Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página resume os padrões de acesso usados pelas funcionalidades do Microsoft Defender para Containers, o método de habilitação necessário, o plano aplicável e o suporte a clusters privados.
Consulte a referência de acesso à rede e permissões para requisitos detalhados de rede e permissões para cada padrão de acesso.
Note
A coluna de suporte a clusters privados inclui requisitos de suporte e pré-requisitos relacionados para algumas funcionalidades.
- Suportado por ativar um endpoint público restrito significa que a funcionalidade suporta clusters privados quando a API Kubernetes é exposta através de um endpoint público restrito.
- Requer acesso HTTPS de saída significa que o cluster tem de permitir conectividade HTTPS de saída a Microsoft Defender para a Cloud.
- Algumas entradas descrevem pré-requisitos de funcionalidades em vez de comportamento de suporte de cluster privado.
Padrões de conectividade usados pelo Defender para Contentores
O Microsoft Defender for Containers utiliza múltiplos padrões de conectividade para recolher sinais de segurança e fornecer proteção em todo o seu ambiente, incluindo:
- Acesso ao registo: Ligações de Microsoft Defender para a Cloud a registos de contentores para analisar imagens em busca de vulnerabilidades e, em alguns casos, publicar resultados de avaliação no registo.
- Acesso à API Kubernetes: Ligações da Microsoft Defender para a Cloud aos endpoints da API Kubernetes para descoberta de clusters, avaliação de postura e análise de risco.
- Sensor outbound connectivity: Telemetria em tempo de execução enviada pelos nós trabalhadores Kubernetes para Microsoft Defender para a Cloud para deteção de ameaças.
- Ingestão de registos de auditoria cloud-native: Ingestão de registos de auditoria Kubernetes a partir de serviços cloud-native logging para deteção de ameaças no plano de controlo.
- Acesso ao fornecedor de cloud: Ligações do Microsoft Defender para a Cloud às APIs do fornecedor de cloud para descoberta de recursos, avaliação de postura, inventário e análise de risco.
Funcionalidades de avaliação de vulnerabilidades
A tabela seguinte resume as funcionalidades de avaliação de vulnerabilidades e os seus padrões de acesso.
| Feature | Recursos suportados | Método de habilitação | Planos Defender | Padrão de acesso | Suporte e pré-requisitos de clusters privados |
|---|---|---|---|---|---|
| Avaliação da vulnerabilidade do registo de contentores | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Acesso ao registo | Contentores; CSPM | Acesso ao registo | Suportado |
| Avaliação da vulnerabilidade dos contentores em tempo de execução (baseada em varredura de registos) | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | Varredura sem agente para máquinas e acesso à API Kubernetes ou sensor Defender | Contentores; CSPM | Acesso ao registo e acesso à API Kubernetes | Suportado pela ativação de um endpoint público restrito da API |
| Avaliação da vulnerabilidade dos contentores em tempo de execução (agnóstico ao registo) | AKS | Varredura sem agente para máquinas e acesso à API Kubernetes ou sensor Defender | Contentores; CSPM | Acesso ao fornecedor de cloud e acesso à API Kubernetes | Suportado pela ativação de um endpoint público restrito da API |
| Implantação fechada | AKS, EKS, GKE | Sensor Defender, descobertas de segurança e acesso ao registo | Contentores | Acesso à API Kubernetes e conectividade de sensores de saída | Suportado pela ativação de um endpoint público restrito da API |
Funcionalidades de proteção durante o tempo de execução
A tabela seguinte resume as características de proteção em tempo de execução e os seus padrões de acesso.
| Feature | Recursos suportados | Método de habilitação | Planos Defender | Padrão de acesso | Suporte e pré-requisitos de clusters privados |
|---|---|---|---|---|---|
| Detecção do plano de controlo | AKS, EKS, GKE | Ativado com o plano Containers | Contentores | Ingestão de registos de auditoria nativa na cloud | Suportado |
| Deteção de carga de trabalho | AKS, EKS, GKE | Sensor do Defender | Contentores | Conectividade de saída dos sensores | Requer acesso HTTPS de saída |
| Deteção de desvio binário | AKS, EKS, GKE | Sensor do Defender | Contentores | Acesso à API Kubernetes e conectividade de sensores de saída | As definições de políticas exigem ativar um endpoint público restrito da API. Requer acesso HTTPS de saída. |
| Deteção DNS | AKS, EKS, GKE | Sensor Defender instalado usando o Helm | Contentores | Conectividade de saída dos sensores | Requer acesso HTTPS de saída |
| Caça avançada em XDR | AKS, EKS, GKE | Sensor do Defender | Contentores | Conectividade de saída dos sensores | Requer acesso HTTPS de saída |
| Ações de resposta em XDR | AKS, EKS, GKE | Sensor Defender e acesso à API Kubernetes | Contentores | Acesso à API do Kubernetes | Suportado pela ativação de um endpoint público restrito da API |
| Deteção de malware | Nós AKS | Análise sem agente para máquinas | Contentores; Servidores P2 | Acesso à API Kubernetes e conectividade de sensores de saída | Suportado por ativar um endpoint público restrito da API. Requer acesso HTTPS de saída. |
Funcionalidades de gestão da postura
A tabela seguinte resume as características de gestão da postura e os seus padrões de acesso.
| Feature | Recursos suportados | Método de habilitação | Planos Defender | Padrão de acesso | Suporte e pré-requisitos de clusters privados |
|---|---|---|---|---|---|
| Descoberta sem agentes para Kubernetes | AKS, EKS, GKE | Acesso à API do Kubernetes | Contentores; CSPM | Acesso ao fornecedor de cloud | Suportado |
| Recursos abrangentes de inventário | Registos: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | Contentores; CSPM | Acesso à API Kubernetes e acesso ao fornecedor de cloud | Suportado pela ativação de um endpoint público restrito da API |
| Análise de trajetória de ataque | Registos: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | GPSC do Defender | Acesso à API Kubernetes e acesso ao fornecedor de cloud | As capacidades de inventário são pré-requisitos |
| Caça ao risco aprimorada | Registos: ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory. Clusters: AKS, EKS, GKE | Acesso à API do Kubernetes | Contentores; CSPM | Acesso à API Kubernetes e acesso ao fornecedor de cloud | As capacidades de inventário são pré-requisitos |
| Endurecimento do plano de controlo | Registos: ACR. Clusters: AKS, EKS, GKE | Ativado com o plano Containers | Gratuito | Acesso ao fornecedor de cloud | Suportado |
| Endurecimento da carga de trabalho | AKS, EKS, GKE | Política do Azure para Kubernetes | Gratuito | Acesso à API do Kubernetes | Suportado pela ativação de um endpoint público restrito da API |
| Serviço Kubernetes da CIS | AKS, EKS, GKE | Atribuído como padrão de segurança | Contentores; CSPM | Acesso à API do Kubernetes | Suportado pela ativação de um endpoint público restrito da API |