Caution
W tym artykule odniesiono się do systemu CentOS, dystrybucji Linux, która osiągnęła koniec wsparcia 30 czerwca 2024 r. Rozważ swoje użycie i zaplanuj odpowiednio. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.
Ważne
Wszystkie funkcje usługi Microsoft Defender for Cloud zostaną oficjalnie wycofane w regionie Azure w Chinach 18 sierpnia 2026 r. Ze względu na zbliżającą się emeryturę platforma Azure w Chinach nie może już dołączać nowych subskrypcji do usługi. Nowa subskrypcja to każda subskrypcja, która nie została jeszcze dołączona do usługi Microsoft Defender for Cloud przed 18 sierpnia 2025 r., datą ogłoszenia o wycofaniu. Aby uzyskać więcej informacji na temat wycofania, zobacz Ogłoszenie o wycofaniu usługi Microsoft Defender for Cloud na platformie Microsoft Azure, zarządzanej przez 21Vianet.
Klienci powinni współpracować ze swoimi przedstawicielami kont platformy Microsoft Azure obsługiwanymi przez firmę 21Vianet, aby ocenić wpływ tej emerytury na własne operacje.
Ten artykuł zawiera podsumowanie informacji o obsłudze możliwości kontenera w usłudze Microsoft Defender for Cloud.
Note
- Określone funkcje są dostępne w wersji zapoznawczej.
Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują inne postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
- Usługa Defender for Cloud oficjalnie obsługuje tylko wersje usług AKS, EKS i GKE obsługiwanych przez dostawcę chmury.
W poniższej tabeli wymieniono funkcje udostępniane przez usługę Defender for Containers dla obsługiwanych środowisk w chmurze i rejestrów kontenerów.
Dostępność planu Microsoft Defender dla Kontenerów
Funkcje oceny luk w zabezpieczeniach
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Repozytorium kontenerów VA |
VA dla obrazów w rejestrach kontenerów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do rejestru1 lub utworzenia łącznika dla usługi Docker Hub/JFrog |
Defender for Containers lub Defender CSPM |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Kontener w czasie wykonywania VA - Skanowanie oparte na rejestrze |
VA kontenerów uruchamiających obrazy z obsługiwanych rejestrów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do rejestru1 lub utworzenia łącznika dla usługi Docker Hub/JFrog i dostępu do interfejsu API K8S lub czujnika Defender1 |
Defender for Containers lub Defender CSPM |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Kontener środowiska uruchomieniowego VA |
Niezależna ocena luk w zabezpieczeniach obrazów uruchamianych w kontenerach |
All |
Preview |
- |
Wymaga skanowania bez agenta dla maszyn i dostępu do interfejsu API K8S lub czujnika Defender1 |
Defender for Containers lub Defender CSPM |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
1Chmury krajowe są automatycznie włączone i nie można ich wyłączyć.
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Repozytorium kontenerów VA |
Ocena podatności obrazów w rejestrach kontenerów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do rejestru |
Defender for Containers lub Defender CSPM |
AWS |
| Kontener w czasie wykonywania VA - Skanowanie oparte na rejestrze |
VA kontenerów uruchamiających obrazy z obsługiwanych rejestrów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
- |
Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender |
Defender for Containers lub Defender CSPM |
AWS |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Repozytorium kontenerów VA |
Ocena podatności obrazów w rejestrach kontenerów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do rejestru |
Defender for Containers lub Defender CSPM |
GCP |
| Kontener w czasie wykonywania VA - Skanowanie oparte na rejestrze |
VA kontenerów uruchamiających obrazy z obsługiwanych rejestrów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
- |
Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender |
Defender for Containers lub Defender CSPM |
GCP |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Repozytorium kontenerów VA |
Ocena podatności obrazów w rejestrach kontenerów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do rejestru |
Defender for Containers lub Defender CSPM |
Łączone przez łuki klastry |
| Kontener w czasie wykonywania VA - Skanowanie oparte na rejestrze |
VA kontenerów uruchamiających obrazy z obsługiwanych rejestrów |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ogólna dostępność |
- |
Wymaga skanowania bezagentowego dla urządzeń i dostępu do interfejsu API K8S lub czujnika Defender |
Defender for Containers lub Defender CSPM |
Łączone przez łuki klastry |
Rejestry i obrazy obsługują ocenę luk w zabezpieczeniach
| Aspect |
Details |
| Rejestry i obrazy |
Supported
* Obrazy kontenerów w formacie platformy Docker V2
* Obrazy ze specyfikacją formatu obrazu Open Container Initiative (OCI)
Unsupported
* Bardzo minimalistyczne obrazy, takie jak obrazy Docker scratch, są obecnie nieobsługiwane
* Repozytoria publiczne
* Listy manifestów
|
| Systemy operacyjne |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS to koniec usługi od 30 czerwca 2024 r.). Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (oparte na Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Alma Linux 8.4 lub nowsze
* Rocky Linux 8.7 lub nowszy |
Pakiety specyficzne dla języka
|
Supported
*Pyton
* Node.js
* PHP
*Rubin
*Rdza
*.SIEĆ
*Jawa
*Iść |
Funkcje ochrony środowiska uruchomieniowego
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
AKS |
ogólna dostępność |
ogólna dostępność |
Włączone w ramach planu |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
AKS |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
AKS |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne |
| Wykrywanie DNS |
Możliwości wykrywania DNS |
AKS |
Preview |
|
Wymaga czujnika usługi Defender za pośrednictwem programu Helm |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne |
| Zaawansowane polowanie na zagrożenia w ramach usługi XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
AKS |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
AKS |
Preview |
- |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne i chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
Węzły usługi AKS |
ogólna dostępność |
ogólna dostępność |
Wymaga skanowania maszyn bez agenta |
Defender for Containers lub Defender for Servers Plan 2 |
Chmury komercyjne |
Dystrybucje i konfiguracje platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami na platformie Azure
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry są testowane na platformie Azure.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Note
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
EKS |
ogólna dostępność |
ogólna dostępność |
Włączone w ramach planu |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
EKS |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
EKS |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Wykrywanie DNS |
Możliwości wykrywania DNS |
EKS |
Preview |
|
Wymaga czujnika usługi Defender za pośrednictwem programu Helm |
Usługa Defender dla kontenerów |
AWS |
| Zaawansowane polowanie na zagrożenia w ramach usługi XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
EKS |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
EKS |
Preview |
- |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Dystrybucja i konfiguracje platformy Kubernetes obsługują ochronę środowiska uruchomieniowego przed zagrożeniami na platformie AWS
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry są testowane.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Note
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
GKE |
ogólna dostępność |
ogólna dostępność |
Włączone w ramach planu |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
GKE |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
GKE |
ogólna dostępność |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Wykrywanie DNS |
Możliwości wykrywania DNS |
GKE |
Preview |
|
Wymaga czujnika Defender za pośrednictwem narzędzia Helm |
Usługa Defender dla kontenerów |
GCP |
| Zaawansowane polowanie na zagrożenia w ramach usługi XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
GKE |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
GKE |
Preview |
- |
Wymaga sensora Defender i interfejsu API dostępu K8S |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Dystrybucje i konfiguracje platformy Kubernetes obsługują ochronę środowiska uruchomieniowego przed zagrożeniami w GCP
| Aspect |
Details |
| Dystrybucje i konfiguracje platformy Kubernetes |
Supported
Google Kubernetes Engine (GKE) Standard
Obsługiwane przez Kubernetes z obsługą Arc12
Kubernetes
Unsupported
Klastry sieci prywatnej
Autopilot GKE
* GKE Konfiguracja Autoryzowanych Sieci |
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry są testowane.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Note
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wykrywanie płaszczyzny sterowania |
Wykrywanie podejrzanych działań dotyczących platformy Kubernetes na podstawie dziennika inspekcji platformy Kubernetes |
Klastry K8s z obsługą Arc |
Preview |
Preview |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
|
| Wykrywanie obciążenia |
Monitoruje konteneryzowane obciążenia robocze pod kątem zagrożeń i wysyła alerty w przypadku podejrzanych działań. |
Klastry Kubernetes z obsługą Arc |
Preview |
- |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
|
| Wykrywanie binarnego przesunięcia |
Wykrywa dane binarne kontenera środowiska uruchomieniowego z obrazu kontenera |
|
- |
- |
- |
- |
- |
| Zaawansowane polowanie na zagrożenia w ramach usługi XDR |
Wyświetlanie zdarzeń i alertów klastra w usłudze Microsoft XDR |
Klastry Kubernetes z obsługą Arc |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wersja zapoznawcza — obecnie obsługuje dzienniki inspekcji i zdarzenia procesów |
Wymaga czujnika Defender |
Defender for Containers (Ochrona dla Kontenerów) |
|
| Akcje odpowiedzi w systemie XDR |
Zapewnia zautomatyzowane i ręczne korygowanie w usłudze Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Wykrywanie złośliwego oprogramowania |
Wykrywanie złośliwego oprogramowania |
- |
- |
- |
- |
- |
- |
Dystrybucje i konfiguracje platformy Kubernetes na potrzeby ochrony środowiska uruchomieniowego przed zagrożeniami w rozwiązaniu Kubernetes z obsługą usługi Arc
1 Wszystkie klastry Kubernetes z certyfikatem Cloud Native Computing Foundation (CNCF) powinny być obsługiwane, ale tylko określone klastry są testowane.
2 Aby uzyskać ochronę usługi Microsoft Defender for Containers dla środowisk, należy dołączyć platformę Kubernetes z obsługą usługi Azure Arc i włączyć usługę Defender for Containers jako rozszerzenie usługi Arc.
Note
Aby uzyskać dodatkowe wymagania dotyczące ochrony obciążeń platformy Kubernetes, zobacz istniejące ograniczenia.
Funkcje zarządzania stanem zabezpieczeń
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes1 |
Zapewnia bezinwazyjne, oparte na API odnajdywanie klastrów Kubernetes, ich konfiguracji i wdrożeń. |
AKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
ACR, AKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których mogą używać źli aktorzy w celu naruszenia środowiska. |
ACR, AKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Obrońca CSPM |
Chmury komercyjne platformy Azure |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
ACR, AKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
|
Wzmacnianie płaszczyzny kontrolnej1 |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
ACR, AKS |
ogólna dostępność |
ogólna dostępność |
Włączone w ramach planu |
Bezpłatna |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
|
Wzmocnienie zabezpieczeń obciążenia1 |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
AKS |
ogólna dostępność |
- |
Wymaga Azure Policy |
Bezpłatna |
Chmury komercyjne
Chmury krajowe: Azure Government, platforma Azure obsługiwana przez firmę 21Vianet |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
AKS |
ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne
|
1 Tę funkcję można włączyć dla pojedynczego klastra podczas włączania usługi Defender for Containers na poziomie zasobu klastra.
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezinwazyjne, oparte na API odnajdywanie klastrów Kubernetes, ich konfiguracji i wdrożeń. |
EKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
Chmury komercyjne platformy Azure |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
ECR, EKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
AWS |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których mogą używać źli aktorzy w celu naruszenia środowiska. |
ECR, EKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender CSPM (wymaga włączenia odnajdywania bezagentowego na platformie Kubernetes) |
AWS |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
ECR, EKS |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
AWS |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie zabezpieczeń obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
EKS |
ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Bezpłatna |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
EKS |
ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
AWS |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezinwazyjne, oparte na API odnajdywanie klastrów Kubernetes, ich konfiguracji i wdrożeń. |
GKE |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
GCR, GAR, GKE |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których mogą używać źli aktorzy w celu naruszenia środowiska. |
GCR, GAR, GKE |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Obrońca CSPM |
GCP |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
GCR, GAR, GKE |
ogólna dostępność |
ogólna dostępność |
Wymaga dostępu do interfejsu API K8S |
Defender dla Kontenerów OR Defender CSPM |
GCP |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
GKE |
ogólna dostępność |
ogólna dostępność |
Aktywowano wraz z planem |
Bezpłatna |
GCP |
|
Wzmacnianie zabezpieczeń obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
GKE |
ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Bezpłatna |
GCP |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
GKE |
ogólna dostępność |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
GCP |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
|
Odnajdywanie bez agenta dla platformy Kubernetes |
Zapewnia bezinwazyjne, oparte na API odnajdywanie klastrów Kubernetes, ich konfiguracji i wdrożeń. |
- |
- |
- |
- |
- |
- |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
- |
- |
- |
- |
- |
- |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których mogą używać źli aktorzy w celu naruszenia środowiska. |
- |
- |
- |
- |
- |
- |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie płaszczyzny sterowania |
Nieustannie ocenia konfiguracje Twoich klastrów i porównuje je z inicjatywami zastosowanymi w Twoich subskrypcjach. W przypadku znalezienia błędów konfiguracji Defender dla Chmury generuje zalecenia dotyczące zabezpieczeń dostępne na stronie Zalecenia Defender dla Chmury. Zalecenia umożliwiają badanie i korygowanie problemów. |
- |
- |
- |
- |
- |
- |
|
Wzmacnianie zabezpieczeń obciążenia |
Ochrona obciążeń kontenerów Kubernetes przy użyciu zaleceń dotyczących najlepszych rozwiązań. |
Klaster Kubernetes z obsługą Arc |
ogólna dostępność |
- |
Wymaga automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc |
Defender dla Kontenerów |
Klaster Kubernetes z obsługą Arc |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
Maszyny wirtualne obsługujące Arc |
Preview |
- |
Przypisane jako standard zabezpieczeń |
Defender dla Kontenerów OR Defender CSPM |
Klaster Kubernetes z obsługą Arc |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Kompleksowe możliwości inwentaryzacji |
Umożliwia eksplorowanie zasobów, zasobników, usług, repozytoriów, obrazów i konfiguracji za pomocą Eksploratora zabezpieczeń w celu łatwego monitorowania zasobów i zarządzania nimi. |
Docker Hub, artefakt JFrog |
ogólna dostępność |
ogólna dostępność |
Tworzenie łącznika |
Podstawowe CSPM LUB Defender CSPM LUB Defender dla Kontenerów |
- |
| Analiza ścieżki ataku |
Algorytm oparty na grafach, który skanuje wykres zabezpieczeń w chmurze. Skanowania uwidaczniają możliwe do wykorzystania ścieżki, których mogą używać źli aktorzy w celu naruszenia środowiska. |
Docker Hub, artefakt JFrog |
ogólna dostępność |
ogólna dostępność |
Tworzenie łącznika |
Obrońca CSPM |
- |
| Ulepszone polowanie na ryzyko |
Umożliwia administratorom zabezpieczeń aktywne wyszukiwanie problemów z postawą w swoich konteneryzowanych zasobach za pośrednictwem zapytań (wbudowanych i niestandardowych) oraz wglądów w zabezpieczenia w Eksploratorze zabezpieczeń. |
Docker Hub, JFrog |
ogólna dostępność |
ogólna dostępność |
Tworzenie łącznika |
Defender dla Kontenerów OR Defender CSPM |
|
Funkcje ochrony łańcucha dostaw dla oprogramowania kontenerów
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
AKS 1.31 lub nowszy, Azure Container Registry (ACR) |
ogólna dostępność |
ogólna dostępność |
Wymaga czujnika usługi Defender, weryfikacji zabezpieczeń, wyników zabezpieczeń i dostępu do rejestru |
Defender for Containers (Ochrona dla Kontenerów) |
Chmury komercyjne |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
EKS 1.31 lub nowszy, Amazon Elastic Container Registry (ECR) |
ogólna dostępność |
ogólna dostępność |
Wymaga czujnika usługi Defender, weryfikacji zabezpieczeń, wyników zabezpieczeń i dostępu do rejestru |
Defender for Containers (Ochrona dla Kontenerów) |
AWS |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
GKE 1.31 lub nowszy, Google Artifact Registry |
ogólna dostępność |
ogólna dostępność |
Wymaga czujnika usługi Defender, weryfikacji zabezpieczeń, wyników zabezpieczeń i dostępu do rejestru |
Defender for Containers (Ochrona dla Kontenerów) |
GCP |
| Feature |
Description |
Obsługiwane zasoby |
Stan wydania systemu Linux |
Stan wydania systemu Windows |
Enablement, metoda |
Plans |
Dostępność chmur |
| Wdrożenie kontrolowane |
Bramne wdrażanie obrazów kontenerów w środowisku Kubernetes |
Klastry Kubernetes z obsługą Arc |
Preview |
Preview |
Wymaga czujnika usługi Defender, weryfikacji zabezpieczeń, wyników zabezpieczeń i dostępu do rejestru |
Defender for Containers (Ochrona dla Kontenerów) |
- |
Ograniczenia sieci
| Aspect |
Details |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Wychodzący serwer proxy, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
| Klastry z ograniczeniami adresów IP |
Jeśli klaster Kubernetes na platformie AWS ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz Kontrola dostępu do punktu końcowego klastra Amazon EKS — Amazon EKS), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR Microsoft Defender dla Chmury. |
| Aspect |
Details |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Wychodzący serwer proxy, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
| Klastry z ograniczeniami adresów IP |
Jeśli klaster Kubernetes w GCP ma włączone ograniczenia adresów IP płaszczyzny sterowania (zobacz GKE — Dodawanie autoryzowanych sieci na potrzeby dostępu do płaszczyzny sterowania ), konfiguracja ograniczeń adresów IP płaszczyzny sterowania zostanie zaktualizowana w celu uwzględnienia bloku CIDR usługi Microsoft Defender for Cloud. |
| Aspect |
Details |
| Obsługa wychodzącego serwera proxy |
Obsługiwany jest serwer proxy ruchu wychodzącego bez uwierzytelniania i serwer proxy ruchu wychodzącego z uwierzytelnianiem podstawowym. Wychodzący serwer proxy, który oczekuje zaufanych certyfikatów, nie jest obecnie obsługiwany. |
Obsługiwane systemy operacyjne hosta
Defender for Containers korzysta z czujnika Defender do kilku funkcji. Sensor Defender jest obsługiwany tylko na jądrze Linux w wersji 5.4 lub wyższej w następujących systemach operacyjnych hosta:
- Amazon Linux 2
- CentOS 8 (CentOS osiągnął koniec usługi 30 czerwca 2024 r. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS).
- Debian 10
- Debian 11
- System operacyjny Zoptymalizowany pod kątem kontenera Google
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Upewnij się, że węzeł Kubernetes działa w jednym z tych zweryfikowanych systemów operacyjnych. Klastry z nieobsługiwanymi systemami operacyjnymi hosta nie korzystają z funkcji opartych na czujniku usługi Defender.
Ograniczenia czujnika programu Defender
Czujnik Defender w usłudze AKS w wersji 1.28 i starszych nie obsługuje węzłów Arm64.
Dalsze kroki