Configurez les composants de Microsoft Defender pour les conteneurs

Microsoft Defender pour les conteneurs est une solution cloud native dédiée à la sécurisation de vos conteneurs. Cela permet de protéger vos clusters s’ils sont en cours d’exécution :

• Azure Kubernetes Service (AKS), service géré de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.

• Amazon Elastic Kubernetes Service (EKS) dans un compte Amazon Web Services (AWS) connecté : Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.

• Google Kubernetes Engine (GKE) dans un projet Google Cloud Platform (GCP) connecté : l’environnement géré de Google pour le déploiement, la gestion et la mise à l’échelle d’applications à l’aide de l’infrastructure GCP.

• Autres distributions Kubernetes (à l’aide de Kubernetes avec Azure Arc) : Clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) hébergés localement ou sur IaaS (infrastructure as a service). Pour plus d’informations, consultez la matrice de prise en charge des conteneurs dans Defender pour le cloud.

Vous pouvez d’abord commencer par les articles suivants pour apprendre à vous connecter et à protéger vos conteneurs :

• Protéger vos conteneurs Azure avec Defender pour les conteneurs
• Protéger vos clusters Kubernetes locaux avec Defender pour les conteneurs
• Protéger vos conteneurs Amazon Web Services (AWS) avec Defender pour les conteneurs
• Protéger vos conteneurs Google Cloud Platform (GCP) avec Defender pour les conteneurs

Pour en savoir plus, vous pouvez aussi regarder ces vidéos de la série de vidéos Defender pour le cloud sur le terrain :

• Microsoft Defender pour les conteneurs dans un environnement multicloud
• Protection des conteneurs dans GCP avec Defender pour les conteneurs

Remarque

La prise en charge par Defender pour les conteneurs des clusters Kubernetes avec Azure Arc est une fonctionnalité en préversion. La fonction de prévisualisation est disponible en libre-service, sur la base d'un consentement préalable.

Les préversions sont fournies en l’état et en fonction des disponibilités. Elles sont exclues des contrats de niveau de service et de la garantie limitée.

Pour en savoir plus sur les systèmes d’exploitation pris en charge, la disponibilité des fonctionnalités, le proxy sortant et plus encore, consultez Matrice de prise en charge des conteneurs dans Defender pour le cloud.

Configuration requise pour le réseau

Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud et ainsi envoyer des données et des événements de sécurité.

Le capteur Defender doit se connecter à l’espace de travail Azure Monitor Log Analytics configuré. Par défaut, les clusters AKS ont un accès illimité sortant à Internet. Si le trafic de sortie du cluster nécessite l’utilisation d’une étendue Private Link Azure Monitor (AMPLS), vous devez :

• Définissez le cluster avec Container Insights et un espace de travail Log Analytics.
• Configurez l’AMPLS avec le mode d’accès aux requêtes et le mode d’accès aux ingestions définis sur Ouvert.
• Définissez l’espace de travail Log Analytics du cluster comme ressource dans l’AMPLS.
• Créer dans l’AMPLS un point de terminaison privé de réseau virtuel entre le réseau virtuel du cluster et la ressource Log Analytics. Le point de terminaison privé du réseau virtuel s’intègre à une zone DNS privée.

Pour obtenir des instructions, veuillez consulter la section Créer une étendue de liaison privée Azure Monitor.

Configuration requise pour le réseau

Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.

Domaine Azure	Domaine Azure Government	Domaine Azure exploité par 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	.chinacloudapi.cn	443

Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.

Activer le plan

1. Dans Defender pour le cloud, sélectionnez Paramètres, puis l’abonnement approprié.

2. Dans la page Plans de Defender, sélectionnez Conteneurs>Paramètres.

   

   Conseil

   Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour apparaît. Sinon, la seule option est Conteneurs.

   

3. Activez le composant approprié.

   

   Remarque

   • Les clients Defender pour les conteneurs qui ont adhéré avant août 2023 et qui n’ont pas activé Découverte sans agent pour Kubernetes dans le cadre de Defender CSPM (gestion de la posture de sécurité cloud) lorsqu’ils ont activé le plan, doivent activer manuellement l’extension Découverte sans agent pour Kubernetes dans le plan Defender pour les conteneurs.
   • Lorsque vous désactivez Defender pour les conteneurs, les composants sont définis sur Désactivé. Ils ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs où ils sont déjà installés.

Méthode d’activation par fonctionnalité

Par défaut, lorsque vous activez le plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour activer automatiquement toutes les fonctionnalités et installer tous les composants requis pour fournir les protections offertes par le plan. Cette configuration inclut l’attribution d’un espace de travail par défaut.

Si vous ne souhaitez pas activer toutes les fonctionnalités des plans, vous pouvez sélectionner manuellement les fonctionnalités spécifiques à activer en sélectionnant Modifier la configuration pour le plan Conteneurs. Ensuite, dans la page Paramètres et surveillance, sélectionnez les fonctionnalités que vous souhaitez activer. Vous pouvez également modifier cette configuration à partir de la page Plans Defender après la configuration initiale du plan.

Pour plus d’informations sur la méthode d’activation pour chacune des fonctionnalités, consultez la matrice de prise en charge.

Rôles et autorisations

Découvrez-en davantage sur les rôles pour l’approvisionnement d’extensions Defender pour les conteneurs.

Attribution d’un espace de travail personnalisé pour le capteur Defender

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Déploiement manuel du capteur Defender ou de l’agent de stratégie Azure sans approvisionnement automatique à l’aide des recommandations

Les fonctionnalités qui nécessitent une installation du capteur peuvent également être déployées sur un ou plusieurs clusters Kubernetes. Utilisez la recommandation appropriée :

Capteur	Recommandation
Capteur Defender pour Kubernetes	Le profil Defender doit être activé sur les clusters Azure Kubernetes Service
Capteur Defender pour Kubernetes avec Azure Arc	L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc
Agent de stratégie Azure pour Kubernetes	Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
Agent de stratégie Azure pour Kubernetes avec Azure Arc	L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Pour déployer le capteur Defender sur des clusters spécifiques :

1. Dans la page des recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité améliorée ou recherchez l’une des recommandations précédentes. (Vous pouvez également utiliser les liens précédents pour ouvrir directement la recommandation.)

2. Affichez tous les clusters sans capteur en ouvrant l’onglet Non sain.

3. Sélectionnez les clusters dans lesquels vous souhaitez déployer le capteur, puis Corriger.

4. Sélectionnez Corriger X ressources.

Déployer le capteur Defender : toutes les options

Vous pouvez activer le plan Defender pour les conteneurs et déployer tous les composants appropriés à l’aide du portail Azure, de l’API REST ou d’un modèle Azure Resource Manager. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Une fois le capteur Defender déployé, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé à la place de l’espace de travail par défaut via Azure Policy.

Remarque

Le capteur Defender est déployé sur chaque nœud pour fournir les protections au moment de l’exécution et collecter les signaux provenant des nœuds à l’aide de la technologie eBPF.

Azure portal

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Vous pouvez utiliser les pages du portail Azure pour activer le plan Defender pour le cloud et pour configurer l’approvisionnement automatique de l’ensemble des composants nécessaires à la protection de vos clusters Kubernetes à grande échelle. Le processus est simplifié.

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

• Une visibilité sur lequel de vos clusters le capteur Defender est déployé.
• Un bouton Corriger pour déployer le capteur sur des clusters qui ne l’ont pas.

Pour déployer le capteur :

1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

2. Utilisez le filtre pour trouver la recommandation nommée Le profil Defender doit être activé pour les clusters Azure Kubernetes Service.

   Conseil

   Remarquez l’icône Corriger dans la colonne Actions.

3. Sélectionnez les clusters pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

4. Dans la liste des ressources non saines, sélectionnez un cluster. Sélectionnez ensuite Corriger pour ouvrir le volet avec la confirmation de correction.

5. Sélectionnez Corriger X ressources.

REST API

Utiliser l’API REST pour déployer le capteur Defender

Pour installer securityProfile sur un cluster existant à l’aide de l’API REST, exécutez la commande PUT suivante :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Voici l’URI de requête :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

La requête demandée présente ces paramètres :

Nom	Description	Obligatoire
SubscriptionId	ID de l’abonnement du cluster	Oui
ResourceGroup	Groupe de ressources du cluster	Oui
ClusterName	Nom du cluster	Oui
ApiVersion	Version de l’API – doit être 2022-06-01 ou version ultérieure	Oui

Voici le corps de la demande :

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Le corps de la requête présente ces paramètres :

Nom	Description	Obligatoire
location	Emplacement du cluster	Oui
properties.securityProfile.defender.securityMonitoring.enabled	Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster	Oui
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID de ressource Azure pour l’espace de travail Log Analytics	Oui

Azure CLI

Utiliser Azure CLI pour déployer le capteur Defender

1. Connectez-vous à Azure :

   az login
   az account set --subscription <your-subscription-id>
   

   Important

   Assurez-vous que vous utilisez le même ID d’abonnement pour <your-subscription-id> que celui qui est associé à votre cluster AKS.

2. Activez le capteur Defender sur vos conteneurs :

   • Exécutez la commande suivante pour créer un cluster avec le capteur Defender activé :

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Exécutez la commande suivante pour activer le capteur Defender sur un cluster existant :

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Voici les paramètres de configuration pris en charge sur le type de capteur Defender :

   Propriété

   Description

   logAnalyticsWorkspaceResourceId

   Facultatif. ID de ressource complet de votre propre espace de travail Log Analytics. Si vous ne le fournissez pas, l’espace de travail par défaut de la région est utilisé. Pour obtenir l’ID de ressource complet, exécutez la commande suivante pour afficher la liste des espaces de travail dans vos abonnements au format JSON par défaut : az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Voici la syntaxe de L’ID de ressource de l’espace de travail Log Analytics : /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} En savoir plus sur les Espaces de travail Log Analytics.

   Vous pouvez inclure ces paramètres dans un fichier JSON et spécifier le fichier JSON dans les commandes az aks create et az aks update commandes avec ce paramètre : --defender-config <path-to-JSON-file>. Le format du fichier JSON doit être :

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Apprenez-en plus sur les commandes CLI AKS dans az aks.

3. Pour vérifier que le capteur a été correctement ajouté, exécutez la commande suivante sur votre ordinateur avec le fichier kubeconfig pointant vers votre cluster :

   kubectl get pods -n kube-system
   

   Lorsque le capteur est ajouté, vous devriez voir un pod nommé microsoft-defender-XXXXX à l’état Running. L’ajout des pods peut prendre quelques minutes.

Gestionnaire de ressources

Utiliser Azure Resource Manager pour déployer le capteur Defender

Pour utiliser Azure Resource Manager afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?.

Pour installer securityProfile sur un cluster existant à l’aide de Resource Manager :

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Activer le plan

1. Dans Defender pour le cloud, sélectionnez Paramètres, puis l’abonnement approprié.

2. Dans la page Plans de Defender, sélectionnez Conteneurs>Paramètres.

   

   Conseil

   Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour apparaît. Sinon, la seule option est Conteneurs.

   

3. Activez le composant approprié.

   

   Remarque

   Lorsque vous désactivez Defender pour les conteneurs, les composants sont définis sur Désactivé. Ils ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs où ils sont déjà installés.

Par défaut, lorsque vous activez le plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour installer automatiquement tous les composants requis pour fournir les protections offertes par le plan. Cette configuration inclut l’attribution d’un espace de travail par défaut.

Si vous voulez désactiver l’installation automatique des composants pendant le processus d’intégration, sélectionnez Modifier la configuration pour le plan Conteneurs. Les options avancées s’affichent et vous permettent de désactiver l’installation automatique pour chaque composant.

Vous pouvez aussi modifier cette configuration à partir de la page Plans Defender.

Remarque

Si vous choisissez de désactiver le plan à tout moment après l’activation par le biais du portail, vous devez supprimer manuellement le déploiement des composants Defender pour les conteneurs sur vos clusters.

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Si vous désactivez l’installation automatique d’un composant, vous pouvez facilement déployer le composant sur un ou plusieurs clusters à l’aide de la recommandation appropriée :

• Module complémentaire Azure Policy pour Kubernetes : Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
• Profil Azure Kubernetes Service : Le profil Defender doit être activé pour les clusters Azure Kubernetes Service
• Extension Defender pour Kubernetes avec Azure Arc : L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc
• Extension Azure Policy pour Kubernetes avec Azure Arc : L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Découvrez-en davantage sur les rôles pour l’approvisionnement d’extensions Defender pour les conteneurs.

Prérequis

Avant de déployer le capteur, vérifiez que vous :

• Connectez le cluster Kubernetes à Azure Arc.
• Suivez les conditions préalables répertoriées dans la documentation relative aux extensions de cluster génériques.

Déployer le capteur Defender

Vous pouvez déployer le capteur Defender à l’aide de différentes méthodes. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Azure portal

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

• Une visibilité sur lequel de vos clusters le capteur Defender est déployé.
• Un bouton Corriger pour déployer le capteur sur des clusters qui ne l’ont pas.

Pour déployer le capteur :

1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

2. Utilisez le filtre pour trouver la recommandation nommée L’extension Microsoft Defender doit être activée sur les clusters Kubernetes avec Azure Arc.

   

   Conseil

   Remarquez l’icône Corriger dans la colonne Actions.

3. Sélectionnez le capteur pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

4. Dans la liste des ressources non saines, sélectionnez un cluster. Sélectionnez ensuite Corriger pour ouvrir le volet avec les options de correction.

5. Sélectionnez l’espace de travail Log Analytics approprié, puis Corriger la ressource x.

   

Azure CLI

Utiliser Azure CLI pour déployer le capteur Defender

1. Connectez-vous à Azure :

   az login
   az account set --subscription <your-subscription-id>
   

   Important

   Veillez à utiliser le même ID d’abonnement pour <your-subscription-id> que vous avez utilisé lors de la connexion de votre cluster à Azure Arc.

2. Exécutez la commande suivante pour déployer le capteur sur votre cluster Kubernetes avec Azure Arc :

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Voici les paramètres de configuration pris en charge sur le type de capteur Defender :

   Propriété	Description
   logAnalyticsWorkspaceResourceID	Facultatif. ID de ressource complet de votre propre espace de travail Log Analytics. Si vous ne le fournissez pas, l’espace de travail par défaut de la région est utilisé. Pour obtenir l’ID de ressource complet, exécutez la commande suivante pour afficher la liste des espaces de travail dans vos abonnements au format JSON par défaut : az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json La syntaxe de L’ID de ressource de l’espace de travail Log Analytics est la suivante : /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} En savoir plus sur les Espaces de travail Log Analytics.
   auditLogPath	Facultatif. Chemin d’accès complet aux fichiers journaux d’audit. Si vous n’en fournissez pas, le chemin d’accès par défaut /var/log/kube-apiserver/audit.log est utilisé. Pour le moteur AKS, le chemin d’accès standard est /var/log/kubeaudit/audit.log.

   La commande suivante montre un exemple d’utilisation de tous les champs facultatifs :

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Gestionnaire de ressources

Utiliser Azure Resource Manager pour déployer le capteur Defender

Pour utiliser Azure Resource Manager afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Vous pouvez utiliser le modèle Resource Manager azure-defender-extension-arm-template.json figurant dans les exemples d’installation Defender pour le cloud.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?.

REST API

Utiliser l’API REST pour déployer le capteur Defender

Pour utiliser l’API REST afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Pour déployer manuellement le capteur à l’aide de l’API REST, exécutez la commande PUT suivante :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

La commande inclut ces paramètres :

Nom	Dans	Obligatoire	Type	Description
Subscription ID	Chemin d’accès	True	String	ID d’abonnement de votre ressource Kubernetes avec Azure Arc
Resource Group	Chemin d’accès	True	Chaîne	Nom du groupe de ressources contenant votre ressource Kubernetes avec Azure Arc
Cluster Name	Chemin d’accès	True	String	Nom de votre ressource Kubernetes avec Azure Arc

Pour l’authentification, votre en-tête doit avoir un jeton du porteur (comme pour d’autres API Azure). Pour obtenir un jeton du porteur, exécutez la commande suivante :

az account get-access-token --subscription <your-subscription-id>

Utilisez la structure suivante pour le corps de votre message :

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

Le corps du message inclut les propriétés suivantes :

Propriété	Description
logAnalytics.workspaceId	ID d’espace de travail de la ressource Log Analytics.
logAnalytics.key	Clé de la ressource Log Analytics.
auditLogPath	Facultatif. Chemin d’accès complet aux fichiers journaux d’audit. La valeur par défaut est /var/log/kube-apiserver/audit.log.

Vérifier le déploiement

Pour vérifier que le capteur Defender est installé sur votre cluster, suivez les étapes sous l’un des onglets ci-dessous.

Portail Azure : Defender pour le cloud

Utiliser les recommandations Defender pour le cloud pour vérifier l’état de votre capteur

1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer Microsoft Defender pour le cloud.

2. Sélectionnez la recommandation nommée L’extension Microsoft Defender doit être installée pour les clusters Kubernetes avec Azure Arc.

   

3. Vérifiez que le cluster sur lequel vous avez déployé le capteur est répertorié comme Sain.

Portail Azure – Azure Arc

Utiliser les pages Azure Arc pour vérifier l’état de votre capteur

1. Dans le portail Azure, ouvrez Azure Arc.

2. Dans la liste d’infrastructures, sélectionnez Clusters Kubernetes, puis le cluster spécifique.

3. Ouvrez la page Extensions. Cette page répertorie les extensions sur le cluster. Vérifiez la colonne État de l’installation pour vérifier que le capteur Defender a été correctement installé.

   

4. Pour plus d’informations, sélectionnez l’extension.

   

Azure CLI

Utiliser l’interface de ligne de commande Azure pour vérifier que le capteur est déployé

1. Dans Azure CLI, exécutez la commande suivante :

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Dans la réponse, recherchez "extensionType": "microsoft.azuredefender.kubernetes" et "installState": "Installed".

   Remarque

   La réponse peut afficher "installState": "Pending" les premières minutes.

3. Si l’état indique Installed, exécutez la commande suivante sur votre ordinateur avec le fichier kubeconfig pointé vers votre cluster. Vérifiez ensuite que tous les pods sous l’espace de noms mdc sont dans l’état Running.

   kubectl get pods -n mdc
   

REST API

Utiliser l’API REST pour vérifier que le capteur est déployé

Pour vérifier à n’importe quel moment que le déploiement de votre capteur a réussi, ou pour vérifier son état :

1. Exécutez la commande GET suivante :

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Dans la réponse, recherchez "installState": "Installed" dans "extensionType": "microsoft.azuredefender.kubernetes".

   Conseil

   La réponse peut afficher "installState": "Pending" les premières minutes.

3. Si l’état indique Installed, exécutez la commande suivante sur votre ordinateur avec le fichier kubeconfig pointé vers votre cluster. Vérifiez ensuite que tous les pods sous l’espace de noms mdc sont dans l’état Running.

   kubectl get pods -n mdc
   

Activer le plan

Important

• Si vous n’avez pas connecté de compte AWS, connectez votre compte AWS à Microsoft Defender pour le cloud avant de commencer les étapes suivantes.
• Si vous avez déjà activé le plan sur votre connecteur et que vous souhaitez modifier les configurations facultatives ou activer de nouvelles fonctionnalités, passez directement à l’étape 4.

Pour vous aider protéger vos clusters EKS, activez le plan Defender pour les conteneurs sur le connecteur de compte approprié :

1. Dans Microsoft Defender pour le cloud, ouvrez Paramètres d’environnement.

2. Sélectionnez le connecteur AWS.

   

3. Vérifiez que le bouton bascule du plan Conteneurs est défini sur Activé.

   

4. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

   

   • Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, définissez le bouton bascule de cette fonctionnalité sur Activé. Pour modifier la période de rétention de vos journaux d’audit, entrez le délai d’exécution souhaité.

     Remarque

     Si vous désactivez cette configuration, la fonctionnalité Détection des menaces (plan de contrôle) est également désactivée. En savoir plus sur la disponibilité de la fonctionnalité.

   • La fonctionnalité Découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

   • La fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent assure la gestion de la vulnérabilité des images stockées dans ECR et des images en cours d’exécution sur vos clusters EKS. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

5. Passez en revue les pages restantes de l’Assistant Connecteur.

6. Si vous activez la fonctionnalité Découverte sans agent pour Kubernetes, vous devez accorder des autorisations de plan de contrôle sur le cluster. Vous pouvez accorder des autorisations de l’une des manières suivantes :

   • Exécutez ce script Python. Le script ajoute le rôle Defender pour le cloud MDCContainersAgentlessDiscoveryK8sRole à aws-auth ConfigMap pour les clusters EKS que vous souhaitez intégrer.

   • Accordez à chaque cluster Amazon EKS le rôle MDCContainersAgentlessDiscoveryK8sRole avec la possibilité d’interagir avec le cluster. Connectez-vous à tous les clusters existants et nouvellement créés à l’aide d’eksctl et exécutez le script suivant :

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Pour plus d’informations, consultez Accorder aux utilisateurs IAM l’accès à Kubernetes avec des entrées d’accès EKS dans le guide de l’utilisateur Amazon EKS.

7. Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes doivent être installés et en cours d’exécution sur vos clusters EKS. Il existe une recommandation Defender pour le cloud dédiée à l’installation de ces extensions (et Azure Arc, si nécessaire) : L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS.

   Pour installer les extensions nécessaires, procédez de la manière suivante :

   1. Dans la page Recommandations de Defender pour le cloud, recherchez et sélectionnez L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS.

   2. Sélectionnez un cluster non sain.

      Important

      Vous devez sélectionner les clusters un par un.

      Ne sélectionnez pas les clusters selon leurs noms hypertexte. Sélectionnez n’importe où ailleurs dans la ligne appropriée.

   3. Sélectionnez Corriger.

   4. Defender pour le cloud génère un script dans le langage de votre choix : sélectionnez Bash (pour Linux) ou PowerShell (pour Windows).

   5. Sélectionnez Télécharger la logique de correction.

   6. Exécutez le script généré sur votre cluster.

   

Afficher les recommandations et les alertes pour vos clusters EKS

Conseil

Vous pouvez simuler des alertes de conteneur en suivant les instructions données dans ce billet de blog.

Pour afficher les alertes et les recommandations pour vos clusters EKS, utilisez les filtres sur les pages d’alertes, de recommandations et d’inventaire pour filtrer par type de ressource Cluster AWS EKS.

Déployer le capteur Defender

Pour déployer le capteur Defender sur vos clusters AWS :

1. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement>Ajouter un environnement>Amazon Web Services.

   

2. Renseignez les détails du compte.

   

3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

   

4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

   

5. Une fois le modèle Cloud Formation déployé avec succès, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster AWS spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Activer le plan

Important

Si vous n’avez pas connecté de projet GCP, connectez vos projets GCP à Microsoft Defender pour le cloud.

Pour protéger vos clusters GKE, activez le plan Defender pour les conteneurs sur le projet GCP approprié de la manière suivante.

Remarque

Vérifiez que vous n’avez aucune stratégie Azure qui empêche l’installation d’Azure Arc.

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

3. Sélectionnez le connecteur GCP approprié.

   

4. Sélectionnez le bouton Suivant : Sélectionner des plans>.

5. Assurez-vous que le bouton bascule du plan Conteneurs est défini sur Activé.

   

6. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

   

   • Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, définissez le bouton bascule sur Activé.

     Remarque

     Si vous désactivez cette configuration, la fonctionnalité Détection des menaces (plan de contrôle) est également désactivée. En savoir plus sur la disponibilité de la fonctionnalité.

   • Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :

     • Activez l’approvisionnement automatique de Defender pour les conteneurs au niveau du projet, comme expliqué dans les instructions dans cette section. Nous recommandons cette méthode.
     • Utilisez les recommandations de Defender pour le cloud pour l’installation par cluster. Elles s’affichent sur la page des recommandations de Microsoft Defender pour le cloud. Découvrez comment déployer la solution sur des clusters spécifiques.
     • Installez manuellement Kubernetes avec Azure Arcet les extensions.

   • La fonctionnalité Découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

   • La fonctionnalité Évaluation des vulnérabilités de conteneur sans agent fournit une gestion des vulnérabilités pour les images stockées dans les registres Google (Google Artifact Registry et Google Container Registry) et l’exécution d’images sur vos clusters GKE. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

7. Sélectionnez le bouton Copier.

   

8. Sélectionnez le bouton GCP Cloud Shell >.

9. Collez le script dans le terminal Cloud Shell et exécutez-le.

Le connecteur est mis à jour après l’exécution du script. Ce processus peut prendre jusqu’à 8 heures avant d’être complété.

Déployer la solution sur des clusters spécifiques

Si vous définissez l’une des configurations d’approvisionnement automatique par défaut sur Désactivé pendant le processus d’intégration du connecteur GCP ou après, vous devez installer manuellement Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes dans chacun de vos clusters GKE. L’installation de ces éléments vous permet de vous assurer que vous obtenez la valeur de sécurité complète de Defender pour les conteneurs.

Vous pouvez utiliser deux recommandations Defender pour le cloud dédiées à l’installation des extensions (et Azure Arc si nécessaire) :

• L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters GKE
• L’extension Azure Policy doit être installée sur les clusters GKE

Remarque

Lors de l’installation des extensions Arc, vous devez vérifier que le projet GCP fourni est identique à celui du connecteur concerné.

Pour déployer la solution sur des clusters spécifiques :

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Recommandations.

3. Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations selon son nom.

   

4. Sélectionnez un cluster GKE non sain.

   Important

   Vous devez sélectionner les clusters un par un.

   Ne sélectionnez pas les clusters selon leurs noms hypertexte. Sélectionnez n’importe où ailleurs dans la ligne appropriée.

5. Sélectionnez le nom de la ressource non saine.

6. Sélectionnez Corriger.

   

7. Defender pour le cloud génère un script dans le langage de votre choix :

   • Pour Linux, sélectionnez Bash.
   • Pour Windows, sélectionnez PowerShell.

8. Sélectionnez Télécharger la logique de correction.

9. Exécutez le script généré sur votre cluster.

10. Répétez les étapes 3 à 8 pour l’autre recommandation.

Afficher les alertes de votre cluster GKE

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Alertes de sécurité.

3. Sélectionnez le bouton .

4. Dans le menu déroulant Filtre, sélectionnez Type de ressource.

5. Dans le menu déroulant Valeur, sélectionnez Cluster GCP GKE.

6. Sélectionnez OK.

Déployer le capteur Defender

Pour déployer le capteur Defender sur vos clusters GCP :

1. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement>Ajouter un environnement>Google Cloud Platform.

   

2. Renseignez les détails du compte.

   

3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

   

4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

   

5. Une fois que le script gcloud s’exécute correctement, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster GCP spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Simuler des alertes de sécurité à partir de Microsoft Defender pour les conteneurs

La liste complète des alertes prises en charge est disponible dans le tableau de référence de toutes les alertes de sécurité Defender pour le cloud.

Pour simuler une alerte de sécurité :

1. Exécutez la commande suivante à partir du cluster :

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   La réponse attendue est No resource found.

   Dans les 30 minutes, Defender pour le cloud détecte cette activité et déclenche une alerte de sécurité.

   Remarque

   Azure Arc n’est pas une condition préalable pour simuler des alertes sans agent pour Defender pour les conteneurs.

2. Dans le portail Azure, accédez à Microsoft Defender pour le cloud>Alertes de sécurité et recherchez l’alerte sur la ressource concernée.

   

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud (ou une autre), désactiver l’approvisionnement automatique ne suffit pas :

• Activer l’approvisionnement automatique affecte potentiellement les machines existantes et futures.
• Désactiver l’approvisionnement automatique pour une extension affecte uniquement les futures machines. Rien n’est désinstallé lorsque vous désactivez l’approvisionnement automatique.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez Microsoft Defender pour les conteneurs.

Néanmoins, pour vous assurer que les composants Defender pour les conteneurs ne sont pas automatiquement approvisionnés sur vos ressources dès maintenant, désactivez l’approvisionnement automatique des extensions.

Vous pouvez supprimer l’extension des machines en cours d’exécution à l’aide du portail Azure, d’Azure CLI ou de l’API REST, comme expliqué dans les onglets suivants.

Azure portal – Arc

Utiliser le portail Azure pour supprimer l’extension

1. Dans le portail Azure, ouvrez Azure Arc.

2. Dans la liste d’infrastructures, sélectionnez Clusters Kubernetes, puis le cluster spécifique.

3. Ouvrez la page Extensions, qui répertorie les extensions sur le cluster.

4. Sélectionnez l’extension, puis Désinstaller.

   

Azure CLI

Utiliser l’interface de ligne de commande Azure pour supprimer le capteur Defender

1. Supprimez l’extension Azure Arc pour Microsoft Defender pour Kubernetes à l’aide des commandes suivantes :

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Il est possible que la suppression de l’extension prenne quelques minutes. Nous vous recommandons d’attendre avant de vérifier qu’elle s’est bien effectuée.

2. Pour vérifier que vous avez bien supprimé l’extension, exécutez les commandes suivantes :

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Vérifiez qu’il n’existe aucun pod sous l’espace de noms mdc sur le cluster. Exécutez la commande suivante avec le fichier kubeconfig pointé vers votre cluster :

   kubectl get pods -n mdc
   

   La suppression des pods peut prendre quelques minutes.

REST API

Utiliser l’API REST pour supprimer le capteur Defender

Pour supprimer l’agent à l’aide de l’API REST, exécutez la commande DELETE suivante :

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

La commande inclut ces paramètres :

Nom	Dans	Obligatoire	Type	Description
Subscription ID	Chemin d’accès	True	String	ID d’abonnement de votre cluster Kubernetes avec Azure Arc
Resource Group	Chemin d’accès	True	String	Groupe de ressources de votre cluster Kubernetes avec Azure Arc
Cluster Name	Chemin d’accès	True	String	Nom de votre cluster Kubernetes avec Azure Arc

Pour l’authentification, votre en-tête doit avoir un jeton du porteur (comme pour d’autres API Azure). Pour obtenir un jeton du porteur, exécutez la commande suivante :

az account get-access-token --subscription <your-subscription-id>

Il est possible que l’exécution de la demande prenne plusieurs minutes.

Définir un espace de travail Log Analytics par défaut pour AKS

Le capteur Defender utilise l’espace de travail Log Analytics en tant que pipeline de données pour envoyer des données du cluster à Defender pour le cloud. L’espace de travail ne conserve aucune des données. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’utilisation.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut lorsque vous installez le capteur Defender. L’espace de travail par défaut est basé sur votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

• Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
• Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Lorsque vous activez l’approvisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Stratégie.

   

3. Sélectionnez Définitions.

4. Recherchez l’ID de stratégie 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Sélectionnez Configurer les clusters Azure Kubernetes Service pour activer le profil Defender.

6. Sélectionnez Affectations.

   

7. Utilisez l’une des prochaines sections de cet article selon les conditions :

   • Si la stratégie n’a pas encore été attribuée à l’étendue appropriée, suivez les étapes de Créer une attribution avec un espace de travail personnalisé.
   • Si la stratégie est déjà attribuée et que vous souhaitez la modifier pour utiliser un espace de travail personnalisé, suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé.

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’est pas encore attribuée, l’onglet Attributions affiche le nombre 0.

Pour attribuer un espace de travail personnalisé :

1. Sélectionnez Attribuer.

2. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

3. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

   

4. Sélectionnez Revoir + créer.

5. Sélectionnez Créer.

Mettre à jour une attribution avec un espace de travail personnalisé

Si la stratégie est attribuée à un espace de travail, l’onglet Attributions affiche le nombre 1.

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand.

Pour attribuer un espace de travail personnalisé :

1. Sélectionnez l’assignation correspondante.

   

2. Sélectionnez Modifier l’attribution.

3. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

4. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

   

5. Sélectionnez Vérifier + enregistrer.

6. Cliquez sur Enregistrer.

Espace de travail Log Analytics par défaut pour Azure Arc

Le capteur Defender utilise l’espace de travail Log Analytics en tant que pipeline de données pour envoyer des données du cluster à Defender pour le cloud. L’espace de travail ne conserve aucune des données. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’utilisation.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut lorsque vous installez le capteur Defender. L’espace de travail par défaut est basé sur votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

• Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
• Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Lorsque vous activez l’approvisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Stratégie.

   

3. Sélectionnez Définitions.

4. Recherchez l’ID de stratégie 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Sélectionnez Configurez les clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud.

6. Sélectionnez Affectations.

   

7. Utilisez l’une des prochaines sections de cet article selon les conditions :

   • Si la stratégie n’a pas encore été attribuée à l’étendue appropriée, suivez les étapes de Créer une attribution avec un espace de travail personnalisé.
   • Si la stratégie est déjà attribuée et que vous souhaitez la modifier pour utiliser un espace de travail personnalisé, suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé.

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’est pas encore attribuée, l’onglet Attributions affiche le nombre 0.

Pour attribuer un espace de travail personnalisé :

1. Sélectionnez Attribuer.

2. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

3. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

   

4. Sélectionnez Revoir + créer.

5. Sélectionnez Créer.

Mettre à jour une attribution avec un espace de travail personnalisé

Si la stratégie est attribuée à un espace de travail, l’onglet Attributions affiche le nombre 1.

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand. Si vous avez un nombre 1 ou supérieur, mais que l’attribution n’est pas sur l’étendue appropriée, suivez les instructions de Créer une affectation avec un espace de travail personnalisé.

Pour attribuer un espace de travail personnalisé :

1. Sélectionnez l’assignation correspondante.

   

2. Sélectionnez Modifier l’attribution.

3. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

4. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

   

5. Sélectionnez Vérifier + enregistrer.

6. Sélectionnez Enregistrer.

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud (ou une autre), désactiver l’approvisionnement automatique ne suffit pas :

• Activer l’approvisionnement automatique affecte potentiellement les machines existantes et futures.
• Désactiver l’approvisionnement automatique pour une extension affecte uniquement les futures machines. Rien n’est désinstallé lorsque vous désactivez l’approvisionnement automatique.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez Microsoft Defender pour les conteneurs.

Néanmoins, pour vous assurer que les composants Defender pour les conteneurs ne sont pas automatiquement approvisionnés sur vos ressources dès maintenant, désactivez l’approvisionnement automatique des extensions.

Vous pouvez supprimer l’extension des machines en cours d’exécution à l’aide de l’API REST, de l’interface de ligne de commande Azure ou d’un modèle Resource Manager, comme expliqué dans les onglets suivants.

REST API

Utiliser l’API REST pour supprimer le capteur Defender d’AKS

Pour supprimer l’agent à l’aide de l’API REST, exécutez la commande PUT suivante :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

La commande inclut ces paramètres :

Nom	Description	Obligatoire
SubscriptionId	ID de l’abonnement du cluster	Oui
ResourceGroup	Groupe de ressources du cluster	Oui
ClusterName	Nom du cluster	Oui
ApiVersion	Version de l’API – doit être 2022-06-01 ou version ultérieure	Oui

Voici le corps de la demande :

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Le corps de la requête présente ces paramètres :

Nom	Description	Obligatoire
location	Emplacement du cluster	Oui
properties.securityProfile.defender.securityMonitoring.enabled	Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster	Oui

Azure CLI

Utiliser l’interface de ligne de commande Azure pour supprimer le capteur Defender

1. Exécutez les commandes suivantes :

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Il est possible que la suppression de l’extension prenne quelques minutes.

2. Pour vérifier que vous avez bien supprimé l’extension, exécutez la commande suivante :

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Lorsque l’extension est supprimée, la commande get pods ne retourne aucun pod. La suppression des pods peut prendre quelques minutes.

Gestionnaire de ressources

Utiliser Azure Resource Manager pour supprimer le capteur Defender d’AKS

Pour utiliser Azure Resource Manager afin de supprimer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?.

Le modèle et les paramètres appropriés pour supprimer le capteur Defender d’AKS sont les suivants :

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Contenu connexe

Maintenant que vous avez activé Defender pour les conteneurs, vous pouvez :

• Analyser les images Azure Container Registry à la recherche de vulnérabilités
• Analysez vos images AWS pour détecter les vulnérabilités avec la Gestion des vulnérabilités Microsoft Defender
• Analysez vos images GCP pour détecter les vulnérabilités avec Gestion des vulnérabilités Microsoft Defender
• Consultez les questions courantes sur Defender pour les conteneurs.

Pour en savoir plus sur Defender pour le cloud et Defender pour les conteneurs, consultez les publications suivantes :

• Protéger vos charges de travail Google Cloud avec Microsoft Defender pour le cloud
• Présentation de Microsoft Defender pour les conteneurs
• Nouveau nom pour la sécurité multicloud : Microsoft Defender pour le cloud