使用 Microsoft Defender for Cloud 扫描注册表映像
要扫描 Azure 容器注册表中的映像以发现漏洞,可以集成可用的 Azure 市场解决方案之一,或者,如果要使用 Microsoft Defender for Cloud,可以选择在订阅级别为容器注册表启用适用于容器注册表的 Microsoft Defender。
Microsoft Defender for Cloud 执行的注册表操作
Microsoft Defender for Cloud 会扫描推送到注册表的映像、导入到注册表的映像或过去 30 天内拉取的任何映像。 如果检测到漏洞,Microsoft Defender for Cloud 中会显示建议的修正。
执行修复安全问题的建议步骤后,请替换注册表中的映像。 Microsoft Defender for Cloud 会重新扫描映像,以确认漏洞已修正。
有关详细信息,请参阅使用适用于容器注册表的 Microsoft Defender。
提示
Microsoft Defender for Cloud 将向注册表进行身份验证,以拉取映像进行漏洞扫描。 如果为注册表收集资源日志,你将看到由 Microsoft Defender for Cloud 生成的注册表登录事件和映像拉取事件。 这些事件与字母数字 ID(例如 b21cb118-5a59-4628-bab0-3c3f0e434cg6)相关联。
扫描受网络限制的注册表
Microsoft Defender for Cloud 可以扫描可公开访问的容器注册表中的映像,也可以扫描受网络访问规则保护的注册表中的映像。 如果配置了网络规则(也就是说,禁用公共注册表访问、配置 IP 访问规则或创建专用终结点),请确保启用网络设置来让受信任的 Microsoft 服务可以访问注册表。 默认情况下,在新的容器注册表中启用此设置。
后续步骤
- 详细了解受信任服务的注册表访问。
- 要使用虚拟网络中的专用终结点限制对注册表的访问,请参阅为 Azure 容器注册表配置 Azure 专用链接。
- 若要设置注册表防火墙规则,请参阅配置公共 IP 网络规则。