Udostępnij przez

Tworzenie wykluczeń i wyłączanie wyników oceny luk w zabezpieczeniach na obrazach rejestru kontenerów i uruchomionych obrazach

Uwaga / Notatka

Możesz dostosować środowisko oceny luk w zabezpieczeniach, wykluczając grupy zarządzania, subskrypcje lub określone zasoby z wskaźnika bezpieczeństwa. Dowiedz się, jak utworzyć wykluczenie dla zasobu lub subskrypcji.

Jeśli istnieje potrzeba organizacyjna, aby ignorować wynik zamiast go korygować, możesz opcjonalnie go wyłączyć. Wyłączone wyniki nie wpływają na wskaźnik bezpieczeństwa ani nie generują niechcianego szumu.

Gdy wyszukiwanie jest zgodne z kryteriami zdefiniowanymi w regułach wyłączania, nie jest ona wyświetlana na liście wyników. Typowe przykłady scenariuszy obejmują:

  • Wyłącz ustalenia z ciężkością poniżej średniej
  • Wyłącz wyniki dla obrazów, których dostawca nie naprawi

Ważne

Aby utworzyć regułę, musisz mieć uprawnienia do edytowania zasad w usłudze Azure Policy. Dowiedz się więcej w temacie Uprawnienia RBAC platformy Azure w usłudze Azure Policy.

Można użyć kombinacji dowolnego z następujących kryteriów:

  • CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
  • Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
  • Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
  • Minimalna ważność — wybierz pozycję niska, średnia, wysoka lub krytyczna, aby wykluczyć luki w zabezpieczeniach mniejsze niż określony poziom ważności.
  • Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

Wyłącz reguły stosowane zgodnie z zaleceniem, na przykład aby wyłączyć cve-2017-17512 zarówno na obrazach rejestru, jak i obrazach środowiska uruchomieniowego, reguła wyłączenia musi być skonfigurowana w obu miejscach.

Uwaga / Notatka

Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Aby utworzyć regułę

  1. Przejdź do strony szczegółów zaleceń dla obrazów rejestru kontenerów, które powinny mieć znalezione luki w zabezpieczeniach rozwiązane za pomocą usługi Microsoft Defender Vulnerability Management lub Kontenery uruchomione na platformie Azure, powinny mieć usunięte wyniki luk w zabezpieczeniach.

  2. Wybierz pozycję Wyłącz regułę.

  3. Wybierz odpowiedni zakres.

  4. Zdefiniuj kryteria. Można użyć dowolnego z następujących kryteriów:

    • CVE — wprowadź cves wyników, które chcesz wykluczyć. Upewnij się, że CVEs są prawidłowe. Rozdziel wiele CVE średnikami. Na przykład CVE-2020-1347; CVE-2020-1346.
    • Skrót obrazu — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie skrótu obrazu. Oddzielaj wiele skrótów średnikami, na przykład: sha256:9b920e938111710c2768b31699aac9d1ae80ab6284454e8a9ff42e887fa1db31;sha256:ab0ab32f75988da9b146de7a3589c47e919393ae51bbf2d8a0d55dd92542451c
    • Wersja systemu operacyjnego — określ obrazy, dla których luki w zabezpieczeniach powinny zostać wykluczone na podstawie systemu operacyjnego obrazu. Rozdziel wiele wersji średnikami, na przykład: ubuntu_linux_20.04; alpine_3.17
    • Minimalna ważność — wybierz niski, średni, wysoki lub krytyczny, aby wykluczyć luki w zabezpieczeniach mniejsze niż i równe określonemu poziomowi ważności.
    • Naprawiono stan — wybierz opcję wykluczania luk w zabezpieczeniach na podstawie ich stanu poprawki.

  5. W polu tekstowym uzasadnienia dodaj uzasadnienie, dlaczego określona luka w zabezpieczeniach została wyłączona. Zapewnia to przejrzystość i zrozumienie dla każdej osoby przeglądającej regułę.

  6. Wybierz pozycję Zastosuj regułę.

    Zrzut ekranu przedstawiający sposób tworzenia reguły wyłączania wyników luk w zabezpieczeniach na obrazach rejestru.

    Ważne

    Wprowadzenie zmian może potrwać do 24 godzin.

Aby wyświetlić, zastąpić lub usunąć regułę

  1. Na stronie szczegółów zaleceń wybierz pozycję Wyłącz regułę.

  2. Z listy zakresów subskrypcje z aktywnymi regułami są wyświetlane jako Zastosowana reguła.

  3. Aby wyświetlić lub usunąć regułę, wybierz menu wielokropka ("...").

  4. Wykonaj jedną z następujących czynności:

    • Aby wyświetlić lub zastąpić regułę wyłączenia — wybierz pozycję Wyświetl regułę, wprowadź dowolne zmiany i wybierz pozycję Przesłoń regułę.
    • Aby usunąć regułę wyłączenia — wybierz pozycję Usuń regułę.

    Zrzut ekranu przedstawiający miejsce wyświetlania, usuwania lub zastępowania reguły w celu znalezienia luk w zabezpieczeniach na obrazach rejestru.

Dalsze kroki

  • Last updated on