Konfigurace komponent Microsoft Defenderu pro kontejnery

Microsoft Defender for Containers je cloudové nativní řešení pro zabezpečení kontejnerů.

Defender pro kontejnery chrání clustery bez ohledu na to, jestli běží:

• Azure Kubernetes Service (AKS) – spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.

• Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS) – spravovaná služba Amazonu pro spouštění Kubernetes na AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu nebo uzly Kubernetes.

• Google Kubernetes Engine (GKE) v připojeném projektu Google Cloud Platform (GCP) – spravované prostředí Google pro nasazování, správu a škálování aplikací pomocí infrastruktury GCP.

• Ostatní distribuce Kubernetes (s podporou Azure Arc Kubernetes) – Cloud Native Computing Foundation (CNCF) certifikované clustery Kubernetes hostované místně nebo v IaaS. Další informace najdete v části Místní/IaaS (Arc) podporovaných funkcí podle prostředí.

Další informace o tomto plánu najdete v přehledu programu Microsoft Defender for Containers.

Napřed se dozvíte, jak připojit a chránit kontejnery v těchto článcích:

• Ochrana kontejnerů Azure pomocí Defenderu pro kontejnery
• Ochrana místních clusterů Kubernetes pomocí defenderu for Containers
• Ochrana kontejnerů účtů Amazon Web Service (AWS) pomocí defenderu for Containers
• Ochrana kontejnerů projektu Google Cloud Platform (GCP) pomocí defenderu for Containers

Další informace získáte také tak, že se budete dívat na tato videa z Programu Defender for Cloud v sérii videí Pole:

• Microsoft Defender for Containers v multicloudovém prostředí
• Ochrana kontejnerů v GCP pomocí Defenderu pro kontejnery

Poznámka:

Podpora Defenderu pro kontejnery pro clustery Kubernetes s podporou Arc je funkce Preview. Funkce Preview je dostupná na samoobslužné bázi s výslovným souhlasem.

Verze Preview jsou poskytovány "tak, jak jsou" a "dostupné" a jsou vyloučeny ze smluv o úrovni služeb a omezené záruky.

Další informace o podporovaných operačníchsystémechch

Síťové požadavky

Ověřte, že jsou pro odchozí přístup nakonfigurované následující koncové body, aby se senzor Defenderu mohl připojit k Programu Microsoft Defender for Cloud a odesílat data a události zabezpečení:

Podívejte se na požadovaná pravidla plně kvalifikovaného názvu domény nebo aplikace pro Microsoft Defender for Containers.

Ve výchozím nastavení mají clustery AKS neomezený odchozí (výchozí) internetový přístup.

Síťové požadavky

Upozornění

Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.

Ověřte, že jsou pro odchozí přístup nakonfigurované následující koncové body, aby se senzor Defenderu mohl připojit k Programu Microsoft Defender for Cloud a odesílat data a události zabezpečení:

Pro nasazení veřejného cloudu:

Doména Azure	Doména Azure Government	Microsoft Azure provozovaný společností 21Vianet Domain	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Následující domény jsou nezbytné jenom v případě, že používáte relevantní operační systém. Pokud máte například clustery EKS spuštěné v AWS, budete muset doménu použít Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" jenom.

Doména	Port	Hostování operačních systémů
amazonlinux.*.amazonaws.com/2/extra/*	443	Amazon Linux 2
Výchozí úložiště yum	-	RHEL / Centos
apt default repositories	-	Debian

Budete také muset ověřit požadavky na síť Kubernetes s podporou Azure Arc.

Povolení plánu

Povolení plánu:

1. V nabídce Defenderu pro cloud otevřete stránku Nastavení a vyberte příslušné předplatné.

2. Na stránce Plány Defenderu vyberte Defender for Containers a vyberte Nastavení.

   

   Tip

   Pokud už předplatné obsahuje Defender pro Kubernetes a/nebo Defender pro registry kontejnerů povolené, zobrazí se oznámení o aktualizaci. V opačném případě bude jedinou možností Defender for Containers.

   

3. Zapněte příslušnou komponentu a povolte ji.

   

   Poznámka:

   • Zákazníci defenderů pro kontejnery, kteří se připojili před srpnem 2023 a nemají povolené zjišťování bez agentů pro Kubernetes v rámci plánu CSPM v programu Defender, musí ručně povolit zjišťování bez agentů pro rozšíření Kubernetes v rámci plánu Defender for Containers.
   • Když vypnete Defender for Containers, komponenty se nastaví na vypnuto a nenasadí se do žádného dalšího kontejneru, ale neodeberou se z kontejnerů, na které jsou už nainstalované.

Metoda povolení podle schopností

Ve výchozím nastavení je při povolování plánu prostřednictvím webu Azure Portal nakonfigurovaný Program Microsoft Defender for Containers tak, aby automaticky povoloval všechny funkce a nainstaloval všechny požadované součásti, které plán nabízí, včetně přiřazení výchozího pracovního prostoru.

Pokud nechcete povolit všechny možnosti plánů, můžete ručně vybrat konkrétní možnosti, které chcete povolit, výběrem možnosti Upravit konfiguraci pro plán Kontejnery . Potom na stránce Nastavení a monitorování vyberte možnosti, které chcete povolit. Kromě toho můžete tuto konfiguraci upravit ze stránky plánů Defenderu po počáteční konfiguraci plánu.

Podrobné informace o metodě povolení pro každou z možností najdete v matici podpory.

Role a oprávnění

Přečtěte si další informace o rolích používaných ke zřízení rozšíření Defender for Containers.

Přiřazení vlastního pracovního prostoru pro senzor Defenderu

Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Ruční nasazení senzoru Defenderu nebo agenta zásad Azure bez automatického zřizování s využitím doporučení

Funkce, které vyžadují instalaci senzoru, je možné nasadit také v jednom nebo několika clusterech Kubernetes s využitím vhodného doporučení:

Senzor	Doporučení
Senzor defenderu pro Kubernetes	Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.
Senzor defenderu pro Kubernetes s podporou arc	Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.
Agent Azure Policy pro Kubernetes	Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.
Agent Azure Policy pro Kubernetes s podporou Arc	Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.

Provedením následujících kroků proveďte nasazení senzoru Defenderu na konkrétní clustery:

1. Na stránce s doporučeními v programu Microsoft Defender for Cloud otevřete ovládací prvek Povolit rozšířené zabezpečení nebo vyhledejte přímo jedno z výše uvedených doporučení (nebo použijte výše uvedené odkazy k přímému otevření doporučení).

2. Zobrazte všechny clustery bez senzoru na kartě Není v pořádku.

3. Vyberte clustery, na které chcete nasadit požadovaný senzor, a vyberte Opravit.

4. Vyberte Opravit prostředky X.

Nasazení senzoru Defenderu – všechny možnosti

Plán Defender for Containers můžete povolit a nasadit všechny relevantní komponenty z webu Azure Portal, rozhraní REST API nebo pomocí šablony Resource Manageru. Podrobný postup zobrazíte tak, že vyberete příslušnou kartu.

Po nasazení senzoru Defenderu se automaticky přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit místo výchozího pracovního prostoru prostřednictvím služby Azure Policy.

Poznámka:

Senzor Defenderu se nasadí do každého uzlu, aby poskytoval ochranu za běhu a shromažďuje signály z těchto uzlů pomocí technologie eBPF.

Azure Portal

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Zjednodušený, bezproblémový proces umožňuje používat stránky webu Azure Portal k povolení plánu Defenderu pro cloud a nastavení automatického zřizování všech nezbytných komponent pro ochranu clusterů Kubernetes ve velkém měřítku.

Doporučení vyhrazeného defenderu pro cloud poskytuje:

• Viditelnost toho, který z vašich clusterů má nasazený senzor Defenderu
• Tlačítko Opravit a nasadit ho do těchto clusterů bez senzoru

1. Na stránce s doporučeními v programu Microsoft Defender for Cloud otevřete ovládací prvek Povolit rozšířené zabezpečení zabezpečení .

2. Pomocí filtru vyhledejte doporučení pojmenované clustery Azure Kubernetes Service, které by měly mít povolený profil Defenderu.

   Tip

   Všimněte si ikony Opravit ve sloupci Akce.

3. Výběrem clusterů zobrazíte podrobnosti o prostředcích, které jsou v pořádku a nejsou v pořádku – clustery se senzorem a bez tohoto senzoru.

4. V seznamu prostředků, které nejsou v pořádku, vyberte cluster a výběrem možnosti Opravit otevřete podokno s potvrzením nápravy.

5. Vyberte Opravit prostředky X.

REST API

Použití rozhraní REST API k nasazení senzoru Defenderu

Pokud chcete nainstalovat soubor SecurityProfile do existujícího clusteru s rozhraním REST API, spusťte následující příkaz PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Identifikátor URI požadavku: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parametry dotazu požadavku:

Název	Popis	Povinné
SubscriptionId	ID předplatného clusteru	Ano
ResourceGroup	Skupina prostředků clusteru	Ano
Název clusteru	Název clusteru	Ano
ApiVersion	Verze rozhraní API musí být >= 2022-06-01	Ano

Text požadavku:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parametry textu požadavku:

Název	Popis	Povinné
location	Umístění clusteru	Ano
properties.securityProfile.defender.securityMonitoring.enabled	Určuje, jestli se má v clusteru povolit nebo zakázat Microsoft Defender for Containers.	Ano
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID prostředku Azure pracovního prostoru služby Log Analytics	Ano

Azure CLI

Použití Azure CLI k nasazení senzoru Defenderu

1. Přihlaste se do Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Důležité

   Ujistěte se, že používáte stejné ID předplatného jako ID <your-subscription-id> předplatného přidruženého k vašemu clusteru AKS.

2. Povolte senzor Defenderu ve vašich kontejnerech:

   • Spuštěním následujícího příkazu vytvořte nový cluster s povoleným senzorem Defenderu:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Spuštěním následujícího příkazu povolte senzor Defenderu v existujícím clusteru:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Níže je uveden popis všech podporovaných nastavení konfigurace pro typ senzoru Defenderu:

   Vlastnost

   Popis

   logAnalyticsWorkspaceResourceId

   Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics Pokud není zadaný, použije se výchozí pracovní prostor oblasti. Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Přehledy/workspaces/{your-workspace-name}. Další informace o pracovních prostorech Služby Log Analytics

   Tato nastavení můžete zahrnout do souboru JSON a v příkazech zadat soubor az aks createaz aks update JSON pomocí tohoto parametru: --defender-config <path-to-JSON-file>. Formát souboru JSON musí být následující:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Další informace o příkazech AKS CLI najdete v az aks.

3. Pokud chcete ověřit, že se senzor úspěšně přidal, spusťte na počítači následující příkaz se souborem kubeconfig , který ukazuje na váš cluster:

   kubectl get pods -n kube-system
   

   Po přidání senzoru by se měl zobrazit pod volaný microsoft-defender-XXXXX ve Running stavu. Přidání podů může trvat několik minut.

Resource Manager

Použití Azure Resource Manageru k nasazení senzoru Defenderu

Pokud chcete použít Azure Resource Manager k nasazení senzoru Defenderu, budete ve svém předplatném potřebovat pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Tip

Pokud s šablonami Resource Manageru začínáte, začněte tady: Co jsou šablony Azure Resource Manageru?

Instalace souboru SecurityProfile v existujícím clusteru pomocí Resource Manageru:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Povolení plánu

Povolení plánu:

1. V nabídce Defenderu pro cloud otevřete stránku Nastavení a vyberte příslušné předplatné.

2. Na stránce Plány Defenderu vyberte Defender for Containers a vyberte Nastavení.

   Tip

   Pokud už předplatné obsahuje Defender pro Kubernetes nebo Defender pro registry kontejnerů povolené, zobrazí se oznámení o aktualizaci. V opačném případě bude jedinou možností Defender for Containers.

   

3. Zapněte příslušnou komponentu a povolte ji.

   

   Poznámka:

   Když vypnete Defender for Containers, komponenty se nastaví na vypnuto a nenasadí se do žádného dalšího kontejneru, ale neodeberou se z kontejnerů, na které jsou už nainstalované.

Při povolování plánu prostřednictvím webu Azure Portal je ve výchozím nastavení nakonfigurovaný program Microsoft Defender for Containers tak, aby automaticky nainstaloval požadované součásti pro zajištění ochrany, které plán nabízí, včetně přiřazení výchozího pracovního prostoru.

Pokud chcete během procesu onboardingu zakázat automatickou instalaci komponent, vyberte Upravit konfiguraci pro plán Kontejnery . Zobrazí se rozšířené možnosti a můžete zakázat automatickou instalaci pro každou komponentu.

Kromě toho můžete tuto konfiguraci upravit ze stránky plánů Defenderu.

Poznámka:

Pokud se rozhodnete plán kdykoli zakázat po povolení prostřednictvím portálu, jak je znázorněno výše, budete muset ručně odebrat komponenty Defenderu for Containers nasazené ve vašich clusterech.

Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud automatickou instalaci jakékoli komponenty zakážete, můžete ji snadno nasadit do jednoho nebo více clusterů pomocí příslušného doporučení:

• Doplněk zásad pro Kubernetes – Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.
• Profil služby Azure Kubernetes Service – Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.
• Rozšíření Kubernetes s podporou Azure Arc – clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.
• Rozšíření Kubernetes Policy s podporou Azure Arc – Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.

Přečtěte si další informace o rolích používaných ke zřízení rozšíření Defender for Containers.

Požadavky

Před nasazením senzoru se ujistěte, že:

• Připojení clusteru Kubernetes do Azure Arc
• Dokončete požadavky uvedené v dokumentaci k obecným rozšířením clusteru.

Nasazení senzoru Defenderu

Senzor Defenderu můžete nasadit pomocí řady metod. Podrobný postup zobrazíte tak, že vyberete příslušnou kartu.

Azure Portal

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Doporučení vyhrazeného defenderu pro cloud poskytuje:

• Viditelnost toho, který z vašich clusterů má nasazený senzor Defenderu
• Tlačítko Opravit a nasadit ho do těchto clusterů bez senzoru

1. Na stránce s doporučeními v programu Microsoft Defender for Cloud otevřete ovládací prvek Povolit rozšířené zabezpečení zabezpečení .

2. Pomocí filtru vyhledejte doporučení s názvem clustery Kubernetes s podporou Azure Arc, které by měly mít nainstalované rozšíření Defender for Cloud.

   

   Tip

   Všimněte si ikony Opravit ve sloupci Akce.

3. Výběrem senzoru zobrazíte podrobnosti o prostředcích, které jsou v pořádku a nejsou v pořádku – clustery se senzorem a bez tohoto senzoru.

4. V seznamu prostředků, které nejsou v pořádku, vyberte cluster a výběrem možnosti Opravit otevřete podokno s možnostmi nápravy.

5. Vyberte příslušný pracovní prostor služby Log Analytics a vyberte Opravit prostředek x.

   

Azure CLI

Použití Azure CLI k nasazení senzoru Defenderu

1. Přihlaste se do Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Důležité

   Ujistěte se, že používáte stejné ID předplatného jako ID <your-subscription-id> , které jste použili při připojování clusteru ke službě Azure Arc.

2. Spuštěním následujícího příkazu nasaďte senzor nad cluster Kubernetes s podporou Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Níže je uveden popis všech podporovaných nastavení konfigurace pro typ senzoru Defenderu:

   Vlastnost	Popis
   logAnalyticsWorkspaceResourceID	Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics Pokud není zadaný, použije se výchozí pracovní prostor oblasti. Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Přehledy/workspaces/{your-workspace-name}. Další informace o pracovních prostorech Služby Log Analytics
   auditLogPath	Volitelné. Úplná cesta k souborům protokolu auditu. Pokud není k dispozici, použije se výchozí cesta /var/log/kube-apiserver/audit.log . Pro modul AKS je standardní cesta /var/log/kubeaudit/audit.log

   Následující příkaz ukazuje příklad použití všech volitelných polí:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Použití Azure Resource Manageru k nasazení senzoru Defenderu

Pokud chcete použít Azure Resource Manager k nasazení senzoru Defenderu, budete ve svém předplatném potřebovat pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Šablonu azure-defender-extension-arm-template.json Resource Manageru můžete použít z příkladů instalace Defenderu pro cloud.

Tip

Pokud s šablonami Resource Manageru začínáte, začněte tady: Co jsou šablony Azure Resource Manageru?

REST API

Použití rozhraní REST API k nasazení senzoru Defenderu

Pokud chcete k nasazení senzoru Defenderu použít rozhraní REST API, budete ve svém předplatném potřebovat pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Tip

Nejjednodušší způsob, jak použít rozhraní API k nasazení senzoru Defenderu, je s dodanou ukázkou JSON kolekce Postman z příkladů instalace Defenderu pro cloud.

• Pokud chcete upravit JSON kolekce Postman nebo ručně nasadit senzor pomocí rozhraní REST API, spusťte následující příkaz PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Kde:

  Název	V	Požaduje se	Type	Popis
  Subscription ID	Cesta	True	String	ID předplatného prostředku Kubernetes s podporou Služby Azure Arc
  Skupina prostředků	Cesta	True	String	Název skupiny prostředků obsahující prostředek Kubernetes s podporou Služby Azure Arc
  Název clusteru	Cesta	True	String	Název prostředku Kubernetes s podporou Služby Azure Arc

  Pro ověřování musí mít hlavička nosný token (stejně jako u jiných rozhraní API Azure). Pokud chcete získat nosný token, spusťte následující příkaz:

  az account get-access-token --subscription <your-subscription-id> Pro text zprávy použijte následující strukturu:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Popis vlastností je uveden níže:

  Vlastnost	Popis
  logAnalytics.workspaceId	ID pracovního prostoru prostředku Log Analytics
  logAnalytics.key	Klíč prostředku Log Analytics
  auditLogPath	Volitelné. Úplná cesta k souborům protokolu auditu. Výchozí hodnota je /var/log/kube-apiserver/audit.log

Ověření nasazení

Pokud chcete ověřit, že je v clusteru nainstalovaný senzor Defenderu, postupujte podle kroků na jedné z karet níže:

Azure Portal – Defender for Cloud

Ověření stavu senzoru pomocí doporučení Defenderu pro cloud

1. Na stránce s doporučeními v programu Microsoft Defender for Cloud otevřete ovládací prvek Povolit Microsoft Defender for Cloud Security.

2. Vyberte doporučení s názvem Clustery Kubernetes s podporou Služby Azure Arc, které by měly mít nainstalované rozšíření Microsoft Defender for Cloud.

   

3. Zkontrolujte, jestli je cluster, na kterém jste nasadili senzor, uvedený jako V pořádku.

Azure Portal – Azure Arc

Ověření stavu senzoru pomocí stránek Azure Arc

1. Na webu Azure Portal otevřete Azure Arc.

2. V seznamu infrastruktury vyberte clustery Kubernetes a pak vyberte konkrétní cluster.

3. Otevřete stránku rozšíření. Zobrazí se rozšíření v clusteru. Pokud chcete ověřit, jestli byl senzor Defenderu správně nainstalovaný, zkontrolujte sloupec Stav instalace.

   

4. Další podrobnosti získáte výběrem rozšíření.

   

Azure CLI

Ověření nasazení senzoru pomocí Azure CLI

1. V Azure CLI spusťte následující příkaz:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. V odpovědi vyhledejte "extensionType": "microsoft.azuredefender.kubernetes" a "installState": "Installed".

   Poznámka:

   Během prvních několika minut se může zobrazit "installState": "Pending" (Čeká na vyřízení).

3. Pokud se zobrazí stav Nainstalovaný, spusťte na počítači následující příkaz se souborem kubeconfig odkazovaným na váš cluster a zkontrolujte, jestli jsou všechny pody v oboru názvů mdc ve stavu Spuštěno:

   kubectl get pods -n mdc
   

REST API

Pomocí rozhraní REST API ověřte, že je senzor nasazený.

Pokud chcete potvrdit úspěšné nasazení nebo kdykoli ověřit stav senzoru:

1. Spusťte následující příkaz GET:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. V odpovědi vyhledejte "extensionType": "microsoft.azuredefender.kubernetes" pro "installState": "Installed".

   Tip

   Během prvních několika minut se může zobrazit "installState": "Pending" (Čeká na vyřízení).

3. Pokud se zobrazí stav Nainstalovaný, spusťte na počítači následující příkaz se souborem kubeconfig odkazovaným na váš cluster a zkontrolujte, jestli jsou všechny pody v oboru názvů mdc ve stavu Spuštěno:

   kubectl get pods -n mdc
   

Povolení plánu

Důležité

• Pokud jste ještě nepřipojili účet AWS, připojte účty AWS ke službě Microsoft Defender for Cloud.
• Pokud jste plán na konektoru už povolili a chcete změnit volitelné konfigurace nebo povolit nové funkce, přejděte přímo ke kroku 4.

Pokud chcete chránit clustery EKS, povolte plán Kontejnerů na příslušném konektoru účtu:

1. V nabídce Defenderu pro cloud otevřete nastavení prostředí.

2. Vyberte konektor AWS.

   

3. Ověřte, že je přepínač pro plán Kontejnery nastavený na Zapnuto.

   

4. Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.

   

   • Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, přepněte nastavení na Zapnuto. Pokud chcete změnit dobu uchovávání protokolů auditu, zadejte požadovaný časový rámec.

     Poznámka:

     Pokud tuto konfiguraci zakážete, Threat detection (control plane) funkce bude zakázaná. Přečtěte si další informace o dostupnosti funkcí.

   • Zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete povolit zjišťování bez agentů pro funkci Kubernetes , přepněte nastavení na Zapnuto.

   • Posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v ECR a spouštění imagí v clusterech EKS. Pokud chcete povolit funkci Posouzení ohrožení zabezpečení kontejneru bez agentů, přepněte nastavení na Zapnuto.

5. Pokračujte zbývajícími stránkami průvodce konektorem.

6. Pokud povolíte funkci Zjišťování bez agentů pro Kubernetes , musíte udělit oprávnění řídicí roviny v clusteru. Můžete to udělat jedním z následujících způsobů:

   • Spuštěním tohoto skriptu Pythonu udělte oprávnění. Skript přidá roli Defender for Cloud MDCContainersAgentlessDiscoveryK8sRole do aws-auth ConfigMap clusterů EKS, které chcete připojit.

   • Udělte každému clusteru Amazon EKS roli MDCContainersAgentlessDiscoveryK8sRole schopností s clusterem pracovat. Přihlaste se ke všem existujícím a nově vytvořeným clusterům pomocí nástroje eksctl a spusťte následující skript:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Další informace najdete v tématu Povolení přístupu instančního objektu IAM k vašemu clusteru.

7. Na clusterech EKS by se měl nainstalovat a spustit Kubernetes s podporou Azure Arc, senzor Defenderu a Azure Policy pro Kubernetes. Pro instalaci těchto rozšíření (a v případě potřeby azure Arc) je k dispozici vyhrazený defender pro cloud:

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Pro každou z doporučení nainstalujte požadovaná rozšíření podle následujících kroků.

   Instalace požadovaných rozšíření:

   1. Na stránce Doporučení pro Defender for Cloud vyhledejte jedno z doporučení podle názvu.

   2. Vyberte cluster, který není v pořádku.

      Důležité

      Clustery musíte vybrat po jednom.

      Nevybírejte clustery podle jejich názvů hypertextových odkazů: vyberte kdekoli jinde na příslušném řádku.

   3. Vyberte Opravit.

   4. Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru: vyberte Bash (pro Linux) nebo PowerShell (pro Windows).

   5. Vyberte Možnost Stáhnout logiku nápravy.

   6. Spusťte vygenerovaný skript v clusteru.

   7. Opakujte kroky "a" až "f" pro druhé doporučení.

   

Zobrazení doporučení a upozornění pro clustery EKS

Tip

Výstrahy kontejnerů můžete simulovat podle pokynů v tomto blogovém příspěvku.

Pokud chcete zobrazit výstrahy a doporučení pro vaše clustery EKS, použijte filtry na stránkách výstrah, doporučení a inventáře k filtrování podle typu prostředku clusteru AWS EKS.

Nasazení senzoru Defenderu

Pokud chcete nasadit senzor Defenderu do clusterů AWS, postupujte takto:

1. Přejděte do programu Microsoft Defender for Cloud ->Environment settings ->Add environment ->Amazon Web Services.

   

2. Vyplňte podrobnosti o účtu.

   

3. Přejděte na Výběr plánů, otevřete plán Kontejnery a ujistěte se, že je zapnutý senzor automatického zřizování Defenderu pro Azure Arc .

   

4. Přejděte na Konfigurovat přístup a postupujte podle pokynů v něm.

   

5. Po úspěšném nasazení šablony vytváření cloudu vyberte Vytvořit.

Poznámka:

Z automatického zřizování můžete vyloučit konkrétní cluster AWS. Pro nasazení snímačů ms_defender_container_exclude_agents použijte značku u prostředku s hodnotou true. Pro nasazení bez agentů použijte ms_defender_container_exclude_agentless značku u prostředku s hodnotou true.

Povolení plánu

Důležité

Pokud jste projekt GCP ještě nepřipojili, připojte své projekty GCP k Programu Microsoft Defender for Cloud.

Pokud chcete chránit clustery GKE, budete muset povolit plán Kontejnerů v příslušném projektu GCP.

Poznámka:

Ověřte, že nemáte žádné zásady Azure, které brání instalaci Arc.

Ochrana clusterů Google Kubernetes Engine (GKE):

1. Přihlaste se k portálu Azure.

2. Přejděte do nastavení cloudového>prostředí v programu Microsoft Defender.

3. Výběr příslušného konektoru GCP

   

4. Vyberte tlačítko Další: Vyberte plány>.

5. Ujistěte se, že je plán Kontejnery přepnul na Zapnuto.

   

6. Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.

   

   • Protokoly auditu Kubernetes do Defenderu pro cloud: Ve výchozím nastavení je povoleno. Tato konfigurace je dostupná pouze na úrovni projektu GCP. Poskytuje kolekci dat protokolu auditu bez agentů prostřednictvím protokolování cloudu GCP do back-endu Microsoft Defenderu for Cloud pro účely další analýzy. Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, přepněte nastavení na Zapnuto.

     Poznámka:

     Pokud tuto konfiguraci zakážete, Threat detection (control plane) funkce bude zakázaná. Přečtěte si další informace o dostupnosti funkcí.

   • Senzor automatického zřizování Defenderu pro rozšíření Azure Arc a Automatické zřizování azure Policy pro Azure Arc: Ve výchozím nastavení je povoleno. Kubernetes s podporou Azure Arc a jeho rozšíření můžete do clusterů GKE nainstalovat třemi způsoby:

     • Povolení automatického zřizování Defenderu pro kontejnery na úrovni projektu, jak je vysvětleno v pokynech v této části. Tuto metodu doporučujeme.
     • Pro instalaci jednotlivých clusterů použijte Defender pro cloudová doporučení. Zobrazí se na stránce doporučení Microsoft Defenderu pro cloud. Zjistěte, jak nasadit řešení do konkrétních clusterů.
     • Ručně nainstalujte Kubernetes a rozšíření s podporou Arc.

   • Zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete povolit zjišťování bez agentů pro funkci Kubernetes , přepněte nastavení na Zapnuto.

   • Posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v registrech Google (GAR a GCR) a spouštění imagí v clusterech GKE. Pokud chcete povolit funkci Posouzení ohrožení zabezpečení kontejneru bez agentů, přepněte nastavení na Zapnuto.

7. Vyberte tlačítko Kopírovat.

   

8. Vyberte tlačítko GCP Cloud Shell>.

9. Vložte skript do terminálu Cloud Shell a spusťte ho.

Konektor se po spuštění skriptu aktualizuje. Dokončení tohoto procesu může trvat až 6 až 8 hodin.

Nasazení řešení do konkrétních clusterů

Pokud jste zakázali některou z výchozích konfigurací automatického zřizování na vypnuto, během procesu onboardingu konektoru GCP nebo potom. Abyste získali plnou hodnotu zabezpečení z Defenderu for Containers, budete muset ručně nainstalovat Kubernetes s podporou Služby Arc, senzoru Defenderu a Azure Policy for Kubernetes do každého clusteru GKE.

Existují 2 vyhrazená doporučení defenderu pro cloud, která můžete použít k instalaci rozšíření (a v případě potřeby Arc):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Poznámka:

Při instalaci rozšíření Arc musíte ověřit, že zadaný projekt GCP je stejný jako projekt v příslušném konektoru.

Nasazení řešení do konkrétních clusterů:

1. Přihlaste se k portálu Azure.

2. Přejděte do Microsoft Defenderu pro cloudová>doporučení.

3. Na stránce Doporučení pro Defender for Cloud vyhledejte jedno z doporučení podle názvu.

   

4. Vyberte cluster GKE, který není v pořádku.

   Důležité

   Clustery musíte vybrat po jednom.

   Nevybírejte clustery podle jejich názvů hypertextových odkazů: vyberte kdekoli jinde na příslušném řádku.

5. Vyberte název prostředku, který není v pořádku.

6. Vyberte Opravit.

   

7. Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru:

   • V případě Linuxu vyberte Bash.
   • Pro Windows vyberte PowerShell.

8. Vyberte Možnost Stáhnout logiku nápravy.

9. Spusťte vygenerovaný skript v clusteru.

10. Opakujte kroky 3 až 8 pro druhé doporučení.

Zobrazení upozornění clusteru GKE

1. Přihlaste se k portálu Azure.

2. Přejděte do programu Microsoft Defender pro výstrahy zabezpečení cloudu>.

3. Vyberte tlačítko .

4. V rozevírací nabídce Filtr vyberte Typ prostředku.

5. V rozevírací nabídce Hodnota vyberte cluster GCP GKE.

6. Vyberte OK.

Nasazení senzoru Defenderu

Pokud chcete nasadit senzor Defenderu do clusterů GCP, postupujte takto:

1. Přejděte do programu Microsoft Defender for Cloud ->Environment settings ->Add environment ->Google Cloud Platform.

   

2. Vyplňte podrobnosti o účtu.

   

3. Přejděte na Výběr plánů, otevřete plán Kontejnery a ujistěte se, že je zapnutý senzor automatického zřizování Defenderu pro Azure Arc .

   

4. Přejděte na Konfigurovat přístup a postupujte podle pokynů v něm.

   

5. Po úspěšném spuštění skriptu gcloudu vyberte Vytvořit.

Poznámka:

Z automatického zřizování můžete vyloučit konkrétní cluster GCP. Pro nasazení senzoru ms_defender_container_exclude_agents použijte popisek u prostředku s hodnotou true. Pro nasazení bez agentů použijte ms_defender_container_exclude_agentless popisek u prostředku s hodnotou true.

Simulace výstrah zabezpečení z Microsoft Defenderu pro kontejnery

Úplný seznam podporovaných výstrah je k dispozici v referenční tabulce všech výstrah zabezpečení Defenderu pro cloud.

1. Pokud chcete simulovat výstrahu zabezpečení, spusťte z clusteru následující příkaz:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Očekávaná odpověď je No resource found.

   Během 30 minut program Defender for Cloud tuto aktivitu detekuje a aktivuje výstrahu zabezpečení.

   Poznámka:

   Pokud chcete simulovat upozornění bez agentů pro Defender for Containers, azure Arc není předpokladem.

2. Na webu Azure Portal otevřete stránku výstrah zabezpečení v programu Microsoft Defender for Cloud a vyhledejte upozornění na příslušném prostředku:

   

Odebrání senzoru Defenderu

Pokud chcete toto rozšíření Defender for Cloud odebrat, nestačí vypnout automatické zřizování:

• Povolení automatického zřizování, potenciálně ovlivňuje stávající a budoucí počítače.
• Zakázání automatického zřizování pro rozšíření má vliv jenom na budoucí počítače – zakázáním automatického zřizování se nic neodinstaluje.

Poznámka:

Pokud chcete plán Defender for Containers úplně vypnout, přejděte do nastavení prostředí a zakažte plán Microsoft Defenderu for Containers .

Pokud ale chcete zajistit, aby se komponenty Defenderu for Containers od této chvíle automaticky nezřídily pro vaše prostředky, zakažte automatické zřizování rozšíření, jak je vysvětleno v tématu Konfigurace automatického zřizování pro agenty a rozšíření z Microsoft Defenderu pro cloud.

Rozšíření můžete odebrat pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API, jak je vysvětleno na kartách níže.

Azure Portal – Arc

Odebrání rozšíření pomocí webu Azure Portal

1. Na webu Azure Portal otevřete Azure Arc.

2. V seznamu infrastruktury vyberte clustery Kubernetes a pak vyberte konkrétní cluster.

3. Otevřete stránku rozšíření. Zobrazí se rozšíření v clusteru.

4. Vyberte cluster a vyberte Odinstalovat.

   

Azure CLI

Odebrání senzoru Defenderu pomocí Azure CLI

1. Odeberte rozšíření Microsoft Defender for Kubernetes Arc pomocí následujících příkazů:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Odebrání rozšíření může trvat několik minut. Doporučujeme počkat, než se pokusíte ověřit, jestli byl úspěšný.

2. Pokud chcete ověřit, že se rozšíření úspěšně odebralo, spusťte následující příkazy:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Potom ověřte, že v clusteru nejsou pody podů, a to spuštěním následujícího příkazu se souborem kubeconfig , na který odkazuje váš cluster:

   kubectl get pods -n mdc
   

   Odstranění podů může trvat několik minut.

REST API

Odebrání senzoru Defenderu pomocí rozhraní REST API

Pokud chcete rozšíření odebrat pomocí rozhraní REST API, spusťte následující příkaz DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Název	V	Požaduje se	Type	Popis
Subscription ID	Cesta	True	String	ID předplatného clusteru Kubernetes s podporou Služby Azure Arc
Skupina prostředků	Cesta	True	String	Skupina prostředků clusteru Kubernetes s podporou Azure Arc
Název clusteru	Cesta	True	String	Název clusteru Kubernetes s podporou Služby Azure Arc

Pro ověřování musí mít hlavička nosný token (stejně jako u jiných rozhraní API Azure). Pokud chcete získat nosný token, spusťte následující příkaz:

az account get-access-token --subscription <your-subscription-id>

Dokončení požadavku může trvat několik minut.

Výchozí pracovní prostor služby Log Analytics pro AKS

Pracovní prostor Služby Log Analytics používá senzor Defenderu jako datový kanál k odesílání dat z clusteru do služby Defender for Cloud bez zachování jakýchkoli dat v samotném pracovním prostoru služby Log Analytics. V důsledku toho se uživatelům v tomto případě použití nebudou účtovat poplatky.

Senzor Defenderu používá výchozí pracovní prostor služby Log Analytics. Pokud ještě nemáte výchozí pracovní prostor služby Log Analytics, Defender for Cloud vytvoří při instalaci senzoru Defenderu novou skupinu prostředků a výchozí pracovní prostor. Výchozí pracovní prostor se vytvoří na základě vaší oblasti.

Zásady vytváření názvů výchozího pracovního prostoru a skupiny prostředků služby Log Analytics jsou následující:

• Pracovní prostor: DefaultWorkspace-[subscription-ID]-[geo]
• Skupina prostředků: DefaultResourceGroup-[geo]

Přiřazení vlastního pracovního prostoru

Když povolíte možnost automatického zřizování, automaticky se přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud chcete zkontrolovat, jestli máte přiřazený pracovní prostor:

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte Zásady.

   

3. Vyberte definice.

4. Vyhledejte ID 64def556-fbad-4622-930e-72d1d5589bf5zásad .

   

5. Výběrem možnosti Konfigurovat clustery Azure Kubernetes Service povolte profil Defenderu.

6. Vyberte Zadání.

   

7. Pokud ještě není zásada přiřazená k příslušnému oboru, postupujte podle pokynů k vytvoření nového přiřazení s vlastním postupem pracovního prostoru. Pokud už je zásada přiřazená a chcete ji změnit tak, aby používala vlastní pracovní prostor, postupujte podle přiřazení aktualizace s vlastními kroky pracovního prostoru .

Vytvoření nového přiřazení s vlastním pracovním prostorem

Pokud zásady nebyly přiřazeny, uvidíte Assignments (0).

Přiřazení vlastního pracovního prostoru:

1. Vyberte Přiřadit.

2. Na kartě Parametry zrušte výběr možnosti Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat.

3. V rozevírací nabídce vyberte ID LogAnalyticsWorkspaceResource.

   

4. Vyberte Zkontrolovat a vytvořit.

5. Vyberte Vytvořit.

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Pokud už jsou zásady přiřazené k pracovnímu prostoru, uvidíte Assignments (1).

Poznámka:

Pokud máte více než jedno předplatné, může být číslo vyšší.

Přiřazení vlastního pracovního prostoru:

1. Vyberte příslušné zadání.

   

2. Vyberte Upravit zadání.

3. Na kartě Parametry zrušte výběr možnosti Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat.

4. V rozevírací nabídce vyberte ID LogAnalyticsWorkspaceResource.

   

5. Vyberte Zkontrolovat a uložit.

6. Zvolte Uložit.

Výchozí pracovní prostor služby Log Analytics pro Arc

Pracovní prostor Služby Log Analytics používá senzor Defenderu jako datový kanál k odesílání dat z clusteru do služby Defender for Cloud bez zachování jakýchkoli dat v samotném pracovním prostoru služby Log Analytics. V důsledku toho se uživatelům v tomto případě použití nebudou účtovat poplatky.

Senzor Defenderu používá výchozí pracovní prostor služby Log Analytics. Pokud ještě nemáte výchozí pracovní prostor služby Log Analytics, Defender for Cloud vytvoří při instalaci senzoru Defenderu novou skupinu prostředků a výchozí pracovní prostor. Výchozí pracovní prostor se vytvoří na základě vaší oblasti.

Zásady vytváření názvů výchozího pracovního prostoru a skupiny prostředků služby Log Analytics jsou následující:

• Pracovní prostor: DefaultWorkspace-[subscription-ID]-[geo]
• Skupina prostředků: DefaultResourceGroup-[geo]

Přiřazení vlastního pracovního prostoru

Když povolíte možnost automatického zřizování, automaticky se přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud chcete zkontrolovat, jestli máte přiřazený pracovní prostor:

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte Zásady.

   

3. Vyberte definice.

4. Vyhledejte ID 708b60a6-d253-4fe0-9114-4be4c00f012czásad .

   

5. Výběrem možnosti Konfigurovat clustery Kubernetes s podporou Azure Arc nainstalujte rozšíření Microsoft Defender for Cloud.

6. Vyberte zadání.

   

7. Pokud ještě není zásada přiřazená k příslušnému oboru, postupujte podle pokynů k vytvoření nového přiřazení s vlastním postupem pracovního prostoru. Pokud už je zásada přiřazená a chcete ji změnit tak, aby používala vlastní pracovní prostor, postupujte podle přiřazení aktualizace s vlastními kroky pracovního prostoru .

Vytvoření nového přiřazení s vlastním pracovním prostorem

Pokud zásady nebyly přiřazeny, uvidíte Assignments (0).

Přiřazení vlastního pracovního prostoru:

1. Vyberte Přiřadit.

2. Na kartě Parametry zrušte výběr možnosti Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat.

3. V rozevírací nabídce vyberte ID LogAnalyticsWorkspaceResource.

   

4. Vyberte Zkontrolovat a vytvořit.

5. Vyberte Vytvořit.

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Pokud už jsou zásady přiřazené k pracovnímu prostoru, uvidíte Assignments (1).

Poznámka:

Pokud máte více než jedno předplatné, může být číslo vyšší. Pokud máte číslo 1 nebo vyšší, přiřazení nemusí být stále v příslušném oboru. V takovém případě budete chtít postupovat podle pokynů k vytvoření nového přiřazení pomocí vlastních kroků pracovního prostoru .

Přiřazení vlastního pracovního prostoru:

1. Vyberte příslušné zadání.

   

2. Vyberte Upravit zadání.

3. Na kartě Parametry zrušte výběr možnosti Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat.

4. V rozevírací nabídce vyberte ID LogAnalyticsWorkspaceResource.

   

5. Vyberte Zkontrolovat a uložit.

6. Zvolte Uložit.

Odebrání senzoru Defenderu

Pokud chcete toto rozšíření Defender for Cloud odebrat, nestačí vypnout automatické zřizování:

• Povolení automatického zřizování, potenciálně ovlivňuje stávající a budoucí počítače.
• Zakázání automatického zřizování pro rozšíření má vliv jenom na budoucí počítače – zakázáním automatického zřizování se nic neodinstaluje.

Poznámka:

Pokud chcete plán Defender for Containers úplně vypnout, přejděte do nastavení prostředí a zakažte plán Microsoft Defenderu for Containers .

Pokud ale chcete zajistit, aby se komponenty Defenderu for Containers od této chvíle automaticky nezřídily pro vaše prostředky, zakažte automatické zřizování rozšíření, jak je vysvětleno v tématu Konfigurace automatického zřizování pro agenty a rozšíření z Microsoft Defenderu pro cloud.

Rozšíření můžete odebrat pomocí rozhraní REST API nebo šablony Resource Manageru, jak je vysvětleno na kartách níže.

REST API

Odebrání senzoru Defenderu z AKS pomocí rozhraní REST API

Pokud chcete rozšíření odebrat pomocí rozhraní REST API, spusťte následující příkaz PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Název	Popis	Povinné
SubscriptionId	ID předplatného clusteru	Ano
ResourceGroup	Skupina prostředků clusteru	Ano
Název clusteru	Název clusteru	Ano
ApiVersion	Verze rozhraní API musí být >= 2022-06-01	Ano

Text požadavku:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parametry textu požadavku:

Název	Popis	Povinné
location	Umístění clusteru	Ano
properties.securityProfile.defender.securityMonitoring.enabled	Určuje, jestli se má v clusteru povolit nebo zakázat Microsoft Defender for Containers.	Ano

Azure CLI

Odebrání senzoru Defenderu pomocí Azure CLI

1. Odeberte Program Microsoft Defender pro pomocí následujících příkazů:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Odebrání rozšíření může trvat několik minut.

2. Pokud chcete ověřit, že se rozšíření úspěšně odebralo, spusťte následující příkaz:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Po odebrání rozšíření by se v příkazu neměly vracet get pods žádné pody. Odstranění podů může trvat několik minut.

Resource Manager

Odebrání senzoru Defenderu z AKS pomocí Azure Resource Manageru

Pokud chcete použít Azure Resource Manager k odebrání senzoru Defenderu, budete ve svém předplatném potřebovat pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Tip

Pokud s šablonami Resource Manageru začínáte, začněte tady: Co jsou šablony Azure Resource Manageru?

Relevantní šablona a parametry pro odebrání senzoru Defenderu z AKS jsou:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Další informace

Můžete se podívat na následující blogy:

• Ochrana úloh Google Cloud pomocí Programu Microsoft Defender for Cloud
• Představujeme Microsoft Defender pro kontejnery
• Nový název pro vícecloudové zabezpečení: Microsoft Defender for Cloud

Další kroky

Teď, když jste povolili Defender for Containers, můžete:

• Kontrola ohrožení zabezpečení imagí ACR
• Kontrola ohrožení zabezpečení imagí AWS pomocí Microsoft Defender Správa zranitelností
• Kontrola ohrožení zabezpečení imagí GGP pomocí Microsoft Defender Správa zranitelností
• Podívejte se na běžné dotazy týkající se Defenderu for Containers.