使用 Microsoft Defender for Cloud 扫描注册表映像

要扫描 Azure 容器注册表中的映像以发现漏洞,可以集成可用的 Azure 市场解决方案之一,或者,如果要使用 Microsoft Defender for Cloud,可以选择在订阅级别为容器注册表启用适用于容器注册表的 Microsoft Defender。

Microsoft Defender for Cloud 执行的注册表操作

Microsoft Defender for Cloud 会扫描推送到注册表的映像、导入到注册表的映像或过去 30 天内拉取的任何映像。 如果检测到漏洞,Microsoft Defender for Cloud 中会显示建议的修正

执行修复安全问题的建议步骤后,请替换注册表中的映像。 Microsoft Defender for Cloud 会重新扫描映像,以确认漏洞已修正。

有关详细信息,请参阅将 Azure Defender用于容器注册表

提示

Microsoft Defender for Cloud 将向注册表进行身份验证,以拉取映像进行漏洞扫描。 如果为注册表收集资源日志,你将看到由 Microsoft Defender for Cloud 生成的注册表登录事件和映像拉取事件。 这些事件与字母数字 ID(例如 b21cb118-5a59-4628-bab0-3c3f0e434cg6)相关联。

扫描受网络限制的注册表

Microsoft Defender for Cloud 可以扫描可公开访问的容器注册表中的映像,也可以扫描受网络访问规则保护的注册表中的映像。 如果配置了网络规则(也就是说,禁用公共注册表访问、配置 IP 访问规则或创建专用终结点),请确保启用网络设置来让受信任的 Azure 服务可以访问注册表。 默认情况下,在新的容器注册表中启用此设置。

后续步骤