Azure Resource Graph (ARG) 提供了一个 REST API,可用于以编程方式访问漏洞评估结果来获取 Azure 注册表和运行时漏洞建议。 详细了解 ARG 引用和查询示例。
Azure 容器注册表漏洞子评估作为安全资源的一部分发布到 ARG。 详细了解安全子评估。
要拉取特定子评估,需要使用评估密钥。 对于由 MDVM 提供支持的容器漏洞评估,密钥为 c0b7cfc6-3172-465a-b378-53c7ff2cc0d5。
下面是一个通用安全子评估查询示例,可用作生成查询的示例。 此查询可提取过去一小时内生成的第一个子评估。
securityresources
| where type =~ "microsoft.security/assessments/subassessments" and properties.additionalData.assessedResourceType == "AzureContainerRegistryVulnerability"
| extend assessmentKey=extract(@"(?i)providers/Microsoft.Security/assessments/([^/]*)", 1, id)
| where assessmentKey == "c0b7cfc6-3172-465a-b378-53c7ff2cc0d5"
| extend timeGenerated = properties.timeGenerated
| where timeGenerated > ago(1h)
[
{
"id": "/subscriptions/{SubscriptionId}/resourceGroups/{ResourceGroup}/providers/Microsoft.ContainerRegistry/registries/{Registry Name}/providers/Microsoft.Security/assessments/c0b7cfc6-3172-465a-b378-53c7ff2cc0d5/subassessments/{SubAssessmentId}",
"name": "{SubAssessmentId}",
"type": "microsoft.security/assessments/subassessments",
"tenantId": "{TenantId}",
"kind": "",
"location": "global",
"resourceGroup": "{ResourceGroup}",
"subscriptionId": "{SubscriptionId}",
"managedBy": "",
"sku": null,
"plan": null,
"properties": {
"id": "CVE-2022-42969",
"additionalData": {
"assessedResourceType": "AzureContainerRegistryVulnerability",
"vulnerabilityDetails": {
"severity": "High",
"exploitabilityAssessment": {
"exploitStepsPublished": false,
"exploitStepsVerified": false,
"isInExploitKit": false,
"exploitUris": [],
"types": [
"Remote"
]
},
"lastModifiedDate": "2023-09-12T00:00:00Z",
"publishedDate": "2022-10-16T06:15:00Z",
"workarounds": [],
"references": [
{
"title": "CVE-2022-42969",
"link": "https://nvd.nist.gov/vuln/detail/CVE-2022-42969"
},
{
"title": "oval:org.opensuse.security:def:202242969",
"link": "https://ftp.suse.com/pub/projects/security/oval/suse.linux.enterprise.server.15.xml.gz"
},
{
"title": "oval:com.microsoft.cbl-mariner:def:11166",
"link": "https://raw.githubusercontent.com/microsoft/CBL-MarinerVulnerabilityData/main/cbl-mariner-1.0-oval.xml"
},
{
"title": "ReDoS in py library when used with subversion ",
"link": "https://github.com/advisories/GHSA-w596-4wvx-j9j6"
}
],
"weaknesses": {
"cwe": [
{
"id": "CWE-1333"
}
]
},
"cveId": "CVE-2022-42969",
"cvss": {
"2.0": null,
"3.0": {
"cvssVectorString": "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H",
"base": 7.5
}
},
"cpe": {
"language": "*",
"softwareEdition": "*",
"version": "*",
"targetHardware": "*",
"targetSoftware": "python",
"vendor": "py",
"edition": "*",
"product": "py",
"update": "*",
"other": "*",
"part": "Applications",
"uri": "cpe:2.3:a:py:py:*:*:*:*:*:python:*:*"
}
},
"artifactDetails": {
"lastPushedToRegistryUTC": "2023-09-04T16:05:32.8223098Z",
"repositoryName": "public/azureml/aifx/stable-ubuntu2004-cu117-py39-torch200",
"registryHost": "ptebic.azurecr.io",
"artifactType": "ContainerImage",
"mediaType": "application/vnd.docker.distribution.manifest.v2+json",
"digest": "sha256:4af8e6f002401a965bbe753a381af308b40d8947fad2b9e1f6a369aa81abee59",
"tags": [
"biweekly.202309.1"
]
},
"softwareDetails": {
"category": "Language",
"language": "python",
"fixedVersion": "",
"version": "1.11.0.0",
"vendor": "py",
"packageName": "py",
"osDetails": {
"osPlatform": "linux",
"osVersion": "ubuntu_linux_20.04"
},
"fixStatus": "FixAvailable",
"evidence": []
},
"cvssV30Score": 7.5
},
"description": "This vulnerability affects the following vendors: Pytest, Suse, Microsoft, Py. To view more details about this vulnerability please visit the vendor website.",
"displayName": "CVE-2022-42969",
"resourceDetails": {
"id": "/repositories/public/azureml/aifx/stable-ubuntu2004-cu117-py39-torch200/images/sha256:4af8e6f002401a965bbe753a381af308b40d8947fad2b9e1f6a369aa81abee59",
"source": "Azure"
},
"timeGenerated": "2023-09-12T13:36:15.0772799Z",
"remediation": "No remediation exists",
"status": {
"description": "Disabled parent assessment",
"severity": "High",
"code": "NotApplicable",
"cause": "Exempt"
}
},
"tags": null,
"identity": null,
"zones": null,
"extendedLocation": null,
"assessmentKey": "c0b7cfc6-3172-465a-b378-53c7ff2cc0d5",
"timeGenerated": "2023-09-12T13:36:15.0772799Z"
}
]
| 名称 | 描述 |
|---|---|
| 资源详情 | 被评估的 Azure 资源的详细信息 |
| 容器注册表漏洞 | 容器注册表漏洞评估的更多上下文字段 |
| CVE | CVE 详细信息 |
| CVSS | CVSS 详细信息 |
| 安全子评估 | 对资源进行安全子评估 |
| Security子评估列表 | 安全子评估列表 |
| 文物详情 | 受影响容器映像的详细信息 |
| 软件详情 | 受影响软件包的详细信息 |
| FixReference | 有关修补程序的详细信息(如果可用) |
| OS 详细信息 | 有关 os 信息的详细信息 |
| 漏洞详情 | 有关检测到的漏洞的详细信息 |
| CPE | 通用平台枚举 |
| Cwe | 常见漏洞枚举 |
| 漏洞参考 | 指向漏洞的参考链接 |
| 可利用性评估 | 指向示例攻击的参考链接 |
Azure 容器注册表漏洞评估的其他上下文字段
| 名称 | 类型 | 描述 |
|---|---|---|
| 评估资源类型 | string: Azure 容器注册表漏洞 AwsContainerRegistryVulnerability GCP容器注册表漏洞 |
子评估资源类型 |
| cvssV30分数 | 数值 | CVSS v3 分数 |
| 漏洞详细信息 | 漏洞详情 | |
| artifactDetails | 工件详情 | |
| 软件详情 | 软件详情 |
受影响容器映像的上下文详细信息
| 名称 | 类型 | 描述 |
|---|---|---|
| repositoryName (存储库名称) | 字符串 | 存储库名称 |
| RegistryHost | 字符串 | 注册表主机 |
| 最后发布到注册表的协调世界时 | 时间戳 | 上次发布日期的 UTC 时间戳 |
| 工件类型 | 字符串:ContainerImage | |
| 媒体类型 | 字符串 | 层媒体类型 |
| 摘要 | 字符串 | 易受攻击的图像的摘要 |
| 标记 | 字符串 | 易受攻击的图像的标记 |
受影响软件包的详细信息
| 名称 | 类型 | 描述 |
|---|---|---|
| 固定版本 | 字符串 | 已修复的版本 |
| 类别 | 字符串 | 漏洞类别 - OS 或语言 |
| 操作系统详情 | 操作系统详情 | |
| 语言 | 字符串 | 受影响包的语言(例如 Python、.NET)也可能为空 |
| 版本 | 字符串 | |
| 供应商 | 字符串 | |
| 包名 | 字符串 | |
| fixStatus | 字符串 | Unknown、FixAvailable、NoFixAvailable、Scheduled、WontFix |
| 证据 | 字符串 | 包的证据 |
| fixReference | FixReference |
有关修补程序的详细信息(如果可用)
| 名称 | 类型 | 说明 |
|---|---|---|
| 身份证件 | 字符串 | 修复 ID |
| 描述 | 字符串 | 修复说明 |
| 发布日期 | 时间戳 | 修复时间戳 |
| 网址 | 字符串 | 用于修复通知的 URL |
有关 os 信息的详细信息
| 名称 | 类型 | 描述 |
|---|---|---|
| osPlatform | 字符串 | 例如:Linux、Windows |
| 操作系统名称 | 字符串 | 例如:Ubuntu |
| osVersion | 字符串 |
有关检测到的漏洞的详细信息
| 严重性 | 严重性 | 子评估严重性级别 |
|---|---|---|
| 最后修改日期 | 时间戳 | |
| 发布日期 | 时间戳 | 发布日期 |
| 可利用性评估 | 可利用性评估 | |
| CVSS | 字典 <字符串,CVSS> | 从 cvss 版本到 cvss 详细信息对象的字典 |
| 解决方法 | 解决方法 | 已发布的漏洞解决方法 |
| 参考 | 漏洞参考 | |
| 缺点 | 弱点 | |
| CVE编号 | 字符串 | CVE标识符 |
| Cpe | CPE |
| 名称 | 类型 | 描述 |
|---|---|---|
| 语言 | 字符串 | 语言标签 |
| softwareEdition | 字符串 | |
| 版本 | 字符串 | 包版本 |
| targetSoftware | 字符串 | 目标软件 |
| 供应商 | 字符串 | 供应商 |
| 产品 | 字符串 | 产品 |
| 版本 | 字符串 | |
| 更新 | 字符串 | |
| 其他 | 字符串 | |
| 部分 | 字符串 | 应用程序硬件操作系统 |
| URI(统一资源标识符) | 字符串 | CPE 2.3 格式的 URI |
| 名称 | 类型 | 描述 |
|---|---|---|
| Cwe | Cwe |
CWE 详细信息
| 名称 | 类型 | 说明 |
|---|---|---|
| 身份证件 | 字符串 | CWE ID |
指向漏洞的参考链接
| 名称 | 类型 | 描述 |
|---|---|---|
| 链接 | 字符串 | 引用 URL |
| 标题 | 字符串 | 引用标题 |
指向示例攻击的参考链接
| 名称 | 类型 | 描述 |
|---|---|---|
| exploitUris | 字符串 | |
| 漏洞步骤已发布 | 布尔 | 已发布攻击步骤 |
| exploitStepsVerified | 布尔 | 已验证攻击步骤 |
| isInExploitKit | 布尔 | 是攻击工具包的一部分 |
| 类型 | 字符串 | 攻击类型,例如:NotAvailable、Dos、Local、Remote、WebApps、PrivilegeEscalation |
被评估的 Azure 资源的详细信息
| 名称 | 类型 | 描述 |
|---|---|---|
| 身份证件 | 字符串 | 被评估资源的 Azure 资源 ID |
| 来源 | 字符串:Azure | 被评估资源所在的平台 |
子评估的状态
| 名称 | 类型 | 描述 |
|---|---|---|
| 原因 | 字符串 | 评估状态原因的编程代码 |
| 代码 | 子评估状态代码 | 评估状态的编程代码 |
| 描述 | 字符串 | 评估状态的人工可读说明 |
| 严重性 | 严重性 | 子评估严重性级别 |
评估状态的编程代码
| 名称 | 类型 | 描述 |
|---|---|---|
| 正常 | 字符串 | 资源运行正常 |
| 不适用 | 字符串 | 未进行此资源的评估 |
| 不正常 | 字符串 | 资源存在需要解决的安全问题 |
对资源进行安全子评估
| 名称 | 类型 | 描述 |
|---|---|---|
| 身份证件 | 字符串 | 资源 ID |
| 姓名 | 字符串 | 资源名称 |
| 属性.附加数据 | AdditionalData:AzureContainerRegistryVulnerability | 子评估的详细信息 |
| 属性.类别 | 字符串 | 子评估的类别 |
| 属性.描述 | 字符串 | 评估状态的人工可读说明 |
| 属性.显示名称 | 字符串 | 子评估的用户友好显示名称 |
| properties.id | 字符串 | 漏洞 ID |
| 属性影响 | 字符串 | 此子评估的影响说明 |
| 属性.补救 | 字符串 | 有关如何修正此子评估的信息 |
| 属性.资源详情 | ResourceDetails: Azure 资源详细信息 |
已评估的资源的详细信息 |
| properties.status | 子评估状态 | 子评估的状态 |
| properties.timeGenerated | 字符串 | 生成子评估的日期和时间 |
| 类型 | 字符串 | 资源类型 |
安全子评估列表
| 名称 | 类型 | 描述 |
|---|---|---|
| nextLink | 字符串 | 用于提取下一页的 URI。 |
| 价值 | 安全子评估 | 对资源进行安全子评估 |