Configurez les composants de Microsoft Defender pour les conteneurs
Microsoft Defender pour les conteneurs est une solution cloud native dédiée à la sécurisation de vos conteneurs.
Defender pour les conteneurs protège vos clusters s’ils s’exécutent dans :
Azure Kubernetes Service (AKS) - Service managé de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.
Amazon Elastic Kubernetes Service (EKS) dans un compte Amazon Web Services (AWS) connecté - Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.
Google Kubernetes Engine (GKE) dans un projet Google Cloud Platform (GCP) connecté : l’environnement géré de Google pour le déploiement, la gestion et la mise à l’échelle d’applications à l’aide de l’infrastructure GCP.
Autres distributions Kubernetes (à l’aide de Kubernetes avec Azure Arc) - Clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) hébergés localement ou sur IaaS. Pour plus d’informations, consultez la section Local/IaaS (ARC) de Fonctionnalités prises en charge par environnement.
Apprenez-en davantage sur ce plan dans Vue d’ensemble de Microsoft Defender pour les conteneurs.
Vous pouvez d’abord apprendre à vous connecter et à protéger vos conteneurs dans les articles suivants :
- Protéger vos conteneurs Azure avec Defender pour les conteneurs
- Protéger vos clusters Kubernetes locaux avec Defender pour les conteneurs
- Protéger vos conteneurs de comptes Amazon Web Service (AWS) avec Defender pour les conteneurs
- Protéger vos conteneurs de projet Google Cloud Platform (GCP) avec Defender pour les conteneurs
Pour en savoir plus, vous pouvez aussi regarder ces vidéos de la série de vidéos Defender pour le cloud dans le champ :
- Microsoft Defender pour les conteneurs dans un environnement multicloud
- Protection des conteneurs dans GCP avec Defender pour les conteneurs
Remarque
La prise en charge par Defender pour les conteneurs des clusters Kubernetes avec Arc est une fonctionnalité en préversion. La fonction de prévisualisation est disponible en libre-service, sur la base d'un consentement préalable.
Les aperçus sont fournis "en l'état" et "selon les disponibilités" et sont exclus des accords de niveau de service et de la garantie limitée.
Pour en savoir plus sur les systèmes d’exploitation pris en charge, la disponibilité des fonctionnalités, le proxy sortant et plus encore, consultez la disponibilité des fonctionnalités Defender pour conteneurs.
Configuration requise pour le réseau
Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité :
Consultez les règles de nom de domaine complet/d’application pour Microsoft Defender pour les conteneurs.
Par défaut, les clusters AKS ont un accès illimité sortant à Internet.
Configuration requise pour le réseau
Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité :
Pour les déploiements de cloud public :
Domaine Azure | Domaine Azure Government | Domaine Microsoft Azure géré par 21Vianet | Port |
---|---|---|---|
*.ods.opinsights.azure.com | *.ods.opinsights.azure.us | *.ods.opinsights.azure.cn | 443 |
*.oms.opinsights.azure.com | *.oms.opinsights.azure.us | *.oms.opinsights.azure.cn | 443 |
login.microsoftonline.com | login.microsoftonline.us | .chinacloudapi.cn | 443 |
Vous devrez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Activer le plan
Pour activer le plan :
Dans le menu de Defender pour le cloud, ouvrez la page de paramètres et sélectionnez l’abonnement approprié.
Dans la page Plans Defender, sélectionnez Defender pour les conteneurs , puis Sélectionnez Paramètres.
Conseil
Si Defender pour Kubernetes et/ou Defender pour les registres de conteneurs est déjà activé pour l’abonnement, une notification de mise à jour s’affiche. Dans le cas contraire, la seule option est Defender pour les conteneurs.
Activez le composant approprié pour l’activer.
Remarque
- Les clients Defenders pour les conteneurs qui ont adhéré avant août 2023 et qui n'ont pas activé la découverte sans agent pour Kubernetes dans le cadre de Defender CSPM lorsqu'ils ont activé le plan, doivent activer manuellement l'extension de découverte sans agent pour Kubernetes dans le plan Defender pour les conteneurs.
- Lorsque vous désactivez Defender pour les conteneurs, les composants sont désactivés et ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs sur lesquels ils sont déjà installés.
Méthode d’activation par fonctionnalité
Par défaut, lors de l’activation du plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour activer automatiquement toutes les fonctionnalités et installer tous les composants requis pour fournir les protections offertes par le plan, y compris l’attribution d’un espace de travail par défaut.
Si vous ne souhaitez pas activer toutes les fonctionnalités des plans, vous pouvez sélectionner manuellement les fonctionnalités spécifiques à activer en sélectionnant Modifier la configuration pour le plan Conteneurs. Ensuite, dans la page Paramètres et surveillance, sélectionnez les fonctionnalités que vous souhaitez activer. En outre, vous pouvez modifier cette configuration à partir de la page Plans Defender après la configuration initiale du plan.
Pour plus d’informations sur la méthode d’activation pour chacune des fonctionnalités, consultez la matrice de prise en charge.
Rôles et autorisations
En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.
Affectation d’un espace de travail personnalisé pour le capteur Defender
Vous pouvez affecter un espace de travail personnalisé via Azure Policy.
Déploiement manuel du capteur Defender ou de l’agent de stratégie Azure sans approvisionnement automatique à l’aide de recommandations
Les fonctionnalités qui nécessitent une installation du capteur peuvent également être déployées sur un ou plusieurs clusters Kubernetes, à l’aide de la recommandation appropriée :
Capteur | Recommandation |
---|---|
Capteur Defender pour Kubernetes | Le profil Defender doit être activé sur les clusters Azure Kubernetes Service |
Capteur Defender pour Kubernetes avec Arc | L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc |
Agent de stratégie Azure pour Kubernetes | Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service |
Agent de stratégie Azure pour Kubernetes avec Arc | L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc |
Exécutez ces étapes pour effectuer le déploiement du capteur Defender sur des clusters spécifiques :
Dans la page de recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité améliorée ou recherchez directement l’une des recommandations ci-dessus (ou utilisez les liens ci-dessus pour ouvrir directement la recommandation)
Affichez tous les clusters sans capteur via l’onglet non sain.
Sélectionnez les clusters pour y déployer le capteur souhaité, puis sélectionnez Corriger.
Sélectionnez Corriger X ressources.
Déploiement du capteur Defender : toutes les options
Vous pouvez activer le plan Defender pour les conteneurs et déployer tous les composants appropriés à partir du portail Azure, de l’API REST ou avec un modèle Resource Manager. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.
Une fois le capteur Defender déployé, un espace de travail par défaut est automatiquement affecté. Vous pouvez affecter un espace de travail personnalisé à la place de l’espace de travail par défaut via Azure Policy.
Remarque
Le capteur Defender est déployé sur chaque nœud pour fournir les protections au moment de l’exécution et collecter les signaux provenant des nœuds à l’aide de la technologie eBPF.
Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud
Un processus rationalisé et sans friction vous permet d’utiliser les pages du portail Azure pour activer le plan Defender pour le cloud et pour configurer le provisionnement automatique de l’ensemble des composants nécessaires à la protection de vos clusters Kubernetes à grande échelle.
Une recommandation Defender pour le cloud dédiée fournit ce qui suit :
- Visibilité sur les clusters sur lesquels le capteur Defender est déployé
- Bouton Corriger pour opérer un déploiement sur ces clusters sans capteur
À partir de la page de recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.
Utilisez le filtre pour trouver la recommandation nommée Le profil Defender doit être activé pour les clusters Azure Kubernetes Service.
Conseil
Notez l’icône Corriger dans la colonne actions
Sélectionnez les clusters pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).
Dans la liste des ressources non saines, sélectionnez un cluster et choisissez Corriger pour ouvrir le volet contenant la confirmation de correction.
Sélectionnez Corriger X ressources.
Activer le plan
Pour activer le plan :
Dans le menu de Defender pour le cloud, ouvrez la page de paramètres et sélectionnez l’abonnement approprié.
Dans la page Plans Defender, sélectionnez Defender pour les conteneurs , puis Sélectionnez Paramètres.
Conseil
Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour s’affiche. Dans le cas contraire, la seule option est Defender pour les conteneurs.
Activez le composant approprié pour l’activer.
Notes
Lorsque vous désactivez Defender pour les conteneurs, les composants sont désactivés et ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs sur lesquels ils sont déjà installés.
Par défaut, lors de l’activation du plan via le Portail Azure, Microsoft Defender pour les conteneurs est configuré pour installer automatiquement les composants requis pour fournir les protections offertes par le plan, y compris l’attribution d’un espace de travail par défaut.
Si vous voulez désactiver l’installation automatique des composants pendant le processus d’intégration, sélectionnez Modifier la configuration pour le plan Conteneurs. Les options avancées s’affichent et vous permettent de désactiver l’installation automatique pour chaque composant.
En outre, vous pouvez modifier cette configuration à partir de la page plans Defender.
Notes
Si vous choisissez de désactiver le plan à tout moment après l’activation par le biais du portail comme indiqué ci-dessus, vous devez supprimer manuellement le déploiement des composants Defender pour les conteneurs sur vos clusters.
Vous pouvez affecter un espace de travail personnalisé via Azure Policy.
Si vous désactivez l’installation automatique d’un composant, vous pouvez facilement déployer le composant sur un ou plusieurs clusters à l’aide de la recommandation appropriée :
- Module complémentaire Policy pour Kubernetes - Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
- Profil Azure Kubernetes Service - Le profil Defender doit être activé pour les clusters Azure Kubernetes Service
- Extension Kubernetes avec Azure Arc - L’extension Defender doit être installée pour les clusters Kubernetes avec Azure Arc
- Extension Policy pour Kubernetes avec Azure Arc - L’extension Policy doit être installée sur les clusters Kubernetes avec Azure Arc
En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.
Prérequis
Avant de déployer le capteur, effectuez les opérations suivantes :
- Connectez le cluster Kubernetes à Azure Arc
- Suivez les prérequis indiqués dans la documentation sur les extensions de cluster génériques.
Déployer le capteur Defender
Vous pouvez déployer le capteur Defender à l’aide de différentes méthodes. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.
Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud
Une recommandation Defender pour le cloud dédiée fournit ce qui suit :
- Visibilité sur les clusters sur lesquels le capteur Defender est déployé
- Bouton Corriger pour opérer un déploiement sur ces clusters sans capteur
À partir de la page de recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.
Utilisez le filtre pour trouver la recommandation nommée L’extension Defender pour le cloud doit être installée pour les clusters Kubernetes avec Azure Arc.
Conseil
Notez l’icône Corriger dans la colonne actions
Sélectionnez le capteur pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).
Dans la liste ressources non saines, sélectionnez un cluster, choisissez Corriger pour ouvrir le volet contenant les options de correction.
Sélectionnez l’espace de travail Log Analytics approprié, puis choisissez Corriger la ressource x.
Vérifier le déploiement
Pour vérifier que le capteur Defender est installé sur votre cluster, suivez les étapes sous l’un des onglets ci-dessous :
Utiliser une recommandation Defender pour le cloud pour vérifier l’état de votre capteur
À partir de la page de recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer Microsoft Defender pour le cloud.
Sélectionnez la recommandation nommée L’extension Microsoft Defender pour le cloud doit être installée pour les clusters Kubernetes avec Azure Arc.
Vérifiez que le cluster sur lequel vous avez déployé le capteur est répertorié comme Sain.
Activer le plan
Important
- Si vous n’avez pas encore connecté un compte AWS, connectez vos comptes AWS à Microsoft Defender pour le cloud.
- Si vous avez déjà activé le plan sur votre connecteur et que vous souhaitez modifier les configurations facultatives ou activer de nouvelles fonctionnalités, passez directement à l’étape 4.
Pour protéger vos clusters EKS, activez le plan Conteneurs sur le connecteur de compte approprié :
Dans le menu de Defender pour le cloud, ouvrez Paramètres de l’environnement.
Sélectionnez le connecteur AWS.
Vérifiez que le bouton bascule du plan Conteneurs est défini sur Activé.
Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.
Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé. Pour modifier la période de rétention de vos journaux d’audit, entrez le délai d’exécution souhaité.
Remarque
Si vous désactivez cette configuration, la fonctionnalité
Threat detection (control plane)
est désactivée. En savoir plus sur la disponibilité des fonctionnalités.La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité Découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.
L’évaluation de la vulnérabilité des conteneurs sans agent assure la gestion de la vulnérabilité des images stockées dans ECR et des images en cours d’exécution sur vos clusters EKS. Pour activer la fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent, basculez le paramètre sur Activé.
Passez en revue les pages restantes de l’Assistant Connecteur.
Si vous activez la fonctionnalité Découverte sans agent pour Kubernetes, vous devez accorder des autorisations de plan de contrôle sur le cluster. Vous pouvez le faire de l’une des manières suivantes :
Exécutez ce script Python pour octroyer les autorisations. Le script ajoute le rôle MDCContainersAgentlessDiscoveryK8sRole de Defender pour le cloud au ConfigMap aws-auth des clusters EKS que vous souhaitez intégrer.
Octroyez à chaque cluster Amazon EKS le rôle MDCContainersAgentlessDiscoveryK8sRole avec la possibilité d’interagir avec le cluster. Connectez-vous à tous les clusters existants et nouvellement créés à l’aide d’eksctl et exécutez le script suivant :
eksctl create iamidentitymapping \ --cluster my-cluster \ --region region-code \ --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ --group system:masters\ --no-duplicate-arns
Pour plus d’informations, consultez Activation de l’accès du principal IAM à votre cluster.
Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes doivent être installés et en cours d’exécution sur vos clusters EKS. Il existe des recommandations Defender pour le cloud dédiées pour installer ces extensions (et Azure Arc si nécessaire) :
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Pour chacune des recommandations, suivez les étapes ci-dessous pour installer les extensions nécessaires.
Pour installer les extensions requises :
Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations par son nom.
Sélectionnez un cluster non sain.
Important
Vous devez sélectionner les clusters un par un.
Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.
Sélectionnez Corriger.
Defender pour le cloud génère un script dans le langage de votre choix : sélectionnez Bash (pour Linux) ou PowerShell (pour Windows).
Sélectionnez Télécharger la logique de correction.
Exécutez le script généré sur votre cluster.
Répétez les étapes « a » à « f » pour la deuxième recommandation.
Afficher les recommandations et les alertes pour vos clusters EKS
Conseil
Vous pouvez simuler des alertes de conteneur en suivant les instructions données dans ce billet de blog.
Pour afficher les alertes et les recommandations pour vos clusters EKS, utilisez les filtres sur les pages d’alertes, de recommandations et d’inventaire pour filtrer par type de ressource Cluster AWS EKS.
Déploiement du capteur Defender
Pour déployer le capteur Defender sur vos clusters AWS, effectuez ces étapes :
Accédez à Microsoft Defender pour le cloud –>Paramètres d’environnement –>Ajouter un environnement –>Amazon Web Services.
Renseignez les détails du compte.
Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.
Accédez à Configurer l’accès et suivez les étapes ci-dessous.
Une fois le modèle Cloud Formation déployé avec succès, sélectionnez Créer.
Remarque
Vous pouvez exclure un cluster AWS spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents
sur la ressource avec la valeur true
. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless
à la ressource avec la valeur true
.
Activer le plan
Important
Si vous n’avez pas encore connecté un projet GCP, connectez vos projets GCP à Microsoft Defender pour le cloud.
Pour protéger vos clusters GKE, vous devez activer le plan Conteneurs sur le projet GCP approprié.
Notes
Vérifiez que vous n'avez aucune stratégie Azure qui empêche l'installation d'Arc.
Pour protéger les clusters Google Kubernetes Engine (GKE) :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.
Sélectionner le connecteur GCP approprié
Sélectionnez le bouton Suivant : Sélectionner des plans>.
Assurez-vous que le plan Conteneurs est activé.
Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.
Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé.
Remarque
Si vous désactivez cette configuration, la fonctionnalité
Threat detection (control plane)
est désactivée. En savoir plus sur la disponibilité des fonctionnalités.Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :
- Activez le provisionnement automatique de Microsoft Defender pour les conteneurs au niveau du projet, comme expliqué dans les instructions de cette section. Nous recommandons cette méthode.
- Utilisez les recommandations de Defender pour le cloud pour l’installation par cluster. Elles s’affichent sur la page des recommandations de Microsoft Defender pour le cloud. Découvrez comment déployer la solution sur des clusters spécifiques.
- Installez manuellement Kubernetes avec Arcet les extensions.
La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité de découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.
L’évaluation des vulnérabilités des conteneurs sans agent fournit une gestion des vulnérabilités pour les images stockées dans les registres Google (GAR et GCR) et l’exécution d’images sur vos clusters GKE. Pour activer la fonctionnalité d’évaluation des vulnérabilités des conteneurs sans agent, basculez le paramètre sur Activé.
Sélectionnez le bouton Copier.
Sélectionnez le bouton GCP Cloud Shell >.
Collez le script dans le terminal Cloud Shell et exécutez-le.
Le connecteur sera mis à jour après l’exécution du script. Ce processus peut prendre jusqu’à 6-8 heures.
Déployer la solution sur des clusters spécifiques
Si vous désactivez toutes les configurations d’approvisionnement automatique par défaut, pendant le processus d’intégration du connecteur GCP, ou par la suite. Vous devez installer manuellement Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes sur chacun de vos clusters GKE afin de bénéficier au maximum de la sécurité de Defender pour les conteneurs.
Il existe 2 recommandations Defender pour le cloud dédiées que vous pouvez utiliser pour installer ces extensions (et Arc si nécessaire) :
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Notes
Lors de l'installation des extensions Arc, vous devez vérifier que le projet GCP fourni est identique à celui du connecteur concerné.
Pour déployer la solution sur des clusters spécifiques :
Connectez-vous au portail Azure.
Accédez à Microsoft Defender pour le cloud>Recommandations.
Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations par son nom.
Sélectionnez un cluster GKE non sain.
Important
Vous devez sélectionner les clusters un par un.
Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.
Sélectionnez le nom de la ressource non saine.
Sélectionnez Corriger.
Defender pour le cloud génère un script dans le langage de votre choix :
- Pour Linux, sélectionnez Bash.
- Pour Windows, sélectionnez PowerShell.
Sélectionnez Télécharger la logique de correction.
Exécutez le script généré sur votre cluster.
Répétez les étapes 3 à 8 pour la deuxième recommandation.
Afficher les alertes de votre cluster GKE
Connectez-vous au portail Azure.
Accédez à Microsoft Defender pour le cloud>Alertes de sécurité.
Sélectionnez le bouton .
Dans le menu déroulant Filtre, sélectionnez Type de ressource.
Dans le menu déroulant Valeur, sélectionnez Cluster GCP GKE.
Sélectionnez OK.
Déploiement du capteur Defender
Pour déployer le capteur Defender sur vos clusters GCP, effectuez ces étapes :
Accédez à Microsoft Defender pour le cloud –>Paramètres d’environnement –>Ajouter un environnement –>Google Cloud Platform.
Renseignez les détails du compte.
Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.
Accédez à Configurer l’accès et suivez les étapes ci-dessous.
Une fois le script gcloud exécuté, sélectionnez Créer.
Remarque
Vous pouvez exclure un cluster GCP spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents
sur la ressource avec la valeur true
. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless
à la ressource avec la valeur true
.
Simuler des alertes de sécurité à partir de Microsoft Defender pour les conteneurs
La liste complète des alertes prises en charge est disponible dans le tableau de référence de toutes les alertes de sécurité Defender pour le cloud.
Pour simuler une alerte de sécurité, exécutez la commande suivante à partir du cluster :
kubectl get pods --namespace=asc-alerttest-662jfi039n
La réponse attendue est
No resource found
.Dans les 30 minutes, Defender pour le cloud détecte cette activité et déclenche une alerte de sécurité.
Remarque
Pour simuler des alertes sans agent pour Defender pour les conteneurs, Azure Arc n’est pas une condition préalable.
Dans le Portail Azure, ouvrez la page des alertes de sécurité de Microsoft Defender pour le cloud et recherchez l’alerte sur la ressource concernée :
Supprimer le capteur Defender
Pour supprimer cette extension Defender pour le cloud ou toute autre extension, désactiver le provisionnement automatique ne suffit pas :
- L’activation du provisionnement automatique peut avoir un impact sur les machines existantes et futures.
- La désactivation du provisionnement automatique pour une extension affecte uniquement les machines futures. Cette opération ne désinstalle aucun élément.
Remarque
Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez le plan Microsoft Defender pour les conteneurs.
Néanmoins, pour garantir que les composants Defender pour les conteneurs ne sont pas désormais automatiquement provisionnés sur vos ressources, désactivez le provisionnement automatique des extensions, comme expliqué dans Configurer le provisionnement automatique pour les agents et les extensions à partir de Microsoft Defender pour le cloud.
Vous pouvez supprimer l’extension à l’aide du portail Azure, d’Azure CLI ou de l’API REST, comme expliqué dans les onglets ci-dessous.
Utiliser le portail Azure pour supprimer l’extension
Espace de travail Log Analytics par défaut pour AKS
L’espace de travail Log Analytics est utilisé par le capteur Defender comme pipeline de données pour envoyer des données du cluster à Defender pour le cloud sans conserver de données dans l’espace de travail Log Analytics lui-même. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’usage.
Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas encore d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut quand vous installez le capteur Defender. L’espace de travail par défaut est créé en fonction de votre région.
La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :
- Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
- Groupe de ressources : DefaultResourceGroup-[geo]
Attribuer un espace de travail personnalisé
Quand vous activez l’option de provisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.
Pour vérifier si vous avez un espace de travail attribué :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Stratégie.
Sélectionnez Définitions.
Recherchez l’ID de stratégie
64def556-fbad-4622-930e-72d1d5589bf5
.Sélectionnez Configurer les clusters Azure Kubernetes Service pour activer le profil Defender.
Sélectionnez Attribution.
Suivez les étapes de la section Créer une attribution avec un espace de travail personnalisé si la stratégie n’a pas encore été affectée à l’étendue concernée. Ou bien suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé si la stratégie est déjà attribuée et que vous voulez la modifier pour utiliser un espace de travail personnalisé.
Créer une attribution avec un espace de travail personnalisé
Si la stratégie n’a pas été attribuez, vous verrez Assignments (0)
.
Pour affecter un espace de travail personnalisé :
Sélectionnez Attribuer.
Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer une attribution avec un espace de travail personnalisé
Si la stratégie a déjà été attribuée à un espace de travail, vous verrez Assignments (1)
.
Remarque
Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand.
Pour affecter un espace de travail personnalisé :
Sélectionnez l’assignation correspondante.
Sélectionnez Modifier l’attribution.
Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.
Sélectionnez Vérifier + enregistrer.
Sélectionnez Enregistrer.
Espace de travail Log Analytics par défaut pour Arc
L’espace de travail Log Analytics est utilisé par le capteur Defender comme pipeline de données pour envoyer des données du cluster à Defender pour le cloud sans conserver de données dans l’espace de travail Log Analytics lui-même. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’usage.
Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas encore d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut quand vous installez le capteur Defender. L’espace de travail par défaut est créé en fonction de votre région.
La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :
- Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
- Groupe de ressources : DefaultResourceGroup-[geo]
Attribuer un espace de travail personnalisé
Quand vous activez l’option de provisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.
Pour vérifier si vous avez un espace de travail attribué :
Connectez-vous au portail Azure.
Recherchez et sélectionnez Stratégie.
Sélectionnez Définitions.
Recherchez l’ID de stratégie
708b60a6-d253-4fe0-9114-4be4c00f012c
.Sélectionnez Configurez les clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud.
Sélectionnez Affectations.
Suivez les étapes de la section Créer une attribution avec un espace de travail personnalisé si la stratégie n’a pas encore été affectée à l’étendue concernée. Ou bien suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé si la stratégie est déjà attribuée et que vous voulez la modifier pour utiliser un espace de travail personnalisé.
Créer une attribution avec un espace de travail personnalisé
Si la stratégie n’a pas été attribuez, vous verrez Assignments (0)
.
Pour affecter un espace de travail personnalisé :
Sélectionnez Attribuer.
Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.
Sélectionnez Revoir + créer.
Sélectionnez Create (Créer).
Créer une attribution avec un espace de travail personnalisé
Si la stratégie a déjà été attribuée à un espace de travail, vous verrez Assignments (1)
.
Remarque
Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand. Si vous avez un nombre 1 ou plus, il est possible que l’attribution ne soit pas encore sur l’étendue appropriée. Le cas échéant, vous devez suivre les étapes de la section Créer une attribution avec un espace de travail personnalisé.
Pour affecter un espace de travail personnalisé :
Sélectionnez l’assignation correspondante.
Sélectionnez Modifier l’attribution.
Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.
Sélectionnez Vérifier + enregistrer.
Sélectionnez Enregistrer.
Supprimer le capteur Defender
Pour supprimer cette extension Defender pour le cloud ou toute autre extension, désactiver le provisionnement automatique ne suffit pas :
- L’activation du provisionnement automatique peut avoir un impact sur les machines existantes et futures.
- La désactivation du provisionnement automatique pour une extension affecte uniquement les machines futures. Cette opération ne désinstalle aucun élément.
Remarque
Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez le plan Microsoft Defender pour les conteneurs.
Néanmoins, pour garantir que les composants Defender pour les conteneurs ne sont pas désormais automatiquement provisionnés sur vos ressources, désactivez le provisionnement automatique des extensions, comme expliqué dans Configurer le provisionnement automatique pour les agents et les extensions à partir de Microsoft Defender pour le cloud.
Vous pouvez supprimer l’agent à l’aide de l’API REST ou d’un modèle Resource Manager, comme expliqué dans les onglets ci-dessous.
Utiliser l’API REST pour supprimer le capteur Defender d’AKS
Pour supprimer l’agent à l’aide de l’API REST, exécutez la commande PUT suivante :
https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nom | Description | Obligatoire |
---|---|---|
SubscriptionId | ID de l’abonnement du cluster | Yes |
ResourceGroup | Groupe de ressources du cluster | Yes |
ClusterName | Nom du cluster | Yes |
ApiVersion | Version de l’API obligatoirement >= 2022-06-01 | Yes |
Corps de la demande :
{
"location": "{{Location}}",
"properties": {
"securityProfile": {
"defender": {
"securityMonitoring": {
"enabled": false
}
}
}
}
}
Paramètres du corps de la requête :
Name | Description | Obligatoire |
---|---|---|
location | Emplacement du cluster | Oui |
properties.securityProfile.defender.securityMonitoring.enabled | Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster | Oui |
En savoir plus
Vous pouvez consulter les blogs suivants :
- Protéger vos charges de travail Google Cloud avec Microsoft Defender pour le cloud
- Présentation de Microsoft Defender pour les conteneurs
- Nouveau nom pour la sécurité multicloud : Microsoft Defender pour le cloud
Étapes suivantes
Maintenant que vous avez activé Defender pour les conteneurs, vous pouvez :
- Analyser vos images ACR à la recherche de vulnérabilités
- Analysez vos images AWS pour détecter les vulnérabilités avec la Gestion des vulnérabilités Microsoft Defender
- Analysez vos images GGP pour détecter les vulnérabilités avec la Gestion des vulnérabilités Microsoft Defender
- Consultez les questions courantes sur Defender pour les conteneurs.