Mengaktifkan Microsoft Defender untuk Kontainer

Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk mengamankan kontainer Anda.

Defender untuk Kontainer melindungi kluster Anda saat dijalankan di:

  • Azure Kubernetes Service (AKS) - layanan terkelola Microsoft untuk mengembangkan, menyebarkan, dan mengelola aplikasi dalam kontainer.

  • Amazon Elastic Kubernetes Service (EKS) di akun AWS yang terhubung - Layanan terkelola Amazon untuk menjalankan Kubernetes di AWS tanpa perlu memasang, mengoperasikan, dan memelihara sarana kontrol atau simpul Kubernetes Anda sendiri.

  • Google Kubernetes Engine (GKE) dalam proyek Google Cloud Platform (GCP) yang terhubung - Lingkungan terkelola Google untuk menyebarkan, mengelola, dan menskalakan aplikasi menggunakan infrastruktur GCP.

  • Distribusi Kubernetes lainnya (menggunakan Kubernetes yang mendukung Azure Arc) - Kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) yang dihosting di lokasi atau di IaaS. Untuk informasi selengkapnya, lihat bagian On-prem/IaaS (Arc) dari Fitur yang didukung berdasarkan lingkungan.

Pelajari lebih lanjut terkait paket ini di Ringkasan Microsoft Defender untuk Kontainer.

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang:

Catatan

Dukungan Defender untuk Kontainer untuk kluster Kubernetes berkemampuan Arc, AWS EKS, dan GCP GKE. Ini adalah fitur pratinjau.

Untuk mempelajari selengkapnya sistem operasi yang didukung, ketersediaan fitur, proksi keluar, dan lainnya lihat Ketersediaan fitur Defender untuk Kontainer.

Persyaratan jaringan - AKS

Validasi titik akhir berikut dikonfigurasi untuk akses keluar sehingga profil Defender dapat tersambung ke Microsoft Defender untuk Cloud guna mengirim peristiwa dan data keamanan:

Lihat aturan aplikasi/FQDN yang diperlukan untuk Microsoft Defender untuk Kontainer.

Secara default, klaster AKS memiliki akses internet keluar (keluar) yang tidak terbatas.

Persyaratan jaringan

Validasi titik akhir berikut dikonfigurasi untuk akses keluar sehingga ekstensi Defender dapat tersambung ke Microsoft Defender untuk Cloud guna mengirim peristiwa dan data keamanan:

Untuk penyebaran cloud publik Azure:

Domain Port
*.ods.opinsights.azure.com 443
*.ods.opinsights.azure.com 443
login.microsoftonline.com 443

Domain berikut hanya diperlukan jika Anda menggunakan OS yang relevan. Misalnya, jika Anda memiliki kluster EKS yang berjalan di AWS, Anda hanya perlu menerapkan domain Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*".

Domain Port Sistem operasi host
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum default repositories - RHEL / Centos
apt default repositories - Debian

Anda juga perlu memvalidasi persyaratan jaringan Kubernetes berkemampuan Azure Arc.

Mengaktifkan paket

Untuk mengaktifkan paket:

  1. Dari menu Defender untuk Cloud, buka Halaman pengaturan lingkungan dan pilih langganan yang relevan.

  2. Di Halaman paket Defender, aktifkan Defender untuk Containers

    Tip

    Jika langganan sudah memiliki Defender untuk Kubernetes dan/atau Defender untuk registri kontainer yang diaktifkan, pemberitahuan pembaruan akan ditampilkan. Jika tidak, satu-satunya opsi adalah Defender untuk Kontainer.

    Defender untuk pendaftar kontainer dan paket Defender untuk Kubernetes yang menampilkan informasi 'Usang' dan peningkatan versi.

  3. Secara default, saat mengaktifkan paket melalui portal Azure, Microsoft Defender untuk Kontainer dikonfigurasi untuk memprovisikan otomatis (menginstal secara otomatis) komponen yang diperlukan untuk memberikan perlindungan yang ditawarkan oleh paket, termasuk penugasan dari ruang kerja default.

    Jika Anda ingin menonaktifkan provisi otomatis selama proses onboarding, pilih Edit konfigurasi untuk paket Kontainer. Ini akan membuka opsi Tingkat Lanjut, di mana Anda dapat menonaktifkan provisi otomatis untuk setiap komponen.

    Selain itu, Anda dapat memodifikasi konfigurasi ini dari Halaman paket Defender atau dari Halaman provisi otomatis pada baris Komponen Microsoft Defender untuk Kontainer:

    Cuplikan layar opsi penyediaan otomatis untuk Microsoft Defender untuk Kontainer.

    Catatan

    Jika Anda memilih untuk menonaktifkan paket kapan saja setelah mengaktifkannya melalui portal seperti yang ditunjukkan di atas, Anda harus menghapus komponen Defender untuk Kontainer yang disebarkan di kluster Anda secara manual.

    Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

  4. Jika Anda menonaktifkan provisi otomatis komponen apa pun, Anda dapat dengan mudah menyebarkan komponen ke satu atau beberapa kluster menggunakan rekomendasi yang sesuai:

    Catatan

    Microsoft Defender untuk Kontainer dikonfigurasi untuk melindungi semua cloud Anda secara otomatis. Saat Anda menginstal semua prasyarat yang diperlukan dan mengaktifkan semua kemampuan provisi otomatis.

    Jika Anda memilih untuk menonaktifkan semua opsi konfigurasi provisi otomatis, tidak ada agen, atau komponen yang akan disebarkan ke kluster Anda. Perlindungan hanya akan terbatas pada fitur Tanpa agen. Pelajari fitur mana yang merupakan Tanpa agen di bagian ketersediaan untuk Defender untuk Kontainer.

Menyebarkan profil Defender

Anda dapat mengaktifkan paket Defender untuk Kontainer dan menyebarkan semua komponen yang relevan dari portal Microsoft Azure, REST API, atau dengan templat Resource Manager. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Setelah profil Defender disebarkan, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom sebagai pengganti ruang kerja default melalui Azure Policy.

Catatan

Profil Defender yang disebarkan ke setiap node memberikan perlindungan runtime dan mengumpulkan sinyal dari node menggunakan teknologi eBPF.

Gunakan tombol perbaiki dari rekomendasi Defender untuk Cloud

Proses yang efisien dan tanpa gesekan memungkinkan Anda menggunakan halaman portal Microsoft Azure untuk mengaktifkan paket Defender untuk Cloud dan mengatur provisi otomatis semua komponen yang diperlukan guna melindungi kluster Kubernetes Anda dalam skala besar.

Rekomendasi khusus Defender untuk Cloud menyediakan:

  • Visibilitas tentang kluster mana yang memiliki profil Defender yang disebarkan
  • Tombol Perbaikan untuk menyebarkannya ke kluster tersebut tanpa ekstensi
  1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Aktifkan keamanan yang ditingkatkan.

  2. Gunakan filter untuk menemukan rekomendasi bernama kluster Azure Kubernetes Service harus mengaktifkan profil Defender.

    Tip

    Perhatikan ikon Perbaikan di kolom tindakan

  3. Pilih kluster untuk melihat detail sumber daya yang sehat dan tidak sehat - kluster dengan dan tanpa profil.

  4. Dari daftar sumber daya yang tidak sehat, pilih kluster dan pilih Remediasi untuk membuka panel dengan konfirmasi remediasi.

  5. Pilih Perbaiki sumber daya X.

Mengaktifkan paket

Untuk mengaktifkan paket:

  1. Dari menu Defender untuk Cloud, buka Halaman pengaturan lingkungan dan pilih langganan yang relevan.

  2. Di Halaman paket Defender, aktifkan Defender untuk Kontainer.

    Tip

    Jika langganan sudah memiliki Defender untuk Kubernetes atau Defender untuk registri kontainer yang diaktifkan, pemberitahuan pembaruan akan ditampilkan. Jika tidak, satu-satunya opsi adalah Defender untuk Kontainer.

    Defender untuk pendaftar kontainer dan paket Defender untuk Kubernetes yang menampilkan informasi 'Usang' dan peningkatan versi.

  3. Secara default, saat mengaktifkan paket melalui portal Azure, Microsoft Defender untuk Kontainer dikonfigurasi untuk memprovisikan otomatis (menginstal secara otomatis) komponen yang diperlukan untuk memberikan perlindungan yang ditawarkan oleh paket, termasuk penugasan dari ruang kerja default.

    Jika Anda ingin menonaktifkan provisi otomatis selama proses onboarding, pilih Edit konfigurasi untuk paket Kontainer. Opsi Tingkat Lanjut akan muncul, dan Anda dapat menonaktifkan provisi otomatis untuk setiap komponen.

    Selain itu, Anda dapat memodifikasi konfigurasi ini dari Halaman paket Defender atau dari Halaman provisi otomatis pada baris Komponen Microsoft Defender untuk Kontainer:

    Cuplikan layar opsi penyediaan otomatis untuk Microsoft Defender untuk Kontainer.

    Catatan

    Jika Anda memilih untuk menonaktifkan paket kapan saja setelah mengaktifkannya melalui portal seperti yang ditunjukkan di atas, Anda harus menghapus komponen Defender untuk Kontainer yang disebarkan di kluster Anda secara manual.

    Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

  4. Jika Anda menonaktifkan provisi otomatis komponen apa pun, Anda dapat dengan mudah menyebarkan komponen ke satu atau beberapa kluster menggunakan rekomendasi yang sesuai:

Prasyarat

Sebelum menerapkan ekstensi, pastikan Anda:

Menyebarkan ekstensi Defender

Anda dapat menyebarkan ekstensi Defender menggunakan berbagai metode. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Gunakan tombol perbaiki dari rekomendasi Defender untuk Cloud

Rekomendasi khusus Defender untuk Cloud menyediakan:

  • Visibilitas tentang kluster mana yang memiliki ekstensi Defender untuk Kubernetes yang disebarkan
  • Tombol Perbaikan untuk menyebarkannya ke kluster tersebut tanpa ekstensi
  1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Aktifkan keamanan yang ditingkatkan.

  2. Gunakan filter untuk menemukan rekomendasi bernama kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Defender untuk Cloud.

    Rekomendasi Microsoft Defender untuk Cloud untuk menyebarkan ekstensi Defender untuk kluster Kubernetes dengan dukungan Azure Arc.

    Tip

    Perhatikan ikon Perbaikan di kolom tindakan

  3. Pilih ekstensi untuk melihat detail sumber daya yang sehat dan tidak sehat - kluster dengan dan tanpa ekstensi.

  4. Dari daftar sumber daya tidak sehat, pilih kluster dan pilih Remediasi untuk membuka panel dengan opsi remediasi.

  5. Pilih ruang kerja Analitik Log yang relevan dan pilih Remediasi x sumber daya.

    Terapkan ekstensi Defender untuk Azure Arc dengan opsi 'perbaikan' Defender untuk Cloud.

Memverifikasi penyebaran

Untuk memverifikasi bahwa kluster Anda telah menginstal ekstensi Defender, ikuti langkah-langkah di salah satu tab di bawah ini:

Menggunakan rekomendasi Defender untuk Cloud untuk memverifikasi status ekstensi Anda

  1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Mengaktifkan Microsoft Defender untuk Cloud.

  2. Pilih rekomendasi bernama kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Microsoft Defender untuk Cloud.

    Rekomendasi Microsoft Defender untuk Cloud untuk menyebarkan ekstensi Defender untuk kluster Kubernetes dengan dukungan Azure Arc.

  3. Periksa apakah kluster tempat Anda menyebarkan ekstensi terdaftar sebagai Sehat.

Melindungi kluster Amazon Elastic Kubernetes Service

Penting

Jika Anda belum menyambungkan akun AWS, sambungkan akun AWS Anda ke Microsoft Defender untuk Cloud.

Untuk melindungi kluster EKS Anda, aktifkan paket Kontainer pada konektor akun yang relevan:

  1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

  2. Pilih konektor AWS.

    Cuplikan layar halaman pengaturan lingkungan Defender untuk Cloud yang menunjukkan konektor AWS.

  3. Atur tombol dwiarah untuk paket Kontainer ke On.

    Cuplikan layar mengaktifkan Defender untuk Kontainer untuk konektor AWS.

  4. (Opsional) Untuk mengubah periode retensi untuk log audit Anda, pilih Konfigurasi, masukkan kerangka waktu yang diperlukan, dan pilih Simpan.

    Cuplikan layar menyesuaikan periode retensi untuk log panel kontrol EKS.

    Catatan

    Jika Anda menonaktifkan konfigurasi ini, maka fitur Threat detection (control plane) akan dinonaktifkan. Pelajari lebih lanjut terkait ketersediaan fitur.

  5. Lanjutkan melalui halaman yang tersisa dari wizard konektor.

  6. Kubernetes berkemampuan Azure Arc, ekstensi Defender, dan ekstensi Azure Policy harus diinstal dan berjalan di kluster EKS Anda. Terdapat rekomendasi khusus dari Defender untuk Cloud untuk menginstal ekstensi ini (serta Azure Arc jika perlu):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    Untuk setiap rekomendasi, ikuti langkah di bawah ini untuk menginstal ekstensi yang diperlukan.

    Untuk menginstal ekstensi yang diperlukan:

    1. Dari halaman Rekomendasi Defender untuk Cloud, cari salah satu rekomendasi berdasarkan nama.

    2. Pilih kluster yang tidak sehat.

      Penting

      Anda harus memilih kluster satu per satu.

      Jangan pilih kluster berdasarkan nama hyperlink mereka: pilih di tempat lain di baris yang relevan.

    3. Pilih Perbaiki.

    4. Defender untuk Cloud menghasilkan skrip dalam bahasa pilihan Anda: pilih Bash (untuk Linux) atau PowerShell (untuk Windows).

    5. Pilih Unduh logika remediasi.

    6. Jalankan skrip yang dihasilkan di kluster Anda.

    7. Ulangi langkah "a" sampai "f" untuk rekomendasi kedua.

    Video tentang menggunakan rekomendasi Defender untuk Cloud untuk membuat skrip kluster EKS Anda yang mengaktifkan ekstensi Azure Arc.

Menampilkan rekomendasi dan peringatan untuk kluster EKS Anda

Tip

Anda dapat mensimulasikan peringatan container dengan mengikuti petunjuk di postingan blog ini.

Untuk menampilkan peringatan dan rekomendasi untuk kluster EKS Anda, gunakan filter pada peringatan, rekomendasi, dan halaman inventaris guna memfilter berdasarkan jenis sumber daya kluster EKS AWS.

Cuplikan layar cara menggunakan filter pada halaman peringatan Microsoft Defender untuk Cloud untuk melihat peringatan yang terkait dengan kluster AWS EKS.

Melindungi kluster Google Kubernetes Engine (GKE)

Penting

Jika Anda belum menyambungkan proyek GCP, sambungkan proyek GCP Anda ke Microsoft Defender untuk Cloud.

Untuk melindungi kluster GKE Anda, Anda perlu mengaktifkan paket Kontainer pada proyek GCP yang relevan.

Untuk melindungi kluster Google Kubernetes Engine (GKE):

  1. Masuk ke portal Azure.

  2. Buka Microsoft Defender untuk Cloud>Pengaturan lingkungan.

  3. Pilih konektor GCP yang relevan

    Cuplikan layar yang menunjukkan contoh konektor GCP.

  4. Pilih tombol Berikutnya: Pilih paket >.

  5. Pastikan bahwa paket Kontainer diatur ke On.

    Cuplikan layar yang menunjukkan paket kontainer diaktifkan.

  6. (Opsional) Konfigurasikan paket kontainer.

  7. Pilih tombol Salin.

    Cuplikan layar yang menunjukkan lokasi tombol salin.

  8. Pilih tombol Cloud Shell GCP >.

  9. Tempelkan skrip ke terminal Cloud Shell, dan jalankan.

Konektor akan diperbarui setelah skrip dijalankan. Proses ini bisa memakan waktu hingga 6-8 jam hingga selesai.

Menyebarkan solusi ke kluster tertentu

Jika Anda menonaktifkan salah satu konfigurasi provisi otomatis default ke Off, selama proses onboarding konektor GCP, atau setelahnya. Anda perlu menginstal Kubernetes berkemampuan Azure Arc, ekstensi Defender, dan ekstensi Azure Policy secara manual ke masing-masing kluster GKE Anda untuk mendapatkan nilai keamanan penuh dari Defender untuk Kontainer.

Ada 2 rekomendasi khusus Defender untuk Cloud yang dapat Anda gunakan untuk menginstal ekstensi (dan Arc jika perlu):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Untuk menyebarkan solusi ke kluster tertentu:

  1. Masuk ke portal Azure.

  2. Buka Microsoft Defender untuk Cloud>Rekomendasi.

  3. Dari halaman Rekomendasi Defender untuk Cloud, cari salah satu rekomendasi berdasarkan nama.

    Cuplikan layar yang menunjukkan cara mencari rekomendasi.

  4. Pilih kluster GKE yang tidak sehat.

    Penting

    Anda harus memilih kluster satu per satu.

    Jangan pilih kluster berdasarkan nama hyperlink mereka: pilih di tempat lain di baris yang relevan.

  5. Pilih nama sumber daya yang tidak sehat.

  6. Pilih Perbaiki.

    Tangkapan layar yang menunjukkan lokasi tombol perbaikan.

  7. Defender untuk Cloud akan menghasilkan skrip dalam bahasa pilihan Anda:

    • Untuk Linux, pilih Bash.
    • Untuk Windows, pilih PowerShell.
  8. Pilih Unduh logika remediasi.

  9. Jalankan skrip yang dihasilkan di kluster Anda.

  10. Ulangi langkah 3 sampai 8 untuk rekomendasi kedua.

Menampilkan peringatan kluster GKE Anda

  1. Masuk ke portal Azure.

  2. Buka Microsoft Defender untuk Cloud>Peringatan keamanan.

  3. Pilih tombol .

  4. Di menu drop-down Filter, pilih Jenis sumber daya.

  5. Di menu drop-down Nilai, pilih Kluster GKE GCP.

  6. Pilih Ok.

Menyimulasikan peringatan keamanan dari Microsoft Defender untuk Kontainer

Daftar lengkap pemberitahuan yang didukung tersedia di tabel referensi semua peringatan keamanan Microsoft Defender untuk Cloud.

  1. Untuk menyimulasikan peringatan keamanan, jalankan perintah berikut:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Tanggapan yang diharapkan adalah "Tidak ada sumber daya yang ditemukan".

    Dalam waktu 30 menit, Defender untuk Cloud akan mendeteksi aktivitas ini dan memicu pemberitahuan keamanan.

  2. Di portal Microsoft Azure, buka halaman pemberitahuan keamanan Microsoft Defender untuk Cloud dan cari pemberitahuan tentang sumber daya yang relevan:

    Contoh pemberitahuan dari Microsoft Defender untuk Kubernetes.

Menghapus ekstensi Defender

Untuk menghapus ekstensi Defender untuk Cloud ini - atau apa pun, tidak cukup mematikan provisi otomatis:

  • Mengaktifkan provisi otomatis, berpotensi berdampak pada mesin yang ada dan di masa mendatang.
  • Menonaktifkan provisi otomatis untuk ekstensi, hanya memengaruhi mesin di masa mendatang - tidak ada yang terhapus instalannya dengan menonaktifkan provisi otomatis.

Namun demikian, untuk memastikan komponen Defender untuk Kontainer tidak secara otomatis diprovisikan ke sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi seperti yang dijelaskan dalam Mengonfigurasi provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud.

Anda dapat menghapus ekstensi menggunakan portal Azure, Azure CLI, atau REST API seperti yang dijelaskan pada tab di bawah ini.

Menggunakan portal Azure untuk menghapus ekstensi

  1. Dari portal Azure, buka Azure Arc.

  2. Dari daftar infrastruktur, pilih kluster Kubernetes lalu pilih kluster tertentu.

  3. Buka halaman ekstensi. Ekstensi pada kluster tercantum.

  4. Pilih kluster dan pilih Copot pemasangan.

    Menghapus ekstensi dari kluster Kubernetes dengan dukungan Arc.

Ruang kerja Analitik Log Default untuk AKS

Ruang kerja Analitik Log digunakan oleh profil Defender sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud tanpa menyimpan data apa pun di ruang kerja Analitik Log itu sendiri. Akibatnya, pengguna tidak akan ditagih dalam kasus penggunaan ini.

Profil Defender menggunakan ruang kerja Analitik Log default. Jika Anda belum memiliki ruang kerja Analitik Log default, Defender untuk Cloud akan membuat grup sumber daya baru dan ruang kerja default saat profil Defender diinstal. Ruang kerja default dibuat berdasarkan wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

  • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
  • Grup Sumber Daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan opsi provisi otomatis, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

  1. Masuk ke portal Microsoft Azure.

  2. Cari dan pilih Kebijakan.

    Cuplikan layar yang menunjukkan cara menemukan halaman kebijakan.

  3. Pilih Definisi.

  4. Cari ID kebijakan 64def556-fbad-4622-930e-72d1d5589bf5.

    Cuplikan layar yang menunjukkan tempat mencari kebijakan menurut nomor ID.

  5. Pilih Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Defender.

  6. Pilih Penugasan.

    Cuplikan layar yang menunjukkan tempat untuk menemukan tab penugasan.

  7. Ikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom jika kebijakan belum ditetapkan ke cakupan yang relevan. Atau, ikuti langkah-langkah Perbarui penugasan dengan ruang kerja kustom jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom.

Buat penugasan baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, Anda akan melihat Assignments (0).

Cuplikan layar yang menunjukkan bahwa tidak ada ruang kerja yang ditetapkan.

Untuk menetapkan ruang kerja kustom:

  1. Pilih Tetapkan.

  2. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

  3. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

    Cuplikan layar yang menunjukkan lokasi menu drop-down.

  4. Pilih Tinjau + buat.

  5. Pilih Buat.

Perbarui penugasan dengan ruang kerja kustom

Jika kebijakan telah ditetapkan ke ruang kerja, Anda akan melihat Assignments (1).

Cuplikan layar yang menunjukkan penugasan (1), artinya ruang kerja telah ditetapkan.

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi.

Untuk menetapkan ruang kerja kustom:

  1. Pilih penugasan yang relevan.

    Cuplikan layar yang menunjukkan tempat untuk memilih penugasan yang relevan.

  2. Pilih Edit penugasan.

  3. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

  4. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

    Cuplikan layar yang menunjukkan lokasi menu drop-down.

  5. Pilih Tinjau + buat.

  6. Pilih Buat.

Ruang kerja Analitik Log Default untuk Arc

Ruang kerja Analitik Log digunakan oleh ekstensi Defender sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud tanpa menyimpan data apa pun di ruang kerja Analitik Log itu sendiri. Akibatnya, pengguna tidak akan ditagih dalam kasus penggunaan ini.

Ekstensi Defender menggunakan ruang kerja Analitik Log default. Jika Anda belum memiliki ruang kerja Analitik Log default, Defender untuk Cloud akan membuat grup sumber daya baru dan ruang kerja default saat ekstensi Defender diinstal. Ruang kerja default dibuat berdasarkan wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

  • Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
  • Grup Sumber Daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan opsi provisi otomatis, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

  1. Masuk ke portal Azure.

  2. Cari dan pilih Kebijakan.

    Cuplikan layar yang menunjukkan cara menemukan halaman kebijakan di ARC.

  3. Pilih Definisi.

  4. Cari ID kebijakan 708b60a6-d253-4fe0-9114-4be4c00f012c.

    Cuplikan layar yang menunjukkan tempat mencari kebijakan menurut nomor ID di ARC.

  5. Pilih Konfigurasikan kluster Kubernetes yang mengaktifkan Azure Arc untuk menginstal ekstensi Microsoft Defender untuk Cloud..

  6. Pilih Tugas.

    Cuplikan layar yang menunjukkan tempat tab penugasan di ARC

  7. Ikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom jika kebijakan belum ditetapkan ke cakupan yang relevan. Atau, ikuti langkah-langkah Perbarui penugasan dengan ruang kerja kustom jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom.

Buat penugasan baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, Anda akan melihat Assignments (0).

Cuplikan layar yang menunjukkan bahwa tidak ada ruang kerja yang ditetapkan di ARC.

Untuk menetapkan ruang kerja kustom:

  1. Pilih Tetapkan.

  2. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

  3. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

    Cuplikan layar yang menunjukkan lokasi menu drop-down di ARC.

  4. Pilih Tinjau + buat.

  5. Pilih Buat.

Perbarui penugasan dengan ruang kerja kustom

Jika kebijakan telah ditetapkan ke ruang kerja, Anda akan melihat Assignments (1).

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi. Jika Anda memiliki angka 1 atau lebih tinggi, penugasan mungkin masih tidak berada di cakupan yang relevan. Jika demikian, Anda ingin mengikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom.

Cuplikan layar yang menunjukkan Penugasan (1), artinya ruang kerja telah ditetapkan di ARC.

Untuk menetapkan ruang kerja kustom:

  1. Pilih penugasan yang relevan.

    Cuplikan layar yang menunjukkan tempat untuk memilih penugasan yang relevan di ARC.

  2. Pilih Edit penugasan.

  3. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

  4. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

    Cuplikan layar yang menunjukkan lokasi menu drop-down di ARC.

  5. Pilih Tinjau + buat.

  6. Pilih Buat.

Menghapus profil Defender

Untuk menghapus ekstensi Defender untuk Cloud ini - atau apa pun, tidak cukup mematikan provisi otomatis:

  • Mengaktifkan provisi otomatis, berpotensi berdampak pada mesin yang ada dan di masa mendatang.
  • Menonaktifkan provisi otomatis untuk ekstensi, hanya memengaruhi mesin di masa mendatang - tidak ada yang terhapus instalannya dengan menonaktifkan provisi otomatis.

Namun demikian, untuk memastikan komponen Defender untuk Kontainer tidak secara otomatis diprovisikan ke sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi seperti yang dijelaskan dalam Mengonfigurasi provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud.

Anda dapat menghapus profil menggunakan REST API atau templat Resource Manager seperti yang dijelaskan pada tab di bawah ini.

Menggunakan REST API untuk menghapus profil Defender dari AKS

Untuk menghapus profil menggunakan REST API, jalankan perintah PUT berikut:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nama Deskripsi Wajib
SubscriptionId ID langganan kluster Ya
ResourceGroup Grup sumber daya kluster Ya
clusterName Nama kluster Ya
ApiVersion Versi API, harus >= 01-06-2022 Ya

Isi permintaan:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parameter Isi permintaan:

Nama Deskripsi Wajib
lokasi Lokasi kluster Ya
properties.securityProfile.defender.securityMonitoring.enabled Menentukan apakah akan mengaktifkan atau menonaktifkan Defender untuk Kontainer pada kluster Ya

FAQ

Bagaimana cara menggunakan ruang kerja Log Analytics yang sudah ada?

Anda dapat menggunakan ruang kerja Analitik Log yang sudah ada dengan mengikuti langkah-langkah di bagian ruang kerja Tetapkan ruang kerja kustom dari artikel ini.

Dapatkah saya menghapus ruang kerja default yang dibuat oleh Microsoft Defender untuk Cloud?

Kami tidak menyarankan untuk menghapus ruang kerja default. Defender untuk Kontainer menggunakan ruang kerja default untuk mengumpulkan data keamanan dari kluster Anda. Defender untuk Kontainer tidak akan dapat mengumpulkan data, serta beberapa rekomendasi dan peringatan keamanan akan menjadi tidak tersedia jika Anda menghapus ruang kerja default.

Saya menghapus ruang kerja default, bagaimana cara saya mengembalikannya?

Untuk memulihkan ruang kerja default, Anda perlu menghapus profil/ekstensi Defender dan menginstal ulang agen. Menginstal ulang profil/ekstensi Defender akan membuat ruang kerja default yang baru.

Di mana ruang kerja Log Analitik default berada?

Bergantung pada wilayah Anda, ruang kerja Analitik Log default akan berada di berbagai lokasi. Untuk memeriksa wilayah Anda, lihat Di mana ruang kerja Analitik Log default dibuat?

Organisasi saya mengharuskan saya menandai sumber daya saya, dan provisi otomatis gagal, apa yang salah?

Agen Defender menggunakan ruang kerja Analitik log untuk mengirim data dari kluster Kubernetes anda ke Defender untuk Cloud. Fitur provisi otomatis Defender untuk Cloud melalui kebijakan bawaan, menambahkan ruang kerja analitik Log dan grup sumber daya sebagai parameter untuk digunakan agen.

Namun, jika organisasi Anda memiliki kebijakan yang memerlukan tag tertentu pada sumber daya Anda, hal itu dapat menyebabkan provisi otomatis gagal selama grup sumber daya atau tahap pembuatan ruang kerja default. Jika gagal, Anda dapat:

  • Tetapkan ruang kerja kustom dan tambahkan tag apa pun yang diperlukan organisasi Anda.

    atau

  • Jika perusahaan mengharuskan Anda menandai sumber daya, Anda harus menavigasi ke kebijakan tersebut dan mengecualikan sumber daya berikut:

    1. Grup sumber daya DefaultResourceGroup-<RegionShortCode>
    2. Ruang kerja DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode adalah string 2-4 huruf.

Selengkapnya

Anda juga dapat melihat blog berikut:

Langkah berikutnya

Gunakan Defender untuk Kontainer untuk memindai gambar ACR Anda dari kerentanan.