Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Když povolíte funkce Defenderu pro kontejnery, které používají automatické zřizování, nebo použijete doporučení k ručnímu nasazení funkcí kontejneru na konkrétní prostředky, komponenty a rozšíření Defenderu se nainstalují do vašeho prostředí. Abychom vám pomohli sledovat tyto komponenty, poskytujeme tabulky v následujících částech tohoto článku. Tyto tabulky zobrazují funkci Defender for Clouds a její nainstalované součásti, rozšíření a role Defenderu pro kontejnery.
Pokud se rozhodnete tyto funkce přestat používat, můžete tyto komponenty ze svého prostředí odebrat. Tento článek vám pomůže pochopit akce, které je možné provést k jejich odebrání.
Komponenty a role spadají do dvou kategorií typu odebrání:
- Bezpečné odebrání – Prostředky a nastavení výhradně používané defenderem pro kontejnery a pokud už přidruženou funkci nepoužíváte, můžete je bezpečně odebrat.
- Sdílená komponenta – Prostředky můžou v cílovém cloudovém prostředí používat jiné řešení než Defender pro cloud nebo jiná řešení Defender for Cloud. Pokud je sdílený prostředek zakázaný, můžou být ostatní řešení negativně ovlivněná. Před odebráním byste měli zkontrolovat, jestli jiná řešení v cloudovém prostředí prostředek potřebují, než ho odeberete.
Scénáře Azure pro prostředky vytvořené automaticky po povolení defenderu pro kontejnery v předplatném
| Nabídka | Prostředek | Ruční odpojování | Informace o odebrání |
|---|---|---|---|
| Ochrana před internetovými útoky za běhu úloh | Senzor Defenderu (na cluster uvnitř projektu) + Arc pro Kubernetes | Odebrání senzoru defenderu | Bezpečné odebrání |
| Posílení zabezpečení roviny dat Kubernetes | Azure Policy pro Kubernetes | Odstranění prostředků s podporou arc | Bezpečné odebrání |
Scénáře AWS
Prostředky vytvořené pomocí skriptu CloudFormation
| Nabídka | Prostředek | Ruční odpojování | Informace o odebrání |
|---|---|---|---|
| Posouzení ohrožení zabezpečení kontejneru bez agentů | MDCContainersImageAssessmentRole | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Sdílené mezi třemi nabídkami kontejnerů: Ochrana před hrozbami za běhu kontejneru Senzor automatického zřizování Defenderu pro Azure Arc Automatické zřizování rozšíření Azure Policy pro Azure Arc |
MDCContainersK8sRole | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | MDCContainersK8sDataCollectionRole | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | MDCContainersK8sCloudWatchToKinesisRole | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | MDCContainersK8sKinesisToS3RoleName | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Zjišťování bez agentů pro Kubernetes | MDCContainersAgentlessDiscoveryK8sRole | Odstraňování rolí nebo profilů instancí – Správa identit a přístupu AWS (amazon.com) | Bezpečné odebrání |
| Zprostředkovatel identity vyžadovaný pro všechny komponenty Defenderu pro cloud | ASCDefendersOIDCIdentityProvider | Odstraňte jenom v případě, že odeberete všechny komponenty Defenderu pro cloud. Načtěte seznam klientů zprostředkovatele pomocí rozhraní API IAM AWS. K odstranění poskytovatele použijte konzolu AWS IAM nebo rozhraní příkazového řádku. | Sdílená komponenta |
Prostředky vytvořené automaticky po vytvoření konektoru – AWS
| Nabídka | Prostředek | Ruční odpojování | Informace o odebrání |
|---|---|---|---|
| Ochrana před hrozbami za běhu kontejneru | S3 |
Odstranění kontejneru – Služba Amazon Simple Storage– Vytvoří se pro každý cluster. Konvence: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | SQS |
Odstranění fronty Amazon SQS – Služba Amazon Simple Queue Service Se vytvoří na cluster. Konvence: azuredefender-<Region Name>-<AWS Account Id>-<Cluster Name> |
Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | Kinesis Data firehose (Amazon Kinesis Data Streams) | Pro každý cluster odstraňte stream Amazon Kinesis Delivery. To se vytvoří na cluster. Konvence: arn:aws:firehose:< AWS Region>:< AWS Account Id>:deliverystream/azuredefender-< Cluster Name> |
Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh Posílení zabezpečení roviny dat Kubernetes |
Kubernetes s podporou Služby Azure Arc (připojení clusterů EKS k Azure) | Odebrání Kubernetes s podporou Azure Arc na cluster prostřednictvím Azure CLI nebo Azure PowerShellu – Spuštěním tohoto příkazu odstraníte všechny prostředky související s Arc včetně rozšíření. | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | Senzor defenderu | Odebrání senzoru Defenderu na cluster pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API | Bezpečné odebrání |
| Posílení zabezpečení roviny dat Kubernetes | Rozšíření Azure Policy | Odebrání rozšíření Defenderu na cluster pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API | Bezpečné odebrání |
Scénáře GCP
Prostředek vytvořený pomocí skriptu
| Nabídka | Prostředek | Ruční odpojování | Informace o odebrání |
|---|---|---|---|
| Ochrana před internetovými útoky za běhu úloh | rozhraní API logging.googleapis.com | Rozhraní API pro protokolování GCP může ve vašem projektu používat ne defender pro cloudové klienty. Pomocí rozhraní API pro protokolování GCP zjistěte, jestli se používá jinými klienty. Pomocí rozhraní API pro protokolování GCP ho zakažte. | Sdílená komponenta |
| Ochrana před internetovými útoky za běhu úloh | Konfigurace protokolů auditu přístupu k datům | Zakázání protokolů auditu přístupu k datům pro rozhraní API modulu Kubernetes | Sdílená komponenta |
| Ochrana před internetovými útoky za běhu úloh Posílení zabezpečení roviny dat Kubernetes |
ms-defender-containers (účet služby) | Odstranění účtů služeb IAM gcloudu | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | ms-defender-containers-stream (účet služby) | Odstranění účtů služeb IAM gcloudu | Bezpečné odebrání |
| Zjišťování bez agentů pro Kubernetes | mdc-containers-k8s-operator stream (účet služby) | Odstranění účtů služeb IAM gcloudu | Bezpečné odebrání |
| Posouzení ohrožení zabezpečení kontejneru bez agentů | mdc-containers-artifact-assess stream (účet služby) | Odstranění účtů služeb IAM gcloudu | Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | MicrosoftDefenderContainersDataCollectionRole | Odstranění rolí iam v gcloudu | Dokumentace k rozhraní příkazového řádku Google Cloud | Bezpečné odebrání |
| Ochrana před hrozbami za běhu kontejneru | MicrosoftDefenderContainersRole | Odstranění rolí iam v gcloudu | Dokumentace k rozhraní příkazového řádku Google Cloud | Bezpečné odebrání |
| Zjišťování bez agentů pro Kubernetes | MDCGkeClusterWriteRole | Odstranění rolí iam v gcloudu | Dokumentace k rozhraní příkazového řádku Google Cloud | Bezpečné odebrání |
| Sdílené mezi všemi pěti nabídkami kontejnerů | Kontejnery zprostředkovatele fondu identit úloh OIDC | Správa fondů a poskytovatelů identit úloh | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | Kontejnery streamy zprostředkovatele fondu identit úloh OIDC | Správa fondů a poskytovatelů identit úloh | Bezpečné odebrání |
Prostředky vytvořené automaticky po vytvoření konektoru – GCP
| Nabídka | Prostředek | Ruční odpojování | Informace o odebrání |
|---|---|---|---|
| Ochrana před internetovými útoky za běhu úloh | Pub/Sub Topic |
Odstranění článků pubsub gcloudu – každý cluster v projektu má téma s předponou: MicrosoftDefender- |
Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | Pub/sub Subscription |
Předplatná gcloud pubsub odstraňte každý cluster v projektu s předponou: MicrosoftDefender- |
Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | JÍMKA | Odstranění jímek protokolování gcloudu | Dokumentace k rozhraní příkazového řádku Google Cloud | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh | Senzor Defenderu (na cluster v projektu) + Arc pro Kubernetes | Odebrání senzoru defenderu | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh Posílení zabezpečení roviny dat Kubernetes |
Kubernetes s podporou Služby Azure Arc (připojení clusterů GKE k Azure) | Odeberte Kubernetes s podporou Azure Arc na cluster prostřednictvím Azure CLI nebo Azure PowerShellu. Spuštěním tohoto příkazu odstraníte všechny prostředky související s arc, včetně rozšíření. | Bezpečné odebrání |
| Ochrana před internetovými útoky za běhu úloh Posílení zabezpečení roviny dat Kubernetes |
Rozšíření Azure Policy | Odebrání rozšíření Defenderu na cluster pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API | Bezpečné odebrání |
Související obsah
- Zjistěte, jak povolit Defender for Containers.
- Zobrazení matice podpory kontejnerů v defenderu pro cloud