Schützen Ihrer Amazon Web Service-Container (AWS) mit Defender for Containers

Microsoft Defender for Containers in Microsoft Defender for Cloud ist die cloudnative Lösung, die zum Schutz Ihrer Container verwendet wird, damit Sie die Sicherheit Ihrer Cluster, Container und Anwendungen verbessern, überwachen und verwalten können.

Weitere Informationen finden Sie unter Übersicht zu Microsoft Defender for Containers.

Weitere Informationen zu den Preisen von Defender for Containers finden Sie in der Preisübersicht.

Voraussetzungen

• Sie benötigen ein Microsoft Azure -Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.

• Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.

• Verbinden Ihres AWS-Kontos mit Microsoft Defender für Cloud

• Überprüfen Sie, ob Ihre Kubernetes-Knoten auf Quellrepositorys Ihres Paket-Managers zugreifen können. Informationen zu den Anforderungen finden Sie unter Netzwerkanforderungen.

• Stellen Sie sicher, dass die folgenden Anforderungen an Azure Arc-fähige Kubernetes-Netzwerke überprüft werden.

Aktivieren des Defender for Container-Plans in Ihrem AWS-Konto

Aktivieren Sie zum Schützen Ihrer EKS-Cluster den Containerplan für den relevanten AWS Konto-Connector.

So aktivieren Sie den Defender for Containers-Plan in Ihrem AWS-Konto:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Microsoft Defender für Cloud und wählen Sie es aus.

3. Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.

4. Wählen Sie das entsprechende AWS-Konto aus.

   

5. Stellen Sie den Umschalter für den Containerplan auf Ein ein.

   

6. Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.

   

   • Defender für Container erfordert Steuerungsebenenüberwachungsprotokolle, um Laufzeit-Bedrohungsschutz bereitzustellen. Wenn Sie Kubernetes-Überwachungsprotokolle an Microsoft Defender senden möchten, schalten Sie die Einstellung auf Ein um. Um den Aufbewahrungszeitraum für Ihre Überwachungsprotokolle zu ändern, geben Sie den erforderlichen Zeitrahmen ein.

     Hinweis

     Wenn Sie diese Konfiguration deaktivieren, wird das Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

   • Agentless Discovery für Kubernetes bietet API-basierte Ermittlung Ihrer Kubernetes-Cluster. Um die Agentenlose Discovery für Kubernetes-Funktion zu aktivieren, schalten Sie die Einstellung auf An um.

   • Die Sicherheitsrisikobewertung für agentenlose Container bietet Sicherheitsrisikoverwaltung für Images, die in ECR gespeichert sind und Images, die auf Ihren EKS-Clustern laufen. Um das Feature Sicherheitsrisikobewertung für agentenlose Container zu aktivieren, stellen Sie die Einstellung auf An.

7. Wählen Sie Weiter: Überprüfen und generieren aus.

8. Wählen Sie Aktualisieren aus.

Hinweis

Wenn Sie einzelne Defender for Containers-Funktionen aktivieren oder deaktivieren möchten, entweder global oder für bestimmte Ressourcen, finden Sie weitere Informationen unter Aktivieren von Microsoft Defender for Containers-Komponenten.

Bereitstellen des Defender-Sensors in EKS-Clustern

Kubernetes mit Azure Arc-Unterstützung, der Defender-Sensor und Azure Policy für Kubernetes müssen in Ihren EKS-Clustern installiert sein und ausgeführt werden. Es gibt eine dedizierte Defender for Cloud-Empfehlung, die zum Installieren dieser Erweiterungen (und bei Bedarf auch Azure Arc) verwendet werden kann:

• EKS clusters should have Microsoft Defender's extension for Azure Arc installed

So stellen Sie die erforderlichen Erweiterungen bereit:

1. Suchen Sie auf der Seite Empfehlungen von Defender für Cloud anhand des Namens nach einer der Empfehlungen.

2. Wählen Sie einen fehlerhaften Cluster aus.

   Wichtig

   Sie müssen die Cluster nacheinander auswählen.

   Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

3. Wählen Sie Korrigieren aus.

4. Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:

   • Wählen Sie für Linux Bash aus.
   • Wählen Sie für Windows PowerShell aus.

5. Wählen Sie Wartungslogik herunterladen aus.

6. Führen Sie das generierte Skript in Ihrem Cluster aus.

   

Nächste Schritte

• Erweiterte Aktivierungsfeatures für Defender for Containers finden Sie auf der Seite Aktivieren von Microsoft Defender for Containers.

• Übersicht zu Microsoft Defender for Containers