Caution
Dieser Artikel verweist auf CentOS, eine Linux-Distribution, die am 30. Juni 2024 das Ende des Dienstes erreicht hat. Denken Sie an Ihre Verwendung und planen Sie entsprechend. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
Von Bedeutung
Alle Funktionen von Microsoft Defender for Cloud werden am 18. August 2026 in der Region „Azure China“ offiziell eingestellt. Aufgrund dieser bevorstehenden Einstellung können Kunden von Azure in China keine neuen Abonnements mehr in den Dienst integrieren. Ein neues Abonnement ist ein Abonnement, das noch nicht in den Microsoft Defender für Cloud-Dienst vor dem 18. August 2025 integriert wurde, das Datum der Einstellungsankündigung. Weitere Informationen zur Einstellung finden Sie unter Microsoft Defender for Cloud Deprecation in Microsoft Azure Operated by 21Vianet Announcement.
Kunden sollten mit ihren Kundenservicemitarbeitern für Microsoft Azure, betrieben von 21Vianet, zusammenarbeiten, um die Auswirkungen dieser Einstellung auf ihren eigenen Betrieb zu bewerten.
In diesem Artikel werden Supportinformationen für Containerfunktionen in Microsoft Defender für Cloud zusammengefasst.
Note
- Bestimmte Features befinden sich in der Vorschauphase. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
- Defender für Cloud unterstützt offiziell nur die Versionen von AKS, EKS und GKE, die der Cloudanbieter unterstützt.
In der folgenden Tabelle sind die Features aufgeführt, die von Defender für Container für die unterstützten Cloudumgebungen und Containerregistrierungen bereitgestellt werden.
Verfügbarkeit des Microsoft Defender für Container-Plans
Features der Sicherheitsrisikobewertung (VA)
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
VA für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog |
Defender für Container oder Defender CSPM |
Kommerzielle Clouds
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog und entweder K8S-API-Zugriff oder Defender Sensor1 |
Defender für Container oder Defender CSPM |
Kommerzielle Clouds
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Laufzeitcontainer VA |
Registrierungsunabhängige, allgemein verfügbare Version eines Containers, der Images ausführt |
All |
Preview |
- |
Erfordert agentloses Scannen für Computer und entweder K8S-API-Zugriff oder Defender-Sensor1 |
Defender für Container oder Defender CSPM |
Kommerzielle Clouds
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
1Nationale Clouds werden automatisch aktiviert und können nicht deaktiviert werden.
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
AWS |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Erfordert agentloses Scannen auf Computer und entweder K8S-API-Zugriff oder Defender-Sensor |
Defender für Container oder Defender CSPM |
AWS |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
GCP |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Erfordert agentloses Scannen auf Computer und entweder K8S-API-Zugriff oder Defender-Sensor |
Defender für Container oder Defender CSPM |
GCP |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
Arc-verbundene Cluster |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Erfordert agentloses Scannen auf Computer und entweder K8S-API-Zugriff oder Defender-Sensor |
Defender für Container oder Defender CSPM |
Arc-verbundene Cluster |
Registrierungen und Bilder unterstützen die Sicherheitsrisikobewertung
| Aspect |
Details |
| Registrierungen und Images |
Supported
* Containerimages im Docker V2-Format
* Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI)
Unsupported
* Super-minimalistische Images wie Docker Scratch-Images werden derzeit nicht unterstützt
* Öffentliche Repositorys
* Manifestlisten
|
| Betriebssysteme |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6–9
* CentOS 6-9 (CentOS hat sein Dienstende am 30. Juni 2024 erreicht. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.)
* Oracle Linux 6–9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11–15
* Debian GNU/Linux 7–12
* Google Distroless (basierend auf Debian GNU/Linux 7–12)
* Ubuntu 12.04-24.04
* Fedora 31–37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Alma Linux 8.4 oder höher
* Rocky Linux 8.7 oder höher |
Sprachspezifische Pakete
|
Supported
*Python
* Node.js
* PHP
*Rubinrot
*Rost
*.NET
*Java
* Go |
Laufzeitschutzfunktionen
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
AKS |
GA |
GA |
Durch Plan aktiviert |
Defender für Container |
Kommerzielle Clouds Nationale Clouds: Azure Government, Azure, betrieben von 21Vianet |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
AKS |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure, betrieben von 21Vianet |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
AKS |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Clouds |
| DNS-Erkennung |
DNS-Erkennungsfunktionen |
AKS |
Preview |
|
Erfordert Defender-Sensor über Helm |
Defender für Container |
Kommerzielle Clouds |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
AKS |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Vorschau – unterstützt derzeit Audit-Log-Dateien |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure, betrieben von 21Vianet |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
AKS |
Preview |
- |
Erfordert Defender-Sensor - und K8S-Zugriffs-API |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure, betrieben von 21Vianet |
| Malware-Erkennung |
Erkennung von Schadsoftware |
AKS-Knoten |
GA |
GA |
Erfordert agentloses Scannen für Computer |
Defender for Containers oder Defender for Servers Plan 2 |
Kommerzielle Clouds |
Kubernetes-Verteilungen und -Konfigurationen für den Laufzeit-Bedrohungsschutz in Azure
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden auf Azure getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
EKS |
GA |
GA |
Durch Plan aktiviert |
Defender für Container |
AWS |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
EKS |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
EKS |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
| DNS-Erkennung |
DNS-Erkennungsfunktionen |
EKS |
Preview |
|
Erfordert Defender-Sensor über Helm |
Defender für Container |
AWS |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
EKS |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Vorschau – unterstützt derzeit Audit-Log-Dateien |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
EKS |
Preview |
- |
Erfordert Defender-Sensor - und K8S-Zugriffs-API |
Defender für Container |
AWS |
| Malware-Erkennung |
Erkennung von Schadsoftware |
- |
- |
- |
- |
- |
- |
Kubernetes-Verteilungen und Konfigurationen unterstützen den Laufzeit-Bedrohungsschutz in AWS
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
GKE |
GA |
GA |
Durch Plan aktiviert |
Defender für Container |
GCP |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
GKE |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
GKE |
GA |
- |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
| DNS-Erkennung |
DNS-Erkennungsfunktionen |
GKE |
Preview |
|
Erfordert Defender-Sensor über Helm |
Defender für Container |
GCP |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
GKE |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Vorschau – unterstützt derzeit Audit-Log-Dateien |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
GKE |
Preview |
- |
Erfordert Defender-Sensor - und K8S-Zugriffs-API |
Defender für Container |
GCP |
| Malware-Erkennung |
Erkennung von Schadsoftware |
- |
- |
- |
- |
- |
- |
Kubernetes-Verteilungen und Konfigurationen unterstützen den Laufzeit-Bedrohungsschutz in GCP
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
Arc-fähige K8s-Cluster |
Preview |
Preview |
Erfordert Defender-Sensor |
Defender für Container |
|
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
Arc-fähige Kubernetes-Cluster |
Preview |
- |
Erfordert Defender-Sensor |
Defender für Container |
|
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
|
- |
- |
- |
- |
- |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
Arc-fähige Kubernetes-Cluster |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Erfordert Defender-Sensor |
Defender für Container |
|
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
- |
- |
- |
- |
- |
- |
| Malware-Erkennung |
Erkennung von Schadsoftware |
- |
- |
- |
- |
- |
- |
Kubernetes-Verteilungen und -Konfigurationen für Laufzeitbedrohungsschutz in Arc-aktivierten Kubernetes
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um den Schutz von Microsoft Defender for Containers für Ihre Umgebungen zu erhalten, müssen Sie ein Onboarding für Kubernetes mit Azure Arc-Unterstützung durchführen und Defender for Containers als Arc-Erweiterung aktivieren.
Features für Sicherheitsstatusverwaltung
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes1 |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
AKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
Kommerzielle Azure-Clouds |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
ACR, AKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
Kommerzielle Azure-Clouds |
| Angriffspfadanalyse |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
ACR, AKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender CSPM |
Kommerzielle Azure-Clouds |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
ACR, AKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
Kommerzielle Azure-Clouds |
|
Härten der Steuerungsebene1 |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
ACR, AKS |
GA |
GA |
Durch Plan aktiviert |
Free |
Kommerzielle Clouds
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
|
Workloadhärtung1 |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
AKS |
GA |
- |
Erfordert Azure-Richtlinie |
Free |
Kommerzielle Clouds
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
AKS |
GA |
- |
Als Sicherheitsstandard zugewiesen |
Defender for Containers ODER Defender CSPM |
Kommerzielle Clouds
|
1 Dieses Feature kann für einen einzelnen Cluster aktiviert werden, wenn Defender for Containers auf Clusterressourcenebene aktiviert wird.
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
EKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
Kommerzielle Azure-Clouds |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
ECR, EKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
AWS |
| Angriffspfadanalyse |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
ECR, EKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender CSPM (erfordert Aktivieren der agentenlosen Discovery für Kubernetes) |
AWS |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
ECR, EKS |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
AWS |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
- |
- |
- |
- |
- |
- |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
EKS |
GA |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Free |
AWS |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
EKS |
GA |
- |
Als Sicherheitsstandard zugewiesen |
Defender for Containers ODER Defender CSPM |
AWS |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
GKE |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
GCP |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
GCR, GAR, GKE |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
GCP |
| Angriffspfadanalyse |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
GCR, GAR, GKE |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender CSPM |
GCP |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
GCR, GAR, GKE |
GA |
GA |
Erfordert K8S-API-Zugriff |
Defender for Containers ODER Defender CSPM |
GCP |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
GKE |
GA |
GA |
Durch Plan aktiviert |
Free |
GCP |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
GKE |
GA |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Free |
GCP |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
GKE |
GA |
- |
Als Sicherheitsstandard zugewiesen |
Defender for Containers ODER Defender CSPM |
GCP |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
- |
- |
- |
- |
- |
- |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
- |
- |
- |
- |
- |
- |
| Angriffspfadanalyse |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
- |
- |
- |
- |
- |
- |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
- |
- |
- |
- |
- |
- |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
- |
- |
- |
- |
- |
- |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
Arc-aktivierter Kubernetes-Cluster |
GA |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Defender for Containers |
Arc-aktivierter Kubernetes-Cluster |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
VMs mit Arc-Unterstützung |
Preview |
- |
Als Sicherheitsstandard zugewiesen |
Defender for Containers ODER Defender CSPM |
Arc-aktivierter Kubernetes-Cluster |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Connectorerstellung |
Grundlegendes CSPM ODER Defender CSPM ODER Defender for Containers |
- |
| Angriffspfadanalyse |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Connectorerstellung |
Defender CSPM |
- |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
Docker Hub, JFrog |
GA |
GA |
Connectorerstellung |
Defender for Containers ODER Defender CSPM |
|
Container-Software-Supply Chain-Schutzfunktionen
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
AKS 1.31 oder höher, Azure Container Registry (ACR) |
GA |
GA |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
Defender für Container |
Kommerzielle Clouds |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
EKS 1.31 oder höher, Amazon Elastic Container Registry (ECR) |
GA |
GA |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
Defender für Container |
AWS |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
GKE 1.31 oder höher, Google Artifact Registry |
GA |
GA |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
Defender für Container |
GCP |
| Feature |
Description |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows-Releasestatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
Arc-fähige Kubernetes-Cluster |
Preview |
Preview |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
Defender für Container |
- |
Netzwerkeinschränkungen
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
| Cluster mit IP-Einschränkungen |
Wenn für Ihren Kubernetes-Cluster in AWS Steuerungsebenen-IP-Einschränkungen aktiviert sind (siehe Zugriffssteuerung für Amazon EKS-Clusterendpunkte – Amazon EKS), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen. |
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
| Cluster mit IP-Einschränkungen |
Wenn Ihr Kubernetes-Cluster in GCP Steuerungsebenen-IP-Einschränkungen aktiviert hat (siehe GKE – Hinzufügen autorisierter Netzwerke für den Zugriff auf die Steuerungsebene ), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender für Cloud einzuschließen. |
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
Unterstützte Hostbetriebssysteme
Defender for Containers ist für mehrere Features vom Defender-Sensor abhängig. Der Defender-Sensor wird nur mit Linux Kernel 5.4 und höher auf den folgenden Host-Betriebssystemen unterstützt:
- Amazon Linux 2
- CentOS 8 (CentOS hat am 30. Juni 2024 das Serviceende erreicht. Weitere Informationen finden Sie in der Anleitung zum Ende des Lebenszyklus von CentOS.)
- Debian 10
- Debian 11
- Google Container-optimiertes Betriebssystem
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Stellen Sie sicher, dass Ihr Kubernetes-Knoten auf einem dieser überprüften Betriebssysteme ausgeführt wird. Cluster mit nicht unterstützten Hostbetriebssystemen erhalten nicht die Vorteile von Features, die auf dem Defender-Sensor basieren.
Einschränkungen des Defender-Sensors
Der Defender-Sensor in AKS Version 1.28 und früheren Versionen unterstützt keine Arm64-Knoten.
Nächste Schritte