Wichtig
Alle Funktionen von Microsoft Defender for Cloud werden in der Azure-Region China am 1. Oktober 2026 offiziell eingestellt. Aufgrund dieser bevorstehenden Stilllegung können Azure-Kunden in China keine neuen Abonnements mehr für den Dienst anmelden. Ein neues Abonnement ist jedes Abonnement, das noch nicht in den Microsoft Defender for Cloud-Dienst vor dem 18. August 2025 integriert wurde, dem Datum der Einstellungsankündigung. Weitere Informationen zur Einstellung finden Sie unter Ankündigung zur Einstellung von Microsoft Defender für Cloud in Microsoft Azure, betrieben von 21Vianet.
Kunden sollten mit ihren Kundenbetreuern bei Microsoft Azure, das von 21Vianet betrieben wird, zusammenarbeiten, um die Auswirkungen dieser Außerdienststellung auf ihre eigenen Geschäftsabläufe zu bewerten.
In diesem Artikel werden Supportinformationen für Containerfunktionen in Microsoft Defender for Cloud zusammengefasst.
Note
- Bestimmte Features befinden sich in der Vorschauphase. Die Zusätzlichen Bedingungen für die Azure-Vorschau enthalten weitere rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder anderweitig noch nicht in der allgemeinen Verfügbarkeit befinden.
- Defender for Cloud unterstützt offiziell nur die Versionen von AKS, EKS und GKE, die der Cloudanbieter unterstützt.
In der folgenden Tabelle sind die Features aufgeführt, die von Defender für Container für die unterstützten Cloudumgebungen und Containerregistrierungen bereitgestellt werden.
Microsoft Defender für Container-Pläne Verfügbarkeit
Features der Sicherheitsrisikobewertung (VA)
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
VA für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog |
Defender für Container oder Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Registrierungszugriff1 oder Connectorerstellung für Docker Hub/JFrog und entweder K8S-API-Zugriff oder Defender Sensor1 |
Defender für Container oder Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Laufzeitcontainer VA |
Registrierungsunabhängige, allgemein verfügbare Version eines Containers, der Images ausführt |
All |
Allgemein verfügbar |
- |
Erfordert agentloses Scannen für Computer und entweder K8S-API-Zugriff oder Defender-Sensor1 |
Defender für Container oder Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Laufzeitknoten VA |
Sicherheitsrisikobewertung für Kubernetes-Knoten |
AKS-Knoten |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert agentloses Scannen für Computer |
Defender für Container oder Defender für Server Plan 2 oder Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
1Nationale Clouds werden automatisch aktiviert und können nicht deaktiviert werden.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
AWS |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
- |
Erfordert agentenloses Scannen von Maschinen und entweder K8S-API-Zugriff oder Defender-Sensor |
Defender für Container oder Defender CSPM |
AWS |
| Laufzeitknoten VA |
Sicherheitsrisikobewertung für Kubernetes-Knoten |
EKS-Knoten |
Preview |
- |
Erfordert agentloses Scannen für Computer |
Defender für Container oder Defender CSPM |
AWS |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
GCP |
| Laufzeitcontainer-VA – basierend auf Registrierungsscan |
VA von Containern, die Images von unterstützten Registrierungen ausführen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
- |
Erfordert agentenloses Scannen von Maschinen und entweder K8S-API-Zugriff oder Defender-Sensor |
Defender für Container oder Defender CSPM |
GCP |
| Laufzeitknoten VA |
Sicherheitsrisikobewertung für Kubernetes-Knoten |
GKE-Knoten |
Preview |
- |
Erfordert agentloses Scannen für Computer |
Defender für Container oder Defender CSPM |
GCP |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Containerregistrierung VA |
Sicherheitsrisikobewertungen für Images in Containerregistrierungen |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Registrierungszugriff |
Defender für Container oder Defender CSPM |
Arc-verbundene Cluster |
Registrierungen und Bilder unterstützen die Sicherheitsrisikobewertung
| Aspect |
Details |
| Registrierungen und Images |
Supported * Containerimages im Docker V2-Format * Images mit der Spezifikation für das Imageformat Open Container Initiative (OCI)
Unsupported * Super-minimalistische Bilder wie Docker Scratch Images werden derzeit nicht unterstützt * Öffentliche Repositorys * Manifestlisten
|
| Betriebssysteme |
Supported * Alpine Linux 3.12-3.22 * Red Hat Enterprise Linux 6–9 * CentOS 6-9 (CentOS hat sein Dienstende am 30. Juni 2024 erreicht. Weitere Informationen finden Sie im Leitfaden zum Dienstende von CentOS.) * Oracle Linux 6–9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11–15 * Debian GNU/Linux 7–12 * Google Distroless (basierend auf Debian GNU/Linux 7–12) * Ubuntu 12.04-24.04 * Fedora 31–37 * Azure Linux 1-3 * Windows Server 2016, 2019, 2022 * Chainguard OS/Wolfi OS * Alma Linux 8.4 oder höher * Rocky Linux 8.7 oder höher *Minimus * Photon OS 2.0-5.0 * Docker Hardened Images (DHI) |
Sprachspezifische Pakete
|
Supported *Python * Node.js *PHP *Rubinrot *Rost * .NET * Java *Los |
Laufzeitschutzfunktionen
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Antischadsoftware |
Erkennung von Schadsoftware |
AKS |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
Kommerzielle Cloud-Dienste |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
AKS |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Blockierung binärer Drift |
Blockiert binären Drift in Laufzeitcontainern |
AKS |
Preview |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
Kommerzielle Cloud-Dienste |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Durch Plan aktiviert |
Defender für Container |
Kommerzielle Clouds Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| DNS-Erkennung |
Erkennt verdächtige DNS-Aktivitäten von Containerarbeitslasten |
AKS |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
Kommerzielle Cloud-Dienste |
| Malware-Erkennung |
Erkennung von Schadsoftware |
AKS-Knoten |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert agentloses Scannen für Computer |
Defender for Containers oder Defender for Servers Plan 2 |
- |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
AKS |
Preview |
- |
Erfordert Defender Sensor und K8S-Zugriffs-API |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
AKS |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
Kommerzielle Clouds und nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
Kubernetes-Verteilungen und -Konfigurationen für den Laufzeit-Bedrohungsschutz in Azure
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden auf Azure getestet.
2 Um Microsoft Defender für Container Schutz für Ihre Umgebungen zu erhalten, müssen Sie Azure Arc-fähige Kubernetes integrieren und Defender für Container als Arc-Erweiterung aktivieren.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
| Antischadsoftware |
Erkennung von Schadsoftware |
EKS |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
AWS |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
EKS |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
| Blockierung binärer Drift |
Blockiert binären Drift in Laufzeitcontainern |
EKS |
Preview |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
AWS |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Durch Plan aktiviert |
Defender für Container |
AWS |
| DNS-Erkennung |
Erkennt verdächtige DNS-Aktivitäten von Containerarbeitslasten |
EKS |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
AWS |
| Malware-Erkennung |
Erkennung von Schadsoftware |
EKS-Knoten |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert agentloses Scannen für Computer |
Defender for Containers oder Defender for Servers Plan 2 |
- |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
EKS |
Preview |
- |
Erfordert Defender Sensor und K8S-Zugriffs-API |
Defender für Container |
AWS |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
EKS |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
AWS |
Kubernetes-Verteilungen und Konfigurationen unterstützen den Laufzeit-Bedrohungsschutz in AWS
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um Microsoft Defender für Container Schutz für Ihre Umgebungen zu erhalten, müssen Sie Azure Arc-fähige Kubernetes integrieren und Defender für Container als Arc-Erweiterung aktivieren.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
| Antischadsoftware |
Erkennung von Schadsoftware |
GKE |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
GCP |
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
GKE |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
| Blockierung binärer Drift |
Blockiert binären Drift in Laufzeitcontainern |
GKE |
Preview |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
GCP |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Durch Plan aktiviert |
Defender für Container |
GCP |
| DNS-Erkennung |
Erkennt verdächtige DNS-Aktivitäten von Containerarbeitslasten |
GKE |
Allgemein verfügbar |
- |
Erfordert Defender Sensor über Helm |
Defender für Container |
GCP |
| Malware-Erkennung |
Erkennung von Schadsoftware |
GKE-Knoten |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert agentloses Scannen für Computer |
Defender for Containers oder Defender for Servers Plan 2 |
- |
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
GKE |
Preview |
- |
Erfordert Defender Sensor und K8S-Zugriffs-API |
Defender für Container |
GCP |
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
GKE |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor |
Defender für Container |
GCP |
Kubernetes-Verteilungen und Konfigurationen unterstützen den Laufzeit-Bedrohungsschutz in GCP
| Aspect |
Details |
| Kubernetes-Verteilungen und -Konfigurationen |
Supported
Google Kubernetes Engine (GKE) Standard
Unterstützt von Kubernetes mit Arc-Unterstützung12
Kubernetes
Unsupported
Private Netzwerkcluster
GKE Autopilot * GKE-Konfiguration für autorisierte Netzwerke |
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um Microsoft Defender für Container Schutz für Ihre Umgebungen zu erhalten, müssen Sie Azure Arc-fähige Kubernetes integrieren und Defender für Container als Arc-Erweiterung aktivieren.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Erkennung der Steuerungsebene |
Erkennung verdächtiger Aktivitäten für Kubernetes basierend auf Kubernetes-Überwachungspfad |
Arc-fähige K8s-Cluster |
Preview |
Preview |
Erfordert Defender-Sensor |
Defender für Container |
|
| Workloaderkennung |
Überwacht containerisierte Workloads auf Bedrohungen und gibt Warnungen zu verdächtigen Aktivitäten |
Arc-fähige Kubernetes-Cluster |
Preview |
- |
Erfordert Defender-Sensor |
Defender für Container |
|
| Binärdrifterkennung |
Erkennt die Binärdatei des Laufzeitcontainers aus dem Containerimage. |
- |
- |
- |
- |
- |
- |
| Blockierung binärer Drift |
Blockiert binären Drift in Laufzeitcontainern |
- |
- |
- |
- |
- |
|
| Erweitertes Hunting in XDR |
Anzeigen von Clustervorfällen und Warnungen in Microsoft XDR |
Arc-fähige Kubernetes-Cluster |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Vorschau – unterstützt derzeit Überwachungsprotokolle und Prozessereignisse |
Erfordert Defender-Sensor |
Defender für Container |
|
| Antwortaktionen in XDR |
Stellt automatisierte und manuelle Korrekturen in Microsoft XDR bereit. |
- |
- |
- |
- |
- |
- |
| Malware-Erkennung |
Erkennung von Schadsoftware |
- |
- |
- |
- |
- |
- |
Kubernetes-Verteilungen und -Konfigurationen für Laufzeitbedrohungsschutz in Arc-aktivierten Kubernetes
1 Alle cloud Native Computing Foundation (CNCF) zertifizierten Kubernetes-Cluster sollten unterstützt werden, aber nur die angegebenen Cluster werden getestet.
2 Um Microsoft Defender für Container Schutz für Ihre Umgebungen zu erhalten, müssen Sie Azure Arc-fähige Kubernetes integrieren und Defender für Container als Arc-Erweiterung aktivieren.
Features für Sicherheitsstatusverwaltung
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes1 |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
ACR, AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Analyse des Angriffspfads |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
ACR, AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
ACR, AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
|
Härten der Steuerungsebene1 |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
ACR, AKS |
Allgemein verfügbar |
Allgemein verfügbar |
Durch Plan aktiviert |
Kostenlos |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
|
Workloadhärtung1 |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
AKS |
Allgemein verfügbar |
- |
Erfordert Azure-Richtlinie |
Kostenlos |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
AKS |
Allgemein verfügbar |
- |
Erfordert K8S-API-Zugriff und den zugewiesenen Sicherheitsstandard |
Defender für Container OR Defender CSPM |
Kommerzielle Cloud-Dienste
Nationale Clouds: Azure Government, Azure betrieben von 21Vianet
|
1 Dieses Feature kann für einen einzelnen Cluster aktiviert werden, wenn Defender for Containers auf Clusterressourcenebene aktiviert wird.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
Azure-Clouds für den kommerziellen Bereich |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
ECR, EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
AWS |
| Analyse des Angriffspfads |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
ECR, EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender CSPM (erfordert Aktivieren der agentenlosen Discovery für Kubernetes) |
AWS |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
ECR, EKS |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
AWS |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
- |
- |
- |
- |
- |
- |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
EKS |
Allgemein verfügbar |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Kostenlos |
AWS |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
EKS |
Allgemein verfügbar |
- |
Als Sicherheitsstandard zugewiesen |
Defender für Container OR Defender CSPM |
AWS |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
GCP |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
GCR, GAR, GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
GCP |
| Analyse des Angriffspfads |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
GCR, GAR, GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender CSPM |
GCP |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
GCR, GAR, GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Erfordert K8S-API-Zugriff |
Defender für Container OR Defender CSPM |
GCP |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
GKE |
Allgemein verfügbar |
Allgemein verfügbar |
Durch Plan aktiviert |
Kostenlos |
GCP |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
GKE |
Allgemein verfügbar |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Kostenlos |
GCP |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
GKE |
Allgemein verfügbar |
- |
Als Sicherheitsstandard zugewiesen |
Defender für Container OR Defender CSPM |
GCP |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
|
Ermittlung ohne Agents für Kubernetes |
Bietet null Speicherbedarf, API-basierte Ermittlung von Kubernetes-Clustern, deren Konfigurationen und Bereitstellungen. |
- |
- |
- |
- |
- |
- |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
- |
- |
- |
- |
- |
- |
| Analyse des Angriffspfads |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
- |
- |
- |
- |
- |
- |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
- |
- |
- |
- |
- |
- |
|
Härten der Steuerungsebene |
Bewertet kontinuierlich die Konfigurationen Ihrer Cluster und vergleicht sie mit den Initiativen, die auf Ihre Abonnements angewendet wurden. Wenn Defender für Cloud Fehlkonfigurationen feststellt, generiert es Sicherheitsempfehlungen, die auf der Seite „Empfehlungen“ von Defender für Cloud verfügbar sind. Die Empfehlungen ermöglichen Ihnen, Probleme zu untersuchen und zu beheben. |
- |
- |
- |
- |
- |
- |
|
Workloadhärtung |
Schützen Sie Workloads Ihrer Kubernetes-Container mit empfohlenen bewährten Methoden. |
Arc-aktivierter Kubernetes-Cluster |
Allgemein verfügbar |
- |
Erfordert die automatische Bereitstellung der Azure-Richtlinienerweiterung für Azure Arc |
Defender für Container |
Arc-aktivierter Kubernetes-Cluster |
| CIS Azure Kubernetes-Dienst |
CIS Azure Kubernetes Service Benchmark |
VMs mit Arc-Unterstützung |
Preview |
- |
Als Sicherheitsstandard zugewiesen |
Defender für Container OR Defender CSPM |
Arc-aktivierter Kubernetes-Cluster |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Plans |
Verfügbarkeit von Clouds |
| Umfassende Bestandsfunktionen |
Ermöglicht es Ihnen, Ressourcen, Pods, Dienste, Repositorys, Images und Konfigurationen über den Sicherheits-Explorer zu erkunden, um Ihre Ressourcen mühelos zu überwachen und zu verwalten. |
Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Connectorerstellung |
Foundational CSPM OR Defender CSPM OR Defender für Container |
- |
| Analyse des Angriffspfads |
Ein graphbasierter Algorithmus, der das Cloudsicherheitsdiagramm überprüft. Die Scans machen exploitable Pfade verfügbar, die schlechte Akteure möglicherweise verwenden, um Ihre Umgebung zu verletzen. |
Docker Hub, JFrog Artifactory |
Allgemein verfügbar |
Allgemein verfügbar |
Connectorerstellung |
Defender CSPM |
- |
| Erweiterte Risikosuche |
Ermöglicht es Sicherheitsadministrator*innen, mithilfe von (integrierten und benutzerdefinierten) Abfragen sowie über Einblicke in die Sicherheit im Sicherheits-Explorer aktiv nach Statusproblemen in ihren containerisierten Ressourcen zu suchen. |
Docker Hub, JFrog |
Allgemein verfügbar |
Allgemein verfügbar |
Connectorerstellung |
Defender für Container OR Defender CSPM |
|
Container-Software-Supply Chain-Schutzfunktionen
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
Cloudverfügbarkeit |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
AKS 1.31 oder höher (einschließlich AKS Automatic)1 |
Allgemein verfügbar |
- |
Erfordert Defendersensor, Sicherheitsbegrenzung, Sicherheitsergebnisse und Registrierungszugriff. |
Kommerzielle Cloud-Dienste |
| Durchsetzung bei Kubernetes-Fehlkonfigurationen |
Überprüft oder blockiert Kubernetes-Bereitstellungen, die nicht Microsoft bewährten Sicherheitsregeln entsprechen |
AKS |
Allgemein verfügbar |
- |
Erfordert Kubernetes-API-Zugriff. Für die manuelle Bereitstellung wird Helm unterstützt. |
Kommerzielle Cloud-Dienste |
1 Auf AKS Automatic-Clustern muss der Defender-Sensor mithilfe von Helm im kube-system-Namespace installiert werden. Die Installation im mdc Namespace und die Bereitstellung von Add-Ons wird für gated Deployments nicht unterstützt.
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
EKS 1.31 oder höher, Amazon Elastic Container Registry (ECR) |
Allgemein verfügbar |
- |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
| Durchsetzung bei Kubernetes-Fehlkonfigurationen |
Überprüft oder blockiert Kubernetes-Bereitstellungen, die nicht Microsoft bewährten Sicherheitsregeln entsprechen |
EKS |
Allgemein verfügbar |
- |
Erfordert Agentenlosen Bedrohungsschutz. Für die manuelle Bereitstellung wird Helm unterstützt. |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
GKE 1.31 oder höher, Google Artifact Registry |
Allgemein verfügbar |
- |
Erfordert Defender Sensor, Security Gating, Sicherheitsergebnisse und Registrierungszugriff |
| Durchsetzung bei Kubernetes-Fehlkonfigurationen |
Überprüft oder blockiert Kubernetes-Bereitstellungen, die nicht Microsoft bewährten Sicherheitsregeln entsprechen |
GKE |
Allgemein verfügbar |
- |
Erfordert Agentenlosen Bedrohungsschutz. Für die manuelle Bereitstellung wird Helm unterstützt. |
| Funktion |
BESCHREIBUNG |
Unterstützte Ressourcen |
Linux-Veröffentlichungsstatus |
Windows Veröffentlichungsstatus |
Aktivierungsmethoden |
| Gated-Bereitstellung |
Gated-Bereitstellung von Containerimages in Ihrer Kubernetes-Umgebung |
Arc-fähige Kubernetes-Cluster |
Allgemein verfügbar |
- |
Erfordert Defender-Sensor, Sicherheitsüberprüfung, Sicherheitsbefunde und Registrierungszugriff |
| Durchsetzung bei Kubernetes-Fehlkonfigurationen |
Überprüft oder blockiert Kubernetes-Bereitstellungen, die nicht Microsoft bewährten Sicherheitsregeln entsprechen |
Arc-fähige Kubernetes-Cluster |
Allgemein verfügbar |
- |
Erfordert Kubernetes-API-Zugriff. Für die manuelle Bereitstellung wird Helm unterstützt. |
Netzwerkeinschränkungen
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
| Cluster mit IP-Einschränkungen |
Wenn Ihr Kubernetes-Cluster in AWS Steuerungsebenen-IP-Einschränkungen aktiviert hat (siehe Amazon EKS-Cluster-Endpunkt-Zugriffssteuerung – Amazon EKS ), wird die IP-Einschränkungskonfiguration der Steuerungsebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen. |
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
| Cluster mit IP-Einschränkungen |
Wenn Ihr Kubernetes-Cluster in GCP IP-Einschränkungen für die Kontrollebene aktiviert hat (siehe GKE – Hinzufügen autorisierter Netzwerke für den Zugriff auf die Kontrollebene), wird die IP-Einschränkungskonfiguration der Kontrollebene aktualisiert, um den CIDR-Block von Microsoft Defender for Cloud einzuschließen. |
| Aspect |
Details |
| Unterstützung für ausgehende Proxys |
Proxys für ausgehenden Datenverkehr ohne Authentifizierung und mit Standardauthentifizierung werden unterstützt. Ausgehender Proxy, der vertrauenswürdige Zertifikate erwartet, wird derzeit nicht unterstützt. |
Unterstützte Hostbetriebssysteme
Defender for Containers ist für mehrere Features vom Defender-Sensor abhängig. Der Defender Sensor wird nur mit Linux Kernel 5.4 und höher auf den folgenden Hostbetriebssystemen unterstützt:
- Amazon Linux 2
- AWS Bottlerocket (Bereitstellung ausschließlich über Helm)
- CentOS 8 (CentOS hat am 30. Juni 2024 das Serviceende erreicht. Weitere Informationen finden Sie in der Anleitung zum Ende des Lebenszyklus von CentOS.)
- Debian 10
- Debian 11
- Google Container-optimiertes Betriebssystem
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Stellen Sie sicher, dass Ihr Kubernetes-Knoten auf einem dieser überprüften Betriebssysteme ausgeführt wird. Cluster mit nicht unterstützten Hostbetriebssystemen erhalten nicht die Vorteile von Features, die auf dem Defender-Sensor basieren.
Einschränkungen des Defender-Sensors
Der Defender-Sensor in AKS Version 1.28 und früheren Versionen unterstützt keine Arm64-Knoten.
Nächste Schritte