Caution
Cet article fait référence à CentOS, une distribution Linux qui a atteint la fin du service le 30 juin 2024. Faites le point sur votre utilisation et organisez-vous en conséquence. Pour plus d’informations, consultez l’aide relative à la fin de vie de CentOS.
Important
Toutes les fonctionnalités de Microsoft Defender for Cloud seront officiellement retirées dans la région Azure Chine le 18 août 2026. En raison de cette mise hors service à venir, les clients Azure en Chine ne peuvent plus intégrer de nouveaux abonnements au service. Un nouvel abonnement est tout abonnement qui n’a pas déjà été intégré au service Microsoft Defender pour cloud avant le 18 août 2025, date de la mise hors service. Pour plus d’informations sur la mise hors service, consultez l’Annonce sur la dépréciation de Microsoft Defender for Cloud dans Microsoft Azure opérée par 21Vianet.
Les clients doivent travailler avec leurs représentants de comptes pour Microsoft Azure gérés par 21Vianet pour évaluer l’impact de cette mise hors service sur leurs propres opérations.
Cet article récapitule les informations de prise en charge des fonctionnalités de conteneur dans Microsoft Defender pour Cloud.
Note
- Des fonctionnalités spécifiques sont en préversion. Les conditions supplémentaires pour les préversions Azure incluent d’autres conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore en disponibilité générale.
- Defender pour Cloud prend officiellement en charge uniquement les versions d’AKS, EKS et GKE prises en charge par le fournisseur de cloud.
Le tableau suivant répertorie les fonctionnalités fournies par Defender pour conteneurs pour les environnements cloud et les registres de conteneurs pris en charge.
Disponibilité des plans Microsoft Defender pour les conteneurs
Fonctionnalités d’évaluation des vulnérabilités (VA)
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Registre de conteneurs VA |
Activation en volume pour les images dans les registres de conteneurs |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Nécessite la création d’un accès au Registre1 ou du connecteur pour Docker Hub/JFrog |
Defender pour conteneurs ou CSPM Defender |
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet |
| Activation en volume du conteneur runtime – Analyse basée sur le registre |
Activation en volume de conteneurs exécutant des images à partir de registres pris en charge |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Nécessite l’accès au Registre1 ou la création du connecteur pour Docker Hub/JFrog et l’accès à l’API K8S ou le capteur Defender1 |
Defender pour conteneurs ou CSPM Defender |
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet |
| Activation en volume du conteneur d’exécution |
Activation en volume indépendante du registre d’images en cours d’exécution de conteneur |
All |
Preview |
- |
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender1 |
Defender pour conteneurs ou CSPM Defender |
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet |
1Clouds nationaux sont automatiquement activés et ne peuvent pas être désactivés.
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Registre de conteneurs VA |
Évaluations des vulnérabilités pour les images dans les registres de conteneurs |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Nécessite l’accès au Registre |
Defender pour conteneurs ou CSPM Defender |
AWS |
| Activation en volume du conteneur runtime – Analyse basée sur le registre |
Activation en volume de conteneurs exécutant des images à partir de registres pris en charge |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender |
Defender pour conteneurs ou CSPM Defender |
AWS |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Registre de conteneurs VA |
Évaluations des vulnérabilités pour les images dans les registres de conteneurs |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Nécessite l’accès au Registre |
Defender pour conteneurs ou CSPM Defender |
GCP |
| Activation en volume du conteneur runtime – Analyse basée sur le registre |
Activation en volume de conteneurs exécutant des images à partir de registres pris en charge |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender |
Defender pour conteneurs ou CSPM Defender |
GCP |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Registre de conteneurs VA |
Évaluations des vulnérabilités pour les images dans les registres de conteneurs |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Nécessite l’accès au Registre |
Defender pour conteneurs ou CSPM Defender |
Clusters connectés à Arc |
| Activation en volume du conteneur runtime – Analyse basée sur le registre |
Activation en volume de conteneurs exécutant des images à partir de registres pris en charge |
ACR, ERC, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Nécessite une analyse sans agent pour les machines et l’accès à l’API K8S ou le capteur Defender |
Defender pour conteneurs ou CSPM Defender |
Clusters connectés à Arc |
Prise en charge des registres et des images pour l’évaluation des vulnérabilités
| Aspect |
Details |
| Registres et images |
Supported
* Images de conteneur au format Docker V2
* Images avec Spécification du format d’image Open Container Initiative (OCI)
Unsupported
* Les images super minimalistes telles que les images de base Docker ne sont actuellement pas prises en charge
* Référentiels publics
* Listes de manifestes
|
| Systèmes d’exploitation |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS a atteint la fin de service le 30 juin 2024). Pour plus d’informations, consultez l’aide sur la fin de vie de CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basé sur Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Système d’exploitation Chainguard/Wolfi OS
* Alma Linux 8.4 ou version ultérieure
* Rocky Linux 8.7 ou version ultérieure |
Packages spécifiques au langage
|
Supported
*Python
* Node.js
* PHP
*Rubis
*Rust
*.NET
*Java
* Go |
Fonctionnalités de protection du runtime
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Détection du plan de contrôle |
Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes |
AKS |
GA |
GA |
Activé avec le plan |
Defender pour les conteneurs |
Clouds commerciaux nationaux : Azure Government, Azure géré par 21Vianet |
| Détection de la charge de travail |
Surveille les charges de travail conteneurisées pour les menaces et fournit des alertes en cas d’activités suspectes |
AKS |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
Clouds commerciaux et clouds nationaux : Azure Government, Azure géré par 21Vianet |
| Détection de dérive binaire |
Détecte le binaire du conteneur d’exécution à partir de l’image conteneur |
AKS |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
Clouds commerciaux |
| Détection DNS |
Fonctionnalités de détection DNS |
AKS |
Preview |
|
Nécessite le capteur Defender via Helm |
Defender pour les conteneurs |
Clouds commerciaux |
| Repérage avancé en XDR |
Afficher les incidents et alertes de cluster dans Microsoft XDR |
AKS |
Aperçu - supporte actuellement les journaux d’audit et les événements de processus |
Aperçu : prend actuellement en charge les journaux d’audit |
Nécessite le capteur Defender |
Defender pour les conteneurs |
Clouds commerciaux et clouds nationaux : Azure Government, Azure géré par 21Vianet |
| Actions de réponse dans XDR |
Fournit une correction automatisée et manuelle dans Microsoft XDR |
AKS |
Preview |
- |
Nécessite le capteur Defender et l’API d’accès K8S |
Defender pour les conteneurs |
Clouds commerciaux et clouds nationaux : Azure Government, Azure géré par 21Vianet |
| Détection de programme malveillant |
Détection des programmes malveillants |
Nœuds AKS |
GA |
GA |
Nécessite une analyse sans agent pour les machines |
Defender pour conteneurs ou Defender pour serveurs Plan 2 |
Clouds commerciaux |
Distributions et configurations Kubernetes pour la protection contre les menaces d’exécution dans Azure
1 Les clusters Kubernetes certifiés CLOUD Native Computing Foundation (CNCF) doivent être pris en charge, mais seuls les clusters spécifiés sont testés sur Azure.
2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.
Note
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Détection du plan de contrôle |
Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes |
EKS |
GA |
GA |
Activé avec le plan |
Defender pour les conteneurs |
AWS |
| Détection de la charge de travail |
Surveille les charges de travail conteneurisées pour les menaces et fournit des alertes en cas d’activités suspectes |
EKS |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
AWS |
| Détection de dérive binaire |
Détecte le binaire du conteneur d’exécution à partir de l’image conteneur |
EKS |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
AWS |
| Détection DNS |
Fonctionnalités de détection DNS |
EKS |
Preview |
|
Nécessite le capteur Defender via Helm |
Defender pour les conteneurs |
AWS |
| Repérage avancé en XDR |
Afficher les incidents et alertes de cluster dans Microsoft XDR |
EKS |
Aperçu - supporte actuellement les journaux d’audit et les événements de processus |
Aperçu : prend actuellement en charge les journaux d’audit |
Nécessite le capteur Defender |
Defender pour les conteneurs |
AWS |
| Actions de réponse dans XDR |
Fournit une correction automatisée et manuelle dans Microsoft XDR |
EKS |
Preview |
- |
Nécessite le capteur Defender et l’API d’accès K8S |
Defender pour les conteneurs |
AWS |
| Détection de programme malveillant |
Détection des programmes malveillants |
- |
- |
- |
- |
- |
- |
Prise en charge des distributions et des configurations Kubernetes pour la protection contre les menaces d’exécution dans AWS
1 Tous les clusters Kubernetes certifiés CLOUD Native Computing Foundation (CNCF) doivent être pris en charge, mais seuls les clusters spécifiés sont testés.
2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.
Note
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Détection du plan de contrôle |
Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes |
GKE |
GA |
GA |
Activé avec le plan |
Defender pour les conteneurs |
GCP |
| Détection de la charge de travail |
Surveille les charges de travail conteneurisées pour les menaces et fournit des alertes en cas d’activités suspectes |
GKE |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
GCP |
| Détection de dérive binaire |
Détecte le binaire du conteneur d’exécution à partir de l’image conteneur |
GKE |
GA |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
GCP |
| Détection DNS |
Fonctionnalités de détection DNS |
GKE |
Preview |
|
Nécessite le capteur Defender via Helm |
Defender pour les conteneurs |
GCP |
| Repérage avancé en XDR |
Afficher les incidents et alertes de cluster dans Microsoft XDR |
GKE |
Aperçu - supporte actuellement les journaux d’audit et les événements de processus |
Aperçu : prend actuellement en charge les journaux d’audit |
Nécessite le capteur Defender |
Defender pour les conteneurs |
GCP |
| Actions de réponse dans XDR |
Fournit une correction automatisée et manuelle dans Microsoft XDR |
GKE |
Preview |
- |
Nécessite le capteur Defender et l’API d’accès K8S |
Defender pour les conteneurs |
GCP |
| Détection de programme malveillant |
Détection des programmes malveillants |
- |
- |
- |
- |
- |
- |
Prise en charge des distributions et des configurations Kubernetes pour la protection contre les menaces au moment de l’exécution dans GCP
| Aspect |
Details |
| Distributions et configurations Kubernetes |
Supported
Google Kubernetes Engine (GKE) Standard
Pris en charge via Kubernetes avec Arc12
Kubernetes
Unsupported
Clusters de réseau privé
Pilote automatique GKE
* Configuration des réseaux autorisés pour GKE |
1 Tous les clusters Kubernetes certifiés CLOUD Native Computing Foundation (CNCF) doivent être pris en charge, mais seuls les clusters spécifiés sont testés.
2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.
Note
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Détection du plan de contrôle |
Détection d’activités suspectes pour Kubernetes basée sur la piste d’audit Kubernetes |
Clusters K8 avec Arc |
Preview |
Preview |
Nécessite le capteur Defender |
Defender pour les conteneurs |
|
| Détection de la charge de travail |
Surveille les charges de travail conteneurisées pour les menaces et fournit des alertes en cas d’activités suspectes |
Clusters Kubernetes activés par Arc |
Preview |
- |
Nécessite le capteur Defender |
Defender pour les conteneurs |
|
| Détection de dérive binaire |
Détecte le binaire du conteneur d’exécution à partir de l’image conteneur |
|
- |
- |
- |
- |
- |
| Repérage avancé en XDR |
Afficher les incidents et alertes de cluster dans Microsoft XDR |
Clusters Kubernetes activés par Arc |
Aperçu - supporte actuellement les journaux d’audit et les événements de processus |
Aperçu - supporte actuellement les journaux d’audit et les événements de processus |
Nécessite le capteur Defender |
Defender pour les conteneurs |
|
| Actions de réponse dans XDR |
Fournit une correction automatisée et manuelle dans Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Détection de programme malveillant |
Détection des programmes malveillants |
- |
- |
- |
- |
- |
- |
Distributions et configurations Kubernetes pour la protection contre les menaces d’exécution dans Kubernetes avec Arc
1 Tous les clusters Kubernetes certifiés CLOUD Native Computing Foundation (CNCF) doivent être pris en charge, mais seuls les clusters spécifiés sont testés.
2 Pour faire bénéficier à vos environnements de la protection Microsoft Defender pour les conteneurs, vous devez intégrer Kubernetes avec Azure Arc et activer Defender pour les conteneurs en tant qu’extension Arc.
Note
Pour plus d’exigences concernant la protection des charges de travail Kubernetes, consultez les limitations existantes.
Fonctionnalités de gestion de la posture de sécurité
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
|
Découverte sans agent pour Kubernetes1 |
Fournit une découverte sans empreinte via API des clusters Kubernetes, leurs configurations et leurs déploiements. |
AKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
Clouds commerciaux Azure |
| Fonctionnalités d’inventaire complètes |
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. |
ACR, AKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
Clouds commerciaux Azure |
| Analyse du chemin d’attaque |
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses exposent des chemins exploitables que les acteurs malveillants peuvent utiliser pour violer votre environnement. |
ACR, AKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
CSPM Defender |
Clouds commerciaux Azure |
| Amélioration de la chasse aux risques |
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. |
ACR, AKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
Clouds commerciaux Azure |
|
Renforcement des plans de contrôle1 |
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. |
ACR, AKS |
GA |
GA |
Activé avec le plan |
Free |
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet |
|
Renforcement de la charge de travail1 |
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. |
AKS |
GA |
- |
Nécessite Azure Policy |
Free |
Clouds commerciaux
Clouds nationaux : Azure Government, Azure géré par 21Vianet |
| CIS Azure Kubernetes Service |
Benchmark CIS Azure Kubernetes Service |
AKS |
GA |
- |
Assigné comme norme de sécurité |
Defender pour les conteneurs OU CSPM Defender |
Clouds commerciaux
|
1 Cette fonctionnalité peut être activée pour un cluster individuel lors de l’activation de Defender pour les conteneurs au niveau de la ressource de cluster.
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
|
Découverte sans agent pour Kubernetes |
Fournit une découverte sans empreinte via API des clusters Kubernetes, leurs configurations et leurs déploiements. |
EKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
Clouds commerciaux Azure |
| Fonctionnalités d’inventaire complètes |
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. |
ERC, EKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
AWS |
| Analyse du chemin d’attaque |
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses exposent des chemins exploitables que les acteurs malveillants peuvent utiliser pour violer votre environnement. |
ERC, EKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
CSPM Defender (nécessite la détection sans agent pour que Kubernetes soit activé) |
AWS |
| Amélioration de la chasse aux risques |
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. |
ERC, EKS |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
AWS |
|
Renforcement du plan de contrôle |
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. |
- |
- |
- |
- |
- |
- |
|
Renforcement de la charge de travail |
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. |
EKS |
GA |
- |
Nécessite l’approvisionnement automatique de l’extension Azure Policy pour Azure Arc |
Free |
AWS |
| CIS Azure Kubernetes Service |
Benchmark CIS Azure Kubernetes Service |
EKS |
GA |
- |
Assigné comme norme de sécurité |
Defender pour les conteneurs OU CSPM Defender |
AWS |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
|
Découverte sans agent pour Kubernetes |
Fournit une découverte sans empreinte via API des clusters Kubernetes, leurs configurations et leurs déploiements. |
GKE |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
GCP |
| Fonctionnalités d’inventaire complètes |
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. |
GCR, GAR, GKE |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
GCP |
| Analyse du chemin d’attaque |
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses exposent des chemins exploitables que les acteurs malveillants peuvent utiliser pour violer votre environnement. |
GCR, GAR, GKE |
GA |
GA |
Nécessite l’accès à l’API K8S |
CSPM Defender |
GCP |
| Amélioration de la chasse aux risques |
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. |
GCR, GAR, GKE |
GA |
GA |
Nécessite l’accès à l’API K8S |
Defender pour les conteneurs OU CSPM Defender |
GCP |
|
Renforcement du plan de contrôle |
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. |
GKE |
GA |
GA |
Activé avec un plan |
Free |
GCP |
|
Renforcement de la charge de travail |
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. |
GKE |
GA |
- |
Nécessite l’approvisionnement automatique de l’extension Azure Policy pour Azure Arc |
Free |
GCP |
| CIS Azure Kubernetes Service |
Benchmark CIS Azure Kubernetes Service |
GKE |
GA |
- |
Assigné comme norme de sécurité |
Defender pour les conteneurs OU CSPM Defender |
GCP |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
|
Découverte sans agent pour Kubernetes |
Fournit une découverte sans empreinte via API des clusters Kubernetes, leurs configurations et leurs déploiements. |
- |
- |
- |
- |
- |
- |
| Fonctionnalités d’inventaire complètes |
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. |
- |
- |
- |
- |
- |
- |
| Analyse du chemin d’attaque |
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses exposent des chemins exploitables que les acteurs malveillants peuvent utiliser pour violer votre environnement. |
- |
- |
- |
- |
- |
- |
| Amélioration de la chasse aux risques |
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. |
- |
- |
- |
- |
- |
- |
|
Renforcement du plan de contrôle |
Évalue en permanence les configurations de vos clusters et les compare aux initiatives appliquées à vos abonnements. Lorsqu’il trouve des configurations incorrectes, Defender pour Cloud génère des recommandations de sécurité disponibles sur la page Recommandations de Defender pour cloud. Les recommandations vous permettent d’examiner et de corriger les problèmes. |
- |
- |
- |
- |
- |
- |
|
Renforcement de la charge de travail |
Protégez les charges de travail de vos conteneurs Kubernetes avec des recommandations de meilleures pratiques. |
Cluster Kubernetes avec Arc |
GA |
- |
Nécessite l’approvisionnement automatique de l’extension Azure Policy pour Azure Arc |
Defender pour les conteneurs |
Cluster Kubernetes avec Arc |
| CIS Azure Kubernetes Service |
Benchmark CIS Azure Kubernetes Service |
Machines virtuelles avec Arc |
Preview |
- |
Assigné comme norme de sécurité |
Defender pour les conteneurs OU CSPM Defender |
Cluster Kubernetes avec Arc |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Fonctionnalités d’inventaire complètes |
Vous permet d’explorer les ressources, les pods, les services, les référentiels, les images et les configurations via l’Explorateur de sécurité pour surveiller et gérer facilement vos ressources. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Création de connecteur |
CSPM de base OU CSPM Defender OU Defender pour les conteneurs |
- |
| Analyse du chemin d’attaque |
Algorithme graphique qui analyse le graphique de sécurité du cloud. Les analyses exposent des chemins exploitables que les acteurs malveillants peuvent utiliser pour violer votre environnement. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Création de connecteur |
CSPM Defender |
- |
| Amélioration de la chasse aux risques |
Permet aux administrateurs de sécurité de rechercher activement des problèmes de posture dans leurs ressources conteneurisées via des requêtes (intégrées et personnalisées) et des insights de sécurité dans l’Explorateur de sécurité. |
Docker Hub, JFrog |
GA |
GA |
Création de connecteur |
Defender pour les conteneurs OU CSPM Defender |
|
Fonctionnalités de protection de la chaîne d'approvisionnement des logiciels de conteneurs
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Déploiement à paliers |
Déploiement contrôlé d’images conteneur dans votre environnement Kubernetes |
AKS 1.31 ou version ultérieure, Azure Container Registry (ACR) |
GA |
GA |
Nécessite le capteur Defender, le contrôle de sécurité, les résultats de sécurité et l’accès au Registre |
Defender pour les conteneurs |
Clouds commerciaux |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Déploiement à paliers |
Déploiement contrôlé d’images conteneur dans votre environnement Kubernetes |
EKS 1.31 ou version ultérieure, Amazon Elastic Container Registry (ERC) |
GA |
GA |
Nécessite le capteur Defender, le contrôle de sécurité, les résultats de sécurité et l’accès au Registre |
Defender pour les conteneurs |
AWS |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Déploiement à paliers |
Déploiement contrôlé d’images conteneur dans votre environnement Kubernetes |
GKE 1.31 ou version ultérieure, Google Artifact Registry |
GA |
GA |
Nécessite le capteur Defender, le contrôle de sécurité, les résultats de sécurité et l’accès au Registre |
Defender pour les conteneurs |
GCP |
| Feature |
Description |
Ressources prises en charge |
État de mise en production Linux |
État de mise en production Windows |
Méthode d’activation |
Plans |
Disponibilité des clouds |
| Déploiement à paliers |
Déploiement contrôlé d’images conteneur dans votre environnement Kubernetes |
Clusters Kubernetes activés par Arc |
Preview |
Preview |
Nécessite le capteur Defender, le contrôle de sécurité, les résultats de sécurité et l’accès au Registre |
Defender pour les conteneurs |
- |
Restrictions réseau
| Aspect |
Details |
| Prise en charge du proxy sortant |
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Un proxy sortant qui nécessite des certificats approuvés n'est pas pris en charge actuellement. |
| Clusters avec restrictions IP |
Dans AWS, si des restrictions d’adresses IP du plan de contrôle sont activées dans votre cluster Kubernetes (consultez Contrôle d’accès au point de terminaison du cluster – Amazon EKS), la configuration des restrictions d’adresses IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender for Cloud. |
| Aspect |
Details |
| Prise en charge du proxy sortant |
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Un proxy sortant qui nécessite des certificats approuvés n'est pas pris en charge actuellement. |
| Clusters avec restrictions IP |
Si votre cluster Kubernetes dans GCP a des restrictions IP de plan de contrôle activées (voir GKE - Ajouter des réseaux autorisés pour l’accès au plan de contrôle ), la configuration de restriction IP du plan de contrôle est mise à jour pour inclure le bloc CIDR de Microsoft Defender pour cloud. |
| Aspect |
Details |
| Prise en charge du proxy sortant |
Les proxys sortants sans authentification et les proxys sortants avec l’authentification de base sont pris en charge. Un proxy sortant qui nécessite des certificats approuvés n'est pas pris en charge actuellement. |
Systèmes d’exploitation hôtes pris en charge
Defender pour les conteneurs dépend du capteur Defender pour plusieurs fonctionnalités. Le capteur Defender est pris en charge uniquement avec le noyau Linux 5.4 et versions ultérieures, sur les systèmes d’exploitation hôtes suivants :
- Amazon Linux 2
- CentOS 8 (CentOS a atteint la fin du service le 30 juin 2024. Pour plus d’informations, consultez les conseils sur la fin de vie centOS.)
- Debian 10
- Debian 11
- Système d’exploitation optimisé Google Container
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Vérifiez que votre nœud Kubernetes s’exécute sur l’un de ces systèmes d’exploitation vérifiés. Les clusters avec des systèmes d’exploitation hôtes non pris en charge ne bénéficient pas des avantages des fonctionnalités qui s’appuient sur le capteur Defender.
Limitations du capteur Defender
Le capteur Defender dans AKS version 1.28 et versions antérieures ne prend pas en charge les nœuds Arm64.
Étapes suivantes