تكوين مكونات Microsoft Defender for Containers
Microsoft Defender for Containers هو حل السحابة الأصلي لتأمين الحاويات الخاصة بك.
يحمي Defender for Containers أنظمة المجموعات الخاصة بك سواء كانت تعمل في:
خدمة Azure Kubernetes Service (AKS) - خدمة Microsoft المدارة لتطوير تطبيقات الحاوية وتوزيعها وإدارتها.
Amazon Elastic Kubernetes Service (EKS) في حساب Amazon Web Services (AWS) متصل - خدمة Amazon المُدارة لتشغيل Kubernetes على AWS دون الحاجة إلى تثبيت مستوى أو عقد تحكم Kubernetes الخاصة بك وتشغيلها وصيانتها.
Google Kubernetes Engine (GKE) في مشروع Google Cloud Platform (GCP) متصل - بيئة Google المُدارة لتوزيع التطبيقات وإدارتها وتوسيع نطاقها باستخدام البنية الأساسية لـ GCP.
توزيعات Kubernetes الأخرى (باستخدام Kubernetes التي تدعم Azure Arc) - معتمدة من قبل Cloud Native Computing Foundation (CNCF) مجموعات Kubernetes المُستضافة محليًا أو على IaaS. لمزيد من المعلومات، راجع قسم On-prem/IaaS (Arc) الخاص بـ الميزات المدعومة حسب البيئة .
تعرف على هذه الخطة في نظرة عامة على Microsoft Defender للحاويات.
يمكنك أولا معرفة كيفية توصيل حاوياتك وحمايتها في هذه المقالات:
- حماية حاويات Azure باستخدام Defender for Containers
- حماية مجموعات Kubernetes المحلية باستخدام Defender for Containers
- حماية حاويات حسابات Amazon Web Service (AWS) باستخدام Defender for Containers
- حماية حاويات مشروع Google Cloud Platform (GCP) باستخدام Defender for Containers
يمكنك أيضا معرفة المزيد من خلال مشاهدة مقاطع الفيديو هذه من Defender for Cloud في سلسلة فيديو Field:
إشعار
يعد دعم Defender for Containers لمجموعات Kubernetes التي تدعم Arc ميزة معاينة. تتوفر ميزة المعاينة على أساس الخدمة الذاتية والاشتراك.
يتم توفير المعاينات "كما هي" و"حسب توفرها" ويتم استبعادها من اتفاقيات مستوى الخدمة والضمان المحدود.
لمعرفة المزيد حول أنظمة التشغيل المدعومة وتوافر الميزات والوكيل الصادر والمزيد، راجع توفر ميزة Defender for Containers.
متطلبات الشبكة
تحقق من صحة نقاط النهاية التالية التي تم تكوينها للوصول الصادر بحيث يمكن لمستشعر Defender الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث:
راجع قواعد FQDN/التطبيق المطلوبة لـ Microsoft Defender للحاويات.
بشكل افتراضي، تحتوي أنظمة مجموعات AKS على اتصال غير مقيد بالإنترنت الصادر (الخروج).
متطلبات الشبكة
تحقق من صحة نقاط النهاية التالية التي تم تكوينها للوصول الصادر بحيث يمكن لمستشعر Defender الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث:
بالنسبة إلى عمليات نشر السحابة العامة:
مجال Azure | مجال Azure Government | Microsoft Azure المشغل بواسطة مجال 21Vianet | المنفذ |
---|---|---|---|
*.ods.opinsights.azure.com | *.ods.opinsights.azure.us | *.ods.opinsights.azure.cn | 443 |
*.oms.opinsights.azure.com | *.oms.opinsights.azure.us | *.oms.opinsights.azure.cn | 443 |
login.microsoftonline.com | login.microsoftonline.us | login.chinacloudapi.cn | 443 |
ستحتاج أيضًا إلى التحقق من صحة متطلبات شبكة Kubernetes الممكّنة في Azure Arc.
تمكين الخطة
لتمكين الخطة:
من قائمة Defender for Cloud، افتح صفحة الإعدادات وحدد الاشتراك ذي الصلة.
في صفحة خطط Defender، حدد Defender for Containers وحدد Settings.
تلميح
إذا تم تمكين Defender for Kubernetes و/أو Defender لسجلات الحاويات بالفعل في الاشتراك، فسيتم عرض إشعار بالتحديث. وإلا فسيكون الخيار الوحيد هو Defender للحاويات.
قم بتشغيل المكون ذي الصلة لتمكينه.
إشعار
- يجب على عملاء Defender for Containers الذين انضموا قبل أغسطس 2023 وليس لديهم اكتشاف بدون عامل ل Kubernetes ممكن كجزء من إدارة وضع الأمان السحابي في Defender عند تمكين الخطة، تمكين الاكتشاف بدون عامل لملحق Kubernetes داخل خطة Defender for Containers يدويا.
- عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل ولا يتم نشرها على أي حاويات أخرى ولكن لا تتم إزالتها من الحاويات التي تم تثبيتها عليها بالفعل.
أسلوب التمكين لكل قدرة
بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتمكين جميع الإمكانات تلقائيا وتثبيت جميع المكونات المطلوبة لتوفير الحماية التي توفرها الخطة، بما في ذلك تعيين مساحة عمل افتراضية.
إذا كنت لا تريد تمكين جميع قدرات الخطط، يمكنك تحديد القدرات المحددة التي يجب تمكينها يدويا عن طريق تحديد تحرير التكوين لخطة الحاويات . بعد ذلك، في صفحة الإعدادات والمراقبة ، حدد الإمكانات التي تريد تمكينها. بالإضافة إلى ذلك، يمكنك تعديل هذا التكوين من صفحة خطط Defender بعد التكوين الأولي للخطة.
للحصول على معلومات مفصلة حول أسلوب التمكين لكل واحد من القدرات، راجع مصفوفة الدعم.
الأدوار والأذونات
تعرف على المزيد حول الأدوار المستخدمة لتوفير ملحقات Defender for Containers.
تعيين مساحة عمل مخصصة لمستشعر Defender
يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.
النشر اليدوي لمستشعر Defender أو عامل نهج Azure دون توفير تلقائي باستخدام التوصيات
يمكن أيضا نشر القدرات التي تتطلب تثبيت أداة الاستشعار على مجموعة Kubernetes واحدة أو أكثر، باستخدام التوصية المناسبة:
المستشعر | التوصية |
---|---|
مستشعر Defender ل Kubernetes | يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes |
مستشعر Defender ل Kubernetes الممكن بواسطة Arc | مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender |
عامل نهج Azure ل Kubernetes | يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure ل Kubernetes مثبتة |
عامل نهج Azure ل Kubernetes التي تدعم Arc | يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت |
نفذ الخطوات التالية لتنفيذ توزيع أداة استشعار Defender على مجموعات معينة:
من صفحة توصيات Microsoft Defender for Cloud، افتح تمكين التحكم في أمان الأمان المحسن أو ابحث مباشرة عن إحدى التوصيات المذكورة أعلاه (أو استخدم الارتباطات أعلاه لفتح التوصية مباشرة)
عرض جميع المجموعات بدون أداة استشعار عبر علامة التبويب غير السليمة.
حدد المجموعات لنشر أداة الاستشعار المطلوبة على وحدد إصلاح.
حدد "إصلاح الموارد X".
نشر أداة استشعار Defender - جميع الخيارات
يمكنك تمكين خطة Defender للحاويات وتوزيع جميع المكونات ذات الصلة من مدخل Azure أو واجهة برمجة تطبيقات REST أو باستخدام قالب Resource Manager. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.
بمجرد نشر مستشعر Defender، يتم تعيين مساحة عمل افتراضية تلقائيا. يمكنك تعيين مساحة عمل مخصصة بدلاً من مساحة العمل الافتراضية من خلال سياسة Azure.
إشعار
يتم نشر مستشعر Defender في كل عقدة لتوفير حماية وقت التشغيل وجمع الإشارات من تلك العقد باستخدام تقنية eBPF.
استخدام زر الإصلاح من توصية Defender for Cloud
تتيح لك العملية المبسطة وغير الاحتكاكية استخدام صفحات مدخل Azure لتمكين خطة Defender for Cloud وإعداد التزويد التلقائي لجميع المكونات الضرورية للدفاع عن مجموعات Kubernetes الخاصة بك على نطاق واسع.
توفر توصية Defender for Cloud المخصصة ما يلي:
- الرؤية حول أي من مجموعاتك يحتوي على أداة استشعار Defender التي تم نشرها
- الزر "إصلاح " لنشره في تلك المجموعات بدون أداة الاستشعار
من صفحة توصيات Microsoft Defender for Cloud، افتح التحكم في الأمان لتمكين الأمان المحسن.
استخدم عامل التصفية للعثور على التوصية المسماة يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes.
تلميح
لاحظ أيقونة إصلاح في عمود الإجراءات
حدد المجموعات لمشاهدة تفاصيل الموارد الصحية وغير السليمة - المجموعات مع جهاز الاستشعار وبدونه.
من قائمة الموارد غير السليمة، حدد مجموعة وحدد معالجة لفتح الجزء بتأكيد المعالجة.
حدد "إصلاح الموارد X".
تمكين الخطة
لتمكين الخطة:
من قائمة Defender for Cloud، افتح صفحة الإعدادات وحدد الاشتراك ذي الصلة.
في صفحة خطط Defender، حدد Defender for Containers وحدد Settings.
تلميح
إذا تم تمكين Defender for Kubernetes أو Defender لسجلات الحاويات بالفعل في الاشتراك، فسيتم عرض إشعار التحديث. وإلا فسيكون الخيار الوحيد هو Defender للحاويات.
قم بتشغيل المكون ذي الصلة لتمكينه.
إشعار
عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل ولا يتم نشرها على أي حاويات أخرى ولكن لا تتم إزالتها من الحاويات التي تم تثبيتها عليها بالفعل.
بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتثبيت المكونات المطلوبة تلقائيا لتوفير الحماية التي توفرها الخطة، بما في ذلك تعيين مساحة عمل افتراضية.
إذا كنت تريد تعطيل التثبيت التلقائي للمكونات أثناء عملية الإلحاق، فحدد تحرير التكوين لخطة الحاويات . ستظهر الخيارات المتقدمة، ويمكنك تعطيل التثبيت التلقائي لكل مكون.
بالإضافة إلى ذلك، يمكنك تعديل هذا التكوين من صفحة خطط Defender.
إشعار
إذا اخترت تعطيل الخطة في أي وقت بعد تمكينها من خلال المدخل كما هو موضح أعلاه، فستحتاج إلى إزالة مكونات Defender للحاويات التي تم توزيعها على مجموعاتك يدويًا.
يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.
إذا قمت بتعطيل التثبيت التلقائي لأي مكون، يمكنك بسهولة نشر المكون إلى مجموعة واحدة أو أكثر باستخدام التوصية المناسبة:
- السياسة الإضافية لـ Kubernetes - يجب أن تحتوي مجموعات خدمة Azure Kubernetes على وظيفة Azure Policy الإضافية لـ Kubernetes مثبتة
- الملف الشخصي لخدمة Azure Kubernetes - يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes
- ملحق Kubernetes الذي يدعم Azure Arc - يجب أن يكون لمجموعات Kubernetes التي تم تدعم Azure Arc عليها ملحق Defender مثبتًا
- ملحق نهج Kubernetes الذي يدعم Azure Arc - يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت
تعرف على المزيد حول الأدوار المستخدمة لتوفير ملحقات Defender for Containers.
المتطلبات الأساسية
قبل نشر أداة الاستشعار، تأكد من:
- توصيل نظام مجموعة Kubernetes بـ Azure Arc
- إكمال متطلبات مسبقة المسرودة تحت وثائق ملحقات الكتلة العامة.
نشر أداة استشعار Defender
يمكنك نشر مستشعر Defender باستخدام مجموعة من الطرق. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.
استخدام زر الإصلاح من توصية Defender for Cloud
توفر توصية Defender for Cloud المخصصة ما يلي:
- الرؤية حول أي من مجموعاتك يحتوي على أداة استشعار Defender التي تم نشرها
- الزر "إصلاح " لنشره في تلك المجموعات بدون أداة الاستشعار
من صفحة توصيات Microsoft Defender for Cloud، افتح التحكم في الأمان لتمكين الأمان المحسن.
استخدم عامل التصفية للعثور على التوصية المسماة مجموعات Kubernetes التي تدعم Azure Arc يجب أن يكون ملحق Defender for Cloud مثبتا.
تلميح
لاحظ أيقونة إصلاح في عمود الإجراءات
حدد المستشعر لمشاهدة تفاصيل الموارد الصحية وغير الصحية - المجموعات مع جهاز الاستشعار وبدونه.
من قائمة الموارد غير السليمة، حدد مجموعة وحدد معالجة لفتح الجزء باستخدام خيارات المعالجة.
حدد مساحة عمل Log Analytics ذات الصلة وحدد معالجة مورد x.
تحقق من التوزيع
للتحقق من تثبيت مستشعر Defender على نظام المجموعة، اتبع الخطوات الموجودة في إحدى علامات التبويب أدناه:
استخدام توصية Defender for Cloud للتحقق من حالة أداة الاستشعار
تمكين الخطة
هام
- إذا لم تكن قد قمت بالفعل بتوصيل حساب AWS، فقم بتوصيل حسابات AWS الخاصة بك بـ Microsoft Defender for Cloud.
- إذا قمت بالفعل بتمكين الخطة على الموصل الخاص بك، وكنت ترغب في تغيير التكوينات الاختيارية أو تمكين قدرات جديدة، فانتقل مباشرة إلى الخطوة 4.
لحماية مجموعات EKS الخاصة بك، قم بتمكين خطة الحاويات على موصل الحساب ذي الصلة:
من قائمة Defender for Cloud، افتح إعدادات البيئة.
حدد موصل AWS.
تحقق من تعيين التبديل لخطة الحاويات إلى تشغيل.
لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.
يتطلب Defender for Containers سجلات تدقيق مستوى التحكم لتوفير الحماية من تهديدات وقت التشغيل. لإرسال سجلات تدقيق Kubernetes إلى Microsoft Defender، قم بتبديل الإعداد إلى تشغيل. لتغيير فترة الاستبقاء لسجلات التدقيق، أدخل الإطار الزمني المطلوب.
إشعار
إذا قمت بتعطيل هذا التكوين، فسيتم تعطيل ميزة
Threat detection (control plane)
. تعرف على المزيد عن توفر الميزات.يوفر الاكتشاف بدون عامل ل Kubernetes اكتشافا يستند إلى واجهة برمجة التطبيقات لمجموعات Kubernetes الخاصة بك. لتمكين اكتشاف بدون عامل لميزة Kubernetes ، قم بتبديل الإعداد إلى تشغيل.
يوفر تقييم الثغرات الأمنية للحاوية بدون عامل إدارة الثغرات الأمنية للصور المخزنة في ECR وتشغيل الصور على مجموعات EKS الخاصة بك. لتمكين ميزة تقييم الثغرات الأمنية للحاوية بدون عامل، قم بتبديل الإعداد إلى تشغيل.
تابع عبر الصفحات المتبقية لمعالج الموصل.
إذا كنت تقوم بتمكين ميزة اكتشاف بدون عامل ل Kubernetes ، فأنت بحاجة إلى منح أذونات وحدة التحكم على نظام المجموعة. يمكنك القيام بذلك بإحدى الطرق التالية:
قم بتشغيل برنامج Python النصي هذا لمنح الأذونات. يضيف البرنامج النصي دور Defender for Cloud MDCContainersAgentlessDiscoveryK8sRole إلى aws-auth ConfigMap لمجموعات EKS التي ترغب في إلحاقها.
امنح كل مجموعة Amazon EKS دور MDCContainersAgentlessDiscoveryK8sRole مع القدرة على التفاعل مع نظام المجموعة. سجل الدخول إلى جميع المجموعات الموجودة والمنشأة حديثا باستخدام eksctl ونفذ البرنامج النصي التالي:
eksctl create iamidentitymapping \ --cluster my-cluster \ --region region-code \ --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ --group system:masters\ --no-duplicate-arns
لمزيد من المعلومات، راجع تمكين الوصول الأساسي لإدارة الهوية والوصول إلى نظام المجموعة.
يجب تثبيت Kubernetes التي تدعم Azure Arc ومستشعر Defender ونهج Azure ل Kubernetes وتشغيلها على مجموعات EKS الخاصة بك. هناك توصيات مخصصة لـ Defender for Cloud لتثبيت هذه الملحقات (و Azure Arc إذا لزم الأمر):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
لكل توصية، اتبع الخطوات أدناه لتثبيت الملحقات المطلوبة.
لتثبيت الملحقات المطلوبة:
من صفحة التوصيات في Defender for Cloud، ابحث عن إحدى التوصيات بالاسم.
حدد مجموعة غير سليمة.
هام
يجب عليك تحديد المجموعات واحدة تلو الأخرى.
لا تحدد المجموعات حسب أسمائها ذات الارتباطات التشعبية: حدد أي مكان آخر في الصف ذي الصلة.
حدد إصلاح.
يقوم Defender for Cloud بإنشاء برنامج نصي باللغة التي تختارها: حدد Bash (لنظام التشغيل Linux) أو PowerShell (لنظام التشغيل Windows).
حدد تنزيل منطق الإصلاح.
قم بتشغيل البرنامج النصي الذي تم إنشاؤه على المجموعة الخاصة بك.
كرر الخطوات من "أ" إلى "و" للتوصية الثانية.
عرض التوصيات والتنبيهات لمجموعات EKS الخاصة بك
تلميح
يمكنك محاكاة تنبيهات الحاويات باتباع الإرشادات الواردة في منشور المدونة المذكور.
لعرض التنبيهات والتوصيات لمجموعات EKS الخاصة بك، استخدم عوامل التصفية في التنبيهات والتوصيات وصفحات المخزون للتصفية حسب نوع المورد مجموعة AWS EKS.
نشر أداة استشعار Defender
لنشر مستشعر Defender على مجموعات AWS، اتبع الخطوات التالية:
انتقل إلى Microsoft Defender for Cloud ->Environment settings ->Add environment ->Amazon Web Services.
املأ تفاصيل الحساب.
انتقل إلى تحديد الخطط، وافتح خطة الحاويات وتأكد من تعيين أداة استشعار Auto provision Defender ل Azure Arc إلى تشغيل.
انتقل إلى تكوين الوصول واتبع الخطوات هناك.
بمجرد نشر قالب Cloud Formation بنجاح، حدد Create.
إشعار
يمكنك استبعاد مجموعة AWS معينة من التزويد التلقائي. لنشر أداة الاستشعار، قم بتطبيق العلامة ms_defender_container_exclude_agents
على المورد بالقيمة true
. للنشر بدون عامل، قم بتطبيق العلامة ms_defender_container_exclude_agentless
على المورد بالقيمة true
.
تمكين الخطة
هام
إذا لم تكن قد ربطت مشروع GCP بالفعل، فقم بتوصيل مشروعات GCP بـ Microsoft Defender for Cloud.
لحماية مجموعات GKE الخاصة بك، ستحتاج إلى تمكين خطة الحاويات في مشروع GCP ذي الصلة.
إشعار
تحقق من عدم وجود أي نهج Azure تمنع تثبيت Arc.
لحماية مجموعات Google Kubernetes Engine (GKE):
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Microsoft Defender for Cloud>Environment settings.
حدد موصل GCP ذي الصلة
حدد زر التالي: تحديد الخطط >.
تأكد من تبديل خطة الحاويات إلى تشغيل.
لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.
سجلات تدقيق Kubernetes إلى Defender for Cloud: ممكن افتراضيا. يتوفر هذا التكوين على مستوى مشروع GCP فقط. يوفر مجموعة بدون عامل من بيانات سجل التدقيق من خلال GCP Cloud Logging إلى النهاية الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل. يتطلب Defender for Containers سجلات تدقيق مستوى التحكم لتوفير الحماية من تهديدات وقت التشغيل. لإرسال سجلات تدقيق Kubernetes إلى Microsoft Defender، قم بتبديل الإعداد إلى تشغيل.
إشعار
إذا قمت بتعطيل هذا التكوين، فسيتم تعطيل ميزة
Threat detection (control plane)
. تعرف على المزيد عن توفر الميزات.توفير أداة استشعار Defender تلقائيا ل Azure Arc وتوفير ملحق نهج Azure تلقائيا ل Azure Arc: ممكن افتراضيا. يمكنك تثبيت Kubernetes التي تدعم Azure Arc وملحقاتها على مجموعات GKE بثلاث طرق:
- تمكين التوفير التلقائي ل Defender for Containers على مستوى المشروع، كما هو موضح في الإرشادات الواردة في هذا القسم. نوصي بهذا الأسلوب.
- استخدم توصيات Defender for Cloud للتثبيت لكل مجموعة. تظهر على صفحة توصيات Microsoft Defender for Cloud. تعرف على كيفية نشر الحل على مجموعات معينة.
- تثبيت Kubernetes والملحقات الممكنة بواسطة Arc يدويا.
يوفر الاكتشاف بدون عامل ل Kubernetes اكتشافا يستند إلى واجهة برمجة التطبيقات لمجموعات Kubernetes الخاصة بك. لتمكين اكتشاف بدون عامل لميزة Kubernetes ، قم بتبديل الإعداد إلى تشغيل.
يوفر تقييم الثغرات الأمنية للحاوية بدون عامل إدارة الثغرات الأمنية للصور المخزنة في سجلات Google (GAR وGCR) وتشغيل الصور على مجموعات GKE الخاصة بك. لتمكين ميزة تقييم الثغرات الأمنية للحاوية بدون عامل، قم بتبديل الإعداد إلى تشغيل.
حدد زر نسخ.
حدد زر GCP Cloud Shell>.
الصق البرنامج النصي في محطة Cloud Shell الطرفية وشغله.
سيتم تحديث الموصل بعد تنفيذ البرنامج النصي. قد تستغرق هذه العملية ما يصل إلى 6-8 ساعات حتى تكتمل.
توزيع الحل إلى مجموعات محددة
إذا عطلت أيًا من تكوينات إدارة الحسابات التلقائية الافتراضية إلى "إيقاف"، أثناء عملية إعداد موصل GCP، أو بعد ذلك. ستحتاج إلى تثبيت Kubernetes الممكن بواسطة Azure Arc يدويا، ومستشعر Defender، ونهج Azure ل Kubernetes لكل مجموعة من مجموعات GKE للحصول على قيمة الأمان الكاملة من Defender for Containers.
هناك توصيتان مخصصتان لـ Defender for Cloud يمكنك استخدامهما لتثبيت الملحقات (وArc إذا لزم الأمر):
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
إشعار
عند تثبيت ملحقات Arc، يجب التحقق من أن مشروع GCP المقدم مطابق لمشروع في الموصل ذي الصلة.
لتوزيع الحل لمجموعات محددة:
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Microsoft Defender for Cloud>Recommendations.
من صفحة التوصيات في Defender for Cloud، ابحث عن إحدى التوصيات بالاسم.
حدد مجموعة GKE غير السليمة.
هام
يجب عليك تحديد المجموعات واحدة تلو الأخرى.
لا تحدد المجموعات حسب أسمائها ذات الارتباطات التشعبية: حدد أي مكان آخر في الصف ذي الصلة.
حدد اسم المورد غير السليم.
حدد إصلاح.
سينشئ Defender for Cloud نصًا باللغة التي تختارها:
- بالنسبة لنظام التشغيل Linux، حدد Bash.
- بالنسبة لنظام التشغيل Windows، حدد PowerShell.
حدد تنزيل منطق الإصلاح.
قم بتشغيل البرنامج النصي الذي تم إنشاؤه على المجموعة الخاصة بك.
كرر الخطوات من 3 إلى 8 للتوصية الثانية.
عرض تنبيهات GKE العنقودية الخاصة بك
قم بتسجيل الدخول إلى بوابة Azure.
انتقل إلى Microsoft Defender for Cloud >تنبيهات الأمان.
حدد الزر .
في القائمة المنسدلة تصفية، حدد نوع المورد.
في القائمة المنسدلة للقيمة، حدد مجموعة GCP GKE.
حدد OK.
نشر أداة استشعار Defender
لنشر مستشعر Defender على مجموعات GCP، اتبع الخطوات التالية:
انتقل إلى Microsoft Defender for Cloud ->Environment settings ->Add environment ->Google Cloud Platform.
املأ تفاصيل الحساب.
انتقل إلى تحديد الخطط، وافتح خطة الحاويات، وتأكد من تعيين أداة استشعار Auto provision Defender ل Azure Arc إلى تشغيل.
انتقل إلى تكوين الوصول واتبع الخطوات هناك.
بعد تشغيل البرنامج النصي gcloud بنجاح، حدد Create.
إشعار
يمكنك استبعاد مجموعة GCP معينة من التزويد التلقائي. لتوزيع المستشعر، قم بتطبيق التسمية ms_defender_container_exclude_agents
على المورد بالقيمة true
. للنشر بدون عامل، قم بتطبيق التسمية ms_defender_container_exclude_agentless
على المورد بالقيمة true
.
محاكاة تنبيهات الأمان من Microsoft Defender للحاويات
تتوفر قائمة كاملة بالتنبيهات المدعومة في الجدول المرجعي لجميع تنبيهات أمان Defender for Cloud.
لمحاكاة تنبيه أمني، قم بتشغيل الأمر التالي من المجموعة:
kubectl get pods --namespace=asc-alerttest-662jfi039n
الاستجابة المتوقعة هي
No resource found
.في غضون 30 دقيقة، يكتشف Defender for Cloud هذا النشاط ويشغل تنبيه أمان.
إشعار
لمحاكاة التنبيهات بدون عامل ل Defender for Containers، لا يعد Azure Arc شرطا أساسيا.
في مدخل Microsoft Azure، افتح صفحة تنبيهات أمان Microsoft Defender for Cloud وابحث عن التنبيه على المورد ذي الصلة:
إزالة أداة استشعار Defender
لإزالة هذا - أو أي - ملحق Defender for Cloud، لا يكفي إيقاف تشغيل التوفير التلقائي:
- تمكين التوفير التلقائي، من المحتمل أن يؤثر على الأجهزة الحالية والمستقبلية.
- تعطيل التوفير التلقائي لإحدى الملحقات، يؤثر فقط على الأجهزة المستقبلية - لا يتم إلغاء تثبيت أي شيء عن طريق تعطيل التوفير التلقائي.
إشعار
لإيقاف تشغيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بتعطيل خطة Microsoft Defender for Containers .
ومع ذلك، لضمان عدم توفير مكونات Defender للحاويات لمواردك تلقائيًا من الآن فصاعدًا، قم بتعطيل التوفير التلقائي للامتدادات كما هو موضح في تكوين التوفير التلقائي للوكلاء والملحقات من Microsoft Defender for Cloud.
يمكنك إزالة الملحق باستخدام مدخل Microsoft Azure أو Azure CLI أو REST API كما هو موضح في علامات التبويب أدناه.
استخدام مدخل Microsoft Azure لإزالة الملحق
مساحة عمل تحليلات السجل الافتراضية لـ AKS
يتم استخدام مساحة عمل Log Analytics بواسطة أداة استشعار Defender كمسار بيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud دون الاحتفاظ بأي بيانات في مساحة عمل Log Analytics نفسها. نتيجة لذلك، لن يتم محاسبة المستخدمين في حالة الاستخدام هذه.
يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك بالفعل مساحة عمل Log Analytics افتراضية، فسينشئ Defender for Cloud مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. يتم إنشاء مساحة العمل الافتراضية بناءً على منطقتك.
اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:
- مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
- مجموعة الموارد: DefaultResourceGroup- [الموقع الجغرافي]
قم بتعيين مساحة عمل مخصصة
عند تمكين خيار التوفير التلقائي، سيتم تلقائيًا تعيين مساحة عمل افتراضية. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.
للتحقق مما إذا كان لديك مساحة عمل معينة:
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن "Policy" وحددها.
حدد تعريفات .
ابحث عن معرّف النهج
64def556-fbad-4622-930e-72d1d5589bf5
.حدد تكوين مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender.
حدد تعيين.
اتبع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة إذا لم يتم تعيين السياسة للنطاق ذي الصلة بعد. أو اتبع خطوات تحديث التعيين بمساحة عمل مخصصة إذا تم تعيين السياسة بالفعل وتريد تغييرها لاستخدام مساحة عمل مخصصة.
قم بإنشاء مهمة جديدة باستخدام مساحة عمل مخصصة
إذا لم يتم تعيين السياسة، فسترى Assignments (0)
.
لتعيين مساحة عمل مخصصة:
حدد تعيين.
في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.
حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.
حدد "Review + create".
حدد إنشاء.
تحديث المهمة بمساحة عمل مخصصة
إذا تم بالفعل تعيين السياسة لمساحة عمل، فسترى Assignments (1)
.
إشعار
إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى.
لتعيين مساحة عمل مخصصة:
مساحة عمل تحليلات السجل الافتراضية لـ Arc
يتم استخدام مساحة عمل Log Analytics بواسطة أداة استشعار Defender كمسار بيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud دون الاحتفاظ بأي بيانات في مساحة عمل Log Analytics نفسها. نتيجة لذلك، لن يتم محاسبة المستخدمين في حالة الاستخدام هذه.
يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك بالفعل مساحة عمل Log Analytics افتراضية، فسينشئ Defender for Cloud مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. يتم إنشاء مساحة العمل الافتراضية بناءً على منطقتك.
اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:
- مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
- مجموعة الموارد: DefaultResourceGroup- [الموقع الجغرافي]
قم بتعيين مساحة عمل مخصصة
عند تمكين خيار التوفير التلقائي، سيتم تلقائيًا تعيين مساحة عمل افتراضية. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.
للتحقق مما إذا كان لديك مساحة عمل معينة:
قم بتسجيل الدخول إلى بوابة Azure.
ابحث عن النهج وحدده.
حدد تعريفات .
ابحث عن معرّف النهج
708b60a6-d253-4fe0-9114-4be4c00f012c
.حدد تكوين مجموعات Kubernetes الممكّنة من Azure Arc لتثبيت Microsoft Defender for Cloud extension.
حدد الواجبات.
اتبع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة إذا لم يتم تعيين السياسة للنطاق ذي الصلة بعد. أو اتبع خطوات تحديث التعيين بمساحة عمل مخصصة إذا تم تعيين السياسة بالفعل وتريد تغييرها لاستخدام مساحة عمل مخصصة.
قم بإنشاء مهمة جديدة باستخدام مساحة عمل مخصصة
إذا لم يتم تعيين السياسة، فسترى Assignments (0)
.
لتعيين مساحة عمل مخصصة:
حدد تعيين.
في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.
حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.
حدد "Review + create".
حدد إنشاء.
تحديث المهمة بمساحة عمل مخصصة
إذا تم بالفعل تعيين السياسة لمساحة عمل، فسترى Assignments (1)
.
إشعار
إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى. إذا كان لديك رقم 1 أو أعلى، فقد لا يزال التعيين غير موجود في النطاق ذي الصلة. إذا كانت هذه هي الحالة، فستحتاج إلى اتباع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة.
لتعيين مساحة عمل مخصصة:
إزالة أداة استشعار Defender
لإزالة هذا - أو أي - ملحق Defender for Cloud، لا يكفي إيقاف تشغيل التوفير التلقائي:
- تمكين التوفير التلقائي، من المحتمل أن يؤثر على الأجهزة الحالية والمستقبلية.
- تعطيل التوفير التلقائي لإحدى الملحقات، يؤثر فقط على الأجهزة المستقبلية - لا يتم إلغاء تثبيت أي شيء عن طريق تعطيل التوفير التلقائي.
إشعار
لإيقاف تشغيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بتعطيل خطة Microsoft Defender for Containers .
ومع ذلك، لضمان عدم توفير مكونات Defender للحاويات لمواردك تلقائيًا من الآن فصاعدًا، قم بتعطيل التوفير التلقائي للامتدادات كما هو موضح في تكوين التوفير التلقائي للوكلاء والملحقات من Microsoft Defender for Cloud.
يمكنك إزالة الملحق باستخدام واجهة برمجة تطبيقات REST أو قالب Resource Manager كما هو موضح في علامات التبويب أدناه.
استخدام واجهة برمجة تطبيقات REST لإزالة أداة استشعار Defender من AKS
لإزالة الملحق باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر PUT التالي:
https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Name | الوصف | إلزامي |
---|---|---|
SubscriptionId. | معرف اشتراك المجموعة | نعم |
ResourceGroup | مجموعة موارد المجموعة | نعم |
ClusterName | اسم الكتلة | نعم |
ApiVersion | يجب أن يكون إصدار واجهة برمجة التطبيقات >= 2022-06-01 | نعم |
نص طلب:
{
"location": "{{Location}}",
"properties": {
"securityProfile": {
"defender": {
"securityMonitoring": {
"enabled": false
}
}
}
}
}
طلب معلمات النص الأساسي على نحو ما يلي:
Name | الوصف | إلزامي |
---|---|---|
مكان | موقع الكتلة | نعم |
properties.securityProfile.defender.securityMonitoring.enabled | يحدد ما إذا كان سيتم تمكين أو تعطيل Microsoft Defender للحاويات على المجموعة | نعم |
معرفة المزيد
يمكنك التحقق من المدونات التالية:
- قم بحماية أعباء عمل Google Cloud الخاصة بك باستخدام Microsoft Defender for Cloud
- مقدمة لـ Microsoft Defender للحاويات
- اسم جديد للأمان متعدد السحابات:Microsoft Defender for Cloud
الخطوات التالية
الآن بعد أن قمت بتمكين Defender for Containers، يمكنك:
- فحص صور ACR بحثا عن الثغرات الأمنية
- فحص صور AWS بحثا عن الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft Defender
- فحص صور GGP بحثا عن الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft Defender
- اطلع على الأسئلة الشائعة حول Defender for Containers.
الملاحظات
https://aka.ms/ContentUserFeedback.
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجعإرسال الملاحظات وعرضها المتعلقة بـ