Felsöka Microsoft Defender för containrar

Vanliga distributionsproblem

• Installationen av Defender-sensorn misslyckas

  • Symptom:kubectl get pods -n kube-system -l app=defender visar Defender sensor pods i Pending, CrashLoopBackOff eller Error.
  • Upplösning:
    • Otillräckliga resurser: Kontrollera nodkapaciteten. Använd kubectl top nodes för att kontrollera om noderna har tillräckligt med processor och minne för att schemalägga sensorn.
    • Nätverksutgång: Kontrollera att klusterbrandväggen eller NSG:n tillåter utgående trafik till de nödvändiga FQDN:erna.
    • Taints och tolerationer: Se till att nodtaints inte hindrar poddarna från att schemaläggas på specifika nodpooler.

• Rekommendationer saknas

  • Symptoms: Kluster visas som "felfria" men specifika rekommendationer som "AKS-kluster bör ha Defender profil aktiverat" saknas.
  • Upplösning:
    • Väntetid: Utvärderingsgenomsökningar kan ta upp till 24 timmar att återspeglas i instrumentpanelen.
    • Undantagstaggar: Kontrollera om resursen har taggen ms_defender_container_exclude_sensors = true.
    • Policy Add-on: Se till att tillägget Azure Policy är installerat. Utan det utlöses inte konfigurationsbaserade rekommendationer.

Problem med sårbarhetsgenomsökning

• Saknade sårbarhetsfynd för bilder i Azure Container Registry

  • Symptoms: Sårbarhetsresultat visas inte för bilder som lagras i Azure Container Registry.
  • Upplösning:
    • Registry scanning: Bekräfta att den relevanta registergenomsökningsfunktionen är aktiverad för Defender för containrar. I Azure-portalen kontrollerar du att Registry-åtkomst har aktiverats för relevant omfång.
    • Ytterligare undersökning: Om registergenomsökning är aktiverad och resultaten fortfarande saknas ska du öppna ett supportärende med registernamn, bildnamn, bilddigest och specifika detaljer om de förväntade resultaten.

• Saknade sårbarhetsfynd för bilder som körs på AKS-kluster

  • Symptom: Sårbarhetsfynd visas inte för bilder som för närvarande körs i AKS-miljöer.
  • Upplösning:
    • Vulnerability scanning: Bekräfta att den relevanta funktionen för sårbarhetsgenomsökning är aktiverad för Defender för containrar. Resultat av sårbarhetsgenomsökning under körning är beroende av tillgängliga genomsökningsresultat för den avbildning som körs, till exempel registergenomsökning eller diskgenomsökning.
    • Insamling av podinventering: Bekräfta att insamling av podinventering är aktiverad för klustret. För AKS kan poddinventering samlas in av Defender-sensorn eller av agentlös insamling, beroende på distributionskonfigurationen.
    • Ytterligare undersökning: Om sårbarhetsgenomsökning och insamling av poddar är aktiverade men resultaten fortfarande saknas öppnar du ett supportärende med klusternamn, namnområde, arbetsbelastningsnamn, avbildningsnamn och bildsammandrag.

Anslutning och upptäckt

• AWS-anslutningsappen är frånkopplad

  • CloudFormation-status: Kontrollera AWS CloudFormation-konsolen för att se till att onboardingstacken är i CREATE_COMPLETE tillstånd.
  • Behörigheter: Kontrollera att MDCContainersAgentlessDiscoveryK8sRole rollen inte har ändrats. Den här rollen krävs för att Defender för molnet ska kunna identifiera dina kluster via EKS-API:et.

• EKS-kluster visas inte i lagret

  • Åtkomst till Kubernetes API: Kontrollera att den här komponenten är aktiverad i AWS-anslutningsinställningarna.
  • IAM-identitetsmappning: Se till att aws-auth ConfigMap har uppdaterats för att inkludera rollen Defender för molnet eller att en EKS-åtkomstpost har skapats för rollen.

Problem med sårbarhetsgenomsökning

• Sårbarhetsresultat saknas för avbildningar i Amazon Elastic Container Registry

  • Symtom: Sårbarhetsresultat visas inte för bilder som lagras i Amazon Elastic Container Registry.
  • Upplösning:
    • Registry scanning: Bekräfta att den relevanta registergenomsökningsfunktionen är aktiverad för Defender för containrar. I inställningarna för AWS-anslutningstjänsten kontrollerar du att Registeråtkomst är aktiverad.
    • Ytterligare undersökning: Om registergenomsökning är aktiverat och resultaten fortfarande saknas öppnar du ett supportärende med registernamn, avbildningsnamn, avbildningssammandrag och förväntad information.

• Sårbarhetsfynd saknas för avbildningar som körs i EKS-kluster

  • Symtom: Sårbarhetsresultat visas inte för bilder som för närvarande körs i EKS-arbetsbelastningar.
  • Upplösning:
    • Vulnerability scanning: Bekräfta att den relevanta funktionen för sårbarhetsgenomsökning är aktiverad för Defender för containrar. Sårbarhetsresultat för körning är beroende av tillgängliga genomsökningsresultat för den avbildning som körs, till exempel registergenomsökning eller resultat av diskgenomsökning.
    • Insamling av poddinventering: Bekräfta att insamling av poddinventering är aktiverad för klustret. Poddinventering kan samlas in med hjälp av Defender-sensorn eller genom agentfri insamling, beroende på distributionsinstallationen.
    • Anslutningsapp och behörigheter: Kontrollera att AWS-anslutningstjänsten och nödvändiga molnbehörigheter är korrekt konfigurerade.
    • Ytterligare undersökning: Om sårbarhetsgenomsökning, insamling av pod-inventering och anslutningsbehörigheter har konfigurerats men resultaten fortfarande saknas, öppna ett supportärende med klusternamn, namnområde, arbetsbelastningsnamn, avbildningsnamn och bildsammandrag.

Körningsvarningar

• Inga kontrollplansaviseringar har genererats
  • Granskningsloggning: Granskningsloggar måste vara aktiverade för varje kluster. Kör: aws eks update-cluster-config --name <cluster-name> --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'
  • SQS-konfiguration: Kontrollera att CloudTrail skickar loggar korrekt till den SQS-kö som används av anslutningstjänsten. Kontrollera att SQS ARN är korrekt i anslutningsinställningarna.

Hållning och upptäckande

• GKE Autopilot-begränsningar

  Important

  I GKE Autopilot-kluster kan du inte manuellt konfigurera eller åsidosätta resursgränser för Defender-sensorn. Sensorn är utformad för att begära de minsta resurser som krävs av Autopilots specialiserade schemaläggning automatiskt.

• Fel med tjänstkonto

  • Service Account Email: Bekräfta att e-postmeddelandet för tjänstkontot i Azure-portalen matchar e-postmeddelandet som genereras i GCP-konsolen.
  • IAM-roller: Se till att tjänstkontot har rollerna container.viewer och container.clusters.update på projektnivå.

Problem med registerutvärdering

• Sårbarhetsresultat saknas i Artefaktregistret

  • Symtom: Sårbarhetsresultat visas inte för bilder som lagras i Google Artifact Registry.
  • Upplösning:
    • Registry scanning: Bekräfta att den relevanta registergenomsökningsfunktionen är aktiverad för Defender för containrar. Kontrollera att Registeråtkomst är aktiverat i GCP-anslutningsinställningarna.
    • Ytterligare undersökning: Om registerskanning är aktiverad och resultaten fortfarande saknas öppnar du ett supportärende med registernamn, bildens namn, bilddigest och förväntade fynddetaljer.

• Sårbarhetsfynd saknas för bilder som körs i GKE-kluster

  • Symptom: Sårbarhetsfynd visas inte för bilder som för närvarande körs i GKE-arbetsbelastningar.
  • Upplösning:
    • Vulnerability scanning: Bekräfta att den relevanta funktionen för sårbarhetsgenomsökning är aktiverad för Defender för containrar. Sårbarhetsresultat för körning är beroende av tillgängliga genomsökningsresultat för den avbildning som körs, till exempel registergenomsökning eller resultat av diskgenomsökning.
    • Insamling av poddinventering: Bekräfta att poddinventering är aktiverad för klustret. Poddinventering kan samlas in av Defender-sensorn eller av agentlös samling, beroende på distributionskonfigurationen.
    • Anslutningsapp och behörigheter: Kontrollera att GCP-anslutningsappen och nödvändiga molnbehörigheter är korrekt konfigurerade.
    • Ytterligare undersökning: Om sårbarhetsgenomsökning och insamling av poddar är aktiverade men resultaten fortfarande saknas öppnar du ett supportärende med klusternamn, namnrymd, arbetsbelastningens namn, bildnamn och bilddigest.

Arc-anslutning

• Klusterstatus "Frånkopplad"
  • Network Egress: Se till att klustret kan nå de Azure Arc slutpunkter som krävs på TCP 443.
  • Tidssynkronisering: Se till att nodsystemets tid är korrekt och synkroniserad via NTP. Om nodtiden minskar avsevärt misslyckas handskakningen av Arc-certifikatet, vilket förhindrar att komponenter distribueras.
  • Proxykonfiguration: Om din miljö använder en proxy kontrollerar du att Arc-agenterna har konfigurerats med rätt http_proxy inställningar och https_proxy inställningar under az connectedk8s connect steget.

Tilläggshantering

• Defender-tillägget har fastnat i "Skapa" eller "Misslyckades"

  • Agentloggar: Kontrollera Arc-agentloggarna efter detaljerade fel: kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent
  • Ominstallation: Om tillägget fortfarande har fastnat tar du bort och återskapar det via CLI: az k8s-extension delete --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --name microsoft.azuredefender.kubernetes

• Defender sensor pod "ImagePullBackOff"

  • Symptom: Poddar misslyckas med att starta på grund av ett avbildningshämtarfel.
  • Upplösning:
    • MCR Connectivity: Kontrollera att noderna kan nå mcr.microsoft.com för att hämta Defender-sensoravbild.
    • Namnområdeskonflikter: Se till att inga andra säkerhetslösningar eller antagningskontrollanter stör mdc namnområdet.