Mengonfigurasi komponen Pertahanan Microsoft untuk Kontainer

Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk mengamankan kontainer Anda. Ini membantu melindungi kluster Anda apakah mereka berjalan di:

• Azure Kubernetes Service (AKS): Layanan terkelola Microsoft untuk mengembangkan, menyebarkan, dan mengelola aplikasi dalam kontainer.

• Amazon Elastic Kubernetes Service (EKS) di akun Amazon Web Services (AWS) yang terhubung: Layanan terkelola Amazon untuk menjalankan Kubernetes di AWS tanpa perlu menginstal, mengoperasikan, dan memelihara sarana kontrol atau simpul Kubernetes Anda sendiri.

• Google Kubernetes Engine (GKE) dalam proyek Google Cloud Platform (GCP) yang terhubung: Lingkungan terkelola Google untuk menyebarkan, mengelola, dan menskalakan aplikasi dengan menggunakan infrastruktur GCP.

• Distribusi Kubernetes lainnya (menggunakan Kubernetes dengan dukungan Azure Arc): Kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) yang dihosting secara lokal atau infrastruktur sebagai layanan (IaaS). Untuk informasi selengkapnya, lihat Matriks dukungan kontainer di Defender untuk Cloud.

Anda dapat terlebih dahulu mempelajari cara menyambungkan dan membantu melindungi kontainer Anda dalam artikel ini:

• Melindungi kontainer Azure Anda dengan Defender untuk Kontainer
• Lindungi kluster Kubernetes lokal Anda dengan Defender untuk Kontainer
• Melindungi kontainer Amazon Web Services (AWS) Anda dengan Defender for Containers
• Melindungi kontainer Google Cloud Platform (GCP) Anda dengan Defender untuk Kontainer

Anda juga dapat mempelajari lebih lanjut dengan menonton video ini dari Defender untuk Cloud di seri video bidang:

• Pertahanan Microsoft untuk Kontainer di lingkungan multicloud
• Melindungi kontainer di GCP dengan Defender untuk Kontainer

Catatan

Dukungan Defender untuk Kontainer untuk kluster Kubernetes dengan dukungan Azure Arc adalah fitur pratinjau. Fitur pratinjau tersedia berdasarkan layanan mandiri.

Pratinjau disediakan apa adanya dan sebagaimana tersedia. Mereka dikecualikan dari perjanjian tingkat layanan dan garansi terbatas.

Untuk mempelajari selengkapnya tentang sistem operasi yang didukung, ketersediaan fitur, proksi keluar, dan lainnya, lihat Matriks dukungan kontainer di Defender untuk Cloud.

Persyaratan jaringan

Validasi bahwa titik akhir berikut dikonfigurasi untuk akses keluar sehingga sensor Defender dapat tersambung ke Microsoft Defender untuk Cloud untuk mengirim data dan peristiwa keamanan.

Sensor Defender harus tersambung ke ruang kerja Analitik Log Azure Monitor yang dikonfigurasi. Secara default, klaster AKS memiliki akses internet keluar (keluar) yang tidak terbatas. Jika egress peristiwa dari kluster memerlukan penggunaan Azure Monitor Private Link Scope (AMPLS), Anda harus:

• Tentukan kluster dengan wawasan Kontainer dan ruang kerja Analitik Log.
• Konfigurasikan AMPLS dengan mode akses kueri dan mode akses penyerapan diatur ke Buka.
• Tentukan ruang kerja Analitik Log kluster sebagai sumber daya di AMPLS.
• Buat di AMPLS titik akhir privat jaringan virtual antara jaringan virtual kluster dan sumber daya Analitik Log. Titik akhir privat jaringan virtual terintegrasi dengan zona DNS privat.

Untuk mengetahui petunjuknya, lihat Membuat Cakupan Azure Monitor Private Link.

Persyaratan jaringan

Validasi bahwa titik akhir berikut untuk penyebaran cloud publik dikonfigurasi untuk akses keluar. Mengonfigurasinya untuk akses keluar membantu memastikan bahwa sensor Defender dapat terhubung ke Microsoft Defender untuk Cloud untuk mengirim data dan peristiwa keamanan.

Domain Azure	Domain Azure Government	Azure dioperasikan oleh domain 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.ods.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Anda juga perlu memvalidasi persyaratan jaringan Kubernetes dengan dukungan Azure Arc.

Mengaktifkan paket

1. Di Defender untuk Cloud, pilih Pengaturan, lalu pilih langganan yang relevan.

2. Pada halaman Paket defender, pilih Pengaturan Kontainer>.

   

   Tip

   Jika langganan sudah mengaktifkan Defender untuk Kubernetes atau Defender untuk registri kontainer, pemberitahuan pembaruan akan muncul. Jika tidak, satu-satunya opsi adalah Kontainer.

   

3. Aktifkan komponen yang relevan.

   

   Catatan

   • Pelanggan Defender untuk Kontainer yang bergabung sebelum Agustus 2023 dan tidak mengaktifkan penemuan Tanpa Agen untuk Kubernetes sebagai bagian dari manajemen postur keamanan cloud Defender (CSPM) ketika mereka mengaktifkan paket harus mengaktifkan penemuan Tanpa Agen secara manual untuk ekstensi Kubernetes dalam paket Defender untuk Kontainer.
   • Saat Anda menonaktifkan Defender untuk Kontainer, komponen diatur ke Nonaktif. Kontainer tidak disebarkan ke kontainer lagi, tetapi tidak dihapus dari kontainer tempat kontainer sudah diinstal.

Metode pengaktifan per kemampuan

Secara default, saat Anda mengaktifkan paket melalui portal Azure, Pertahanan Microsoft untuk Kontainer dikonfigurasi untuk secara otomatis mengaktifkan semua kemampuan dan menginstal semua komponen yang diperlukan untuk memberikan perlindungan yang ditawarkan paket. Konfigurasi ini mencakup penetapan ruang kerja default.

Jika Anda tidak ingin mengaktifkan semua kemampuan paket, Anda dapat memilih kemampuan spesifik mana yang akan diaktifkan secara manual dengan memilih Edit konfigurasi untuk paket Kontainer . Kemudian, pada halaman Pengaturan &pemantauan , pilih kemampuan yang ingin Anda aktifkan. Anda juga dapat mengubah konfigurasi ini dari halaman paket Defender setelah konfigurasi awal paket.

Untuk informasi terperinci tentang metode pengaktifan untuk setiap kemampuan, lihat matriks dukungan.

Peran dan izin

Pelajari selengkapnya tentang peran untuk menyediakan ekstensi Defender for Containers.

Menetapkan ruang kerja kustom untuk sensor Defender

Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Penyebaran manual sensor Defender atau agen kebijakan Azure tanpa provisi otomatis dengan menggunakan rekomendasi

Kemampuan yang memerlukan penginstalan sensor juga dapat disebarkan pada satu atau beberapa kluster Kubernetes. Gunakan rekomendasi yang sesuai:

Sensor	Rekomendasi
Sensor defender untuk Kubernetes	Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
Sensor defender untuk Kubernetes dengan dukungan Azure Arc	Kluster Kubernetes yang didukung Azure Arc harus menginstal ekstensi Defender
Agen Azure Policy untuk Kubernetes	Kluster Azure Kubernetes Service harus memiliki Azure Policy Add-on untuk Kube yang dipasang
Agen Azure Policy untuk Kubernetes dengan dukungan Azure Arc	Kluster Kubernetes yang didukung Azure Arc harus memiliki ekstensi Azure Policy yang diinstal

Untuk menyebarkan sensor Defender pada kluster tertentu:

1. Pada halaman rekomendasi Microsoft Defender untuk Cloud, buka aktifkan kontrol keamanan keamanan yang ditingkatkan atau cari salah satu rekomendasi sebelumnya. (Anda juga dapat menggunakan tautan sebelumnya untuk membuka rekomendasi secara langsung.)

2. Lihat semua kluster tanpa sensor dengan membuka tab Tidak Sehat .

3. Pilih kluster tempat Anda ingin menyebarkan sensor, lalu pilih Perbaiki.

4. Pilih Perbaiki sumber daya X.

Menyebarkan sensor Defender: Semua opsi

Anda dapat mengaktifkan paket Defender untuk Kontainer dan menyebarkan semua komponen yang relevan dengan menggunakan portal Azure, REST API, atau templat Azure Resource Manager. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Setelah sensor Defender disebarkan, ruang kerja default secara otomatis ditetapkan. Anda dapat menetapkan ruang kerja kustom sebagai pengganti ruang kerja default melalui Azure Policy.

Catatan

Sensor Defender disebarkan ke setiap simpul untuk memberikan perlindungan runtime dan mengumpulkan sinyal dari simpul tersebut dengan menggunakan teknologi eBPF.

Portal Azure

Gunakan tombol Perbaikan dari rekomendasi Defender untuk Cloud

Anda dapat menggunakan halaman portal Azure untuk mengaktifkan paket Defender untuk Cloud dan menyiapkan provisi otomatis semua komponen yang diperlukan untuk mempertahankan kluster Kubernetes dalam skala besar. Proses ini disederhanakan.

Rekomendasi khusus Defender untuk Cloud menyediakan:

• Visibilitas ke kluster mana yang memiliki sensor Defender yang disebarkan.
• Tombol Perbaiki untuk menyebarkan sensor ke kluster yang tidak memilikinya.

Untuk menyebarkan sensor:

1. Pada halaman rekomendasi Microsoft Defender untuk Cloud, buka aktifkan kontrol keamanan keamanan yang ditingkatkan.

2. Gunakan filter untuk menemukan rekomendasi bernama kluster Azure Kubernetes Service harus mengaktifkan profil Defender.

   Tip

   Perhatikan ikon Perbaiki di kolom Tindakan.

3. Pilih kluster untuk melihat detail sumber daya yang sehat dan tidak sehat (kluster dengan dan tanpa sensor).

4. Dalam daftar sumber daya yang tidak sehat, pilih kluster. Lalu pilih Remediasi untuk membuka panel dengan konfirmasi remediasi.

5. Pilih Perbaiki sumber daya X.

REST API

Menggunakan REST API untuk menyebarkan sensor Defender

Untuk menginstal securityProfile pada kluster yang ada dengan menggunakan REST API, jalankan perintah berikut PUT :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Berikut adalah permintaan URI:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Kueri permintaan memiliki parameter ini:

Nama	Deskripsi	Wajib
SubscriptionId	ID langganan kluster	Ya
ResourceGroup	Grup sumber daya kluster	Ya
ClusterName	Nama kluster	Ya
ApiVersion	Versi API; harus 2022-06-01 atau yang lebih baru	Ya

Ini adalah isi permintaan:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Isi permintaan memiliki parameter ini:

Nama	Deskripsi	Wajib
location	Lokasi kluster	Ya
properties.securityProfile.defender.securityMonitoring.enabled	Menentukan apakah akan mengaktifkan atau menonaktifkan Defender untuk Kontainer pada kluster	Ya
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID sumber daya Azure untuk ruang kerja Analitik Log	Ya

Azure CLI

Menggunakan Azure CLI untuk menyebarkan sensor Defender

1. Masuk ke Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Penting

   Pastikan Anda menggunakan ID langganan yang sama untuk <your-subscription-id> sebagai id yang terkait dengan kluster AKS Anda.

2. Aktifkan sensor Defender pada kontainer Anda:

   • Jalankan perintah berikut untuk membuat kluster baru dengan sensor Defender diaktifkan:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Jalankan perintah berikut untuk mengaktifkan sensor Defender pada kluster yang ada:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Berikut adalah pengaturan konfigurasi yang didukung pada jenis sensor Defender:

   Properti

   Deskripsi

   logAnalyticsWorkspaceResourceId

   Opsional. ID sumber daya lengkap ruang kerja Analitik Log Anda sendiri. Jika Anda tidak menyediakannya, ruang kerja default wilayah akan digunakan. Untuk mendapatkan ID sumber daya lengkap, jalankan perintah berikut ini untuk menampilkan daftar ruang kerja pada langganan Anda dalam format JSON default: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID sumber daya ruang kerja Analitik Log memiliki sintaks berikut: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Pelajari selengkapnya di ruang kerja Analitik Log.

   Anda dapat menyertakan pengaturan ini dalam file JSON dan menentukan file JSON pada perintah az aks create dan az aks update dengan parameter ini: --defender-config <path-to-JSON-file>. Format file JSON haruslah:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Pelajari selengkapnya tentang perintah AKS CLI di az aks.

3. Untuk memverifikasi bahwa sensor berhasil ditambahkan, jalankan perintah berikut pada komputer Anda dengan file yang kubeconfig ditujukkan ke kluster Anda:

   kubectl get pods -n kube-system
   

   Ketika sensor ditambahkan, Anda akan melihat pod yang dipanggil microsoft-defender-XXXXX dalam status Running . Mungkin perlu beberapa menit untuk menambahkan pod.

Resource Manager

Menggunakan Azure Resource Manager untuk menyebarkan sensor Defender

Untuk menggunakan Azure Resource Manager untuk menyebarkan sensor Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?.

Untuk menginstal securityProfile pada kluster yang ada dengan menggunakan Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Mengaktifkan paket

1. Di Defender untuk Cloud, pilih Pengaturan, lalu pilih langganan yang relevan.

2. Pada halaman Paket defender, pilih Pengaturan Kontainer>.

   

   Tip

   Jika langganan sudah mengaktifkan Defender untuk Kubernetes atau Defender untuk registri kontainer, pemberitahuan pembaruan akan muncul. Jika tidak, satu-satunya opsi adalah Kontainer.

   

3. Aktifkan komponen yang relevan.

   

   Catatan

   Saat Anda menonaktifkan Defender untuk Kontainer, komponen diatur ke Nonaktif. Kontainer tidak disebarkan ke kontainer lagi, tetapi tidak dihapus dari kontainer tempat kontainer sudah diinstal.

Secara default, saat Anda mengaktifkan paket melalui portal Azure, Pertahanan Microsoft untuk Kontainer dikonfigurasi untuk menginstal komponen yang diperlukan secara otomatis untuk memberikan perlindungan yang ditawarkan paket. Konfigurasi ini mencakup penetapan ruang kerja default.

Jika Anda ingin menonaktifkan penginstalan komponen otomatis selama proses orientasi, pilih Edit konfigurasi untuk paket Kontainer . Opsi tingkat lanjut muncul, dan Anda dapat menonaktifkan penginstalan otomatis untuk setiap komponen.

Anda juga dapat mengubah konfigurasi ini dari halaman paket Defender.

Catatan

Jika Anda memilih untuk menonaktifkan paket kapan saja setelah mengaktifkannya melalui portal, Anda harus menghapus komponen Defender untuk Kontainer secara manual yang disebarkan pada kluster Anda.

Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Jika Anda menonaktifkan penginstalan otomatis komponen apa pun, Anda dapat dengan mudah menyebarkan komponen ke satu atau beberapa kluster dengan menggunakan rekomendasi yang sesuai:

• Add-on Azure Policy untuk Kubernetes: Kluster Azure Kubernetes Service harus menginstal add-on Azure Policy untuk Kubernetes
• Profil Azure Kubernetes Service: Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
• Ekstensi Defender untuk Kubernetes dengan dukungan Azure Arc: Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Defender
• Ekstensi Azure Policy untuk Kubernetes dengan dukungan Azure Arc: Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy

Pelajari selengkapnya tentang peran untuk menyediakan ekstensi Defender for Containers.

Prasyarat

Sebelum menyebarkan sensor, pastikan Anda:

• Sambungkan kluster Kubernetes ke Azure Arc.
• Lengkapi prasyarat yang tercantum dalam dokumentasi untuk ekstensi kluster generik.

Menyebarkan sensor Defender

Anda dapat menyebarkan sensor Defender dengan menggunakan berbagai metode. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Portal Azure

Gunakan tombol Perbaikan dari rekomendasi Defender untuk Cloud

Rekomendasi khusus Defender untuk Cloud menyediakan:

• Visibilitas ke kluster mana yang memiliki sensor Defender yang disebarkan.
• Tombol Perbaiki untuk menyebarkan sensor ke kluster yang tidak memilikinya.

Untuk menyebarkan sensor:

1. Pada halaman rekomendasi Microsoft Defender untuk Cloud, buka aktifkan kontrol keamanan keamanan yang ditingkatkan.

2. Gunakan filter untuk menemukan rekomendasi bernama kluster Kubernetes dengan dukungan Azure Arc harus mengaktifkan ekstensi Pertahanan Microsoft.

   

   Tip

   Perhatikan ikon Perbaiki di kolom Tindakan.

3. Pilih sensor untuk melihat detail sumber daya yang sehat dan tidak sehat (kluster dengan dan tanpa sensor).

4. Dalam daftar sumber daya yang tidak sehat, pilih kluster. Lalu pilih Remediasi untuk membuka panel dengan opsi remediasi.

5. Pilih ruang kerja Analitik Log yang relevan, lalu pilih Remediasi sumber daya x.

   

Azure CLI

Menggunakan Azure CLI untuk menyebarkan sensor Defender

1. Masuk ke Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Penting

   Pastikan Anda menggunakan ID langganan yang sama untuk <your-subscription-id> yang Anda gunakan saat menyambungkan kluster Anda ke Azure Arc.

2. Jalankan perintah berikut untuk menyebarkan sensor di atas kluster Kubernetes dengan dukungan Azure Arc Anda:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Berikut adalah pengaturan konfigurasi yang didukung pada jenis sensor Defender:

   Properti	Deskripsi
   logAnalyticsWorkspaceResourceID	Opsional. ID sumber daya lengkap ruang kerja Analitik Log Anda sendiri. Jika Anda tidak menyediakannya, ruang kerja default wilayah akan digunakan. Untuk mendapatkan ID sumber daya lengkap, jalankan perintah berikut ini untuk menampilkan daftar ruang kerja pada langganan Anda dalam format JSON default: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID sumber daya ruang kerja Analitik Log memiliki sintaks berikut: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Pelajari selengkapnya di ruang kerja Analitik Log.
   auditLogPath	Opsional. Jalur lengkap ke file log audit. Jika Anda tidak menyediakannya, jalur /var/log/kube-apiserver/audit.log default akan digunakan. Untuk Mesin AKS, jalur standarnya adalah /var/log/kubeaudit/audit.log.

   Perintah berikut menunjukkan contoh penggunaan semua bidang opsional:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Menggunakan Azure Resource Manager untuk menyebarkan sensor Defender

Untuk menggunakan Azure Resource Manager untuk menyebarkan sensor Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Anda dapat menggunakan templat azure-defender-extension-arm-template.json Resource Manager dari contoh penginstalan Defender untuk Cloud.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?.

REST API

Menggunakan REST API untuk menyebarkan sensor Defender

Untuk menggunakan REST API untuk menyebarkan sensor Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Untuk menyebarkan sensor secara manual dengan menggunakan REST API, jalankan perintah berikut PUT :

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Perintah ini mencakup parameter ini:

Nama	Dalam	Wajib	Tipe	Deskripsi
Subscription ID	Jalur	Benar	String	ID langganan sumber daya Kubernetes dengan dukungan Azure Arc Anda
Resource Group	Jalur	Benar	String	Nama grup sumber daya yang berisi sumber daya Kubernetes dengan dukungan Azure Arc
Cluster Name	Jalur	Benar	String	Nama sumber daya Kubernetes dengan dukungan Azure Arc

Untuk Autentikasi, header Anda harus memiliki token pembawa (seperti halnya API Azure lainnya). Untuk mendapatkan token pembawa, jalankan perintah berikut:

az account get-access-token --subscription <your-subscription-id>

Gunakan struktur berikut untuk isi pesan Anda:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

Isi pesan mencakup properti ini:

Properti	Deskripsi
logAnalytics.workspaceId	ID ruang kerja sumber daya Analitik Log.
logAnalytics.key	Kunci sumber daya Analitik Log.
auditLogPath	Opsional. Jalur lengkap ke file log audit. Nilai defaultnya adalah /var/log/kube-apiserver/audit.log.

Verifikasi penyebaran

Untuk memverifikasi bahwa kluster Anda memiliki sensor Defender yang terinstal di dalamnya, ikuti langkah-langkah pada salah satu tab berikut.

Portal Microsoft Azure - Defender untuk Cloud

Gunakan rekomendasi Defender untuk Cloud untuk memverifikasi status sensor Anda

1. Pada halaman Rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Aktifkan Microsoft Defender untuk Cloud.

2. Pilih rekomendasi bernama kluster Kubernetes dengan dukungan Azure Arc harus mengaktifkan ekstensi Pertahanan Microsoft.

   

3. Periksa apakah kluster tempat Anda menyebarkan sensor tercantum sebagai Sehat.

Portal Azure - Azure Arc

Menggunakan halaman Azure Arc untuk memverifikasi status sensor Anda

1. Di portal Azure, buka Azure Arc.

2. Dalam daftar infrastruktur, pilih kluster Kubernetes, lalu pilih kluster tertentu.

3. Buka halaman Ekstensi . Halaman mencantumkan ekstensi pada kluster. Untuk mengonfirmasi apakah sensor Defender diinstal dengan benar, periksa kolom Status penginstalan .

   

4. Untuk detail selengkapnya, pilih ekstensi.

   

Azure CLI

Gunakan Azure CLI untuk memverifikasi bahwa sensor disebarkan

1. Jalankan perintah berikut di Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Dalam tanggapan, cari "extensionType": "microsoft.azuredefender.kubernetes" dan "installState": "Installed".

   Catatan

   Respons mungkin ditampilkan "installState": "Pending" selama beberapa menit pertama.

3. Jika status menunjukkan Installed, jalankan perintah berikut pada komputer Anda dengan file yang kubeconfig ditunjukkan ke kluster Anda. Kemudian periksa apakah semua pod di bawah mdc namespace berada dalam status Running .

   kubectl get pods -n mdc
   

REST API

Gunakan REST API untuk memverifikasi bahwa sensor disebarkan

Untuk mengonfirmasi penyebaran yang berhasil, atau untuk memvalidasi status sensor Anda kapan saja:

1. Jalankan perintah GET berikut:

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Dalam respons, cari "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed".

   Tip

   Respons mungkin ditampilkan "installState": "Pending" selama beberapa menit pertama.

3. Jika status menunjukkan Installed, jalankan perintah berikut pada komputer Anda dengan file yang kubeconfig ditunjukkan ke kluster Anda. Kemudian periksa apakah semua pod di bawah mdc namespace berada dalam status Running .

   kubectl get pods -n mdc
   

Mengaktifkan paket

Penting

• Jika Anda belum menyambungkan akun AWS, sambungkan akun AWS Anda ke Microsoft Defender untuk Cloud sebelum memulai langkah-langkah berikut.
• Jika Anda sudah mengaktifkan paket pada konektor, dan Anda ingin mengubah konfigurasi opsional atau mengaktifkan kemampuan baru, langsung ke langkah 4.

Untuk membantu melindungi kluster EKS Anda, aktifkan paket Defender for Containers pada konektor akun yang relevan:

1. Di Defender untuk Cloud, buka Pengaturan lingkungan.

2. Pilih konektor AWS.

   

3. Verifikasi bahwa tombol untuk paket Kontainer diatur ke Aktif.

   

4. Untuk mengubah konfigurasi opsional untuk paket, pilih Pengaturan.

   

   • Defender for Containers memerlukan log audit sarana kontrol untuk memberikan perlindungan ancaman runtime. Untuk mengirim log audit Kubernetes ke Microsoft Defender, atur tombol untuk fitur tersebut ke Aktif. Untuk mengubah periode retensi untuk log audit Anda, masukkan jangka waktu yang diperlukan.

     Catatan

     Jika Anda menonaktifkan konfigurasi ini, fitur Deteksi ancaman (sarana kontrol) juga dinonaktifkan. Pelajari selengkapnya tentang ketersediaan fitur.

   • Fitur Penemuan Tanpa Agen untuk Kubernetes menyediakan penemuan berbasis API dari kluster Kubernetes Anda. Untuk mengaktifkan fitur, atur tombolnya ke Aktif.

   • Fitur Penilaian Kerentanan Kontainer Tanpa Agen menyediakan pengelolaan kerentanan untuk gambar yang disimpan di ECR dan untuk menjalankan gambar pada kluster EKS Anda. Untuk mengaktifkan fitur, atur tombolnya ke Aktif.

5. Lanjutkan melalui halaman yang tersisa dari wizard konektor.

6. Jika mengaktifkan fitur Agentless Discovery untuk Kubernetes , Anda perlu memberikan izin sarana kontrol pada kluster. Anda dapat memberikan izin dengan salah satu cara berikut:

   • Jalankan skrip Python ini. Skrip menambahkan peran MDCContainersAgentlessDiscoveryK8sRole Defender untuk Cloud ke untuk aws-auth ConfigMap kluster EKS yang ingin Anda onboarding.

   • Berikan setiap kluster MDCContainersAgentlessDiscoveryK8sRole Amazon EKS peran dengan kemampuan untuk berinteraksi dengan kluster. Masuk ke semua kluster yang sudah ada dan yang baru dibuat dengan menggunakan eksctl dan jalankan skrip berikut:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Untuk informasi selengkapnya, lihat Memberikan akses pengguna IAM ke Kubernetes dengan entri akses EKS di panduan pengguna Amazon EKS.

7. Kubernetes dengan dukungan Azure Arc, sensor Defender, dan Azure Policy untuk Kubernetes harus diinstal dan berjalan pada kluster EKS Anda. Ada rekomendasi Defender untuk Cloud khusus untuk menginstal ekstensi ini (dan Azure Arc, jika perlu): Kluster EKS harus menginstal ekstensi Pertahanan Microsoft untuk Azure Arc.

   Gunakan langkah-langkah berikut untuk menginstal ekstensi yang diperlukan:

   1. Pada halaman Rekomendasi Defender untuk Cloud, cari dan pilih kluster EKS harus memiliki rekomendasi ekstensi Pertahanan Microsoft untuk Azure Arc yang terinstal.

   2. Pilih kluster yang tidak sehat.

      Penting

      Anda harus memilih kluster satu per satu.

      Jangan pilih kluster berdasarkan nama hyperlinknya. Pilih di tempat lain di baris yang relevan.

   3. Pilih Perbaiki.

   4. Defender untuk Cloud menghasilkan skrip dalam bahasa pilihan Anda: pilih Bash (untuk Linux) atau PowerShell (untuk Windows).

   5. Pilih Unduh logika remediasi.

   6. Jalankan skrip yang dihasilkan di kluster Anda.

   

Menampilkan rekomendasi dan peringatan untuk kluster EKS Anda

Tip

Anda bisa menstimulasi peringatan penyimpanan dengan mengikuti instruksi di post blog ini.

Untuk melihat pemberitahuan dan rekomendasi untuk kluster EKS Anda, gunakan filter pada pemberitahuan, rekomendasi, dan halaman inventori untuk memfilter berdasarkan jenis sumber daya Kluster AWS EKS.

Menyebarkan sensor Defender

Untuk menyebarkan sensor Defender pada kluster AWS Anda:

1. Buka Microsoft Defender untuk Cloud> Pengamanan layanan>Tambahkan lingkungan>Amazon Web Services.

   

2. Isi detail akun.

   

3. Buka Pilih paket, buka paket Kontainer, dan pastikan Provisi otomatis sensor Defender untuk Azure Arc diatur ke Aktif.

   

4. Buka Mengonfigurasi akses dan ikuti langkah-langkah di sana.

   

5. Setelah templat Formasi Cloud berhasil disebarkan, pilih Buat.

Catatan

Anda dapat mengecualikan kluster AWS tertentu dari provisi otomatis. Untuk penyebaran sensor, terapkan ms_defender_container_exclude_agents tag pada sumber daya dengan nilai true. Untuk penyebaran tanpa agen, terapkan ms_defender_container_exclude_agentless tag pada sumber daya dengan nilai true.

Mengaktifkan paket

Penting

Jika Anda belum menyambungkan proyek GCP, sambungkan proyek GCP Anda ke Microsoft Defender untuk Cloud.

Untuk membantu melindungi kluster GKE Anda, gunakan langkah-langkah berikut untuk mengaktifkan paket Defender for Containers pada proyek GCP yang relevan.

Catatan

Verifikasi bahwa Anda tidak memiliki kebijakan Azure yang mencegah penginstalan Azure Arc.

1. Masuk ke portal Azure.

2. Buka Microsoft Defender untuk Cloud> Pengamanan layanan.

3. Pilih konektor GCP yang relevan.

   

4. Pilih tombol Berikutnya: Pilih paket >.

5. Pastikan bahwa tombol untuk paket Kontainer Aktif.

   

6. Untuk mengubah konfigurasi opsional untuk paket, pilih Pengaturan.

   

   • Log audit Kubernetes ke Defender untuk Cloud: Diaktifkan secara default. Konfigurasi ini hanya tersedia di tingkat proyek GCP. Ini menyediakan pengumpulan data log audit tanpa agen melalui GCP Cloud Logging ke back end Microsoft Defender untuk Cloud untuk analisis lebih lanjut. Defender for Containers memerlukan log audit sarana kontrol untuk memberikan perlindungan ancaman runtime. Untuk mengirim log audit Kubernetes ke Pertahanan Microsoft, atur tombol ke Aktif.

     Catatan

     Jika Anda menonaktifkan konfigurasi ini, fitur Deteksi ancaman (sarana kontrol) juga dinonaktifkan. Pelajari selengkapnya tentang ketersediaan fitur.

   • Provisi otomatis sensor Defender untuk Azure Arc dan Provisi otomatis ekstensi Azure Policy untuk Azure Arc: Diaktifkan secara default. Anda dapat menginstal Kubernetes dengan dukungan Azure Arc dan ekstensinya pada kluster GKE Anda dengan tiga cara:

     • Aktifkan Provisi otomatis Defender untuk Kontainer di tingkat proyek, seperti yang dijelaskan dalam instruksi di bagian ini. Kami merekomendasikan metode ini.
     • Gunakan rekomendasi Defender untuk Cloud untuk penginstalan per kluster. Mereka muncul di halaman Rekomendasi Microsoft Defender untuk Cloud. Pelajari cara menyebarkan solusi ke kluster tertentu.
     • Instal Kubernetes dan ekstensi dengan dukungan Azure Arc secara manual.

   • Fitur Penemuan Tanpa Agen untuk Kubernetes menyediakan penemuan berbasis API dari kluster Kubernetes Anda. Untuk mengaktifkan fitur, atur tombolnya ke Aktif.

   • Fitur Penilaian Kerentanan Kontainer Tanpa Agen menyediakan pengelolaan kerentanan untuk gambar yang disimpan di registri Google (Google Artifact Registry dan Google Container Registry) dan menjalankan gambar di kluster GKE Anda. Untuk mengaktifkan fitur, atur tombolnya ke Aktif.

7. Pilih tombol Salin.

   

8. Pilih tombol Cloud Shell GCP >.

9. Tempelkan skrip ke terminal Cloud Shell dan jalankan.

Konektor diperbarui setelah skrip berjalan. Proses ini dapat memakan waktu hingga 8 jam untuk menyelesaikannya.

Menyebarkan solusi ke kluster tertentu

Jika Anda mengatur salah satu konfigurasi provisi otomatis default ke Nonaktif selama proses onboarding konektor GCP atau setelahnya, Anda perlu menginstal Kubernetes dengan dukungan Azure Arc secara manual, sensor Defender, dan Azure Policy untuk Kubernetes di setiap kluster GKE Anda. Menginstalnya membantu memastikan bahwa Anda mendapatkan nilai keamanan penuh dari Defender untuk Kontainer.

Anda dapat menggunakan dua rekomendasi Defender untuk Cloud khusus untuk menginstal ekstensi (dan Azure Arc, jika perlu):

• Kluster GKE harus menginstal ekstensi Pertahanan Microsoft untuk Azure Arc
• Kluster GKE harus menginstal ekstensi Azure Policy

Catatan

Saat menginstal ekstensi Arc, Anda harus memverifikasi bahwa proyek GCP yang disediakan identik dengan yang ada di konektor yang relevan.

Untuk menyebarkan solusi ke kluster tertentu:

1. Masuk ke portal Azure.

2. Buka Microsoft Defender untuk Cloud> Recommendations.

3. Pada halaman Rekomendasi Defender untuk Cloud, cari salah satu rekomendasi berdasarkan nama.

   

4. Pilih kluster GKE yang tidak sehat.

   Penting

   Anda harus memilih kluster satu per satu.

   Jangan pilih kluster berdasarkan nama hyperlinknya. Pilih di tempat lain di baris yang relevan.

5. Pilih nama sumber daya yang tidak sehat.

6. Pilih Perbaiki.

   

7. Defender untuk Cloud menghasilkan skrip dalam bahasa pilihan Anda:

   • Untuk Linux, pilih Bash.
   • Untuk Windows, pilih PowerShell.

8. Pilih Unduh logika remediasi.

9. Jalankan skrip yang dihasilkan di kluster Anda.

10. Ulangi langkah 3 sampai 8 untuk rekomendasi lainnya.

Menampilkan peringatan kluster GKE Anda

1. Masuk ke portal Azure.

2. Buka Microsoft Defender untuk Cloud> Peringatan keamanan.

3. Pilih tombol .

4. Pada menu dropdown Filter, pilih Jenis sumber daya.

5. Pada menu dropdown Nilai , pilih Kluster GCP GKE.

6. Pilih OK.

Menyebarkan sensor Defender

Untuk menyebarkan sensor Defender pada kluster GCP Anda:

1. Buka Microsoft Defender untuk Cloud> Pengamanan pengaktifan>Tambahkan lingkungan>Google Cloud Platform.

   

2. Isi detail akun.

   

3. Buka Pilih paket, buka paket Kontainer, dan pastikan Provisi otomatis sensor Defender untuk Azure Arc diatur ke Aktif.

   

4. Buka Mengonfigurasi akses dan ikuti langkah-langkah di sana.

   

5. gcloud Setelah skrip berhasil dijalankan, pilih Buat.

Catatan

Anda dapat mengecualikan kluster GCP tertentu dari provisi otomatis. Untuk penyebaran sensor, terapkan ms_defender_container_exclude_agents label pada sumber daya dengan nilai true. Untuk penyebaran tanpa agen, terapkan ms_defender_container_exclude_agentless label pada sumber daya dengan nilai true.

Menyimulasikan peringatan keamanan dari Microsoft Defender untuk Kontainer

Daftar lengkap peringatan yang didukung tersedia di tabel referensi semua peringatan keamanan Defender untuk Cloud.

Untuk mensimulasikan pemberitahuan keamanan:

1. Jalankan perintah berikut dalam kluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Respons yang diharapkan adalah No resource found.

   Dalam waktu 30 menit, Defender untuk Cloud mendeteksi aktivitas ini dan memicu pemberitahuan keamanan.

   Catatan

   Azure Arc bukan prasyarat untuk mensimulasikan pemberitahuan tanpa agen untuk Defender untuk Kontainer.

2. Di portal Azure, buka Microsoft Defender untuk Cloud> Peringatan keamanan dan cari pemberitahuan pada sumber daya yang relevan.

   

Menghapus sensor Defender

Untuk menghapus ekstensi Defender untuk Cloud ini (atau apa pun), tidak cukup untuk menonaktifkan provisi otomatis:

• Mengaktifkan provisi otomatis berpotensi memengaruhi komputer yang ada dan yang akan datang.
• Menonaktifkan provisi otomatis untuk ekstensi hanya memengaruhi komputer di masa mendatang . Tidak ada yang dihapus instalasinya saat Anda menonaktifkan provisi otomatis.

Catatan

Untuk menonaktifkan paket Defender for Containers sepenuhnya, buka Pengaturan lingkungan dan nonaktifkan Pertahanan Microsoft untuk Kontainer.

Namun demikian, untuk memastikan bahwa komponen Defender for Containers tidak secara otomatis disediakan untuk sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi.

Anda dapat menghapus ekstensi dari komputer yang sedang berjalan dengan menggunakan portal Azure, Azure CLI, atau REST API, seperti yang dijelaskan pada tab berikut.

Portal Azure - Arc

Gunakan portal Azure untuk menghapus ekstensi

1. Di portal Azure, buka Azure Arc.

2. Dalam daftar infrastruktur, pilih kluster Kubernetes, lalu pilih kluster tertentu.

3. Buka halaman Ekstensi , yang mencantumkan ekstensi pada kluster.

4. Pilih ekstensi, lalu pilih Hapus instalan.

   

Azure CLI

Menggunakan Azure CLI untuk menghapus sensor Defender

1. Hapus ekstensi Azure Arc untuk Pertahanan Microsoft untuk Kubernetes dengan menggunakan perintah berikut:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Menghapus ekstensi mungkin perlu waktu beberapa menit. Kami menyarankan agar Anda menunggu sebelum mencoba memverifikasi bahwa itu berhasil.

2. Untuk memverifikasi bahwa Anda berhasil menghapus ekstensi, jalankan perintah berikut:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Validasi bahwa tidak ada pod di mdc bawah namespace pada kluster. Jalankan perintah berikut dengan file yang kubeconfig ditujukan ke kluster Anda:

   kubectl get pods -n mdc
   

   Penghapusan pod mungkin memakan waktu beberapa menit.

REST API

Menggunakan REST API untuk menghapus sensor Defender

Untuk menghapus ekstensi dengan menggunakan REST API, jalankan perintah berikut DELETE :

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Perintah ini mencakup parameter ini:

Nama	Dalam	Wajib	Tipe	Deskripsi
Subscription ID	Jalur	Benar	String	ID langganan kluster Kubernetes dengan dukungan Azure Arc
Resource Group	Jalur	Benar	String	Grup sumber daya kluster Kubernetes dengan dukungan Azure Arc
Cluster Name	Jalur	Benar	String	Nama kluster Kubernetes dengan dukungan Azure Arc

Untuk Autentikasi, header Anda harus memiliki token pembawa (seperti halnya API Azure lainnya). Untuk mendapatkan token pembawa, jalankan perintah berikut:

az account get-access-token --subscription <your-subscription-id>

Permintaan mungkin memerlukan waktu beberapa menit untuk diselesaikan.

Mengatur ruang kerja Analitik Log default untuk AKS

Sensor Defender menggunakan ruang kerja Analitik Log sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud. Ruang kerja tidak menyimpan data apa pun. Akibatnya, pengguna tidak ditagih dalam kasus penggunaan ini.

Sensor Defender menggunakan ruang kerja Log Analytics default. Jika Anda tidak memiliki ruang kerja Log Analytics default, Defender untuk Cloud membuat grup sumber daya baru dan ruang kerja default saat Anda menginstal sensor Defender. Ruang kerja default didasarkan pada wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

• Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
• Grup sumber daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan provisi otomatis, ruang kerja default secara otomatis ditetapkan. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

1. Masuk ke portal Azure.

2. Cari dan pilih Kebijakan.

   

3. Pilih Definisi.

4. Cari ID kebijakan 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Pilih Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Defender.

6. Pilih Penugasan.

   

7. Gunakan salah satu bagian berikutnya dalam artikel ini sebagai berikut:

   • Jika kebijakan belum ditetapkan ke cakupan yang relevan, ikuti langkah Membuat tugas baru dengan ruang kerja kustom.
   • Jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom, ikuti langkah-langkah Memperbarui penugasan dengan ruang kerja kustom.

Membuat tugas baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, tab Penugasan memperlihatkan angka 0.

Untuk menetapkan ruang kerja kustom:

1. Pilih Tetapkan.

2. Pada tab Parameter , kosongkan opsi Hanya tampilkan parameter yang memerlukan input atau tinjauan .

3. Pilih nilai LogAnalyticsWorkspaceResourceId dari menu dropdown.

   

4. Pilih Tinjau + buat.

5. Pilih Buat.

Memperbarui penugasan dengan ruang kerja kustom

Jika kebijakan ditetapkan ke ruang kerja, tab Penugasan memperlihatkan angka 1.

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi.

Untuk menetapkan ruang kerja kustom:

1. Pilih penugasan yang relevan.

   

2. Pilih Edit penugasan.

3. Pada tab Parameter , kosongkan opsi Hanya tampilkan parameter yang memerlukan input atau tinjauan .

4. Pilih nilai LogAnalyticsWorkspaceResourceId dari menu dropdown.

   

5. Pilih Tinjau + simpan.

6. Pilih Simpan.

Ruang kerja Log Analytics default untuk Azure Arc

Sensor Defender menggunakan ruang kerja Analitik Log sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud. Ruang kerja tidak menyimpan data apa pun. Akibatnya, pengguna tidak ditagih dalam kasus penggunaan ini.

Sensor Defender menggunakan ruang kerja Log Analytics default. Jika Anda tidak memiliki ruang kerja Log Analytics default, Defender untuk Cloud membuat grup sumber daya baru dan ruang kerja default saat Anda menginstal sensor Defender. Ruang kerja default didasarkan pada wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

• Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
• Grup sumber daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan provisi otomatis, ruang kerja default secara otomatis ditetapkan. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

1. Masuk ke portal Azure.

2. Cari dan pilih Kebijakan.

   

3. Pilih Definisi.

4. Cari ID kebijakan 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Pilih Konfigurasikan kluster Kubernetes dengan dukungan Azure Arc untuk menginstal ekstensi Microsoft Defender untuk Cloud.

6. Pilih Penugasan.

   

7. Gunakan salah satu bagian berikutnya dalam artikel ini sebagai berikut:

   • Jika kebijakan belum ditetapkan ke cakupan yang relevan, ikuti langkah Membuat tugas baru dengan ruang kerja kustom.
   • Jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom, ikuti langkah-langkah Memperbarui penugasan dengan ruang kerja kustom.

Membuat tugas baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, tab Penugasan memperlihatkan angka 0.

Untuk menetapkan ruang kerja kustom:

1. Pilih Tetapkan.

2. Pada tab Parameter , kosongkan opsi Hanya tampilkan parameter yang memerlukan input atau tinjauan .

3. Pilih nilai LogAnalyticsWorkspaceResourceId dari menu dropdown.

   

4. Pilih Tinjau + buat.

5. Pilih Buat.

Memperbarui penugasan dengan ruang kerja kustom

Jika kebijakan ditetapkan ke ruang kerja, tab Penugasan memperlihatkan angka 1.

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi. Jika Anda memiliki angka 1 atau lebih tinggi tetapi penugasan tidak ada di cakupan yang relevan, ikuti langkah-langkah Membuat tugas baru dengan ruang kerja kustom.

Untuk menetapkan ruang kerja kustom:

1. Pilih penugasan yang relevan.

   

2. Pilih Edit penugasan.

3. Pada tab Parameter , kosongkan opsi Hanya tampilkan parameter yang memerlukan input atau tinjauan .

4. Pilih nilai LogAnalyticsWorkspaceResourceId dari menu dropdown.

   

5. Pilih Tinjau + simpan.

6. Pilih Simpan.

Menghapus sensor Defender

Untuk menghapus ekstensi Defender untuk Cloud ini (atau apa pun), tidak cukup untuk menonaktifkan provisi otomatis:

• Mengaktifkan provisi otomatis berpotensi memengaruhi komputer yang ada dan yang akan datang.
• Menonaktifkan provisi otomatis untuk ekstensi hanya memengaruhi komputer di masa mendatang . Tidak ada yang dihapus instalasinya saat Anda menonaktifkan provisi otomatis.

Catatan

Untuk menonaktifkan paket Defender for Containers sepenuhnya, buka Pengaturan lingkungan dan nonaktifkan Pertahanan Microsoft untuk Kontainer.

Namun demikian, untuk memastikan bahwa komponen Defender for Containers tidak secara otomatis disediakan untuk sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi.

Anda dapat menghapus ekstensi dari komputer yang sedang berjalan dengan menggunakan REST API, Azure CLI, atau templat Resource Manager, seperti yang dijelaskan pada tab berikut.

REST API

Gunakan REST API untuk menghapus sensor Defender dari AKS

Untuk menghapus ekstensi dengan menggunakan REST API, jalankan perintah berikut PUT :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Perintah ini mencakup parameter ini:

Nama	Deskripsi	Wajib
SubscriptionId	ID langganan kluster	Ya
ResourceGroup	Grup sumber daya kluster	Ya
ClusterName	Nama kluster	Ya
ApiVersion	Versi API; harus 2022-06-01 atau yang lebih baru	Ya

Ini adalah isi permintaan:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Isi permintaan memiliki parameter ini:

Nama	Deskripsi	Wajib
location	Lokasi kluster	Ya
properties.securityProfile.defender.securityMonitoring.enabled	Menentukan apakah akan mengaktifkan atau menonaktifkan Defender untuk Kontainer pada kluster	Ya

Azure CLI

Menggunakan Azure CLI untuk menghapus sensor Defender

1. Jalankan perintah berikut:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Menghapus ekstensi mungkin perlu waktu beberapa menit.

2. Untuk memverifikasi bahwa Anda berhasil menghapus ekstensi, jalankan perintah berikut:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Ketika ekstensi dihapus, get pods perintah tidak mengembalikan pod apa pun. Penghapusan pod mungkin memakan waktu beberapa menit.

Resource Manager

Menggunakan Azure Resource Manager untuk menghapus sensor Defender dari AKS

Untuk menggunakan Azure Resource Manager untuk menghapus sensor Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?.

Templat dan parameter yang relevan untuk menghapus sensor Defender dari AKS adalah:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Konten terkait

Setelah mengaktifkan Defender untuk Kontainer, Anda dapat:

• Memindai gambar Azure Container Registry Anda untuk kerentanan
• Memindai gambar AWS Anda untuk kerentanan dengan Pengelolaan Kerentanan Microsoft Defender
• Pindai gambar GCP Anda untuk kerentanan dengan Pengelolaan Kerentanan Microsoft Defender
• Lihat pertanyaan umum tentang Defender untuk Kontainer.

Untuk mempelajari selengkapnya tentang Defender untuk Cloud dan Defender untuk Kontainer, lihat blog berikut:

• Melindungi beban kerja Google Cloud Anda dengan Microsoft Defender untuk Cloud
• Memperkenalkan Microsoft Defender untuk Kontainer
• Nama baru untuk keamanan multicloud: Microsoft Defender untuk Cloud