Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página resume os padrões de acesso usados por Microsoft Defender para recursos de contêineres, o método de habilitação necessário, o plano aplicável e o suporte ao cluster privado.
Exiba a referência de acesso à rede e permissões para requisitos detalhados de rede e permissão para cada padrão de acesso.
Observação
A coluna de suporte do cluster privado inclui requisitos de suporte e pré-requisitos relacionados para alguns recursos.
- Com suporte ao habilitar um ponto de extremidade de API pública restrito , o recurso dá suporte a clusters privados quando a API do Kubernetes é exposta por meio de um ponto de extremidade público restrito.
- Requires acesso HTTPS de saída significa que o cluster deve permitir que a conectividade HTTPS de saída Microsoft Defender para Nuvem.
- Algumas entradas descrevem os pré-requisitos de recursos em vez do comportamento de suporte ao cluster privado.
Padrões de conectividade usados por Defender para contêineres
Microsoft Defender para contêineres usa vários padrões de conectividade para coletar sinais de segurança e fornecer proteção em todo o ambiente, incluindo:
- Registry access: Conexões de Microsoft Defender para Nuvem a registros de contêiner para verificar imagens em busca de vulnerabilidades e, em alguns casos, publicar resultados de avaliação de volta para o registro.
- acesso à API Kubernetes: conexões de Microsoft Defender para Nuvem a pontos de extremidade da API do Kubernetes para descoberta de cluster, avaliação de postura e análise de risco.
- Sensor conectividade de saída: telemetria de runtime enviada de nós de trabalho do Kubernetes para Microsoft Defender para Nuvem para detecção de ameaças.
- Ingestão de log de auditoria nativa na nuvem: ingestão de logs de auditoria do Kubernetes de serviços de log nativos de nuvem para detecção de ameaças do plano de controle.
- não de provedor doCloud: conexões de Microsoft Defender para Nuvem a APIs de provedor de nuvem para descoberta de recursos, avaliação de postura, inventário e análise de risco.
Recursos da Avaliação de vulnerabilidades
A tabela a seguir resume os recursos de avaliação de vulnerabilidade e seus padrões de acesso.
| Característica | Recursos suportados | Método de ativação | Planos do Defender | Padrão de acesso | Suporte e pré-requisitos de cluster privado |
|---|---|---|---|---|---|
| Avaliação de vulnerabilidade do Registro de Contêiner | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Acesso ao Registro | Recipientes; CSPM | Acesso ao Registro | Suportado |
| Avaliação de vulnerabilidade de contêiner de runtime (baseada em verificação do Registro) | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Verificação sem agente para computadores e acesso à API do Kubernetes ou sensor de Defender | Recipientes; CSPM | Acesso ao Registro e acesso à API do Kubernetes | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
| Avaliação de vulnerabilidade de contêiner de runtime (independente do registro) | AKS | Verificação sem agente para computadores e acesso à API do Kubernetes ou sensor de Defender | Recipientes; CSPM | Acesso ao provedor de nuvem e acesso à API do Kubernetes | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
| Implantação fechada | AKS, EKS, GKE | Defender sensor, descobertas de segurança e acesso ao Registro | Contêineres | Acesso à API do Kubernetes e conectividade de saída do sensor | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
Recursos de proteção de runtime
A tabela a seguir resume os recursos de proteção de runtime e seus padrões de acesso.
| Característica | Recursos suportados | Método de ativação | Planos do Defender | Padrão de acesso | Suporte e pré-requisitos de cluster privado |
|---|---|---|---|---|---|
| Detecção de plano de controle | AKS, EKS, GKE | Habilitado com o plano contêineres | Contêineres | Ingestão de log de auditoria nativa de nuvem | Suportado |
| Detecção de carga de trabalho | AKS, EKS, GKE | Sensor do Defender | Contêineres | Conectividade de saída do sensor | Requer acesso HTTPS de saída |
| Detecção de deriva binária | AKS, EKS, GKE | Sensor do Defender | Contêineres | Acesso à API do Kubernetes e conectividade de saída do sensor | As definições de política exigem a habilitação de um ponto de extremidade de API pública restrito. Requer acesso HTTPS de saída. |
| Detecção de DNS | AKS, EKS, GKE | Defender sensor instalado usando o Helm | Contêineres | Conectividade de saída do sensor | Requer acesso HTTPS de saída |
| Busca avançada em XDR | AKS, EKS, GKE | Sensor do Defender | Contêineres | Conectividade de saída do sensor | Requer acesso HTTPS de saída |
| Ações de resposta em XDR | AKS, EKS, GKE | Defender sensor e acesso à API do Kubernetes | Contêineres | Acesso à API do Kubernetes | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
| Detecção de malware | Nós do AKS | Verificação sem agente para computadores | Recipientes; Servidores P2 | Acesso à API do Kubernetes e conectividade de saída do sensor | Compatível com a habilitação de um ponto de extremidade de API pública restrito. Requer acesso HTTPS de saída. |
Recursos de gerenciamento de postura
A tabela a seguir resume os recursos de gerenciamento de postura e seus padrões de acesso.
| Característica | Recursos suportados | Método de ativação | Planos do Defender | Padrão de acesso | Suporte e pré-requisitos de cluster privado |
|---|---|---|---|---|---|
| Descoberta sem agente para Kubernetes | AKS, EKS, GKE | Acesso à API do Kubernetes | Recipientes; CSPM | Acesso ao provedor de nuvem | Suportado |
| Funcionalidades abrangentes de inventário | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | Recipientes; CSPM | Acesso à API do Kubernetes e acesso ao provedor de nuvem | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
| Análise do caminho de ataque | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | GPSN do Defender | Acesso à API do Kubernetes e acesso ao provedor de nuvem | Os recursos de inventário são um pré-requisito |
| Busca de risco aprimorada | Registros: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | Recipientes; CSPM | Acesso à API do Kubernetes e acesso ao provedor de nuvem | Os recursos de inventário são um pré-requisito |
| Proteção do plano de controle | Registros: ACR. Clusters: AKS, EKS, GKE | Habilitado com o plano contêineres | Gratuito | Acesso ao provedor de nuvem | Suportado |
| Endurecimento de carga de trabalho | AKS, EKS, GKE | Azure Policy para Kubernetes | Gratuito | Acesso à API do Kubernetes | Compatível com a habilitação de um ponto de extremidade de API pública restrito |
| Serviço de Kubernetes do CIS | AKS, EKS, GKE | Atribuído como um padrão de segurança | Recipientes; CSPM | Acesso à API do Kubernetes | Compatível com a habilitação de um ponto de extremidade de API pública restrito |