalleerd; zonder deze worden op configuratie gebaseerde aanbevelingen niet geactiveerd.

Problemen met kwetsbaarheidsscans

• Ontbrekende beveiligingsbevindingen voor afbeeldingen in Azure Container Registry

  • Symptomen: Resultaten van beveiligingsproblemen worden niet weergegeven voor afbeeldingen die zijn opgeslagen in Azure Container Registry.
  • Resolutie:
    • Registry scanning: Controleer of de relevante scanfunctie voor het register is ingeschakeld voor Defender voor containers. Controleer in de Azure-portal of Registertoegang is ingeschakeld voor het relevante bereik.
    • Verder onderzoek: Als registerscanning is ingeschakeld en er nog steeds resultaten ontbreken, open een ondersteuningsaanvraag met de registernaam, de imagenaam, de imagedigest en de verwachte details over de bevindingen.

• Ontbrekende kwetsbaarheidsbevindingen voor images die worden uitgevoerd op AKS-clusters

  • Symptomen: Kwetsbaarheidsbevindingen worden niet weergegeven voor afbeeldingen die momenteel in AKS-workloads draaien.
  • Resolutie:
    • Vulnerability scanning: Controleer of de relevante mogelijkheid voor het scannen van beveiligingsproblemen is ingeschakeld voor Defender voor containers. Resultaten van runtimeproblemen zijn afhankelijk van de beschikbare scanresultaten voor de actieve installatiekopie, zoals registerscan of schijfscanresultaten.
    • Pod-inventarisverzameling: Controleer of de pod-inventarisverzameling is ingeschakeld voor het cluster. Voor AKS kan pod-inventaris worden verzameld door de Defender sensor of door verzameling zonder agent, afhankelijk van de implementatieconfiguratie.
    • Verder onderzoek: Als kwetsbaarheidsscanning en het verzamelen van podinventaris zijn ingeschakeld, maar er nog steeds resultaten ontbreken, open een ondersteuningscase met de clusternaam, naamruimte, workloadnaam, afbeeldingsnaam en image-digest.

Connector en ontdekking

• Verbinding met AWS-connector verbroken

  • CloudFormation-status: Controleer de AWS CloudFormation-console om ervoor te zorgen dat de onboardingstack de CREATE_COMPLETE status heeft.
  • Machtigingen: Controleer of de MDCContainersAgentlessDiscoveryK8sRole rol niet is gewijzigd. Deze rol is vereist voor Defender voor Cloud om uw clusters te detecteren via de EKS-API.

• EKS-clusters worden niet weergegeven in de inventaris

  • Kubernetes-API-toegang: Zorg ervoor dat dit onderdeel is ingeschakeld in de instellingen van de AWS-connector.
  • IAM-identiteitsmapping: Zorg ervoor dat de aws-auth ConfigMap is bijgewerkt om de Defender voor Cloud-rol op te nemen, of dat er een EKS Access Entry voor de rol is aangemaakt.

Problemen met kwetsbaarheidsscans

• Ontbrekende kwetsbaarheidsbevindingen voor afbeeldingen in Amazon Elastic Container Registry

  • Symptomen: Kwetsbaarheidsbevindingen zijn niet zichtbaar voor images die zijn opgeslagen in Amazon Elastic Container Registry.
  • Resolutie:
    • Registry scanning: Controleer of de relevante scanfunctie voor het register is ingeschakeld voor Defender voor containers. Controleer in de instellingen van de AWS-connector of registertoegang is ingeschakeld.
    • Verder onderzoek: Als registerscanning is ingeschakeld en er nog steeds resultaten ontbreken, open een ondersteuningsaanvraag met de registernaam, de imagenaam, de imagedigest en de verwachte details over de bevindingen.

• Ontbrekende kwetsbaarheidsbevindingen voor beelden die worden uitgevoerd op EKS-clusters

  • Symptomen: Kwetsbaarheidsbevindingen worden niet weergegeven voor images die momenteel draaien in EKS-workloads.
  • Resolutie:
    • Vulnerability scanning: Controleer of de relevante mogelijkheid voor het scannen van beveiligingsproblemen is ingeschakeld voor Defender voor containers. Resultaten van runtimeproblemen zijn afhankelijk van de beschikbare scanresultaten voor de actieve installatiekopie, zoals registerscan of schijfscanresultaten.
    • Verzameling pod-inventaris: Controleer of de verzameling pod-inventaris is ingeschakeld voor het cluster. Pod-inventaris kan worden verzameld door de Defender sensor of door verzameling zonder agent, afhankelijk van de implementatieconfiguratie.
    • Connector en machtigingen: Controleer of de AWS-connector en de vereiste cloudmachtigingen juist zijn geconfigureerd.
    • Verder onderzoek: Als scannen op beveiligingsproblemen, verzamelen van pods en connectormachtigingen zijn geconfigureerd, maar er nog steeds bevindingen ontbreken, opent u een ondersteuningscase met de clusternaam, naamruimte, workloadnaam, afbeeldingsnaam en samenvatting van afbeeldingen.

Runtimewaarschuwingen

• Er zijn geen waarschuwingen voor het controlevlak gegenereerd
  • Auditlogboekregistratie: Auditlogboeken moeten zijn ingeschakeld voor elk cluster. Voer dit uit: aws eks update-cluster-config --name <cluster-name> --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'
  • SQS-configuratie: Controleer of CloudTrail logboeken correct verzendt naar de SQS-wachtrij die door de connector wordt gebruikt. Controleer of de SQS ARN juist is in de connectorinstellingen.

Houding en ontdekking

• Beperkingen voor GKE Autopilot

  Important

  Op GKE Autopilot-clusters kunt u geen resourcelimieten voor de Defender sensor handmatig configureren of overschrijven. De sensor is ontworpen om automatisch de minimale resources aan te vragen die nodig zijn voor de gespecialiseerde planning van Autopilot.

• Fouten met serviceaccounts

  • Serviceaccount-e-mail: Bevestig dat het e-mailadres van het serviceaccount in de Azure-portal overeenkomt met het e-mailadres dat is gegenereerd in de GCP-console.
  • IAM-rollen: Zorg ervoor dat het serviceaccount de container.viewer en container.clusters.update rollen op projectniveau heeft.

Problemen met registerevaluatie

• Ontbrekende kwetsbaarheidsbevindingen in het Artifact Registry

  • Symptomen: Kwetsbaarheidsbevindingen worden niet weergegeven voor afbeeldingen die zijn opgeslagen in Google Artifact Registry.
  • Resolutie:
    • Registry scanning: Controleer of de relevante scanfunctie voor het register is ingeschakeld voor Defender voor containers. Controleer in de instellingen van de GCP-connector of registertoegang is ingeschakeld.
    • Verder onderzoek: Als registerscanning is ingeschakeld en er nog steeds resultaten ontbreken, open een ondersteuningsaanvraag met de registernaam, de imagenaam, de imagedigest en de verwachte details over de bevindingen.

• Ontbrekende kwetsbaarheidsbevindingen voor afbeeldingen die draaien op GKE-clusters

  • Symptomen: Kwetsbaarheidsbevindingen worden niet weergegeven voor installatiekopieën die momenteel draaien op GKE-workloads.
  • Resolutie:
    • Vulnerability scanning: Controleer of de relevante mogelijkheid voor het scannen van beveiligingsproblemen is ingeschakeld voor Defender voor containers. Resultaten van runtimeproblemen zijn afhankelijk van de beschikbare scanresultaten voor de actieve installatiekopie, zoals registerscan of schijfscanresultaten.
    • Pod-inventarisverzameling: Controleer of de pod-inventarisverzameling is ingeschakeld voor het cluster. Pod-inventaris kan worden verzameld door de Defender sensor of door verzameling zonder agent, afhankelijk van de implementatieconfiguratie.
    • Connector en machtigingen: Controleer of de GCP-connector en de vereiste cloudmachtigingen juist zijn geconfigureerd.
    • Verder onderzoek: Als kwetsbaarheidsscanning en het verzamelen van podinventaris zijn ingeschakeld, maar er nog steeds resultaten ontbreken, open een ondersteuningscase met de clusternaam, naamruimte, workloadnaam, afbeeldingsnaam en image-digest.

Arc-connectiviteit

• Clusterstatus 'Verbinding verbroken'
  • Network Egress: Zorg ervoor dat het cluster de vereiste Azure Arc eindpunten op TCP 443 kan bereiken.
  • Tijdsynchronisatie: Zorg ervoor dat de systeemtijd van het knooppunt nauwkeurig is en wordt gesynchroniseerd via NTP. Als de tijd van het knooppunt aanzienlijk afwijkt, zal de handshake van het Arc-certificaat mislukken, waardoor de implementatie van onderdelen wordt verhinderd.
  • Proxyconfiguratie: Als uw omgeving gebruikmaakt van een proxy, moet u ervoor zorgen dat de Arc-agents tijdens de http_proxy stap zijn geconfigureerd met de juiste https_proxy instellingen en az connectedk8s connect instellingen.

Extensiebeheer

• Defender-extensie blijft hangen in de status "het aanmaken" of "mislukt"

  • Agentlogboeken: Controleer de Arc-agentlogboeken op gedetailleerde fouten: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent
  • Herinstallatie: Als de extensie blijft hangen, verwijdert u deze en maakt u deze opnieuw via CLI: az k8s-extension delete --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --name microsoft.azuredefender.kubernetes

• Defender sensorpod "ImagePullBackOff"

  • Symptomen: Pods starten niet vanwege een fout bij het ophalen van de image.
  • Resolutie:
    • MCR-connectiviteit: Controleren of netwerkknooppunten mcr.microsoft.com kunnen bereiken om het Defender sensor-image op te halen.
    • Naamruimteconflicten: Zorg ervoor dat er geen andere beveiligingsoplossingen of toegangscontrollers de naamruimte verstoren mdc .