Compartir vía


Configuración de componentes de Microsoft Defender para contenedores

Microsoft Defender para contenedores es la solución nativa de nube para proteger los contenedores. Ayuda a proteger los clústeres si se ejecutan en:

  • Azure Kubernetes Service (AKS): servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones en contenedores.

  • Amazon Elastic Kubernetes Service (EKS) en una cuenta de Amazon Web Services (AWS) conectada: el servicio administrado de Amazon para ejecutar Kubernetes en AWS sin necesidad de instalar, operar y mantener sus propios nodos o plano de control de Kubernetes.

  • Google Kubernetes Engine (GKE) en un proyecto de Google Cloud Platform (GCP) conectado: el entorno administrado de Google para implementar, administrar y escalar aplicaciones mediante la infraestructura de GCP.

  • Otra distribución de Kubernetes (mediante Kubernetes habilitado para Azure Arc): clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF) hospedados localmente o en infraestructura como servicio (IaaS). Para obtener más información, consulte Matriz de compatibilidad de contenedores en Defender for Cloud.

En primer lugar, puede aprender a conectarse y ayudar a proteger los contenedores en estos artículos:

También puede obtener más información viendo estos vídeos de la serie Defender for Cloud en el campo:

Nota:

La compatibilidad de Defender para contenedores con clústeres de Kubernetes habilitados para Azure Arc es una característica en versión preliminar. La característica en versión preliminar está disponibles como opción de participación y autoservicio.

Las versiones preliminares se proporcionan tal cual y según disponibilidad. Se excluyen de los contratos de nivel de servicio y la garantía limitada.

Para más información sobre los sistemas operativos compatibles, la disponibilidad de características, el proxy de salida, etc., consulte Matriz de compatibilidad de contenedores en Defender for Cloud.

Requisitos de red

Valide que los siguientes puntos de conexión estén configurados para el acceso de salida, con el fin de que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.

El sensor de Defender debe conectarse al área de trabajo configurada de Log Analytics de Azure Monitor. De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet ilimitado. Si el evento de salida del clúster, se requiere el uso de un ámbito de Private Link (AMPLS) de Azure Monitor, debe:

  • Definir el clúster con Container Insights y un área de trabajo de Log Analytics.
  • Configurar AMPLS con el modo de acceso de consulta y el modo de acceso de ingesta establecido en Abrir.
  • Definir el área de trabajo de Log Analytics del clúster como un recurso en AMPLS.
  • Crear en AMPLS un punto de conexión privado de red virtual entre la red virtual del clúster y el recurso de Log Analytics. El punto de conexión privado de red virtual se integra con una zona de DNS privado.

Para obtener instrucciones, consulte Creación de un ámbito de Private Link de Azure Monitor.

Requisitos de red

Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.

Dominio de Azure Dominio de Azure Government Azure operado por el dominio 21Vianet Port
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.

Habilitación del plan

  1. En Defender for Cloud, seleccione Configuración y, a continuación, seleccione la suscripción correspondiente.

  2. En la página Planes de Defender, seleccione Contenedores>Configuración.

    Recorte de pantalla de la página de Planes de Defender.

    Sugerencia

    Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se muestra un aviso de actualización. De lo contrario, la única opción es Contenedores.

    Recorte de pantalla que muestra los planes de Defender para Kubernetes y Defender para registros de contenedor en un estado en desuso, junto con la información de actualización.

  3. Active el componente correspondiente.

    Recorte de pantalla que muestra la activación de componentes.

    Nota:

    • Los clientes de Defender para contenedores que se unieron antes de agosto de 2023 y no tienen activada la Detección sin agentes para Kubernetes como parte de Administración de la posición de seguridad en la nube (CSPM) de Defender cuando habilitaron el plan, deben habilitar manualmente la extensión Detección sin agentes para Kubernetes dentro del plan de Defender para contenedores.
    • Al desactivar Defender para contenedores, los componentes se establecen en Desactivado. No se implementan en más contenedores, pero no se quitan de los contenedores en los que ya están instalados.

Método de habilitación por funcionalidad

De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores se configura para habilitar de manera automática todas las funcionalidades e instalar todos los componentes necesarios para proporcionar las protecciones que ofrece el plan. Esta configuración incluye la asignación de un área de trabajo predeterminada.

Si no desea habilitar todas las funcionalidades de los planes, puede seleccionar manualmente qué funcionalidades específicas habilitar al seleccionar Editar configuración para el plan Contenedores. Después, en la página Configuración y supervisión, seleccione las funcionalidades que desea habilitar. También puede modificar esta configuración desde la página Planes de Defender después de la configuración inicial del plan.

Para obtener información detallada sobre el método de habilitación para cada funcionalidad, consulte la matriz de compatibilidad.

Roles y permisos

Obtenga más información sobre los roles para el aprovisionamiento de extensiones de Defender para contenedores.

Asignación de un área de trabajo personalizada para el sensor de Defender

Puede asignar un área de trabajo personalizada a través de Azure Policy.

Implementación manual del sensor de Defender o del agente de Azure Policy sin aprovisionamiento automático mediante recomendaciones

Las funcionalidades que requieren la instalación del sensor también se pueden implementar en uno o varios clústeres de Kubernetes. Use la recomendación adecuada:

Sensor Recomendación
Sensor de Defender para Kubernetes Los clústeres de Azure Kubernetes Service deberían tener habilitado el perfil de Defender
Sensor de Defender para Kubernetes habilitado para Azure Arc Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Defender instalada.
Agente de Azure Policy para Kubernetes Los clústeres de Azure Kubernetes Service deben tener instalado el complemento Azure Policy para Kubernetes
Agente de Azure Policy para Kubernetes habilitado para Azure Arc Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Azure Policy

Para implementar el sensor de Defender en clústeres específicos:

  1. En la página Recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada o busque una de las recomendaciones anteriores. (También puede usar los vínculos anteriores para abrir directamente la recomendación).

  2. Vea todos los clústeres sin sensor al abrir la pestaña Incorrecto.

  3. Seleccione los clústeres en los que desea implementar el sensor y, a continuación, seleccione Corregir.

  4. Seleccione Corregir X recursos.

Implementación del sensor de Defender: Todas las opciones

Puede habilitar el plan de Defender para contenedores e implementar todos los componentes pertinentes desde Azure Portal, la API de REST o una plantilla de Azure Resource Manager. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Una vez implementado el sensor de Defender, se asigna automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada en lugar del área de trabajo predeterminada a través de Azure Policy.

Nota:

El sensor de Defender se implementa en todos los nodos para proporcionar las protecciones en tiempo de ejecución y recopilar señales de esos nodos mediante la tecnología eBPF.

Uso del botón Corregir desde la recomendación de Defender for Cloud

Puede usar páginas de Azure Portal para habilitar el plan de Defender for Cloud y configurar el aprovisionamiento automático de todos los componentes necesarios para defender los clústeres de Kubernetes a escala. El proceso se simplifica.

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

  • Visibilidad sobre cuál de los clústeres tiene implementado el sensor de Defender.
  • Botón Corregir para implementar el sensor en clústeres que no lo tienen.

Para implementar el sensor:

  1. En la página Recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

  2. Use el filtro para buscar la recomendación denominada Azure Kubernetes Service clusters should have Defender profile enabled (Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender).

    Sugerencia

    Observe el icono Corregir en la columna Acciones.

  3. Seleccione los clústeres para ver los detalles de los recursos correctos e incorrectos; es decir, los clústeres con y sin el sensor.

  4. En la lista de recursos incorrectos, seleccione un clúster. Después, seleccione Corregir para abrir el panel con la confirmación de corrección.

  5. Seleccione Corregir X recursos.

Habilitación del plan

  1. En Defender for Cloud, seleccione Configuración y, a continuación, seleccione la suscripción correspondiente.

  2. En la página Planes de Defender, seleccione Contenedores>Configuración.

    Recorte de pantalla de la página de Planes de Defender.

    Sugerencia

    Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se muestra un aviso de actualización. De lo contrario, la única opción es Contenedores.

    Recorte de pantalla que muestra los planes de Defender para Kubernetes y Defender para registros de contenedor en un estado en desuso, junto con la información de actualización.

  3. Active el componente correspondiente.

    Recorte de pantalla que muestra la activación de componentes.

    Nota:

    Al desactivar Defender para contenedores, los componentes se establecen en Desactivado. No se implementan en más contenedores, pero no se quitan de los contenedores en los que ya están instalados.

De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para instalar automáticamente los componentes necesarios para proporcionar las protecciones que ofrece el plan. Esta configuración incluye la asignación de un área de trabajo predeterminada.

Si desea deshabilitar la instalación automática de componentes durante el proceso de incorporación, seleccione Editar configuración para el plan Contenedores. Aparecerá Opciones avanzadas, desde donde podrá deshabilitar la instalación automática para cada componente.

También puede modificar esta configuración desde la página Planes de Defender.

Nota:

Si decide deshabilitar el plan en cualquier momento después de habilitarlo a través del portal, deberá quitar manualmente los componentes de Defender para contenedores implementados en los clústeres.

Puede asignar un área de trabajo personalizada a través de Azure Policy.

Si deshabilita la instalación automática de cualquier componente, puede implementar fácilmente el componente en uno o varios clústeres mediante la recomendación adecuada:

Obtenga más información sobre los roles para el aprovisionamiento de extensiones de Defender para contenedores.

Requisitos previos

Antes de implementar el sensor, asegúrese de:

Implementa el sensor de Defender

Se pueden usar varios métodos para implementar el sensor de Defender. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Uso del botón Corregir desde la recomendación de Defender for Cloud

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

  • Visibilidad sobre cuál de los clústeres tiene implementado el sensor de Defender.
  • Botón Corregir para implementar el sensor en clústeres que no lo tienen.

Para implementar el sensor:

  1. En la página Recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

  2. Use el filtro para buscar la recomendación Los clústeres de Kubernetes habilitados para Azure Arc deben tener la extensión de Microsoft Defender habilitada.

    Recorte de pantalla que muestra la recomendación de Microsoft Defender for Cloud de implementar el sensor de Defender para clústeres de Kubernetes habilitados para Azure Arc.

    Sugerencia

    Observe el icono Corregir en la columna Acciones.

  3. Seleccione el sensor para ver los detalles de los recursos correctos e incorrectos (clústeres con y sin el agente).

  4. En la lista de recursos incorrectos, seleccione un clúster. A continuación, seleccione Corregir para abrir el panel con las opciones de corrección.

  5. Seleccione el área de trabajo de Log Analytics correspondiente y luego seleccione Corregir recurso x.

    Recorte de pantalla animado que muestra la implementación de un sensor de Defender para Azure Arc mediante la corrección en Defender for Cloud.

Comprobar la implementación

Para comprobar que el clúster tiene instalado el sensor de Defender, siga los pasos que se describen en cualquiera de las siguientes pestañas.

Uso de las recomendaciones de Defender for Cloud para comprobar el estado del sensor

  1. En la página Recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar Microsoft Defender for Cloud.

  2. Seleccione la recomendación denominada Los clústeres de Kubernetes habilitados para Azure Arc deben tener habilitada la extensión de Microsoft Defender.

    Recorte de pantalla que muestra la recomendación de Defender for Cloud de implementar el sensor de Defender para clústeres de Kubernetes habilitados para Azure Arc.

  3. Compruebe que el clúster en el que implementó el sensor aparece como Correcto.

Habilitación del plan

Importante

  • Si no ha conectado una cuenta de AWS, conecte su cuenta de AWS a Microsoft Defender for Cloud antes de comenzar los pasos siguientes.
  • Si ya ha habilitado el plan en el conector y desea cambiar las configuraciones opcionales o habilitar nuevas funcionalidades, vaya directamente al paso 4.

Para ayudar a proteger los clústeres de EKS, habilite el plan de Defender para contenedores en el conector de cuenta correspondiente:

  1. En Defender for Cloud, abra Configuración del entorno.

  2. Seleccione el conector de AWS.

    Recorte de pantalla de un conector de AWS en la configuración del entorno de Defender for Cloud.

  3. Compruebe que el botón de alternancia del plan Containers esté establecido en Activado.

    Recorte de pantalla que muestra cómo activar Defender para contenedores para un conector de AWS.

  4. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

    Recorte de pantalla de la configuración del plan Contenedores en la configuración del entorno de Defender for Cloud.

    • Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, establezca el botón de alternancia de esa característica en Activado. Para cambiar el período de retención de los registros de auditoría, escriba el período de tiempo necesario.

      Nota:

      Si deshabilita esta configuración, también se deshabilitará la característica Detección de amenazas (plano de control). Más información sobre la disponibilidad de la característica.

    • La característica Detección sin agente para Kubernetes proporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica, establezca su alternancia en Activado.

    • La característica Evaluación de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en ECR y para la ejecución de imágenes en los clústeres de EKS. Para habilitar la característica, establezca su alternancia en Activado.

  5. Continúe por las páginas restantes del asistente para conectores.

  6. Si habilita la característica Detección sin agente para Kubernetes, debe conceder permisos de plano de control en el clúster. Puede conceder los permisos de una de las maneras siguientes:

    • Ejecute este script de Python. El script agrega el rol MDCContainersAgentlessDiscoveryK8sRole de Defender for Cloud a aws-auth ConfigMap para los clústeres de EKS que desea incorporar.

    • Conceda a cada clúster de Amazon EKS el rol MDCContainersAgentlessDiscoveryK8sRole con la capacidad de interactuar con el clúster. Inicie sesión en todos los clústeres existentes y recién creados mediante eksctl y ejecute el siguiente script:

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      Para más información, consulte Concesión de acceso a usuarios de IAM a Kubernetes con entradas de acceso de EKS en la guía del usuario de Amazon EKS.

  7. Kubernetes habilitado para Azure Arc, el sensor de Defender y Azure Policy para Kubernetes deben estar instalados y ejecutándose en sus clústeres de EKS. Hay una recomendación dedicada de Defender for Cloud para instalar estas extensiones (y Azure Arc, si es necesario): Los clústeres de EKS deben tener instalada la extensión de Microsoft Defender para Azure Arc.

    Siga estos pasos para instalar las extensiones necesarias:

    1. En la página Recomendaciones de Defender for Cloud, busque y seleccione la recomendación Los clústeres de EKS deben tener instalada la extensión de Microsoft Defender para Azure Arc.

    2. Seleccione un clúster incorrecto.

      Importante

      Debe seleccionar los clústeres de uno en uno.

      No seleccione los clústeres por sus nombres en hipervínculos. Seleccione en cualquier otro lugar de la fila correspondiente.

    3. Seleccione Corregir.

    4. Defender for Cloud genera un script en el lenguaje que prefiera. Seleccione Bash (para Linux) o PowerShell (para Windows).

    5. Seleccione Descargar lógica de corrección.

    6. Ejecute el script generado en el clúster.

    Recorte animado sobre cómo seguir la recomendación de Defender for Cloud con el fin de generar un script para los clústeres de EKS que habilita la extensión de Azure Arc.

Visualización de recomendaciones y alertas para los clústeres de EKS

Sugerencia

Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Para ver las alertas y recomendaciones de los clústeres de EKS, use los filtros de las páginas de alertas, recomendaciones e inventario para filtrar en función del tipo de recurso de clúster EKS de AWS.

Recorte de pantalla de las selecciones para usar filtros en la página de alertas de seguridad de Microsoft Defender for Cloud para ver las alertas relacionadas con los clústeres EKS de AWS.

Implementa el sensor de Defender

Para implementar el sensor de Defender en los clústeres de AWS:

  1. Vaya a Microsoft Defender for Cloud>Configuración del entorno>Agregar entorno ->Amazon Web Services.

    Recorte de pantalla de las selecciones para agregar un entorno de AWS en Microsoft Defender for Cloud.

  2. Rellene los detalles de la cuenta.

    Captura de pantalla del formulario para rellenar los detalles de la cuenta de un entorno de AWS en Microsoft Defender for Cloud.

  3. Vaya a Seleccionar planes, abra el plan Contenedores y asegúrese de que el sensor de Defender de aprovisionamiento automático para Azure Arc esté establecido en Activado.

    Recorte de pantalla de las selecciones para habilitar el sensor de Defender para Azure Arc en Microsoft Defender for Cloud.

  4. Vaya a Configurar acceso y siga los pasos que se indican allí.

    Recorte de pantalla de la página para configurar el acceso a un entorno de AWS en Microsoft Defender for Cloud.

  5. Una vez que haya implementado correctamente la plantilla de Cloud Formation, seleccione Crear.

Nota:

Puede excluir un clúster de AWS específico del aprovisionamiento automático. Para la implementación del sensor, aplique la etiqueta ms_defender_container_exclude_agents en el recurso con el valor true. Para realizar una implementación sin agente, aplique la etiqueta ms_defender_container_exclude_agentless en el recurso con el valor true.

Habilitación del plan

Importante

Si aún no ha conectado un proyecto de GCP, conecte los proyectos de GCP a Microsoft Defender for Cloud.

Para ayudar a proteger los clústeres de GKE, siga estos pasos para habilitar el plan de Defender para contenedores en el proyecto de GCP correspondiente.

Nota:

Compruebe que no tiene ninguna directiva de Azure que impida la instalación de Azure Arc.

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Configuración del entorno.

  3. Seleccione el conector de GCP pertinente.

    Recorte de pantalla que muestra un conector GCP de ejemplo.

  4. Seleccione el botón Siguiente: Seleccionar planes>.

  5. Asegúrese de que el botón de alternancia del plan Contenedores esté Activado.

    Recorte de pantalla que muestra el plan Contenedores activado.

  6. Para cambiar las configuraciones opcionales del plan, seleccione Configuración.

    Recorte de pantalla de la configuración del plan Contenedores en la configuración del entorno de Defender for Cloud.

    • Registros de auditoría de Kubernetes para Microsoft Defender for Cloud: habilitados de forma predeterminada. Esta configuración está disponible solo a nivel de proyecto de GCP. Esto proporciona una recopilación sin agente de los datos del registro de auditoría a través de Registros de nube de GCP en el back-end de Microsoft Defender for Cloud para su posterior análisis. Defender para contenedores requiere registros de auditoría del plano de control para proporcionar protección contra amenazas en tiempo de ejecución. Para enviar registros de auditoría de Kubernetes a Microsoft Defender, establezca el botón de alternancia en Activado.

      Nota:

      Si deshabilita esta configuración, también se deshabilitará la característica Detección de amenazas (plano de control). Más información sobre la disponibilidad de la característica.

    • Aprovisionamiento automático del sensor de Defender para Azure Arc y Aprovisionamiento automático de la extensión de Azure Policy para Azure Arc: habilitado de forma predeterminada. Puede instalar Kubernetes habilitado para Azure Arc y sus extensiones en los clústeres de GKE de tres maneras:

    • La característica Detección sin agente para Kubernetes proporciona una detección basada en API de los clústeres de Kubernetes. Para habilitar la característica, establezca su alternancia en Activado.

    • La valoración de vulnerabilidades de contenedor sin agente proporciona administración de vulnerabilidades para las imágenes almacenadas en registros de Google (Google Artifact Registry y Google Container Registry) y la ejecución de imágenes en los clústeres de GKE. Para habilitar la característica, establezca su alternancia en Activado.

  7. Haga clic en el botón Copiar.

    Captura de pantalla que muestra la ubicación del botón de copiar.

  8. Seleccione el botón Cloud Shell de GCP >.

  9. Pegue el script en el terminal de Cloud Shell y ejecútelo.

El conector se actualiza una vez que se ejecuta el script. Este proceso puede tardar un máximo de 8 horas en completarse.

Implementación de la solución en clústeres específicos

Si establece cualquiera de las configuraciones de aprovisionamiento automático predeterminadas en Desactivado durante el proceso de incorporación del conector GCP o después, debe instalar manualmente Kubernetes habilitado para Azure Arc, el sensor de Defender y Azure Policy para Kubernetes en cada uno de los clústeres de GKE. Instalarlos ayuda a garantizar que obtiene el valor de seguridad completo de Defender para contenedores.

Puede usar dos recomendaciones dedicadas de Defender for Cloud para instalar estas extensiones (y Azure Arc si fuera necesario):

  • Los clústeres de GKE deben tener instalada la extensión de Microsoft Defender para Azure Arc.
  • Los clústeres de GKE deben tener instalada la extensión de Azure Policy.

Nota:

Al instalar extensiones de Arc, es necesario comprobar que el proyecto de GCP proporcionado sea idéntico al del conector correspondiente.

Para implementar la solución en clústeres específicos:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  3. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

    Recorte de pantalla que muestra la búsqueda de una recomendación.

  4. Seleccione un clúster de GKE incorrecto.

    Importante

    Debe seleccionar los clústeres de uno en uno.

    No seleccione los clústeres por sus nombres en hipervínculos. Seleccione en cualquier otro lugar de la fila correspondiente.

  5. Seleccione el nombre del recurso incorrecto.

  6. Seleccione Corregir.

    Recorte de pantalla que muestra la ubicación del botón Corregir.

  7. Defender for Cloud genera un script en el lenguaje que elija:

    • En Linux, seleccione Bash.
    • En Windows, seleccione PowerShell.
  8. Seleccione Descargar lógica de corrección.

  9. Ejecute el script generado en el clúster.

  10. Repita los pasos del 3 al 8 para la otra recomendación.

Visualización de las alertas del clúster de GKE

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

  3. Haz clic en el botón .

  4. En el menú desplegable Filtro, seleccione Tipo de recurso.

  5. En el menú desplegable Valor, seleccione Clúster GCP GKE.

  6. Seleccione Aceptar.

Implementa el sensor de Defender

Para implementar el sensor de Defender en los clústeres de GCP:

  1. Vaya a Microsoft Defender for Cloud>Configuración de entorno>Agregar entorno>Google Cloud Platform.

    Recorte de pantalla de las selecciones para agregar un entorno de GCP en Microsoft Defender for Cloud.

  2. Rellene los detalles de la cuenta.

    Captura de pantalla del formulario para rellenar los detalles de la cuenta de un entorno de GCP en Microsoft Defender for Cloud.

  3. Vaya a Seleccionar planes, abra el plan Contenedores y asegúrese de que el sensor de Defender de aprovisionamiento automático para Azure Arc esté establecido en Activado.

    Recorte de pantalla de las selecciones para habilitar el sensor de Defender para Azure Arc en Microsoft Defender for Cloud.

  4. Vaya a Configurar acceso y siga los pasos que se indican allí.

    Recorte de pantalla de la página para configurar el acceso a un entorno de GCP en Microsoft Defender for Cloud.

  5. Una vez que el script gcloud se ejecute correctamente, seleccione Crear.

Nota:

Puede excluir un clúster de GCP específico del aprovisionamiento automático. Para la implementación del sensor, aplique la etiqueta ms_defender_container_exclude_agents en el recurso con el valor true. Para la implementación sin agente, aplique la etiqueta ms_defender_container_exclude_agentless en el recurso con el valor true.

Simulación de alertas de seguridad de Microsoft Defender para contenedores

Dispone de una lista completa de alertas compatibles en la tabla de referencia de las alertas de seguridad de Microsoft Defender for Cloud.

Para simular una alerta de seguridad:

  1. Ejecute el siguiente comando desde el clúster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    La respuesta esperada es No resource found.

    En un plazo de 30 minutos, Defender for Cloud detecta esta actividad y desencadena una alerta de seguridad.

    Nota:

    Azure Arc no es un requisito previo para simular alertas sin agente para Defender para contenedores.

  2. En Azure Portal, vaya a Microsoft Defender for Cloud>Alertas de seguridad y busque la alerta en el recurso correspondiente.

    Recorte de pantalla de alerta de ejemplo de Microsoft Defender para Kubernetes.

Eliminación del sensor de Defender

Para quitar esta extensión (o cualquier otra) de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

  • Habilitar el aprovisionamiento automático potencialmente afecta a las máquinas existentes y futuras.
  • Deshabilitar el aprovisionamiento automático de una extensión afecta solo a las máquinas futuras. No se desinstala nada al deshabilitar el aprovisionamiento automático.

Nota:

Para deshabilitar el plan de Defender para contenedores por completo, vaya a Configuración del entorno y desactive Microsoft Defender para contenedores.

Sin embargo, para asegurarse de que los componentes de Defender for Containers no se aprovisionan automáticamente en los recursos desde ahora, deshabilite el aprovisionamiento automático de las extensiones.

Puede quitar la extensión de las máquinas que se están ejecutando actualmente mediante Azure Portal, la CLI de Azure o la API de REST, como se explica en las pestañas siguientes.

Uso de Azure Portal para quitar la extensión

  1. En Azure Portal, abra Azure Arc.

  2. En la lista Infraestructura, seleccione clústeres de Kubernetes y, a continuación, seleccione el clúster específico.

  3. Abra la página Extensiones, que enumera las extensiones en el clúster.

  4. Seleccione la extensión y, después, Desinstalar.

    Recorte de pantalla que muestra el botón para desinstalar una extensión de un clúster de Kubernetes habilitado para Azure Arc.

Establecer el área de trabajo predeterminada de Log Analytics para AKS

El sensor de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud. El área de trabajo no conserva ninguno de los datos. Como resultado, a los usuarios no se les factura en este caso de uso.

El sensor de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no tiene un área de trabajo de Log Analytics, Defender for Cloud creará un nuevo grupo de recursos y un área de trabajo predeterminada cuando instale el sensor de Defender. El área de trabajo predeterminada se basa en su región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

  • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupo de recursos: DefaultResouceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar el aprovisionamiento automático, se asigna automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Directiva.

    Recorte de pantalla que muestra cómo localizar la página Directiva.

  3. Seleccione Definiciones.

  4. Búsqueda de ID de directivas 64def556-fbad-4622-930e-72d1d5589bf5.

    Recorte de pantalla que muestra dónde buscar la directiva por id.

  5. Seleccione Configurar los clústeres de Azure Kubernetes Service para habilitar el perfil de Azure Defender.

  6. Seleccione Asignaciones.

    Recorte de pantalla que muestra la pestaña Asignaciones.

  7. Use una de las secciones siguientes de este artículo como se indica:

Creación de una nueva asignación con el área de trabajo personalizada

Si la directiva aún no está asignada, la pestaña Asignaciones muestra el número 0.

Recorte de pantalla que muestra que no hay ningún área de trabajo asignada.

Para asignar un área de trabajo personalizada:

  1. Seleccione Asignar.

  2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  3. Seleccione un valor LogAnalyticsWorkspaceResourceId en el menú desplegable.

    Recorte de pantalla que muestra el menú desplegable del identificador de recurso del área de trabajo de Log Analytics.

  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva se asigna a un área de trabajo, la pestaña Asignaciones muestra el número 1.

Recorte de pantalla de la pestaña que muestra un área de trabajo asignada.

Nota:

Si tiene más de una suscripción, es posible que el número sea mayor.

Para asignar un área de trabajo personalizada:

  1. Seleccione la asignación pertinente.

    Recorte de pantalla que muestra la selección de una asignación.

  2. Seleccione Editar asignación.

  3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  4. Seleccione un valor LogAnalyticsWorkspaceResourceId en el menú desplegable.

    Recorte de pantalla que muestra el menú desplegable de un id. de recurso del área de trabajo de Log Analytics.

  5. Seleccione Revisar y guardar.

  6. Seleccione Guardar.

Área de trabajo predeterminada de Log Analytics para Azure Arc

El sensor de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud. El área de trabajo no conserva ninguno de los datos. Como resultado, a los usuarios no se les factura en este caso de uso.

El sensor de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no tiene un área de trabajo de Log Analytics, Defender for Cloud creará un nuevo grupo de recursos y un área de trabajo predeterminada cuando instale el sensor de Defender. El área de trabajo predeterminada se basa en su región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

  • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupo de recursos: DefaultResouceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar el aprovisionamiento automático, se asigna automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Directiva.

    Recorte de pantalla que muestra cómo buscar la página de directivas para Azure Arc.

  3. Seleccione Definiciones.

  4. Búsqueda de ID de directivas 708b60a6-d253-4fe0-9114-4be4c00f012c.

    Recorte de pantalla que muestra dónde buscar la directiva por id. para Azure Arc.

  5. Seleccione Configurar clústeres de Kubernetes habilitado para Azure Arc para instalar la extensión de Microsoft Defender for Cloud.

  6. Seleccione Asignaciones.

    Recorte de pantalla que muestra la pestaña Asignaciones para Azure Arc.

  7. Use una de las secciones siguientes de este artículo como se indica:

Creación de una nueva asignación con el área de trabajo personalizada

Si la directiva aún no está asignada, la pestaña Asignaciones muestra el número 0.

Recorte de pantalla que muestra que no se asigna ningún área de trabajo para Azure Arc.

Para asignar un área de trabajo personalizada:

  1. Seleccione Asignar.

  2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  3. Seleccione un valor LogAnalyticsWorkspaceResourceId en el menú desplegable.

    Recorte de pantalla que muestra el menú desplegable de un id. de recurso del área de trabajo de Log Analytics relacionado con Azure Arc.

  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva se asigna a un área de trabajo, la pestaña Asignaciones muestra el número 1.

Nota:

Si tiene más de una suscripción, es posible que el número sea mayor. Si tiene un número 1 o superior, pero la asignación no está en el ámbito pertinente, siga los pasos que se muestran en Crear una nueva asignación con un área de trabajo personalizada.

Recorte de pantalla de la pestaña que muestra un área de trabajo asignada para Azure Arc.

Para asignar un área de trabajo personalizada:

  1. Seleccione la asignación pertinente.

    Recorte de pantalla que muestra la selección de una asignación para Azure Arc.

  2. Seleccione Editar asignación.

  3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  4. Seleccione un valor LogAnalyticsWorkspaceResourceId en el menú desplegable.

    Recorte de pantalla que muestra el menú desplegable de un id. de recurso del área de trabajo de Log Analytics para Azure Arc.

  5. Seleccione Revisar y guardar.

  6. Seleccione Guardar.

Eliminación del sensor de Defender

Para quitar esta extensión (o cualquier otra) de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

  • Habilitar el aprovisionamiento automático potencialmente afecta a las máquinas existentes y futuras.
  • Deshabilitar el aprovisionamiento automático de una extensión afecta solo a las máquinas futuras. No se desinstala nada al deshabilitar el aprovisionamiento automático.

Nota:

Para deshabilitar el plan de Defender para contenedores por completo, vaya a Configuración del entorno y desactive Microsoft Defender para contenedores.

Sin embargo, para asegurarse de que los componentes de Defender para contenedores no se aprovisionan automáticamente en los recursos desde ahora, deshabilite el aprovisionamiento automático de las extensiones.

Puede quitar la extensión de las máquinas que se están ejecutando actualmente mediante la API de REST, la CLI de Azure o una plantilla de Resource Manager, como se explica en las pestañas siguientes.

Uso de API de REST para quitar el sensor de Defender de AKS

Para quitar el agente mediante la API de REST, ejecute el siguiente comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

El comando incluye estos parámetros:

Nombre Descripción Mandatory
SubscriptionId Identificador de suscripción del clúster
ResourceGroup Grupo de recursos del clúster
ClusterName Nombre del clúster
ApiVersion Versión de la API; debe ser 2022-06-01 o posterior

Este es el cuerpo de la solicitud:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

El cuerpo de la solicitud tiene estos parámetros:

Nombre Descripción Mandatory
location Ubicación del clúster
properties.securityProfile.defender.securityMonitoring.enabled Determina si habilitar o deshabilitar Microsoft Defender para contenedores en el clúster

Ahora que ha habilitado Defender para contenedores, puede hacer lo siguiente:

Para más información sobre Defender for Cloud y Defender para contenedores, consulte los blogs siguientes: