تكوين مكونات Microsoft Defender for Containers

Microsoft Defender for Containers هو حل السحابة الأصلي لتأمين الحاويات الخاصة بك. يساعد على حماية مجموعاتك سواء كانت قيد التشغيل:

• خدمة Azure Kubernetes (AKS): خدمة Microsoft المدارة لتطوير التطبيقات المعبأة في حاويات ونشرها وإدارتها.

• Amazon Elastic Kubernetes Service (EKS) في حساب Amazon Web Services (AWS) المتصل: خدمة Amazon المدارة لتشغيل Kubernetes على AWS دون الحاجة إلى تثبيت وحدة التحكم أو العقد الخاصة بك وتشغيلها وصيانتها.

• محرك Google Kubernetes (GKE) في مشروع Google Cloud Platform (GCP) متصل: بيئة Google المدارة لنشر التطبيقات وإدارتها وتوسيع نطاقها باستخدام البنية الأساسية ل GCP.

• توزيعات Kubernetes الأخرى (باستخدام Kubernetes التي تدعم Azure Arc): مجموعات Kubernetes المعتمدة من Cloud Native Computing Foundation (CNCF) المستضافة محليا أو على البنية الأساسية كخدمة (IaaS). لمزيد من المعلومات، راجع مصفوفة دعم الحاويات في Defender for Cloud.

يمكنك أولا معرفة كيفية الاتصال بالحاويات والمساعدة في حماية حاوياتك في هذه المقالات:

• حماية حاويات Azure باستخدام Defender for Containers
• حماية مجموعات Kubernetes المحلية باستخدام Defender for Containers
• حماية حاويات Amazon Web Services (AWS) باستخدام Defender for Containers
• حماية حاويات Google Cloud Platform (GCP) باستخدام Defender for Containers

يمكنك أيضا معرفة المزيد من خلال مشاهدة مقاطع الفيديو هذه من Defender for Cloud في سلسلة مقاطع الفيديو الميدانية :

• Microsoft Defender للحاويات في بيئة متعددة السحابة
• حماية الحاويات في GCP باستخدام Defender for Containers

إشعار

يعد دعم Defender for Containers لمجموعات Kubernetes التي تدعم Azure Arc ميزة معاينة. تتوفر ميزة المعاينة على أساس الخدمة الذاتية والاشتراك.

يتم توفير المعاينات كما هي ومتاحة. يتم استبعادهم من اتفاقيات مستوى الخدمة والضمان المحدود.

لمعرفة المزيد حول أنظمة التشغيل المدعومة وتوافر الميزات والوكيل الصادر والمزيد، راجع مصفوفة دعم الحاويات في Defender for Cloud.

متطلبات الشبكة

تحقق من تكوين نقاط النهاية التالية للوصول الصادر بحيث يمكن لمستشعر Defender الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث.

يجب أن يتصل مستشعر Defender بمساحة عمل Azure Monitor Log Analytics المكونة. بشكل افتراضي، تحتوي أنظمة مجموعات AKS على اتصال غير مقيد بالإنترنت الصادر (الخروج). إذا كان خروج الحدث من نظام المجموعة يتطلب استخدام نطاق ارتباط خاص ل Azure Monitor (AMPLS)، فيجب عليك:

• حدد نظام المجموعة باستخدام نتائج تحليلات الحاوية ومساحة عمل Log Analytics.
• حدد مساحة عمل Log Analytics الخاصة بالمجموعة كمورد في AMPLS.
• إنشاء نقطة نهاية خاصة للشبكة الظاهرية في AMPLS بين الشبكة الظاهرية للمجموعة ومورد Log Analytics. تتكامل نقطة النهاية الخاصة للشبكة الظاهرية مع منطقة DNS خاصة.

للحصول على إرشادات، راجع إنشاء نطاق ارتباط خاص ل Azure Monitor.

متطلبات الشبكة

تحقق من تكوين نقاط النهاية التالية لنشر السحابة العامة للوصول الصادر. يساعد تكوينها للوصول الصادر على التأكد من أن مستشعر Defender يمكنه الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث.

إشعار

مجالات Azure ولم *.oms.opinsights.azure.com تعد مطلوبة للوصول الصادر.*.ods.opinsights.azure.com لمزيد من المعلومات، راجع إعلان الإهمال.

مجال Azure	مجال Azure Government	Azure المشغل بواسطة مجال 21Vianet	المنفذ
*.cloud.defender.microsoft.com	N/A	N/A	443

تحتاج أيضا إلى التحقق من صحة متطلبات شبكة Kubernetes الممكنة في Azure Arc.

تمكين الخطة

1. في Defender for Cloud، حدد Environment Settings، ثم حدد الاشتراك ذي الصلة.

2. في صفحة خطط Defender ، قم بتبديل خطة الحاويات إلى تشغيل ثم حدد ارتباط الإعدادات الخاص بها.

3. قم بتشغيل المكون ذي الصلة.

   

   إشعار

   • يجب على عملاء Defender for Containers الذين انضموا قبل أغسطس 2023 وليس لديهم وصول K8S API قيد التشغيل كجزء من إدارة وضع الأمان السحابي ل Defender (CSPM) عند تمكين الخطة تمكين تبديل الوصول إلى واجهة برمجة تطبيقات K8S يدويا ضمن خطة Defender for Containers.
   • عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل. لا يتم نشرها في أي حاويات أخرى، ولكن لا تتم إزالتها من الحاويات حيث تم تثبيتها بالفعل.

أسلوب التمكين لكل قدرة

بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتمكين جميع الإمكانات تلقائيا وتثبيت جميع المكونات المطلوبة لتوفير الحماية التي توفرها الخطة. يتضمن هذا التكوين تعيين مساحة عمل افتراضية.

إذا كنت لا تريد تمكين جميع قدرات الخطط، يمكنك تحديد القدرات المحددة التي يجب تمكينها يدويا عن طريق تحديد ارتباط الإعدادات لخطة الحاويات . بعد ذلك، في صفحة الإعدادات والمراقبة ، حدد الإمكانات التي تريد تمكينها.

يمكنك أيضا تعديل هذا التكوين من صفحة خطط Defender بعد التكوين الأولي للخطة.

للحصول على معلومات مفصلة حول أسلوب التمكين لكل قدرة، راجع مصفوفة الدعم.

الأدوار والأذونات

تعرف على المزيد حول أدوار توفير ملحقات Defender for Containers.

تعيين مساحة عمل مخصصة لمستشعر Defender

يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

النشر اليدوي لمستشعر Defender أو عامل نهج Azure دون توفير تلقائي باستخدام التوصيات

يمكن أيضا نشر القدرات التي تتطلب تثبيت أداة الاستشعار على مجموعة Kubernetes واحدة أو أكثر. استخدم التوصية المناسبة:

المستشعر	التوصية
أداة استشعار Defender ل Kubernetes	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes
أداة استشعار Defender ل Kubernetes التي تدعم Azure Arc	مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender
عامل نهج Azure ل Kubernetes	يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure ل Kubernetes مثبتة
عامل نهج Azure ل Kubernetes التي تدعم Azure Arc	يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت

لنشر أداة استشعار Defender على مجموعات معينة:

1. في صفحة توصيات Microsoft Defender for Cloud، افتح تمكين التحكم في أمان الأمان المحسن أو ابحث عن إحدى التوصيات السابقة. (يمكنك أيضا استخدام الارتباطات السابقة لفتح التوصية مباشرة.)

2. اعرض جميع المجموعات بدون أداة استشعار عن طريق فتح علامة التبويب غير صحية .

3. حدد المجموعات التي تريد توزيع المستشعر فيها، ثم حدد إصلاح.

4. حدد "إصلاح الموارد X".

نشر أداة استشعار Defender: جميع الخيارات

يمكنك تمكين خطة Defender for Containers ونشر جميع المكونات ذات الصلة باستخدام مدخل Microsoft Azure أو واجهة برمجة تطبيقات REST أو قالب Azure Resource Manager. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.

هام

نشر أداة استشعار Defender باستخدام Helm: على عكس الخيارات الأخرى التي يتم توفيرها تلقائيا وتحديثها تلقائيا، يتيح لك Helm نشر أداة استشعار Defender بمرونة. هذا الأسلوب مفيد بشكل خاص في سيناريوهات DevOps والبنية الأساسية كتعلم برمجية. باستخدام Helm، يمكنك دمج النشر في مسارات CI/CD والتحكم في جميع تحديثات أداة الاستشعار. يمكنك أيضا اختيار تلقي إصدارات المعاينة و GA. للحصول على إرشادات حول تثبيت أداة استشعار Defender باستخدام Helm، راجع تثبيت أداة استشعار Defender for Containers باستخدام Helm.

بعد نشر مستشعر Defender، يتم تعيين مساحة عمل افتراضية تلقائيا. يمكنك تعيين مساحة عمل مخصصة بدلاً من مساحة العمل الافتراضية من خلال سياسة Azure.

إشعار

يتم نشر مستشعر Defender في كل عقدة لتوفير حماية وقت التشغيل وجمع الإشارات من تلك العقد باستخدام تقنية eBPF.

مدخل Microsoft Azure

استخدام الزر "إصلاح" من توصية Defender for Cloud

يمكنك استخدام صفحات مدخل Azure لتمكين خطة Defender for Cloud وإعداد التوفير التلقائي لجميع المكونات الضرورية للدفاع عن مجموعات Kubernetes على نطاق واسع. العملية مبسطة.

توفر توصية Defender for Cloud المخصصة ما يلي:

• الرؤية في أي من مجموعاتك تم نشر أداة استشعار Defender.
• زر "إصلاح" لنشر أداة الاستشعار في أنظمة المجموعات التي لا تحتوي عليها.

لنشر أداة الاستشعار:

1. في صفحة توصيات Microsoft Defender for Cloud، افتح تمكين التحكم في أمان الأمان المحسن.

2. استخدم عامل التصفية للعثور على التوصية المسماة يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes.

   تلميح

   لاحظ الأيقونة إصلاح في العمود إجراءات .

3. حدد المجموعات لمشاهدة تفاصيل الموارد الصحية وغير الصحية (المجموعات مع جهاز الاستشعار وبدونه).

4. في قائمة الموارد غير السليمة، حدد مجموعة. ثم حدد "Remediate" لفتح الجزء مع تأكيد المعالجة.

5. حدد "إصلاح الموارد X".

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لنشر أداة استشعار Defender

لتثبيت securityProfile على نظام مجموعة موجود باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر التالي PUT :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

إليك عنوان URI للطلب:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

يحتوي استعلام الطلب على هذه المعلمات:

اسم	‏‏الوصف	إلزامي
SubscriptionId	معرف اشتراك المجموعة	‏‏نعم‬
ResourceGroup	مجموعة موارد المجموعة	‏‏نعم‬
ClusterName	اسم الكتلة	‏‏نعم‬
ApiVersion	إصدار واجهة برمجة التطبيقات؛ يجب أن يكون 2022-06-01 أو أحدث	‏‏نعم‬

هذا هو نص الطلب:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

يحتوي نص الطلب على هذه المعلمات:

اسم	‏‏الوصف	إلزامي
location	موقع الكتلة	‏‏نعم‬
properties.securityProfile.defender.securityMonitoring.enabled	يحدد ما إذا كان سيتم تمكين أو تعطيل Microsoft Defender للحاويات على المجموعة	‏‏نعم‬
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	معرف مورد Azure لمساحة عمل Log Analytics	‏‏نعم‬

استخدام Azure CLI لنشر مستشعر Defender

1. تسجيل الدخول إلى Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   هام

   تأكد من استخدام معرف الاشتراك نفسه له <your-subscription-id> مثل معرف الاشتراك المقترن بمجموعة AKS الخاصة بك.

2. تمكين أداة استشعار Defender على حاوياتك:

   • قم بتشغيل الأمر التالي لإنشاء نظام مجموعة جديد مع تمكين أداة استشعار Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • قم بتشغيل الأمر التالي لتمكين مستشعر Defender على نظام مجموعة موجود:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   فيما يلي إعدادات التكوين المدعومة على نوع مستشعر Defender:

   الخاصية

   ‏‏الوصف

   logAnalyticsWorkspaceResourceId

   اختياري. معرف المورد الكامل لمساحة عمل Log Analytics الخاصة بك. إذا لم توفر مساحة عمل، استخدام مساحة العمل الافتراضية للمنطقة. للحصول على معرف المورد الكامل، قم بتشغيل الأمر التالي لعرض قائمة مساحات العمل في الاشتراكات بتنسيق JSON الافتراضي: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json يحتوي معرف مورد مساحة عمل Log Analytics على بناء الجملة التالي: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} تعرف على المزيد في مساحات عمل Log Analytics.

   يمكنك تضمين هذه الإعدادات في ملف JSON وتحديد ملف JSON في الأمرين az aks create وaz aks update بهذه المعلمة: --defender-config <path-to-JSON-file>. يجب أن يكون تنسيق ملف JSON:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   تعرف على المزيد عن أوامر AKS CLI في az aks .

3. للتحقق من إضافة المستشعر بنجاح، قم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة الخاص بك:

   kubectl get pods -n kube-system
   

   عند إضافة أداة الاستشعار، يجب أن ترى جراب يسمى microsoft-defender-XXXXX في Running الحالة. قد تستغرق إضافة الوحدات بضع دقائق.

استخدام Azure Resource Manager لنشر مستشعر Defender

لاستخدام Azure Resource Manager لنشر مستشعر Defender، تحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

تلميح

إذا كنت مستخدما جديدا لقوالب Resource Manager، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟.

للتنزيل securityProfile على نظام مجموعة موجود باستخدام Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

تمكين الخطة

1. في Defender for Cloud، حدد الإعدادات، ثم حدد الاشتراك ذي الصلة.

2. في صفحة خطط Defender، حدد .

3. قم بتشغيل المكون ذي الصلة.

   

   إشعار

   عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل. لا يتم نشرها في أي حاويات أخرى، ولكن لا تتم إزالتها من الحاويات حيث تم تثبيتها بالفعل.

بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتثبيت المكونات المطلوبة تلقائيا لتوفير الحماية التي توفرها الخطة. يتضمن هذا التكوين تعيين مساحة عمل افتراضية.

إذا كنت تريد تعطيل التثبيت التلقائي للمكونات أثناء عملية الإلحاق، فحدد تحرير التكوين لخطة الحاويات . تظهر الخيارات المتقدمة، ويمكنك تعطيل التثبيت التلقائي لكل مكون.

يمكنك أيضا تعديل هذا التكوين من صفحة خطط Defender.

إشعار

إذا اخترت تعطيل الخطة في أي وقت بعد تمكينها من خلال المدخل، فستحتاج إلى إزالة مكونات Defender for Containers المنشورة على مجموعاتك يدويا.

يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

إذا قمت بتعطيل التثبيت التلقائي لأي مكون، يمكنك بسهولة نشر المكون إلى مجموعة واحدة أو أكثر باستخدام التوصية المناسبة:

• الوظيفة الإضافية لنهج Azure ل Kubernetes: يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure ل Kubernetes مثبتة
• ملف تعريف خدمة Azure Kubernetes: يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes
• ملحق Defender ل Kubernetes الذي يدعم Azure Arc: يجب أن يكون ملحق Defender مثبتا على مجموعات Kubernetes الممكنة في Azure Arc
• ملحق نهج Azure ل Kubernetes الذي يدعم Azure Arc: يجب أن يكون ملحق نهج Azure مثبتا على مجموعات Kubernetes التي تدعم Azure Arc

تعرف على المزيد حول أدوار توفير ملحقات Defender for Containers.

المتطلبات الأساسية

قبل نشر أداة الاستشعار، تأكد من:

• قم بتوصيل مجموعة Kubernetes ب Azure Arc.
• أكمل المتطلبات الأساسية المدرجة في الوثائق لملحقات نظام المجموعة العامة.

نشر أداة استشعار Defender

يمكنك نشر مستشعر Defender باستخدام مجموعة من الأساليب. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.

مدخل Microsoft Azure

استخدام الزر "إصلاح" من توصية Defender for Cloud

توفر توصية Defender for Cloud المخصصة ما يلي:

• الرؤية في أي من مجموعاتك تم نشر أداة استشعار Defender.
• زر "إصلاح" لنشر أداة الاستشعار في أنظمة المجموعات التي لا تحتوي عليها.

لنشر أداة الاستشعار:

1. في صفحة توصيات Microsoft Defender for Cloud، افتح تمكين التحكم في أمان الأمان المحسن.

2. استخدم عامل التصفية للعثور على التوصية المسماة مجموعات Kubernetes الممكنة في Azure Arc يجب تمكين ملحق Microsoft Defender.

   

   تلميح

   لاحظ الأيقونة إصلاح في العمود إجراءات .

3. حدد المستشعر لمشاهدة تفاصيل الموارد الصحية وغير الصحية (المجموعات مع جهاز الاستشعار وبدونه).

4. في قائمة الموارد غير السليمة، حدد مجموعة. ثم حدد "Remediate" لفتح الجزء باستخدام خيارات المعالجة.

5. حدد مساحة عمل Log Analytics ذات الصلة، ثم حدد معالجة مورد x.

   

استخدام Azure CLI لنشر مستشعر Defender

1. تسجيل الدخول إلى Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   هام

   تأكد من استخدام معرف الاشتراك نفسه للمعرف <your-subscription-id> الذي استخدمته عند توصيل نظام المجموعة ب Azure Arc.

2. قم بتشغيل الأمر التالي لنشر المستشعر أعلى مجموعة Kubernetes الممكنة في Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   فيما يلي إعدادات التكوين المدعومة على نوع مستشعر Defender:

   الخاصية	‏‏الوصف
   logAnalyticsWorkspaceResourceID	اختياري. معرف المورد الكامل لمساحة عمل Log Analytics الخاصة بك. إذا لم توفر مساحة عمل، استخدام مساحة العمل الافتراضية للمنطقة. للحصول على معرف المورد الكامل، قم بتشغيل الأمر التالي لعرض قائمة مساحات العمل في الاشتراكات بتنسيق JSON الافتراضي: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json يحتوي معرف مورد مساحة عمل Log Analytics على بناء الجملة التالي: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} تعرف على المزيد في مساحات عمل Log Analytics.
   auditLogPath	اختياري. المسار الكامل لملفات سجل التدقيق. إذا لم توفر واحدا، يتم استخدام المسار /var/log/kube-apiserver/audit.log الافتراضي. بالنسبة إلى AKS Engine، يكون المسار القياسي هو /var/log/kubeaudit/audit.log.

   يعرض الأمر التالي مثالا لاستخدام جميع الحقول الاختيارية:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

استخدام Azure Resource Manager لنشر مستشعر Defender

لاستخدام Azure Resource Manager لنشر مستشعر Defender، تحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

يمكنك استخدام قالب azure-defender-extension-arm-template.json Resource Manager من أمثلة تثبيت Defender for Cloud.

تلميح

إذا كنت مستخدما جديدا لقوالب Resource Manager، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟.

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لنشر أداة استشعار Defender

لاستخدام واجهة برمجة تطبيقات REST لنشر مستشعر Defender، تحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

لنشر المستشعر يدويا باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر التالي PUT :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

يتضمن الأمر هذه المعلمات:

اسم	في	المطلوب	نوع	‏‏الوصف
Subscription ID	المسار	صواب	السلسلة‬	معرف اشتراك مورد Kubernetes الذي يدعم Azure Arc
Resource Group	المسار	صواب	السلسلة‬	اسم مجموعة الموارد التي تحتوي على مورد Kubernetes الذي يدعم Azure Arc
Cluster Name	المسار	صواب	السلسلة‬	اسم مورد Kubernetes الممكّن في Azure Arc

بالنسبة للمصادقة، يجب أن يحتوي العنوان على رمز مميز للحامل (كما هو الحال مع واجهات برمجة تطبيقات Azure الأخرى). للحصول على رمز حامل، قم بتشغيل الأمر التالي:

az account get-access-token --subscription <your-subscription-id>

استخدم البنية التالية لنص الرسالة:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

يتضمن نص الرسالة هذه الخصائص:

الخاصية	‏‏الوصف
logAnalytics.workspaceId	معرف مساحة العمل لمورد Log Analytics.
logAnalytics.key	مفتاح مورد Log Analytics.
auditLogPath	اختياري. المسار الكامل لملفات سجل التدقيق. القيمة الافتراضية هي /var/log/kube-apiserver/audit.log.

تحقق من التوزيع

للتحقق من أن نظام المجموعة مثبت عليه مستشعر Defender، اتبع الخطوات الموجودة في إحدى علامات التبويب التالية.

بوابة Azure - Defender for Cloud

استخدام توصيات Defender for Cloud للتحقق من حالة أداة الاستشعار

1. في صفحة Microsoft Defender for Cloud Recommendations ، افتح عنصر تحكم تمكين Microsoft Defender for Cloud security.

2. حدد التوصية المسماة مجموعات Kubernetes التي تدعم Azure Arc يجب تمكين ملحق Microsoft Defender.

   

3. تحقق من أن المجموعة التي قمت بنشر المستشعر عليها مدرجة على أنها سليمة.

مدخل Azure - Azure Arc

استخدم صفحات Azure Arc للتحقق من حالة أداة الاستشعار

1. في مدخل Microsoft Azure، افتح Azure Arc.

2. في قائمة البنية الأساسية، حدد Kubernetes clusters، ثم حدد نظام المجموعة المحدد.

3. افتح صفحة الملحقات. تسرد الصفحة الملحقات على نظام المجموعة. لتأكيد ما إذا كان مستشعر Defender مثبتا بشكل صحيح، تحقق من عمود حالة التثبيت.

   

4. لمزيد من التفاصيل، حدد الملحق.

   

استخدم Azure CLI للتحقق من نشر أداة الاستشعار

1. شَغِل الأمر التالي في Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. في الرد، ابحث عن "extensionType": "microsoft.azuredefender.kubernetes" و"installState": "Installed".

   إشعار

   قد تظهر "installState": "Pending" الاستجابة للدقائق القليلة الأولى.

3. إذا كانت الحالة تظهر Installed، فقم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة الخاص بك. ثم تحقق من أن جميع الحجيرات تحت mdc مساحة الاسم في Running الحالة .

   kubectl get pods -n mdc
   

واجهة برمجة التطبيقات REST

استخدم واجهة برمجة تطبيقات REST للتحقق من نشر أداة الاستشعار

لتأكيد التوزيع الناجح، أو للتحقق من حالة أداة الاستشعار في أي وقت:

1. شغّل الأمر GET التالي:

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. في الاستجابة، ابحث عن "extensionType": "microsoft.azuredefender.kubernetes""installState": "Installed".

   تلميح

   قد تظهر "installState": "Pending" الاستجابة للدقائق القليلة الأولى.

3. إذا كانت الحالة تظهر Installed، فقم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة الخاص بك. ثم تحقق من أن جميع الحجيرات تحت mdc مساحة الاسم في Running الحالة .

   kubectl get pods -n mdc
   

تمكين الخطة

هام

• إذا لم تكن قد قمت بتوصيل حساب AWS، فوصل حساب AWS الخاص بك ب Microsoft Defender for Cloud قبل أن تبدأ الخطوات التالية.
• إذا قمت بالفعل بتمكين الخطة على الموصل الخاص بك، وتريد تغيير التكوينات الاختيارية أو تمكين قدرات جديدة، فانتقل مباشرة إلى الخطوة 4.

للمساعدة في حماية مجموعات EKS، قم بتمكين خطة Defender for Containers على موصل الحساب ذي الصلة:

1. في Defender for Cloud، افتح إعدادات البيئة.

2. حدد موصل AWS.

   

3. حدد صفحة خطط Defender وتحقق من تعيين التبديل لخطة الحاويات إلى تشغيل.

4. لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.

   

   • توفر ميزة الحماية من التهديدات بدون عامل حماية وقت التشغيل لحاويات نظام المجموعة. ترسل الميزة سجلات تدقيق Kubernetes إلى Microsoft Defender. قم بتعيين تبديل الحماية من التهديدات بدون عامل إلى تشغيل وتعيين فترة الاستبقاء لسجلات التدقيق الخاصة بك.

     إشعار

     إذا قمت بتعطيل هذا التكوين، يتم تعطيل الكشف عن تهديدات وحدة التحكم. تعرف على المزيد عن توفر الميزات.

   • يعين الوصول إلى K8S API أذونات للسماح باكتشاف مجموعات Kubernetes المستندة إلى واجهة برمجة التطبيقات. للتمكين، قم بتعيين تبديل الوصول إلى K8S API إلى تشغيل.

   • يعين الوصول إلى السجل أذونات للسماح بتقييم الثغرات الأمنية للصور المخزنة في ECR. للتمكين، قم بتعيين تبديل وصول السجل إلى تشغيل.

5. تابع عبر الصفحات المتبقية لمعالج الموصل.

6. إذا كنت تقوم بتمكين الاكتشاف بدون عامل لميزة Kubernetes ، فأنت بحاجة إلى منح أذونات وحدة التحكم على نظام المجموعة. يمكنك منح الأذونات بإحدى الطرق التالية:

   • تشغيل هذا البرنامج النصي Python. يضيف البرنامج النصي دور MDCContainersAgentlessDiscoveryK8sRole Defender for Cloud إلى aws-auth ConfigMap لمجموعات EKS التي تريد إلحاقها.

   • امنح كل مجموعة MDCContainersAgentlessDiscoveryK8sRole Amazon EKS الدور مع القدرة على التفاعل مع المجموعة. سجل الدخول إلى جميع المجموعات الموجودة والمنشأة حديثا باستخدام eksctl وقم بتشغيل البرنامج النصي التالي:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     لمزيد من المعلومات، راجع منح مستخدمي IAM حق الوصول إلى Kubernetes باستخدام إدخالات الوصول إلى EKS في دليل مستخدم Amazon EKS.

7. يجب تثبيت Kubernetes التي تدعم Azure Arc ومستشعر Defender ونهج Azure ل Kubernetes وتشغيلها على مجموعات EKS الخاصة بك. هناك توصية مخصصة ل Defender for Cloud لتثبيت هذه الملحقات (وAzure Arc، إذا لزم الأمر): يجب تثبيت ملحق Microsoft Defender ل Azure Arc على مجموعات EKS.

   اتبع خطوات المعالجة التي توفرها التوصية:

   

عرض التوصيات والتنبيهات لمجموعات EKS الخاصة بك

تلميح

يمكنك محاكاة تنبيهات الحاويات باتباع الإرشادات الواردة في منشور المدونة المذكور.

لعرض التنبيهات والتوصيات لمجموعات EKS الخاصة بك، استخدم عوامل التصفية على التنبيهات والتوصيات وصفحات المخزون للتصفية حسب نوع المورد نظام مجموعة AWS EKS.

نشر أداة استشعار Defender

هام

نشر أداة استشعار Defender باستخدام Helm: على عكس الخيارات الأخرى التي يتم توفيرها تلقائيا وتحديثها تلقائيا، يتيح لك Helm نشر أداة استشعار Defender بمرونة. هذا الأسلوب مفيد بشكل خاص في سيناريوهات DevOps والبنية الأساسية كتعلم برمجية. باستخدام Helm، يمكنك دمج النشر في مسارات CI/CD والتحكم في جميع تحديثات أداة الاستشعار. يمكنك أيضا اختيار تلقي إصدارات المعاينة و GA. للحصول على إرشادات حول تثبيت أداة استشعار Defender باستخدام Helm، راجع تثبيت أداة استشعار Defender for Containers باستخدام Helm.

لنشر مستشعر Defender على مجموعات AWS الخاصة بك:

1. انتقل إلى >

   

2. املأ تفاصيل الحساب.

   

3. انتقل إلى تحديد الخطط، وافتح خطة الحاويات ، وتأكد من تعيين أداة استشعار التوفير التلقائي ل Defender ل Azure Arc إلى تشغيل.

   

4. انتقل إلى تكوين الوصول واتبع الخطوات هناك.

   

5. بعد نشر قالب Cloud Formation بنجاح، حدد Create.

إشعار

يمكنك استبعاد مجموعة AWS معينة من التوفير التلقائي. لنشر أداة الاستشعار، قم بتطبيق العلامة ms_defender_container_exclude_agents على المورد بالقيمة true. للنشر بدون عامل، قم بتطبيق العلامة ms_defender_container_exclude_agentless على المورد بالقيمة true.

تمكين الخطة

هام

إذا لم تكن قد قمت بتوصيل مشروع GCP، فوصل مشروع GCP الخاص بك ب Microsoft Defender for Cloud.

للمساعدة في حماية مجموعات GKE الخاصة بك، استخدم الخطوات التالية لتمكين خطة Defender for Containers على مشروع GCP ذي الصلة.

إشعار

تحقق من عدم وجود أي نهج Azure تمنع تثبيت Azure Arc.

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Environment.

3. حدد موصل GCP ذي الصلة.

   

4. حدد زر التالي: تحديد الخطط >.

5. تأكد من تشغيل التبديل لخطة الحاويات.

   

6. لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.

   

   • الكشف عن التهديدات بدون عامل: ممكن افتراضيا. يتوفر هذا التكوين على مستوى مشروع GCP فقط. يوفر مجموعة بدون عامل من بيانات سجل التدقيق من خلال GCP Cloud Logging إلى النهاية الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل. يتطلب Defender for Containers سجلات تدقيق مستوى التحكم لتوفير الحماية من تهديدات وقت التشغيل. لإرسال سجلات تدقيق Kubernetes إلى Microsoft Defender، قم بتعيين التبديل إلى تشغيل.

     إشعار

     إذا قمت بتعطيل هذا التكوين، يتم أيضا تعطيل ميزة الكشف عن تهديدات وحدة التحكم. تعرف على المزيد حول توفر الميزات.

   • توفير أداة استشعار Defender تلقائيا ل Azure Arc وتوفير ملحق نهج Azure تلقائيا ل Azure Arc: ممكن افتراضيا. يمكنك تثبيت Kubernetes التي تدعم Azure Arc وملحقاتها على مجموعات GKE بثلاث طرق:

     • تمكين التزويد التلقائي ل Defender for Containers على مستوى المشروع، كما هو موضح في الإرشادات الواردة في هذا القسم. نوصي بهذا الأسلوب.
     • استخدم توصيات Defender for Cloud للتثبيت لكل مجموعة. تظهر في صفحة توصيات Microsoft Defender for Cloud. تعرف على كيفية نشر الحل على مجموعات معينة.
     • تثبيت Kubernetes والملحقات التي تدعم Azure Arc يدويا.

   • توفر ميزة الوصول إلى واجهة برمجة تطبيقات K8S اكتشافا يستند إلى واجهة برمجة التطبيقات لمجموعات Kubernetes الخاصة بك. قم بتعيين مفتاح تبديل الوصول إلى K8S API إلى تشغيل.

   • توفر ميزة الوصول إلى السجل إدارة الثغرات الأمنية للصور المخزنة في سجلات Google (Google Artifact Registry وGoogle Container Registry) وتشغيل الصور على مجموعات GKE الخاصة بك. قم بتعيين تبديل الوصول إلى السجل إلى تشغيل.

7. حدد زر نسخ.

   

8. حدد زر GCP Cloud Shell>.

9. الصق البرنامج النصي في محطة Cloud Shell الطرفية وشغله.

يتم تحديث الموصل بعد تشغيل البرنامج النصي. قد تستغرق هذه العملية ما يصل إلى 8 ساعات حتى تنتهي.

توزيع الحل إلى مجموعات محددة

إذا قمت بتعيين أي من تكوينات التوفير التلقائي الافتراضية إلى إيقاف التشغيل أثناء عملية إلحاق موصل GCP أو بعد ذلك، تحتاج إلى تثبيت Kubernetes الممكنة بواسطة Azure Arc يدويا، وأداة استشعار Defender، ونهج Azure ل Kubernetes في كل مجموعة من مجموعات GKE الخاصة بك. يساعد تثبيتها على ضمان حصولك على قيمة الأمان الكاملة من Defender for Containers.

يمكنك استخدام توصيتين مخصصتين ل Defender for Cloud لتثبيت الملحقات (وAzure Arc، إذا لزم الأمر):

• يجب أن يكون ملحق Microsoft Defender لمجموعات GKE ل Azure Arc مثبتا
• يجب أن يكون ملحق نهج Azure مثبتا على مجموعات GKE

إشعار

عند تثبيت ملحقات Arc، يجب التحقق من أن مشروع GCP المتوفر مطابق لمشروع في الموصل ذي الصلة.

لتوزيع الحل لمجموعات محددة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى Microsoft Defender for Cloud>Recommendations.

3. في صفحة Defender for Cloud Recommendations ، ابحث عن إحدى التوصيات بالاسم.

   

4. حدد مجموعة GKE غير السليمة.

   هام

   يجب تحديد أنظمة المجموعات واحدا تلو الآخر.

   لا تحدد المجموعات حسب أسماء الارتباطات التشعبية الخاصة بها. حدد أي مكان آخر في الصف ذي الصلة.

5. حدد اسم المورد غير السليم.

6. حدد إصلاح.

   

7. يقوم Defender for Cloud بإنشاء برنامج نصي باللغة التي تختارها:

   • بالنسبة لنظام التشغيل Linux، حدد Bash.
   • بالنسبة لنظام التشغيل Windows، حدد PowerShell.

8. حدد تنزيل منطق الإصلاح.

9. قم بتشغيل البرنامج النصي الذي تم إنشاؤه على المجموعة الخاصة بك.

10. كرر الخطوات من 3 إلى 8 للتوصية الأخرى.

عرض تنبيهات GKE العنقودية الخاصة بك

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى >Security.

3. حدد الزر .

4. في القائمة المنسدلة Filter ، حدد Resource type.

5. في القائمة المنسدلة Value ، حدد GCP GKE Cluster.

6. حدد OK.

نشر أداة استشعار Defender

هام

نشر أداة استشعار Defender باستخدام Helm: على عكس الخيارات الأخرى التي يتم توفيرها تلقائيا وتحديثها تلقائيا، يتيح لك Helm نشر أداة استشعار Defender بمرونة. هذا الأسلوب مفيد بشكل خاص في سيناريوهات DevOps والبنية الأساسية كتعلم برمجية. باستخدام Helm، يمكنك دمج النشر في مسارات CI/CD والتحكم في جميع تحديثات أداة الاستشعار. يمكنك أيضا اختيار تلقي إصدارات المعاينة و GA. للحصول على إرشادات حول تثبيت أداة استشعار Defender باستخدام Helm، راجع تثبيت أداة استشعار Defender for Containers باستخدام Helm.

لنشر مستشعر Defender على مجموعات GCP الخاصة بك:

1. انتقل إلى >

   

2. املأ تفاصيل الحساب.

   

3. انتقل إلى تحديد الخطط، وافتح خطة الحاويات ، وتأكد من تعيين أداة استشعار التوفير التلقائي ل Defender ل Azure Arc إلى تشغيل.

   

4. انتقل إلى تكوين الوصول واتبع الخطوات هناك.

   

5. gcloud بعد تشغيل البرنامج النصي بنجاح، حدد Create.

إشعار

يمكنك استبعاد مجموعة GCP معينة من التوفير التلقائي. لتوزيع المستشعر، قم بتطبيق التسمية ms_defender_container_exclude_agents على المورد بالقيمة true. للنشر بدون عامل، قم بتطبيق التسمية ms_defender_container_exclude_agentless على المورد بالقيمة true.

إزالة أداة استشعار Defender

لإزالة ملحق Defender for Cloud هذا (أو أي ملحق)، لا يكفي إيقاف تشغيل التوفير التلقائي:

• من المحتمل أن يؤثر تمكين التوفير التلقائي على الأجهزة الحالية والمستقبلية.
• يؤثر تعطيل التوفير التلقائي لملحق على الأجهزة المستقبلية فقط. لا يتم إلغاء تثبيت أي شيء عند تعطيل التوفير التلقائي.

إشعار

لتعطيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بإيقاف تشغيل Microsoft Defender for Containers.

ومع ذلك، للتأكد من عدم توفير مكونات Defender for Containers تلقائيا إلى مواردك من الآن فصاعدا، قم بتعطيل التوفير التلقائي للملحقات.

يمكنك إزالة الملحق من الأجهزة قيد التشغيل حاليا باستخدام مدخل Azure أو Azure CLI أو واجهة برمجة تطبيقات REST، كما هو موضح في علامات التبويب التالية.

مدخل Azure - Arc

استخدام مدخل Microsoft Azure لإزالة الملحق

1. في مدخل Microsoft Azure، افتح Azure Arc.

2. في قائمة البنية الأساسية، حدد Kubernetes clusters، ثم حدد نظام المجموعة المحدد.

3. افتح صفحة الملحقات، التي تسرد الملحقات على نظام المجموعة.

4. حدد الملحق، ثم حدد إلغاء التثبيت.

   

استخدام Azure CLI لإزالة أداة استشعار Defender

1. قم بإزالة ملحق Azure Arc ل Microsoft Defender for Containers باستخدام الأوامر التالية:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   قد تستغرق إزالة الملحق بضع دقائق. نوصي بالانتظار قبل محاولة التحقق من نجاحه.

2. للتحقق من إزالة الملحق بنجاح، قم بتشغيل الأوامر التالية:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. تحقق من عدم وجود pods ضمن mdc مساحة الاسم على نظام المجموعة. قم بتشغيل الأمر التالي مع kubeconfig الملف المشار إلى نظام المجموعة الخاص بك:

   kubectl get pods -n mdc
   

   قد يستغرق حذف pods بضع دقائق.

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لإزالة أداة استشعار Defender

لإزالة الملحق باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر التالي DELETE :

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

يتضمن الأمر هذه المعلمات:

اسم	في	المطلوب	نوع	‏‏الوصف
Subscription ID	المسار	صواب	السلسلة‬	معرف اشتراك مجموعة Kubernetes الذي يدعم Azure Arc
Resource Group	المسار	صواب	السلسلة‬	مجموعة موارد مجموعة Kubernetes تمكين Azure Arc
Cluster Name	المسار	صواب	السلسلة‬	اسم مجموعة Kubernetes التي تُمكّن Azure Arc

بالنسبة للمصادقة، يجب أن يحتوي العنوان على رمز مميز للحامل (كما هو الحال مع واجهات برمجة تطبيقات Azure الأخرى). للحصول على رمز حامل، قم بتشغيل الأمر التالي:

az account get-access-token --subscription <your-subscription-id>

قد يستغرق الطلب عدة دقائق حتى يكتمل.

تعيين مساحة عمل Log Analytics افتراضية ل AKS

يستخدم مستشعر Defender مساحة عمل Log Analytics كبنية أساسية للبيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud. لا تحتفظ مساحة العمل بأي من البيانات. ونتيجة لذلك، لا تتم فوترة المستخدمين في حالة الاستخدام هذه.

يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك مساحة عمل Log Analytics افتراضية، يقوم Defender for Cloud بإنشاء مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. تستند مساحة العمل الافتراضية إلى منطقتك.

اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:

• مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
• مجموعة الموارد: DefaultResourceGroup-[geo]

قم بتعيين مساحة عمل مخصصة

عند تمكين التوفير التلقائي، يتم تعيين مساحة عمل افتراضية تلقائيا. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

للتحقق مما إذا كان لديك مساحة عمل معينة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن "Policy" وحددها.

   

3. حدد ⁧⁩ تعريفات ⁧⁩.

4. ابحث عن معرّف النهج 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. حدد تكوين مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender.

6. حدد الواجبات.

   

7. استخدم أحد الأقسام التالية في هذه المقالة كما يلي:

   • إذا لم يتم تعيين النهج بعد إلى النطاق ذي الصلة، فاتبع خطوات إنشاء تعيين جديد بمساحة عمل مخصصة.
   • إذا تم تعيين النهج بالفعل وتريد تغييره لاستخدام مساحة عمل مخصصة، فاتبع خطوات تحديث واجب بمساحة عمل مخصصة.

إنشاء تعيين جديد بمساحة عمل مخصصة

إذا لم يتم تعيين النهج بعد، تعرض علامة التبويب الواجبات الرقم 0.

لتعيين مساحة عمل مخصصة:

1. حدد تعيين.

2. في علامة التبويب معلمات ، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط.

3. حدد قيمة LogAnalyticsWorkspaceResourceId من القائمة المنسدلة.

   

4. حدد "Review + create".

5. حدد إنشاء.

تحديث واجب بمساحة عمل مخصصة

إذا تم تعيين النهج إلى مساحة عمل، تعرض علامة التبويب الواجبات الرقم 1.

إشعار

إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى.

لتعيين مساحة عمل مخصصة:

1. حدد المهمة ذات الصلة.

   

2. حدد تحرير المهمة.

3. في علامة التبويب معلمات ، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط.

4. حدد قيمة LogAnalyticsWorkspaceResourceId من القائمة المنسدلة.

   

5. حدد Review + save.

6. حدد حفظ.

مساحة عمل Log Analytics الافتراضية ل Azure Arc

يستخدم مستشعر Defender مساحة عمل Log Analytics كبنية أساسية للبيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud. لا تحتفظ مساحة العمل بأي من البيانات. ونتيجة لذلك، لا تتم فوترة المستخدمين في حالة الاستخدام هذه.

يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك مساحة عمل Log Analytics افتراضية، يقوم Defender for Cloud بإنشاء مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. تستند مساحة العمل الافتراضية إلى منطقتك.

اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:

• مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
• مجموعة الموارد: DefaultResourceGroup-[geo]

قم بتعيين مساحة عمل مخصصة

عند تمكين التوفير التلقائي، يتم تعيين مساحة عمل افتراضية تلقائيا. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

للتحقق مما إذا كان لديك مساحة عمل معينة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن "Policy" وحددها.

   

3. حدد ⁧⁩ تعريفات ⁧⁩.

4. ابحث عن معرّف النهج 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. حدد Configure Azure Arc enabled Kubernetes clusters لتثبيت ملحق Microsoft Defender for Cloud.

6. حدد الواجبات.

   

7. استخدم أحد الأقسام التالية في هذه المقالة كما يلي:

   • إذا لم يتم تعيين النهج بعد إلى النطاق ذي الصلة، فاتبع خطوات إنشاء تعيين جديد بمساحة عمل مخصصة.
   • إذا تم تعيين النهج بالفعل وتريد تغييره لاستخدام مساحة عمل مخصصة، فاتبع خطوات تحديث واجب بمساحة عمل مخصصة.

إنشاء تعيين جديد بمساحة عمل مخصصة

إذا لم يتم تعيين النهج بعد، تعرض علامة التبويب الواجبات الرقم 0.

لتعيين مساحة عمل مخصصة:

1. حدد تعيين.

2. في علامة التبويب معلمات ، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط.

3. حدد قيمة LogAnalyticsWorkspaceResourceId من القائمة المنسدلة.

   

4. حدد "Review + create".

5. حدد إنشاء.

تحديث واجب بمساحة عمل مخصصة

إذا تم تعيين النهج إلى مساحة عمل، تعرض علامة التبويب الواجبات الرقم 1.

إشعار

إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى. إذا كان لديك رقم 1 أو أعلى ولكن التعيين غير موجود في النطاق ذي الصلة، فاتبع خطوات إنشاء تعيين جديد بمساحة عمل مخصصة.

لتعيين مساحة عمل مخصصة:

1. حدد المهمة ذات الصلة.

   

2. حدد تحرير المهمة.

3. في علامة التبويب معلمات ، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج إلى إدخال أو مراجعة فقط.

4. حدد قيمة LogAnalyticsWorkspaceResourceId من القائمة المنسدلة.

   

5. حدد Review + save.

6. حدد حفظ.

إزالة أداة استشعار Defender

لإزالة ملحق Defender for Cloud هذا (أو أي ملحق)، لا يكفي إيقاف تشغيل التوفير التلقائي:

• من المحتمل أن يؤثر تمكين التوفير التلقائي على الأجهزة الحالية والمستقبلية.
• يؤثر تعطيل التوفير التلقائي لملحق على الأجهزة المستقبلية فقط. لا يتم إلغاء تثبيت أي شيء عند تعطيل التوفير التلقائي.

إشعار

لتعطيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بإيقاف تشغيل Microsoft Defender for Containers.

ومع ذلك، للتأكد من عدم توفير مكونات Defender for Containers تلقائيا إلى مواردك من الآن فصاعدا، قم بتعطيل التوفير التلقائي للملحقات.

يمكنك إزالة الملحق من الأجهزة قيد التشغيل حاليا باستخدام واجهة برمجة تطبيقات REST أو Azure CLI أو قالب Resource Manager، كما هو موضح في علامات التبويب التالية.

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لإزالة أداة استشعار Defender من AKS

لإزالة الملحق باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر التالي PUT :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

يتضمن الأمر هذه المعلمات:

اسم	‏‏الوصف	إلزامي
SubscriptionId	معرف اشتراك المجموعة	‏‏نعم‬
ResourceGroup	مجموعة موارد المجموعة	‏‏نعم‬
ClusterName	اسم الكتلة	‏‏نعم‬
ApiVersion	إصدار واجهة برمجة التطبيقات؛ يجب أن يكون 2022-06-01 أو أحدث	‏‏نعم‬

هذا هو نص الطلب:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

يحتوي نص الطلب على هذه المعلمات:

اسم	‏‏الوصف	إلزامي
location	موقع الكتلة	‏‏نعم‬
properties.securityProfile.defender.securityMonitoring.enabled	يحدد ما إذا كان سيتم تمكين أو تعطيل Microsoft Defender للحاويات على المجموعة	‏‏نعم‬

استخدام Azure CLI لإزالة أداة استشعار Defender

1. شغّل الأوامر التالية:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   قد تستغرق إزالة الملحق بضع دقائق.

2. للتحقق من إزالة الملحق بنجاح، قم بتشغيل الأمر التالي:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   عند إزالة الملحق، get pods لا يرجع الأمر أي pods. قد يستغرق حذف pods بضع دقائق.

استخدام Azure Resource Manager لإزالة أداة استشعار Defender من AKS

لاستخدام Azure Resource Manager لإزالة أداة استشعار Defender، تحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

تلميح

إذا كنت مستخدما جديدا لقوالب Resource Manager، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟.

القالب والمعلمات ذات الصلة لإزالة أداة استشعار Defender من AKS هي:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

الخطوات التالية

الآن بعد أن قمت بتمكين Defender for Containers، يمكنك:

• فحص صور البيئة المدعومة بحثا عن الثغرات الأمنية باستخدام إدارة الثغرات الأمنية ل Microsoft Defender
• اطلع على الأسئلة الشائعة حول Defender for Containers.