本页汇总了容器功能Microsoft Defender使用的访问模式、所需的启用方法、适用的计划和专用群集支持。
查看 网络访问和权限参考 ,了解每个访问模式的详细网络和权限要求。
注意
专用群集支持列包括某些功能的支持要求和相关先决条件。
- 启用受限的公共 API 终结点支持 意味着当 Kubernetes API 通过受限公共终结点公开时,该功能支持专用群集。
- Requires 出站 HTTPS 访问意味着群集必须允许出站 HTTPS 连接Microsoft Defender for Cloud。
- 某些条目描述了功能先决条件,而不是专用群集支持行为。
用于容器Defender的连接模式
容器Microsoft Defender使用多个连接模式收集安全信号,并在环境中提供保护,包括:
- Registry 访问:从Microsoft Defender for Cloud到容器注册表的连接,以扫描映像是否存在漏洞,在某些情况下,将评估结果发布回注册表。
- Kubernetes API 访问:从Microsoft Defender for Cloud到 Kubernetes API 终结点的连接,用于群集发现、状况评估和风险分析。
- Sensor 出站连接:从 Kubernetes 工作器节点发送到Microsoft Defender for Cloud进行威胁检测的运行时遥测数据。
- 云原生审核日志引入:从云原生日志记录服务引入 Kubernetes 审核日志,以便控制平面威胁检测。
- 云提供商访问:从Microsoft Defender for Cloud到云提供商 API 的连接,用于资源发现、状况评估、库存和风险分析。
漏洞评估功能
下表总结了漏洞评估功能及其访问模式。
| Feature | 支持的资源 | 赋能方法 | 防护计划 | 访问模式 | 专用群集支持和先决条件 |
|---|---|---|---|---|---|
| 容器注册表漏洞评估 | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | 注册表访问 | 容器;CSPM | 注册表访问 | Supported |
| 运行时容器漏洞评估(基于注册表扫描) | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | 无代理扫描计算机和 Kubernetes API 访问或Defender传感器 | 容器;CSPM | 注册表访问和 Kubernetes API 访问 | 启用受限的公共 API 终结点支持 |
| 运行时容器漏洞评估(与注册表无关) | AKS | 无代理扫描计算机和 Kubernetes API 访问或Defender传感器 | 容器;CSPM | 云提供商访问和 Kubernetes API 访问 | 启用受限的公共 API 终结点支持 |
运行时保护功能
下表汇总了运行时保护功能及其访问模式。
| Feature | 支持的资源 | 赋能方法 | 防护计划 | 访问模式 | 专用群集支持和先决条件 |
|---|---|---|---|---|---|
| 控制平面检测 | AKS、EKS、GKE | 使用容器计划启用 | 容器 | 云原生审核日志引入 | Supported |
| 工作负荷检测 | AKS、EKS、GKE | Defender传感器 | 容器 | 传感器出站连接 | 需要出站 HTTPS 访问 |
| 二进制偏移检测 | AKS、EKS、GKE | Defender传感器 | 容器 | Kubernetes API 访问和传感器出站连接 | 策略定义需要启用受限的公共 API 终结点。 需要出站 HTTPS 访问。 |
| DNS 检测 | AKS、EKS、GKE | 使用 Helm 安装Defender传感器 | 容器 | 传感器出站连接 | 需要出站 HTTPS 访问 |
| XDR 中的高级搜寻 | AKS、EKS、GKE | Defender传感器 | 容器 | 传感器出站连接 | 需要出站 HTTPS 访问 |
| XDR 中的响应动作 | AKS、EKS、GKE | Defender传感器和 Kubernetes API 访问 | 容器 | Kubernetes API 访问 | 启用受限的公共 API 终结点支持 |
| 恶意软件检测 | AKS 节点 | 计算机的无代理扫描 | 容器;服务器 P2 | Kubernetes API 访问和传感器出站连接 | 支持启用受限的公共 API 终结点。 需要出站 HTTPS 访问。 |
状况管理功能
下表总结了姿势管理功能及其访问模式。
| Feature | 支持的资源 | 赋能方法 | 防护计划 | 访问模式 | 专用群集支持和先决条件 |
|---|---|---|---|---|---|
| Kubernetes 的无代理发现 | AKS、EKS、GKE | Kubernetes API 访问 | 容器;CSPM | 云提供商访问 | Supported |
| 全面的清单功能 | 注册表:ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory。 群集:AKS、EKS、GKE | Kubernetes API 访问 | 容器;CSPM | Kubernetes API 访问和云提供程序访问 | 启用受限的公共 API 终结点支持 |
| 加强的风险检测 | 注册表:ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory。 群集:AKS、EKS、GKE | Kubernetes API 访问 | 容器;CSPM | Kubernetes API 访问和云提供程序访问 | 清单功能是先决条件 |
| 控制平面强化 | 注册表:ACR。 群集:AKS、EKS、GKE | 使用容器计划启用 | 免费 | 云提供商访问 | Supported |
| 工作负荷强化 | AKS、EKS、GKE | 适用于 Kubernetes 的 Azure Policy | 免费 | Kubernetes API 访问 | 启用受限的公共 API 终结点支持 |
| CIS Kubernetes 服务 | AKS、EKS、GKE | 被指定为安全标准 | 容器;CSPM | Kubernetes API 访问 | 启用受限的公共 API 终结点支持 |