查看和修正 Kubernetes 群集上运行的映像的漏洞

Defender for Cloud 使客户能够使用正在运行的容器映像应解决漏洞发现建议，优先修正其环境中当前使用的映像中的漏洞。

为了提供建议的发现结果，Defender for Cloud 会使用 kubernetes 无代理发现或 Defender 传感器来创建 Kubernetes 群集及其工作负载的完整清单，并将该清单与为注册表映像创建的漏洞报告相关联。 建议会显示正在运行的容器以及与每个容器使用的映像关联的漏洞和修正步骤。

Defender for Cloud 将评估结果和相关信息作为建议呈现，包括修复步骤和相关 CVE 等相关信息。 可以查看一个或多个订阅或特定资源的已识别漏洞。

在每个建议中，资源会分组到选项卡中：

• 正常资源 - 相关的资源，这些资源要么未受影响，要么其问题已得到修正。
• 不正常资源 - 仍受已标识问题影响的资源。
• 不适用的资源 - 建议无法为其提供明确答案的资源。 “不适用”选项卡还会为每个资源提供原因。

如果使用 Defender CSPM，请先查看并修正通过攻击路径暴露的漏洞，因为它们对安全状况构成最大风险。 然后，使用以下程序查看、修正、优先处理和监视容器的漏洞。

查看特定群集上的漏洞

若要查看特定群集的漏洞，请执行以下操作：

1. 打开“建议”页面，使用 > 箭头打开子级别。 如果发现问题，你将看到建议运行容器映像应已解决漏洞发现（由 Microsoft Defender 漏洞管理提供支持）。 选择建议。

   

2. 此时会打开相应建议的详细信息页面，其中显示了包含 Kubernetes 群集（“受影响的资源”）的列表，并根据工作负载使用的映像将其分类为正常、不正常和不适用。 选择要修正其漏洞的相关群集。

   

3. 系统将打开群集的详细信息页面。 该页面会列出当前正在运行的所有容器，并根据这些容器使用的映像的漏洞评估将这些容器分到三个选项卡中。 选择要研究的特定容器。

   

4. 此窗格包含容器漏洞的列表。 选择每个漏洞以解决漏洞。

   

查看受特定漏洞影响的容器映像

若要查看有关特定漏洞的发现，请执行以下操作：

1. 打开“建议”页面，使用 > 箭头打开子级别。 如果发现问题，你将看到建议运行容器映像应已解决漏洞发现（由 Microsoft Defender 漏洞管理提供支持）。 选择建议。

   

2. “建议详细信息”页随即打开，并且其中包含其他信息。 此信息包括影响群集的漏洞列表。 选择特定漏洞。

   

3. 此时会打开漏洞详细信息窗格。 此窗格包括有关漏洞的详细说明、受该漏洞影响的映像，还有链接指向帮助缓解威胁的外部资源、受影响的资源以及有助于解决漏洞的软件版本信息。

   

修正漏洞

按照以下步骤修正在特定群集或特定漏洞中找到的每个受影响的映像：

1. 按照建议窗格的修正部分中的步骤操作。
2. 完成修正安全问题所需的步骤后，请替换群集中每个受影响的映像，或者替换受到特定漏洞影响的每个映像：
   1. 根据修正详细信息生成可解决漏洞的新映像（包括每个包的更新）。
   2. 推送更新后的映像并删除旧映像。 从结果中删除以前的映像以及使新映像包含在结果中可能需要最多 24 小时的时间。
   3. 跨所有易受攻击的工作负载使用新映像。
3. 查看建议页面，找到运行容器映像应已解决漏洞发现建议。
4. 如果建议仍然显示，并且你处理的映像仍显示在易受攻击映像列表中，请再次检查修正步骤。

后续步骤

• 详细了解 Defender for Cloud 的 Defender 计划