Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das AKS-Sicherheitsdashboard bietet Sichtbarkeit und automatisierte Behebung von Sicherheitsproblemen. Dadurch können Plattform-Engineering-Teams ihre Kubernetes-Umgebung einfacher und effektiver sichern.
Durch die Konsolidierung von Sicherheits- und Betriebsdaten im AKS-Portal erhalten Ingenieure eine einheitliche Ansicht ihrer Kubernetes-Umgebung. Diese Ansicht hilft bei der effizienten Erkennung und Behebung von Sicherheitsproblemen mit minimalen Workflowunterbrechungen. Es verringert das Risiko verpasster Sicherheitsprobleme und beschleunigt die Behebung.
Mit dem AKS-Sicherheitsdashboard können Sie:
Überprüfen, untersuchen und erhalten Sie geführte Korrekturen für Warnungen zur Laufzeit der Bedrohungserkennung, Sicherheitsrisikobewertung, Sicherheitsfehler und Abweichungen von Compliancestandards.
Aktivieren Sie den Defender für Container-Plan und konfigurieren Sie Einstellungen für den jeweiligen AKS-Cluster.
Weisen Sie einen Besitzer zu, und verfolgen Sie den Fortschritt eines Sicherheitsproblems. Dieses Feature funktioniert, wenn Defender Cloud Security Posture Management (Defender CSPM) für das Abonnement aktiviert ist.
Voraussetzungen
Das AKS-Sicherheitsdashboard zeigt Sicherheitsprobleme für einen Cluster an, wenn mindestens einer der folgenden Pläne aktiviert ist:
- Defender für Container im Abonnement oder im einzelnen Cluster.
- Defender CSPM im Abonnement.
Verwenden des AKS-Sicherheitsdashboards
Greifen Sie über einen AKS-Clusterressourcenbereich auf das AKS-Sicherheitsdashboard zu, indem Sie microsoft Defender für Cloud in der Menüliste auswählen.
Grundlegendes zu den Dashboardabschnitten
Sicherheitsergebnisse
Die obere Ergebnisleiste zeigt den Sicherheitsstatus des Clusters an. Für jeden Ergebnistyp wird die Anzahl der Probleme mit dem höchsten Schweregrad oder Risiko angezeigt. Verwenden Sie die wichtigsten Ergebnisse, um zu entscheiden, ob die verschiedenen Registerkarten zur weiteren Untersuchung überprüft werden sollen.
Registerkarte "Sicherheitswarnungen"
Sicherheitswarnungen sind Benachrichtigungen von Defender für Cloud zu verdächtigen Aktivitäten oder aktiven potenziellen Bedrohungen in Ihrer Umgebung. Der Dienst priorisiert die Warnungen nach Risiko.
Wenn Sie eine Warnung auswählen, öffnen Sie einen Bereich, der weitere Informationen zur Erkennung bereitstellt, die die Warnung ausgelöst hat. Darüber hinaus schlägt das Panel Aktionen vor, die Sie ergreifen können, um das Problem zu beheben.
Schweregrad der Warnungen
Hoch Es gibt eine hohe Wahrscheinlichkeit, dass Ihre Ressource kompromittiert ist. Sie sollten sofort untersuchen. Defender für Cloud hat sowohl die böswillige Absicht als auch die Ergebnisse, die er verwendet, um die Warnung ausstellen zu können.
Mittel Die Warnung weist wahrscheinlich auf verdächtige Aktivitäten hin und zeigt möglicherweise an, dass eine Ressource kompromittiert ist. Das Vertrauen in die Analyse oder Suche ist mittelgroß. Das Vertrauen der böswilligen Absicht ist mittel bis hoch. Diese Warnungen stammen in der Regel aus maschinellem Lernen oder anomaliebasierten Erkennungen.
Niedrig Diese Warnung kann ein gutartiger positiver oder blockierter Angriff sein.
Mitteilsam Ein Vorfall enthält in der Regel mehrere Warnungen. Einige Warnungen werden möglicherweise allein angezeigt, um nur informationen zu sein, aber im Kontext der anderen Warnungen können sie einen genaueren Blick garantieren.
Untersuchen einer Warnung
Überprüfen Sie die Warnungsbeschreibung und die empfohlenen Schritte für die Reaktion im rechten Bereich der Warnung.
Verwenden Sie die zusätzlichen Details und zugehörigen Entitäten, um die kompromittierte Workload zu identifizieren.
Wählen Sie "Protokolle öffnen" aus, um die Protokolle im relevanten Zeitrahmen zu untersuchen.
Erstellen Sie eine Unterdrückungsregel, um zukünftige Warnungen mit ähnlichen Merkmalen zu unterdrücken, wenn die Warnung für Ihre Organisation nicht relevant ist. Erfahren Sie mehr über Unterdrückungsregeln.
Konfigurieren Sie Sicherheitsregeln für den Cluster, um einige der Warnungstypen zu steuern. Erfahren Sie mehr darüber, wie Sie Driftrichtlinien konfigurieren.
Ändern Sie den Warnungsstatus, nachdem Sie eine Warnung für zukünftige Verweise oder Filterung entschärft haben. Sie benötigen die Rolle des Sicherheitsadministrators, um den Warnungsstatus zu ändern.
Hinweis
Defender für Cloud streamt warnungen auch direkt an Microsoft XDR.
Erfahren Sie mehr über Sicherheitswarnungen in Defender für Cloud.
Registerkarte "Sicherheitsrisikobewertung"
Das AKS-Sicherheitsdashboard zeigt Die Ergebnisse der Überprüfung von Softwarerisiken für die Ausführung von Containern und den Knotenpools des Clusters an. Es generiert eine priorisierte Liste der anfälligen Komponenten. Diese Liste wird von einem dynamischen Modul bewertet, das die Risiken in Ihrer Umgebung (verfügbar mit aktiviertem Defender CSPM-Plan) bewertet und das Potenzial für die Ausbeutung berücksichtigt.
Die Überprüfung von Containerimages umfasst die folgenden Arten von Paketen:
Betriebssystempakete: Sucht nach Sicherheitsrisiken in Paketen, die der Betriebssystempaket-Manager sowohl unter Linux als auch im Windows-Betriebssystem installiert. Sehen Sie sich die vollständige Liste der unterstützten Betriebssysteme und deren Versionen an.
Sprachspezifische Pakete (nur Linux): Unterstützt die Suche nach sprachspezifischen Paketen und Dateien sowie deren Abhängigkeiten, die installiert oder kopiert werden, ohne den Betriebssystempaket-Manager zu verwenden. Sehen Sie sich die vollständige Liste der unterstützten Sprachen an.
Überprüfen der Ergebnisse der Sicherheitsrisikobewertung
Wählen Sie die anfällige Komponente auf der Registerkarte "Sicherheitsrisiken" aus, um den Detailbereich zu öffnen.
Verwenden Sie die allgemeinen Details, um die relevante Komponente und den Besitz zur Behebung zu identifizieren.
Überprüfen Sie die Liste der CVEs, verwenden Sie den Paketnamen und die Informationen zur festen Version, um zu ermitteln, auf welche Paketversion das Paket aktualisiert werden soll, um das Problem zu beheben.
Verwenden Sie den zugewiesenen Besitzer (verfügbar mit dem Defender CSPM-Plan), um einen Besitzer für den Fix zuzuweisen und sie per E-Mail oder mit einem Ticket im Dienst zu benachrichtigen.
Erfahren Sie mehr über die Sicherheitsrisikobewertung in Defender für Cloud.
Registerkarte "Fehlkonfigurationen"
Microsoft Defender für Cloud überwacht kontinuierlich Azure- und AKS-APIs sowie Kubernetes-Workloads. Er identifiziert Konfigurationen innerhalb des Clusters oder seiner ausgeführten Container, die sich auf den Sicherheitsstatus des Clusters auswirken und den Cluster risikobehaftet machen können. Defender bietet außerdem Richtlinien und automatische Korrekturen zur Behebung dieser Probleme.
Überprüfen falsch konfigurierter Bewertungsergebnisse
Wählen Sie die falsch konfigurierte Komponente auf der Registerkarte "Falschkonfiguration" aus, um den Detailbereich zu öffnen.
Überprüfen Sie die Beschreibungs- und Korrekturschritte.
Verwenden Sie bei Fehlkonfigurationen auf Clusterebene die Schaltfläche "Schnellkorrektur ", um den Korrekturfluss zu starten.
Bei Containern wird empfohlen, Richtlinien bereitzustellen, um zukünftige fehlerhafte Bereitstellungen zu verhindern. Verwenden Sie den Link zu einer relevanten integrierten "Azure-Richtlinie"-Richtlinie.
Verwenden Sie den zugewiesenen Besitzer (verfügbar mit dem Defender CSPM-Plan), um einen Besitzer für den Fix zuzuweisen und sie per E-Mail oder mit einem Ticket im Dienst zu benachrichtigen.
Erfahren Sie mehr darüber, wie Sie Sicherheitsfehler mit Defender für Cloud beheben.
Registerkarte "Compliance"
Defender für Cloud bewertet Ihre Umgebung kontinuierlich anhand ausgewählter behördlicher Standards und Benchmarks. Sie bietet einen klaren Überblick über Ihren Compliancestatus, hebt unermete Anforderungen hervor und bietet Empfehlungen, die Ihnen helfen, Ihren Cloudsicherheitsstatus zu verbessern.
Verwenden der Registerkarte "Compliance"
Konfigurieren Sie den erforderlichen Compliancestandard, den Sie einhalten müssen. Sie konfigurieren den Standard auf Abonnementebene. Folgen Sie dem Link für die Konfiguration auf der Registerkarte "Compliance" oder den Dashboardeinstellungen.
Nachdem die relevanten Standards ausgewählt wurden, verwenden Sie die Registerkarte "Compliance", um zu verstehen, welchen Standard Sie einhalten und welche zusätzlichen Schritte erforderlich sind, um die Einhaltung zu gewährleisten.
Im Registerkartenraster "Compliance" werden nur Empfehlungen für Steuerelemente angezeigt, die den Cluster oder die zugehörigen Komponenten nicht einhalten.
Verwenden Sie die Filter, um das Empfehlungenraster nach Ihren Anforderungen zu filtern.
Wählen Sie jede Empfehlung aus, um den Detailbereich zu öffnen.
Führen Sie die Wartungsschritte im Seitbereich aus, um das entsprechende Steuerelement einzuhalten.
Erfahren Sie mehrüber die Einhaltung gesetzlicher Vorschriften in Defender für Cloud.
Weitere Informationen zum Konfigurieren gesetzlicher Compliancestandards
Massenaktionen
Sie können mehrere Empfehlungen oder Warnungen auswählen, indem Sie die Kontrollkästchen neben den einzelnen Empfehlungen verwenden. Wählen Sie dann " Besitzer zuweisen " für Empfehlungen oder "Status ändern" für Warnungen in der Dashboardsymbolleiste aus.
Exportieren von Sicherheitsergebnissen
Wählen Sie " CSV-Bericht herunterladen" , um die Clustersicherheitsergebnisse als CSV-Datei herunterzuladen. Sie können auch die Defender for Cloud REST-API verwenden, um Sicherheitsergebnisse abzurufen.
Setting
Planen der Aktivierung
Aktivieren Sie den Schutz von Microsoft Defender für Cloudcontainer (Defender für Container) für einen einzelnen AKS-Cluster oder auf Abonnementebene, um alle Cluster in diesem Abonnement zu schützen. Verwenden Sie den Einstellungsbereich über die Dashboardsymbolleiste, um den Plan zu aktivieren.
Hinweis
Wenn Sie Defender für Container auf Abonnementebene aktivieren, können Sie die Planeinstellungen nur auf Abonnementebene ändern.
Indem Sie andere Microsoft Defender für Cloud-Pläne aktivieren, können Sie alle Ihre Cloudressourcen durchsuchen, um ressourcenübergreifende Angriffspfade zu identifizieren, Risiken genauer zu identifizieren und Warnungen und vollständige Einblicke in ressourcenübergreifende Sicherheitsvorfälle bereitzustellen. Weitere Informationen
Planen von Konfigurationen
Defender Sensor – Stellt den Defender for Containers-Agent im Cluster bereit. Dieser Sensor ist für laufzeitbezogene Bedrohungsschutz- und Gated-Bereitstellungsfunktionen erforderlich.
Kubernetes-API-Zugriff – Erforderlich für Die Sicherheitsrisikobewertung, Fehlkonfigurationen, Compliancebewertung und Laufzeit-Bedrohungsschutz.
Registrierungszugriff – Erforderlich für die Sicherheitsrisikobewertung und die Bereitstellungsfunktionen.
Azure-Richtlinie – Stellt einen Agent im Cluster bereit, um Empfehlungen für die Härtung der Clusterdatenebene zu generieren.
Hinweis
Wenn Sie Einstellungen auf Abonnementebene konfigurieren, überschreiben sie alle Einstellungen, die auf Clusterebene konfiguriert sind.
Legen Sie den Defender for Containers-Plan für den Cluster oder das Abonnement mithilfe von REST-API-Befehlen fest.