Configuración de componentes de Microsoft Defender para contenedores

Microsoft Defender para contenedores es la solución nativa de nube para proteger sus contenedores.

Defender para contenedores protege los clústeres al margen de si se ejecutan en los siguientes entornos:

• Azure Kubernetes Service (AKS): servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones contenedorizadas.

• Amazon Elastic Kubernetes Service (EKS) en una cuenta de Amazon Web Services (AWS) conectada: el servicio administrado de Amazon para ejecutar Kubernetes en AWS sin necesidad de instalar, operar y mantener sus propios nodos o plano de control de Kubernetes.

• Google Kubernetes Engine (GKE) en un proyecto de Google Cloud Platform (GCP) conectado: el entorno administrado de Google para implementar, administrar y escalar aplicaciones mediante la infraestructura de GCP.

• Otra distribución de Kubernetes (mediante Kubernetes habilitado para Azure Arc): clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF) hospedados localmente o en IaaS. Para más información, consulte la sección Local/IaaS (Arc) de Características admitidas por entorno.

Obtenga información sobre este plan en Información general de Microsoft Defender para contenedores.

En primer lugar, puede aprender a conectarse y proteger los contenedores en estos artículos:

• Proteja sus contenedores de Azure con Defender para contenedores
• Proteja los clústeres de Kubernetes locales con Defender para contenedores
• Proteja sus contenedores de cuentas de Amazon Web Service (AWS) con Defender para contenedores
• Proteja sus contenedores de proyectos de Google Cloud Platform (GCP) con Defender para contenedores

También puede obtener más información viendo estos vídeos de la serie Defender for Cloud en el campo:

• Microsoft Defender para contenedores en un entorno multinube
• Protección de contenedores en GCP con Defender para contenedores

Nota:

La compatibilidad de Defender para contenedores con clústeres de Kubernetes habilitados para Arc es una característica en vista previa. La característica en versión preliminar está disponibles como opción de participación y autoservicio.

Las versiones preliminares se proporcionan «tal cual» y «como están disponibles», y están excluidas de los Acuerdos de Nivel de Servicio y la garantía limitada.

Para obtener más información sobre los sistemas operativos compatibles, la disponibilidad de características, el proxy de salida y más, consulte la disponibilidad de características de Defender para contenedores.

Requisitos de red

Valide que los siguientes puntos de conexión estén configurados para el acceso de salida, con el fin de que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad:

Consulte Reglas de aplicación o FQDN obligatorias para Microsoft Defender for Containers.

De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet ilimitado.

Requisitos de red

Precaución

En este artículo se hace referencia a CentOS, una distribución de Linux que está cerca de su estado Final de ciclo vida (EOL). Tenga en cuenta su uso y planeación en consecuencia. Para obtener más información, consulte la Guía de fin de ciclo de vida de CentOS.

Valide que los siguientes puntos de conexión estén configurados para el acceso de salida, con el fin de que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad:

Para implementaciones de nube pública:

Dominio de Azure	Dominio de Azure Government	Microsoft Azure operado por 21Vianet Domain	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Los dominios siguientes solo son necesarios si usa un sistema operativo pertinente. Por ejemplo, si tiene clústeres EKS que se ejecutan en AWS, solo tendría que aplicar el dominio Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*".

Domain	Port	Sistema operativo host
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
Repositorios predeterminados de yum	-	RHEL / Centos
Repositorios predeterminados de apt	-	Debian

También deberá validar los requisitos de red de Kubernetes habilitado para Azure Arc.

Habilitación del plan

Para habilitar el plan:

1. En el menú de Defender for Cloud, abra la página Configuración del entorno y seleccione la suscripción correspondiente.

2. En la página Planes de Defender, seleccione Defender para contenedores y seleccione Configuración.

   

   Sugerencia

   Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se mostrará un aviso de actualización. De lo contrario, la única opción será Defender para contenedores.

   

3. Active el componente correspondiente para habilitarlo.

   

   Nota:

   • Los clientes de Defenders para contenedores que se unieron antes de agosto de 2023 y no tienen habilitada la detección sin agentes para Kubernetes como parte de Defender CSPM cuando habilitaron el plan, deben habilitar manualmente la extensión de detección sin agentes para Kubernetes dentro del plan de Defender para contenedores.
   • Al desactivar Defender para contenedores, los componentes se establecen en desactivados y no se implementan en más contenedores, pero no se quitan de los contenedores en los que ya están instalados.

Método de habilitación por funcionalidad

De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para instalar automáticamente todos los componentes necesarios para proporcionar las protecciones que ofrece el plan, incluida la asignación de un área de trabajo predeterminada.

Si no desea habilitar todas las funcionalidades de los planes, puede seleccionar manualmente qué funcionalidades específicas habilitar al seleccionar Editar configuración para el plan Contenedores. A continuación, en la página Configuración y supervisión, seleccione las funcionalidades que desea habilitar. Además, puede modificar esta configuración desde la página Planes de Defender después de la configuración inicial del plan.

Para obtener información detallada sobre el método de habilitación para cada una de las funcionalidades, consulte la matriz de compatibilidad.

Roles y permisos

Obtenga más información sobre los roles que se usan para aprovisionar extensiones de Defender para contenedores.

Asignación de un área de trabajo personalizada al agente de Defender

Puede asignar un área de trabajo personalizada a través de Azure Policy.

Implementación manual del sensor de Defender o del agente de Azure Policy sin aprovisionamiento automático mediante recomendaciones

Las funcionalidades que requieren la instalación del sensor también se pueden implementar en uno o varios clústeres de Kubernetes mediante la recomendación adecuada:

Sensor	Recomendación
Sensor de Defender para Kubernetes	Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender
Sensor de Defender para Kubernetes habilitado para Arc	Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada.
Agente de Azure Policy para Kubernetes	Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
Agente de Azure Policy para Kubernetes habilitado para Arc	Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy

Realice los siguientes pasos para implementar el agente de Defender en clústeres específicos:

1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada o busque directamente una de las recomendaciones anteriores (o use los vínculos anteriores para abrir directamente la recomendación)

2. Vea todos los clústeres sin sensor desde la pestaña Incorrecto.

3. Seleccione los clústeres en los que va a implementar el sensor deseado y seleccione Corregir.

4. Seleccione Corregir X recursos.

Implementación del sensor de Defender: todas las opciones

Puede habilitar el plan de Defender para contenedores e implementar todos los componentes pertinentes desde Azure Portal, la API REST o una plantilla de Resource Manager. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Una vez implementado el sensor de Defender, se asigna automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada en lugar del área de trabajo predeterminada a través de Azure Policy.

Nota:

El sensor de Defender se implementa en todos los nodos para proporcionar las protecciones en tiempo de ejecución y recopilar señales de esos nodos mediante la tecnología eBPF.

Azure Portal

Uso del botón Corregir de la recomendación de Defender for Cloud

Un proceso simplificado y fluido permite usar las páginas de Azure Portal para habilitar el plan de Defender for Cloud y configurar el aprovisionamiento automático de todos los componentes necesarios para proteger los clústeres de Kubernetes a gran escala.

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

• Visibilidad sobre cuál de los clústeres tiene implementado el sensor de Defender
• Botón Corregir para implementarlo en esos clústeres sin el sensor

1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

2. Use el filtro para buscar la recomendación denominada Azure Kubernetes Service clusters should have Defender profile enabled (Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender).

   Sugerencia

   Observe el icono Corregir en la columna Acciones.

3. Seleccione los clústeres para ver los detalles de los recursos correctos e incorrectos; es decir, los clústeres con y sin el sensor.

4. En la lista de recursos incorrectos, seleccione un clúster y después Corregir para abrir el panel con la confirmación de corrección.

5. Seleccione Corregir X recursos.

API DE REST

Uso de la API REST para implementar el sensor de Defender

Para instalar "SecurityProfile" en un clúster existente con la API REST, ejecute el siguiente comando PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI de solicitud: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parámetros de consulta de solicitud adicionales:

Nombre	Descripción	Mandatory
SubscriptionId	Identificador de suscripción del clúster	Yes
ResourceGroup	Grupo de recursos del clúster	Yes
ClusterName	Nombre del clúster	Yes
ApiVersion	La versión de API debe ser >= 2022-06-01	Yes

Cuerpo de la solicitud:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parámetros del cuerpo de la solicitud:

Nombre	Descripción	Mandatory
ubicación	Ubicación del clúster	Sí
properties.securityProfile.defender.securityMonitoring.enabled	Determina si habilitar o deshabilitar Microsoft Defender para contenedores en el clúster	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Identificador de recurso de Azure del área de trabajo de Log Analytics	Sí

CLI de Azure

Uso de la CLI de Azure para implementar el sensor de Defender

1. Inicie de sesión en Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Asegúrese de que utiliza el mismo ID de suscripción para <your-subscription-id> que el asociado a su clúster AKS.

2. Habilite el sensor de Defender en los contenedores:

   • Ejecute el siguiente comando para crear un clúster con el sensor de Defender habilitado:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Ejecute el siguiente comando para habilitar el sensor de Defender en un clúster existente:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   La siguiente es una descripción de todas las opciones de configuración que admite el tipo de sensor de Defender:

   Propiedad

   Descripción

   logAnalyticsWorkspaceResourceId

   Opcional. Identificador de recurso completo del área de trabajo de Log Analytics. Cuando no se especifique, se usará el área de trabajo predeterminada de la región. Para obtener el identificador de recurso completo, ejecute el siguiente comando para mostrar la lista de áreas de trabajo de sus suscripciones en el formato JSON predeterminado: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json El identificador de recurso del área de trabajo de Log Analytics tiene la siguiente sintaxis: /subscriptions/{id-de-suscripción}/resourceGroups/{grupo-de-recursos}/providers/Microsoft.OperationalInsights/workspaces/{nombre-del-área-de-trabajo}. Obtenga más información en Áreas de trabajo de Log Analytics.

   Puede incluir estos valores en un archivo JSON y especificar el archivo JSON en los comandos az aks create y az aks update con este parámetro: --defender-config <path-to-JSON-file>. El formato del archivo JSON debe ser:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Obtenga más información sobre los comandos de la CLI de AKS en az aks.

3. Para comprobar que el sensor se agregó correctamente, ejecute el siguiente comando en el equipo con el archivo kubeconfig que apunta al clúster:

   kubectl get pods -n kube-system
   

   Cuando se agrega el sensor, debería ver un pod llamado microsoft-defender-XXXXX en estado Running. Los pods pueden tardar unos minutos en agregarse.

Resource Manager

Uso de Azure Resource Manager para implementar el sensor de Defender

Si quiere usar Azure Resource Manager para implementar el sensor de Defender, necesitará un área de trabajo de Log Analytics en su suscripción. Obtenga más información en Áreas de trabajo de Log Analytics.

Sugerencia

Si no está familiarizado con las plantillas de Resource Manager, empiece aquí: ¿Qué son las plantillas de Azure Resource Manager?

Para instalar "SecurityProfile" en un clúster existente con Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Habilitación del plan

Para habilitar el plan:

1. En el menú de Defender for Cloud, abra la página Configuración del entorno y seleccione la suscripción correspondiente.

2. En la página Planes de Defender, seleccione Defender para contenedores y seleccione Configuración.

   Sugerencia

   Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se mostrará un aviso de actualización. De lo contrario, la única opción será Defender para contenedores.

   

3. Active el componente correspondiente para habilitarlo.

   

   Nota

   Al desactivar Defender para contenedores, los componentes se establecen en desactivados y no se implementan en más contenedores, pero no se quitan de los contenedores en los que ya están instalados.

De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para instalar automáticamente los componentes necesarios para proporcionar las protecciones que ofrece el plan, incluida la asignación de un área de trabajo predeterminada.

Si desea deshabilitar la instalación automática de componentes durante el proceso de incorporación, seleccione Editar configuración para el plan Contenedores. Aparecerá Opciones avanzadas, desde donde podrá deshabilitar la instalación automática para cada componente.

Además, puede modificar esta configuración desde la página Planes de Defender.

Nota

Si decide deshabilitar el plan en cualquier momento después de habilitarlo si a través del portal, como se ha mostrado anteriormente, deberá quitar manualmente los componentes de Defender para contenedores implementados en los clústeres.

Puede asignar un área de trabajo personalizada a través de Azure Policy.

Si deshabilita la instalación automática de cualquier componente, puede implementar fácilmente el componente en uno o varios clústeres mediante la recomendación adecuada:

• Complemento de directiva para Kubernetes: Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
• Perfil de Azure Kubernetes Service: Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender
• Extensión de Kubernetes habilitada para Azure Arc: Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada
• Extensión de Kubernetes Policy habilitada para Azure Arc: los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Azure Policy instalada

Obtenga más información sobre los roles que se usan para aprovisionar extensiones de Defender para contenedores.

Requisitos previos

Antes de implementar el sensor, asegúrese de que:

• Conecta el clúster de Kubernetes a Azure Arc.
• Cumple los requisitos previos incluidos en la documentación acerca de las extensiones de clúster genéricas.

Implementa el sensor de Defender

Se pueden usar varios métodos para implementar el sensor de Defender. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Azure Portal

Uso del botón Corregir de la recomendación de Defender for Cloud

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

• Visibilidad sobre cuál de los clústeres tiene implementado el sensor de Defender
• Botón Corregir para implementarlo en esos clústeres sin el sensor

1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

2. Use el filtro para buscar la recomendación denominada Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Defender.

   

   Sugerencia

   Observe el icono Corregir en la columna Acciones.

3. Seleccione el sensor para ver los detalles de los recursos correctos e incorrectos (clústeres con y sin el agente).

4. En la lista de recursos incorrectos, seleccione un clúster y seleccione Corregir para abrir el panel con las opciones de corrección.

5. Seleccione el área de trabajo de Log Analytics correspondiente y seleccione Corregir recurso x.

   

CLI de Azure

Uso de la CLI de Azure para implementar el sensor de Defender

1. Inicie de sesión en Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Asegúrese de reemplazar <your-subscription-id> por el mismo identificador de suscripción que usó al conectar el clúster a Azure Arc.

2. Ejecute el siguiente comando para implementar el sensor en el clúster de Kubernetes habilitado para Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   La siguiente es una descripción de todas las opciones de configuración que admite el tipo de sensor de Defender:

   Propiedad	Descripción
   logAnalyticsWorkspaceResourceID	Opcional. Identificador de recurso completo del área de trabajo de Log Analytics. Cuando no se especifique, se usará el área de trabajo predeterminada de la región. Para obtener el identificador de recurso completo, ejecute el siguiente comando para mostrar la lista de áreas de trabajo de sus suscripciones en el formato JSON predeterminado: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json El identificador de recurso del área de trabajo de Log Analytics tiene la siguiente sintaxis: /subscriptions/{id-de-suscripción}/resourceGroups/{grupo-de-recursos}/providers/Microsoft.OperationalInsights/workspaces/{nombre-del-área-de-trabajo}. Obtenga más información en Áreas de trabajo de Log Analytics.
   auditLogPath	Opcional. Ruta de acceso completa a los archivos de registro de auditoría. Cuando no se especifique, se usará la ruta de acceso predeterminada /var/log/kube-apiserver/audit.log. En el caso del motor de AKS, la ruta de acceso estándar es /var/log/kubeaudit/audit.log.

   El siguiente comando muestra un ejemplo de uso de todos los campos opcionales:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Uso de Azure Resource Manager para implementar el sensor de Defender

Si quiere usar Azure Resource Manager para implementar el sensor de Defender, necesitará un área de trabajo de Log Analytics en su suscripción. Obtenga más información en Áreas de trabajo de Log Analytics.

Puede usar la plantilla de Resource Manager azure-defender-extension-arm-template.json de los ejemplos de instalación de Defender for Cloud.

Sugerencia

Si no está familiarizado con las plantillas de Resource Manager, empiece aquí: ¿Qué son las plantillas de Azure Resource Manager?

API DE REST

Uso de la API REST para implementar el sensor de Defender

Si quiere usar la API REST para implementar el sensor de Defender, necesitará un área de trabajo de Log Analytics en su suscripción. Obtenga más información en Áreas de trabajo de Log Analytics.

Sugerencia

La manera más sencilla de usar la API para implementar el sensor de Defender es con el ejemplo de JSON de la colección de Postman que está incluido en los ejemplos de instalación de Defender for Cloud.

• Para modificar el JSON de la colección de Postman o implementar manualmente el sensor con la API REST, ejecute el siguiente comando PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Donde:

  Nombre	En	Obligatorio	Type	Descripción
  Id. de suscripción	Ruta de acceso	True	String	Identificador de suscripción del recurso de Kubernetes habilitado para Azure Arc
  Grupo de recursos	Ruta de acceso	True	String	Nombre del grupo de recursos que contiene el recurso de Kubernetes habilitado para Azure Arc
  Cluster Name	Ruta de acceso	True	String	Nombre del recurso de Kubernetes habilitado para Azure Arc

  Para la autenticación, el encabezado debe tener un token de portador (como sucede con otras API de Azure). Para obtener un token de portador, ejecute el siguiente comando:

  az account get-access-token --subscription <your-subscription-id> Use la siguiente estructura para el cuerpo del mensaje:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  A continuación se proporciona una descripción de las propiedades:

  Propiedad	Descripción
  logAnalytics.workspaceId	Identificador de área de trabajo del recurso de Log Analytics.
  logAnalytics.key	Clave del recurso de Log Analytics.
  auditLogPath	Opcional. Ruta de acceso completa a los archivos de registro de auditoría. El valor predeterminado es /var/log/kube-apiserver/audit.log

Comprobación de la implementación

Para comprobar que el clúster tiene instalado el sensor de Defender, siga los pasos que se describen en cualquiera de las siguientes pestañas:

Azure Portal: Defender for Cloud

Uso de la recomendación de Defender for Cloud para comprobar el estado del sensor

1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar Microsoft Defender for Cloud.

2. Seleccione la recomendación denominada Azure Arc-enabled Kubernetes clusters should have Microsoft Defender for Cloud's extension installed (Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Microsoft Defender for Cloud).

   

3. Compruebe que el clúster en el que implementó el sensor aparece como Correcto.

Azure Portal: Azure Arc

Uso de las páginas de Azure Arc para comprobar el estado del sensor

1. Desde Azure Portal, abra Azure Arc.

2. En la lista Infraestructura, seleccione clústeres de Kubernetes y, a continuación, seleccione el clúster específico.

3. Abra la página de extensiones. Se muestra una lista de las extensiones del clúster. Para confirmar que el sensor de Defender se instaló correctamente, fíjese en la columna Estado de instalación.

   

4. Para obtener más información, seleccione la extensión.

   

CLI de Azure

Uso de la CLI de Azure para comprobar que el sensor se ha implementado

1. Ejecute el siguiente comando en la CLI de Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. En la respuesta, busque "extensionType": "microsoft.azuredefender.kubernetes" e "installState": "Installed".

   Nota

   Podría mostrarse "installState": "Pending" durante los primeros minutos.

3. Si el estado aparece como Instalado, ejecute el siguiente comando en la máquina con el archivo kubeconfig que apunta al clúster para comprobar que todos los pods del espacio de nombres mdc se encuentran en estado "En ejecución":

   kubectl get pods -n mdc
   

REST API

Uso de la API REST para comprobar que el sensor se ha implementado

Para confirmar una implementación correcta o validar el estado del sensor en cualquier momento, siga estos pasos:

1. Ejecute el siguiente comando GET:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. En la respuesta, busque en "extensionType": "microsoft.azuredefender.kubernetes" para "installState": "Installed".

   Sugerencia

   Podría mostrarse "installState": "Pending" durante los primeros minutos.

3. Si el estado aparece como Instalado, ejecute el siguiente comando en la máquina con el archivo kubeconfig que apunta al clúster para comprobar que todos los pods del espacio de nombres mdc se encuentren en estado "En ejecución":

   kubectl get pods -n mdc
   

Habilitación del plan

Importante

• Si aún no ha conectado ninguna cuenta de AWS, conecte las cuentas de AWS a Microsoft Defender for Cloud.
• Si ya ha habilitado el plan en el conector y desea cambiar las configuraciones opcionales o habilitar nuevas funcionalidades, vaya directamente al paso 4.

Para proteger los clústeres de EKS, habilite el plan de contenedores en el conector de cuenta correspondiente:

1. En el menú de Defender for Cloud, abra Parámetros del entorno.

2. Seleccione el conector de AWS.

   

3. Compruebe que el botón de alternancia del plan Containers esté establecido en Activado.

   

4. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

   

   • Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, cambie la configuración a Activado. Para cambiar el período de retención de los registros de auditoría, escriba el período de tiempo necesario.

     Nota:

     Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

   • La detección sin agente para Kubernetesproporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica de detección sin agente para Kubernetes, cambie la configuración a Activado.

   • La evaluación de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en ECR y ejecutar imágenes en los clústeres de EKS. Para habilitar la característica de evaluación de vulnerabilidades de contenedor sin agente, cambie la configuración a Activado.

5. Continúe por las páginas restantes del asistente para conectores.

6. Si habilita la característica Detección sin agente para Kubernetes, debe conceder permisos de plano de control en el clúster. Para ello, siga uno de estos métodos:

   • Ejecute este script de Python para conceder los permisos. El script agrega el rol de Defender for Cloud MDCContainersAgentlessDiscoveryK8sRole al aws-auth ConfigMap de los clústeres de EKS que desea incorporar.

   • Conceda a cada clúster de Amazon EKS el rol MDCContainersAgentlessDiscoveryK8sRole con la capacidad de interactuar con el clúster. Inicie sesión en todos los clústeres existentes y recién creados con eksctl y ejecute el siguiente script:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Para obtener más información, consulte Habilitación del acceso de entidad de seguridad de IAM al clúster.

7. Kubernetes habilitado para Azure Arc, el sensor de Defender y Azure Policy para Kubernetes deben estar instalados y ejecutándose en sus clústeres de EKS. Hay recomendaciones dedicadas de Defender for Cloud para instalar estas extensiones (y Azure Arc, si es necesario):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   En todas las recomendaciones, siga estos pasos para instalar las extensiones necesarias.

   Para instalar las extensiones necesarias:

   1. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

   2. Seleccione un clúster incorrecto.

      Importante

      Debe seleccionar los clústeres de uno en uno.

      No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

   3. Seleccione Corregir.

   4. Defender for Cloud genera un script en el lenguaje que prefiera. Seleccione Bash (para Linux) o PowerShell (para Windows).

   5. Seleccione Descargar lógica de corrección.

   6. Ejecute el script generado en el clúster.

   7. Repita los pasos de "a" a "f" para la segunda recomendación.

   

Visualización de recomendaciones y alertas para los clústeres de EKS

Sugerencia

Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Para ver las alertas y recomendaciones de los clústeres de EKS, use los filtros de las páginas de alertas, recomendaciones e inventario para filtrar en función del tipo de recurso de clúster EKS de AWS.

Implementación del sensor de Defender

Para implementar el sensor de Defender en los clústeres de AWS, siga estos pasos:

1. Vaya a Microsoft Defender for Cloud ->Configuración del entorno ->Agregar entorno ->Amazon Web Services.

   

2. Rellene los detalles de la cuenta.

   

3. Vaya a Seleccionar planes, abra el plan Contenedores y asegúrese de que Aprovisionar automáticamente el sensor de Defender para Azure Arc esté establecido en activado.

   

4. Vaya a Configurar acceso y siga los pasos que se indican allí.

   

5. Una vez que haya implementado correctamente la plantilla de Cloud Formation, seleccione Crear.

Nota:

Puede excluir un clúster de AWS específico del aprovisionamiento automático. Para la implementación del sensor, aplique la etiqueta ms_defender_container_exclude_agents en el recurso con el valor true. Para realizar una implementación sin agente, aplique la etiqueta ms_defender_container_exclude_agentless en el recurso con el valor true.

Habilitación del plan

Importante

Si aún no ha conectado un proyecto de GCP, conecte los proyectos de GCP a Microsoft Defender for Cloud.

Para proteger los clústeres de GKE, deberá habilitar el plan de Containers en el proyecto de GCP correspondiente.

Nota

Compruebe que no tiene ninguna directiva de Azure que impida la instalación de Arc.

Para proteger clústeres de Google Kubernetes Engine (GKE):

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

3. Selección del conector de GCP pertinente

   

4. Seleccione el botón Siguiente: Seleccionar planes>.

5. Asegúrese de que el plan de Containers está alternado a Activar.

   

6. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

   

   • Registros de auditoría de Kubernetes para Microsoft Defender for Cloud: habilitados de forma predeterminada. Esta configuración está disponible solo a nivel de proyecto de GCP. Esto proporciona una recopilación sin agente de los datos del registro de auditoría a través de Registros de nube de GCP en el back-end de Microsoft Defender for Cloud para su posterior análisis. Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, cambie la configuración a Activado.

     Nota:

     Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

   • Aprovisionamiento automático del sensor de Defender para Azure Arc y Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc: habilitado de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras:

     • Habilite el aprovisionamiento automático de Defender para contenedores a nivel de proyecto, como se explica en las instrucciones de esta sección. Se recomienda este método.
     • Use las recomendaciones de Defender for Cloud para la instalación por clúster. Aparecen en la página de recomendaciones de Microsoft Defender for Cloud. Más información sobre cómo implementar la solución en clústeres específicos.
     • Instale manualmente Kubernetes habilitados para Arc y extensiones.

   • La detección sin agente para Kubernetesproporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica de detección sin agente para Kubernetes, cambie la configuración a Activado.

   • La valoración de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en registros de Google (GAR y GCR) y la ejecución de imágenes en los clústeres de GKE. Para habilitar la característica de evaluación de vulnerabilidades de contenedor sin agente, cambie la configuración a Activado.

7. Haga clic en el botón Copiar.

   

8. Seleccione el botón Cloud Shell de GCP >.

9. Pegue el script en el terminal de Cloud Shell y ejecútelo.

El conector se actualizará después de que se ejecute el script. Este proceso puede tardar entre 6 y 8 horas en completarse.

Implementación de la solución en clústeres específicos

Si deshabilitó cualquiera de las configuraciones de aprovisionamiento automático predeterminadas, durante el proceso de incorporación del conector de GCP o posteriormente. Deberá instalar manualmente Kubernetes habilitados para Azure Arc, el sensor de Defender y Azure Policy for Kubernetes en cada uno de sus clústeres de GKE para obtener todo el valor de seguridad de Defender para contenedores.

Hay dos recomendaciones dedicadas de Defender for Cloud que puede usar para instalar las extensiones (y Arc, si es necesario):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Nota

Al instalar extensiones de Arc, es necesario comprobar que el proyecto de GCP proporcionado sea idéntico al del conector correspondiente.

Para implementar la solución en clústeres específicos:

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Recomendaciones.

3. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

   

4. Seleccione un clúster de GKE incorrecto.

   Importante

   Debe seleccionar los clústeres de uno en uno.

   No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

5. Seleccione el nombre del recurso incorrecto.

6. Seleccione Corregir.

   

7. Defender for Cloud generará un script en el lenguaje que prefiera:

   • En Linux, seleccione Bash.
   • En Windows, seleccione PowerShell.

8. Seleccione Descargar lógica de corrección.

9. Ejecute el script generado en el clúster.

10. Repita los pasos del 3 al 8 para la segunda recomendación.

Visualización de las alertas del clúster de GKE

1. Inicie sesión en Azure Portal.

2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

3. Haga clic en el botón .

4. En el menú desplegable Filtro, seleccione Tipo de recurso.

5. En el menú desplegable Valor, seleccione Clúster GCP GKE.

6. Seleccione Aceptar.

Implementación del sensor de Defender

Para implementar el sensor de Defender en clústeres de GCP, siga estos pasos:

1. Vaya a Microsoft Defender for Cloud ->Configuración de entorno ->Agregar entorno ->Google Cloud Platform.

   

2. Rellene los detalles de la cuenta.

   

3. Vaya a Seleccionar planes, abra el plan Contenedores y asegúrese de que el sensor de Defender de aprovisionamiento automático para Azure Arc esté establecido en activado.

   

4. Vaya a Configurar acceso y siga los pasos que se indican allí.

   

5. Una vez que el script de gcloud se haya ejecutado correctamente, seleccione Crear.

Nota:

Puede excluir un clúster de GCP específico del aprovisionamiento automático. Para la implementación del sensor, aplique la etiqueta ms_defender_container_exclude_agents en el recurso con el valor true. Para la implementación sin agente, aplique la etiqueta ms_defender_container_exclude_agentless en el recurso con el valor true.

Simulación de alertas de seguridad de Microsoft Defender para contenedores

Dispone de una lista completa de alertas compatibles en la tabla de referencia de las alertas de seguridad de Microsoft Defender for Cloud.

1. Para simular una alerta de seguridad, ejecute el comando siguiente desde el clúster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   La respuesta esperada es No resource found.

   En un plazo de 30 minutos, Defender for Cloud detecta esta actividad y desencadena una alerta de seguridad.

   Nota:

   Para simular alertas sin agente para Defender para contenedores, Azure Arc no es un requisito previo.

2. En Azure Portal, abra la página de alertas de seguridad de Microsoft Defender for Cloud y busque la alerta en el recurso correspondiente:

   

Eliminación del sensor de Defender

Para quitar esta extensión, o cualquier otra, de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

• Habilitar el aprovisionamiento automático afecta posiblemente a las máquinas existentes y a las futuras.
• Deshabilitar el aprovisionamiento automático para una extensión solo afecta a las máquinas futuras; no se desinstala nada al deshabilitar el aprovisionamiento automático.

Nota:

Para desactivar el plan de Defender para contenedores por completo, vaya a Configuración del entorno y deshabilite el plan de Microsoft Defender para contenedores.

No obstante, para asegurarse de que los componentes de Defender para Contenedores no se aprovisionan automáticamente en los recursos a partir de ahora, deshabilite el aprovisionamiento automático de las extensiones como se explica en Configuración del aprovisionamiento automático para agentes y extensiones de Microsoft Defender for Cloud.

Puede quitar la extensión mediante Azure Portal, la CLI de Azure o la API REST, como se explica en las pestañas siguientes.

Azure Portal: Arc

Uso de Azure Portal para quitar la extensión

1. En Azure Portal, abra Azure Arc.

2. En la lista Infraestructura, seleccione clústeres de Kubernetes y, a continuación, seleccione el clúster específico.

3. Abra la página de extensiones. Se muestra una lista de las extensiones del clúster.

4. Seleccione el clúster y, después, Desinstalar.

   

CLI de Azure

Uso de la CLI de Azure para quitar el sensor de Defender

1. Quite la extensión para Arc de Microsoft Defender para Kubernetes con los siguientes comandos:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   La eliminación de la extensión puede tardar unos minutos. Se recomienda que espere antes de comprobar que se ha realizado correctamente.

2. Para comprobar que la extensión se ha eliminado correctamente, ejecute los siguientes comandos:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Después, compruebe que no haya ningún pod en el nombre de espacio mdc. Para ello, ejecute el siguiente comando con el archivo kubeconfig que apunta al clúster:

   kubectl get pods -n mdc
   

   Los pods pueden tardar unos minutos en eliminarse.

API DE REST

Uso de API REST para quitar el sensor de Defender

Para quitar la extensión mediante la API REST, ejecute el siguiente comando DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nombre	En	Obligatorio	Type	Descripción
Id. de suscripción	Ruta de acceso	True	String	Identificador de suscripción del clúster de Kubernetes habilitado para Azure Arc
Grupo de recursos	Ruta de acceso	True	String	Grupo de recursos del clúster de Kubernetes habilitado para Azure Arc
Cluster Name	Ruta de acceso	True	String	Nombre del clúster de Kubernetes habilitado para Azure Arc

Para la autenticación, el encabezado debe tener un token de portador (como sucede con otras API de Azure). Para obtener un token de portador, ejecute el siguiente comando:

az account get-access-token --subscription <your-subscription-id>

La solicitud puede tardar varios minutos en completarse.

Área de trabajo predeterminada de Log Analytics para AKS

El sensor de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud, pero ninguno de ellos se queda en el propio área de trabajo de Log Analytics. Como resultado, en este caso de uso no se facturará a los usuarios.

El sensor de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no la tiene, Defender for Cloud creará un grupo de recursos y un área de trabajo predeterminada cuando se instale el sensor de Defender. El área de trabajo predeterminada se crea en función de la región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

• Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar la opción de aprovisionamiento automático, se asignará automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Directiva.

   

3. Seleccione Definiciones.

4. Búsqueda de ID de directivas 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Seleccione Configurar los clústeres de Azure Kubernetes Service para habilitar el perfil de Azure Defender.

6. Seleccione Asignación.

   

7. Siga los pasos del apartado Creación de una asignación con el área de trabajo personalizada si la directiva aún no se ha asignado al ámbito correspondiente. O bien, siga los pasos de Actualización de la asignación con el área de trabajo personalizada si la directiva ya está asignada y desea cambiarla para usar un área de trabajo personalizada.

Creación de una asignación con el área de trabajo personalizada

Si la directiva no se ha asignado, verá Assignments (0).

Para asignar un área de trabajo personalizada:

1. Seleccione Asignar.

2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

3. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

   

4. Seleccione Revisar + crear.

5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva ya se ha asignado a un área de trabajo, verá Assignments (1).

Nota:

Si tiene más de una suscripción, es posible que el número sea mayor.

Para asignar un área de trabajo personalizada:

1. Seleccione la asignación pertinente.

   

2. Seleccione Editar asignación.

3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

4. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

   

5. Seleccione Revisar y guardar.

6. Seleccione Guardar.

Área de trabajo predeterminada de Log Analytics para Arc

El sensor de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud, pero ninguno de ellos se queda en el propio área de trabajo de Log Analytics. Como resultado, en este caso de uso no se facturará a los usuarios.

El sensor de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no la tiene, Defender for Cloud creará un grupo de recursos y un área de trabajo predeterminada cuando se instale el sensor de Defender. El área de trabajo predeterminada se crea en función de la región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

• Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar la opción de aprovisionamiento automático, se asignará automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Directiva.

   

3. Seleccione Definiciones.

4. Búsqueda de ID de directivas 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Seleccione Configurar clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud.

6. Seleccione Asignaciones.

   

7. Siga los pasos del apartado Creación de una asignación con el área de trabajo personalizada si la directiva aún no se ha asignado al ámbito correspondiente. O bien, siga los pasos de Actualización de la asignación con el área de trabajo personalizada si la directiva ya está asignada y desea cambiarla para usar un área de trabajo personalizada.

Creación de una asignación con el área de trabajo personalizada

Si la directiva no se ha asignado, verá Assignments (0).

Para asignar un área de trabajo personalizada:

1. Seleccione Asignar.

2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

3. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

   

4. Seleccione Revisar + crear.

5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva ya se ha asignado a un área de trabajo, verá Assignments (1).

Nota:

Si tiene más de una suscripción, es posible que el número sea mayor. Si tiene un número 1 o superior, es posible que la asignación todavía no esté en el ámbito pertinente. Si este es el caso, le interesará seguir los pasos de Creación de una asignación con el área de trabajo personalizada.

Para asignar un área de trabajo personalizada:

1. Seleccione la asignación pertinente.

   

2. Seleccione Editar asignación.

3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

4. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

   

5. Seleccione Revisar y guardar.

6. Seleccione Guardar.

Eliminación del sensor de Defender

Para quitar esta extensión, o cualquier otra, de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

• Habilitar el aprovisionamiento automático afecta posiblemente a las máquinas existentes y a las futuras.
• Deshabilitar el aprovisionamiento automático para una extensión solo afecta a las máquinas futuras; no se desinstala nada al deshabilitar el aprovisionamiento automático.

Nota:

Para desactivar el plan de Defender para contenedores por completo, vaya a Configuración del entorno y deshabilite el plan de Microsoft Defender para contenedores.

No obstante, para asegurarse de que los componentes de Defender para Contenedores no se aprovisionan automáticamente en los recursos a partir de ahora, deshabilite el aprovisionamiento automático de las extensiones como se explica en Configuración del aprovisionamiento automático para agentes y extensiones de Microsoft Defender for Cloud.

Puede quitar el agente mediante la API REST o una plantilla de Resource Manager, tal como se explica en las pestañas siguientes.

REST API

Uso de API REST para quitar el sensor de Defender de AKS

Para quitar el agente mediante la API REST, ejecute el siguiente comando DELETE:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nombre	Descripción	Mandatory
SubscriptionId	Identificador de suscripción del clúster	Yes
ResourceGroup	Grupo de recursos del clúster	Yes
ClusterName	Nombre del clúster	Yes
ApiVersion	La versión de API debe ser >= 2022-06-01	Yes

Cuerpo de la solicitud:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parámetros del cuerpo de la solicitud:

Nombre	Descripción	Mandatory
ubicación	Ubicación del clúster	Sí
properties.securityProfile.defender.securityMonitoring.enabled	Determina si habilitar o deshabilitar Microsoft Defender para contenedores en el clúster	Sí

CLI de Azure

Uso de la CLI de Azure para quitar el sensor de Defender

1. Quite Microsoft Defender con los siguientes comandos:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   La eliminación de la extensión puede tardar unos minutos.

2. Para comprobar que el agente se ha eliminado correctamente, ejecute los siguientes comandos:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Cuando se quita el agente, debería ver que no se devuelve ningún pod en el comando get pods. Los pods pueden tardar unos minutos en eliminarse.

Resource Manager

Uso Azure Resource Manager para quitar el sensor de Defender de AKS

Si desea usar Azure Resource Manager para quitar el sensor de Defender, necesitará un área de trabajo de Log Analytics en su suscripción. Obtenga más información en Áreas de trabajo de Log Analytics.

Sugerencia

Si no está familiarizado con las plantillas de Resource Manager, empiece aquí: ¿Qué son las plantillas de Azure Resource Manager?

Estos son la plantilla y los parámetros relevantes para quitar el sensor de Defender de AKS:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Saber más

Para obtener más información, puede consultar los siguientes blogs:

• Proteja sus cargas de trabajo de Google Cloud con Microsoft Defender for Cloud
• Introducción a Microsoft Defender para contenedores
• Un nuevo nombre para la seguridad multinube: Microsoft Defender for Cloud

Pasos siguientes

Ahora que ha habilitado Defender para contenedores, puede hacer lo siguiente:

• Detección de vulnerabilidades en las imágenes de ACR
• Examine las imágenes de AWS para detectar vulnerabilidades con la administración de vulnerabilidades de Microsoft Defender
• Examine las imágenes de GGP para detectar vulnerabilidades con la administración de vulnerabilidades de Microsoft Defender
• Consulte las preguntas frecuentes sobre Defender para contenedores.