Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Defender for Containers in Microsoft Defender for Cloud ist die Cloud-native Lösung zur Sicherung Ihrer Container, damit Sie die Sicherheit Ihrer Cluster, Container und deren Anwendungen verbessern, überwachen und aufrechterhalten können.
Weitere Informationen finden Sie unter Übersicht über Microsoft Defender for Containers.
Weitere Informationen zu den Preisen von Defender for Containers finden Sie auf der Preisseite. Sie können die Kosten auch mit dem Kostenrechner defender for Cloud schätzen.
Voraussetzungen
Sie benötigen ein Microsoft Azure-Abonnement. Sollten Sie über kein Azure-Abonnement verfügen, können Sie sich für ein kostenloses Abonnement registrieren.
Sie müssen Microsoft Defender for Cloud in Ihrem Azure-Abonnement aktivieren.
Überprüfen Sie, ob Ihre Kubernetes-Knoten auf Quellrepositorys Ihres Paket-Managers zugreifen können. Informationen zu den Anforderungen finden Sie unter Netzwerkanforderungen.
Stellen Sie sicher, dass die folgenden Anforderungen an Azure Arc-fähige Kubernetes-Netzwerke überprüft werden.
Aktivieren des Defender for Container-Plans in Ihrem AWS-Konto
Aktivieren Sie zum Schützen Ihrer EKS-Cluster den Containerplan für den relevanten AWS Konto-Connector.
So aktivieren Sie den Defender for Containers-Plan in Ihrem AWS-Konto:
Melden Sie sich beim Azure-Portal an.
Suchen Sie nach Microsoft Defender for Cloud, und wählen Sie es aus.
Wählen Sie im Menü von Defender for Cloud die Option Umgebungseinstellungen aus.
Wählen Sie das entsprechende AWS-Konto aus.
Stellen Sie den Umschalter für den Containerplan auf Ein ein.
Um optionale Konfigurationen für den Plan zu ändern, wählen Sie Einstellungen aus.
Das Feature "Agentless Threat Protection" bietet Laufzeitschutz für Ihre Clustercontainer. Das Feature sendet Kubernetes-Überwachungsprotokolle an Microsoft Defender. Legen Sie den Schalter " Agentless Threat Protection " auf "Ein " fest, und legen Sie den Aufbewahrungszeitraum Ihrer Überwachungsprotokolle fest.
Hinweis
Wenn Sie diese Konfiguration deaktivieren, wird das
Threat detection (control plane)-Feature deaktiviert. Hier erfahren Sie mehr über die Verfügbarkeit von Features.Der K8S-API-Zugriff legt Berechtigungen fest, um die API-basierte Ermittlung Ihrer Kubernetes-Cluster zu ermöglichen. Legen Sie zum Aktivieren die Umschaltfläche für den K8S-API-Zugriff auf "Ein" fest.
Der Registrierungszugriff legt Berechtigungen fest, um die Sicherheitsrisikobewertung von in ECR gespeicherten Bildern zu ermöglichen. Um zu aktivieren, schalten Sie den Registrierungszugriff auf Ein.
Wählen Sie Weiter: Überprüfen und generieren aus.
Wählen Sie Update aus.
Hinweis
Wenn Sie einzelne Defender for Containers-Funktionen aktivieren oder deaktivieren möchten, entweder global oder für bestimmte Ressourcen, finden Sie weitere Informationen unter Aktivieren von Microsoft Defender for Containers-Komponenten.
Bereitstellen des Defender-Sensors in EKS-Clustern
Wichtig
Die Bereitstellung des Defender-Sensors mit Helm: Im Gegensatz zu anderen Optionen, die automatisch bereitgestellt und automatisch aktualisiert werden, können Sie den Defender-Sensor flexibel bereitstellen. Dieser Ansatz ist besonders hilfreich in DevOps- und Infrastruktur-as-Code-Szenarien. Mit Helm können Sie die Bereitstellung in CI/CD-Pipelines integrieren und alle Sensorupdates steuern. Sie können auch Vorschau- und GA-Versionen erhalten. Anweisungen zum Installieren des Defender-Sensors mit Helm finden Sie unter Install Defender for Containers sensor using Helm.
Kubernetes mit Azure Arc-Unterstützung, der Defender-Sensor und Azure Policy für Kubernetes müssen in Ihren EKS-Clustern installiert sein und ausgeführt werden. Es gibt eine dedizierte Defender for Cloud-Empfehlung, die zum Installieren dieser Erweiterungen (und bei Bedarf auch Azure Arc) verwendet werden kann:
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
So stellen Sie die erforderlichen Erweiterungen bereit:
Suchen Sie auf der Seite Empfehlungen von Defender forr Cloud anhand des Namens nach einer der Empfehlungen.
Wählen Sie einen fehlerhaften Cluster aus.
Wichtig
Sie müssen die Cluster nacheinander auswählen.
Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.
Wählen Sie Beheben aus.
Defender for Cloud generiert ein Skript in der Sprache Ihrer Wahl:
- Wählen Sie für Linux Bash aus.
- Wählen Sie für Windows PowerShell aus.
Wählen Sie Wartungslogik herunterladen aus.
Führen Sie das generierte Skript in Ihrem Cluster aus.
Nächste Schritte
Erweiterte Aktivierungsfunktionen für Defender for Containers finden Sie auf der Seite Microsoft Defender for Containers aktivieren.