Unterstützungsmatrix für Container in Defender for Cloud

Wichtig

Alle Funktionen von Microsoft Defender for Cloud werden in der Azure-Region China am 1. Oktober 2026 offiziell eingestellt. Aufgrund dieser bevorstehenden Stilllegung können Azure-Kunden in China keine neuen Abonnements mehr für den Dienst anmelden. Ein neues Abonnement ist jedes Abonnement, das noch nicht in den Microsoft Defender for Cloud-Dienst vor dem 18. August 2025 integriert wurde, dem Datum der Einstellungsankündigung. Weitere Informationen zur Einstellung finden Sie unter Ankündigung zur Einstellung von Microsoft Defender für Cloud in Microsoft Azure, betrieben von 21Vianet.

Kunden sollten mit ihren Kundenbetreuern bei Microsoft Azure, das von 21Vianet betrieben wird, zusammenarbeiten, um die Auswirkungen dieser Außerdienststellung auf ihre eigenen Geschäftsabläufe zu bewerten.

In diesem Artikel werden Supportinformationen für Containerfunktionen in Microsoft Defender for Cloud zusammengefasst.

Note

  • Bestimmte Features befinden sich in der Vorschauphase. Die Zusätzlichen Bedingungen für die Azure-Vorschau enthalten weitere rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
  • Defender for Cloud unterstützt offiziell nur die Versionen von AKS, EKS und GKE, die der Cloudanbieter unterstützt.

In der folgenden Tabelle sind die Features aufgeführt, die von Defender für Container für die unterstützten Cloudumgebungen und Containerregistrierungen bereitgestellt werden.

Microsoft Defender für Container-Pläne Verfügbarkeit

Aspect Details
Versionsstatus: Allgemeine Verfügbarkeit (GA)
Bestimmte Features befinden sich in der Vorschauphase. Eine vollständige Liste finden Sie in den folgenden Tabellen.
Preise: Microsoft Defender für Container wird wie auf der Preisseite in Rechnung gestellt. Sie können auch Kosten mit dem Defender for Cloud Kostenrechner berechnen.
Erforderliche Rollen und Berechtigungen: Informationen zum Bereitstellen der erforderlichen Komponenten finden Sie in den Berechtigungen für die einzelnen Komponenten.
Der Sicherheitsadministrator kann Warnungen verwerfen.
* Sicherheitsleseberechtigter kann die Ergebnisse der Sicherheitsrisikobewertung anzeigen.
Siehe auch Rollen für die Behebung und Azure Container Registry-Rollen und -Berechtigungen

Features der Sicherheitsrisikobewertung (VA)

Funktion BESCHREIBUNG Unterstützte Ressourcen Linux-Veröffentlichungsstatus Windows Veröffentlichungsstatus Aktivierungsmethoden Plans Verfügbarkeit von Clouds
Containerregistrierung VA VA für Images in Containerregistrierungen ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory Allgemein verfügbar Allgemein verfügbar Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog Defender für Container oder Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Laufzeitcontainer-VA – basierend auf Registrierungsscan VA von Containern, die Images von unterstützten Registrierungen ausführen ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory Allgemein verfügbar Allgemein verfügbar Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog und entweder K8S-API-Zugriff oder Defender Sensor1 Defender für Container oder Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Laufzeitcontainer VA Registrierungsunabhängige, allgemein verfügbare Version eines Containers, der Images ausführt All Allgemein verfügbar - Erfordert agentloses Scannen für Computer und entweder K8S-API-Zugriff oder Defender-Sensor1 Defender für Container oder Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Laufzeitknoten VA Sicherheitsrisikobewertung für Kubernetes-Knoten AKS-Knoten Allgemein verfügbar Allgemein verfügbar Erfordert agentloses Scannen für Computer Defender für Container oder Defender für Server Plan 2 oder Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet

1Nationale Clouds werden automatisch aktiviert und können nicht deaktiviert werden.

Registrierungen und Bilder unterstützen die Sicherheitsrisikobewertung

Aspect Details
Registrierungen und Images Supported
* Containerimages im Docker V2-Format
* Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI)
Unsupported
* Super-minimalistische Bilder wie Docker Scratch Images werden derzeit nicht unterstützt
* Öffentliche Repositorys
* Manifestlisten
Betriebssysteme Supported
* Alpine Linux 3.12-3.22
* Red Hat Enterprise Linux 6–9
* CentOS 6-9 (CentOS hat sein Dienstende am 30. Juni 2024 erreicht. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.)
* Oracle Linux 6–9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11–15
* Debian GNU/Linux 7–12
* Google Distroless (basierend auf Debian GNU/Linux 7–12)
* Ubuntu 12.04-24.04
* Fedora 31–37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Alma Linux 8.4 oder höher
* Rocky Linux 8.7 oder höher
*Minimus
* Photon OS 2.0-5.0
* Docker Hardened Images (DHI)
Sprachspezifische Pakete

Supported
*Python
* Node.js
*PHP
*Rubinrot
*Rost
* .NET
* Java
*Los

Laufzeitschutzfunktionen

Funktion BESCHREIBUNG Unterstützte Ressourcen Linux-Veröffentlichungsstatus Windows Veröffentlichungsstatus Aktivierungsmethoden Plans Verfügbarkeit von Clouds
Erweitertes Hunting in XDR Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR AKS Allgemein verfügbar Allgemein verfügbar Erfordert Defender-Sensor Defender für Container Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Antischadsoftware Erkennung von Schadsoftware AKS Allgemein verfügbar - Erfordert Defender Sensor über Helm Defender für Container Kommerzielle Cloud-Dienste
Binärdrifterkennung Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. AKS Allgemein verfügbar - Erfordert Defender-Sensor Defender für Container Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Blockierung binärer Drift Blockiert binären Drift in Laufzeitcontainern AKS Preview - Erfordert Defender Sensor über Helm Defender für Container Kommerzielle Cloud-Dienste
Erkennung der Steuerungsebene Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad AKS Allgemein verfügbar Allgemein verfügbar Durch Plan aktiviert Defender für Container Kommerzielle Clouds Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
DNS-Erkennung Erkennt verdächtige DNS-Aktivitäten von Containerarbeitslasten AKS Allgemein verfügbar - Erfordert Defender Sensor über Helm Defender für Container Kommerzielle Cloud-Dienste
Malware-Erkennung Erkennung von Schadsoftware AKS-Knoten Allgemein verfügbar Allgemein verfügbar Erfordert agentloses Scannen für Computer Defender for Containers oder Defender for Servers Plan 2 -
Antwortaktionen in XDR Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. AKS Preview - Erfordert Defender Sensor und K8S-Zugriffs-API Defender für Container Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Workloaderkennung Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten AKS Allgemein verfügbar - Erfordert Defender-Sensor Defender für Container Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet

Kubernetes-Verteilungen und -Konfigurationen für den Laufzeit-Bedrohungsschutz in Azure

Aspect Details
Kubernetes-Verteilungen und -Konfigurationen Supported
* Azure Kubernetes Service (AKS) mit Kubernetes RBAC

Unterstützt von Kubernetes mit Arc-Unterstützung12
* Azure Kubernetes Service Hybrid
* Kubernetes
* AKS Engine

1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden auf Azure getestet.

2 Um Microsoft Defender für Container Schutz für Ihre Umgebungen zu erhalten, müssen Sie Azure Arc-fähige Kubernetes integrieren und Defender für Container als Arc-Erweiterung aktivieren.

Note

Weitere Anforderungen für den Kubernetes-Workloadschutz finden Sie unter Vorhandene Einschränkungen.

Features für Sicherheitsstatusverwaltung

Funktion BESCHREIBUNG Unterstützte Ressourcen Linux-Veröffentlichungsstatus Windows Veröffentlichungsstatus Aktivierungsmethoden Plans Verfügbarkeit von Clouds
Ermittlung ohne Agents für Kubernetes1 Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. AKS Allgemein verfügbar Allgemein verfügbar Erfordert K8S-API-Zugriff Defender für Container OR Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Umfassende Bestandsfunktionen Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. ACR, AKS Allgemein verfügbar Allgemein verfügbar Erfordert K8S-API-Zugriff Defender für Container OR Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Analyse des Angriffspfads Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. ACR, AKS Allgemein verfügbar Allgemein verfügbar Erfordert K8S-API-Zugriff Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Erweiterte Risikosuche Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. ACR, AKS Allgemein verfügbar Allgemein verfügbar Erfordert K8S-API-Zugriff Defender für Container OR Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Härten der Steuerungsebene1 Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. ACR, AKS Allgemein verfügbar Allgemein verfügbar Durch Plan aktiviert Kostenlos Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
Workloadhärtung1 Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. AKS Allgemein verfügbar - Erfordert Azure-Richtlinie Kostenlos Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
CIS Azure Kubernetes-Dienst CIS Azure Kubernetes Service Benchmark AKS Allgemein verfügbar - Erfordert K8S-API-Zugriff und den zugewiesenen Sicherheitsstandard Defender für Container OR Defender CSPM Kommerzielle Cloud-Dienste

Nationale Clouds: Azure Government, Azure betrieben von 21Vianet

1 Dieses Feature kann für einen einzelnen Cluster aktiviert werden, wenn Defender for Containers auf Clusterressourcenebene aktiviert wird.

Container-Software-Supply Chain-Schutzfunktionen

Funktion BESCHREIBUNG Unterstützte Ressourcen Linux-Veröffentlichungsstatus Windows Veröffentlichungsstatus Aktivierungsmethoden Cloudverfügbarkeit
Gated-Bereitstellung Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung AKS 1.31 oder höher (einschließlich AKS Automatic)1 Allgemein verfügbar - Erfordert Defendersensor, Sicherheitsbegrenzung, Sicherheitsergebnisse und Registrierungszugriff. Kommerzielle Cloud-Dienste
Durchsetzung bei Kubernetes-Fehlkonfigurationen Überprüft oder blockiert Kubernetes-Bereitstellungen, die nicht Microsoft bewährten Sicherheitsregeln entsprechen AKS Allgemein verfügbar - Erfordert Kubernetes-API-Zugriff. Für die manuelle Bereitstellung wird Helm unterstützt. Kommerzielle Cloud-Dienste

1 Auf AKS Automatic-Clustern muss der Defender-Sensor mithilfe von Helm im kube-system-Namespace installiert werden. Die Installation im mdc Namespace und die Bereitstellung von Add-Ons wird für gated Deployments nicht unterstützt.

Netzwerkeinschränkungen

Aspect Details
Unterstützung für ausgehende Proxys Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt.
Cluster mit IP-Einschränkungen Wenn Ihr Kubernetes-Cluster in AWS Steuerungsebenen-IP-Einschränkungen aktiviert hat (siehe Amazon EKS-Cluster-Endpunkt-Zugriffssteuerung – Amazon EKS ), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen.

Unterstützte Hostbetriebssysteme

Defender for Containers ist für mehrere Features vom Defender-Sensor abhängig. Der Defender Sensor wird nur mit Linux Kernel 5.4 und höher auf den folgenden Hostbetriebssystemen unterstützt:

  • Amazon Linux 2
  • AWS Bottlerocket (Bereitstellung ausschließlich über Helm)
  • CentOS 8 (CentOS hat am 30. Juni 2024 das Serviceende erreicht. Weitere Informationen finden Sie in der Anleitung zum Ende des Lebenszyklus von CentOS.)
  • Debian 10
  • Debian 11
  • Google Container-optimiertes Betriebssystem
  • Azure Linux 1.0
  • Azure Linux 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Stellen Sie sicher, dass Ihr Kubernetes-Knoten auf einem dieser überprüften Betriebssysteme ausgeführt wird. Cluster mit nicht unterstützten Hostbetriebssystemen erhalten nicht die Vorteile von Features, die auf dem Defender-Sensor basieren.

Einschränkungen des Defender-Sensors

Der Defender-Sensor in AKS Version 1.28 und früheren Versionen unterstützt keine Arm64-Knoten.

Nächste Schritte