Microsoft Defender for Containers の有効化

Microsoft Defender for Containers は、コンテナーをセキュリティで保護するためのクラウド ネイティブ ソリューションです。

Defender for Containers は、クラスターがどのような環境で動作しているかに関わらず、クラスターを保護します。

  • Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。

  • 接続された Amazon Web Services (AWS) アカウントでの Amazon Elastic Kubernetes Service (EKS) - 独自で Kubernetes の制御プレーンやノードをインストール、運用、保守することなく、AWS 上で Kubernetes を稼働させるための Amazon のマネージド サービスです。

  • 接続された Google Cloud Platform (GKE) プロジェクトの Google Kubernetes Engine (GKE) - GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、スケーリングするための Google の管理された環境。

  • その他の Kubernetes ディストリビューション (Azure Arc 対応の Kubernetes を使用) - Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスターを、オンプレミスまたは IaaS 上でホストします。 詳細については、「サポートされている環境別の機能」の「オンプレミス/IaaS (Arc)」セクションを参照してください。

この計画の詳細は、Microsoft Defender for Containers の概要を参照してください。

詳細については、Field ビデオ シリーズの Defender for Cloud に関する次のビデオをご覧ください。

注意

Defender for Containers は、Arc 対応の Kubernetes クラスター、AWS EKS、GCP GKE でサポートされます。 これはプレビュー機能です。

サポートされるオペレーティング システム、使用できる機能、送信プロキシなどの詳細については、「Defender for Containers の機能の可用性」を参照してください。

ネットワークの要件

Defender プロファイルが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

Microsoft Defender に必要な FQDN/アプリケーション ルール」を参照してください。

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。

ネットワークの要件

Defender 拡張機能が Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

Azure パブリック クラウド デプロイの場合:

Domain Port
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

次のドメインは、関連する OS を使っている場合にのみ必要です。 たとえば、AWS で EKS クラスターを実行している場合は、Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" ドメインを適用するだけで済みます。

Domain Port オペレーティング システムをホストする
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum の既定のリポジトリ - RHEL / Centos
apt の既定のリポジトリ - Debian

また、Azure Arc 対応 Kubernetes ネットワークの要件も検証する必要があります。

ヒント

Azure からプロビジョニングされた AKS ハイブリッド クラスターでこの拡張機能を使用する場合は、provisionedClusters を使用するように --cluster-type を設定し、また、--cluster-resource-provider microsoft.hybridcontainerservice をコマンドに追加する必要があります。 Azure からプロビジョニングされた AKS ハイブリッド クラスターへの Azure Arc 拡張機能のインストールは、現在プレビュー中です。

プランを有効にする

プランを有効にするには次のようにします。

  1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

  2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。

    Defender プラン ページのスクリーンショット。

    ヒント

    サブスクリプションで Defender for Kubernetes および (または)、Defender for container registries がすでに有効になっている場合は、アップデート通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

    Defender for container registries と Defender for Kubernetes plans に表示された「Deprecated」とアップグレード情報。

  3. 関連コンポーネントをオンにして有効にします。

    コンポーネントをオンにするスクリーンショット。

    注意

    Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護の提供に必要なコンポーネントを自動的にインストールするように構成されます。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

コンテナー リソースに Defender for Containers 監視コンポーネントを自動的にインストールしない場合は、コンテナープランの [構成の編集] を選択します。 次に、[設定と監視] ページで、各コンポーネントの自動インストールをオフにします。

さらに、[Defender プラン] ページからこの構成を変更できます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用して、コンポーネントを 1 つまたは複数のクラスターに簡単にデプロイできます。

Defender プロファイルをデプロイする

Defender for Containers プランを有効にし、Azure portal、REST API、または Resource Manager テンプレートを使用して、関連するすべてのコンポーネントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender プロファイルが展開されると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用して、既定のワークスペースの代わりに カスタム ワークスペースを割り当てることができます。

注意

実行時に保護を行うため、および eBPF テクノロジを使用して各ノードからシグナルを収集するために、Defender プロファイルはそれらの各ノードにデプロイされます。

Defender for Cloud の推奨事項の修正ボタンを使用する

簡素化された無駄のないプロセスにより、Azure portal ページを使用してDefender for Cloud プランを有効にすることができ、大規模なKubernetes クラスターを保護ために必要なすべてのコンポーネントの自動プロビジョニングを設定します。

専用の Defender for Cloud のレコメンデーションは次のとおりです。

  • 可視性 どのクラスターに Defender プロファイルがデプロイされているか
  • 拡張機能がデプロイされていないそれらのクラスターにそれをデプロイするための [修正] ボタン
  1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

  2. フィルターを使用して、Azure Kubernetes Service のクラスターは Defender プロファイルを有効にする必要があるという名前のレコメンデーションを検索します。

    ヒント

    アクション 列の 修正 アイコンに注目してください

  3. 拡張機能を選択すると、正常、異常なリソース (クラスターで拡張機能がデプロイされているものとされていないもの) の詳細が表示されます。

  4. 異常なリソースの一覧からクラスターを選択し、[修復] を選択して、修復オプションを含むペインを開きます。

  5. [X 個のリソースの修正] を選択します。

プランを有効にする

プランを有効にするには次のようにします。

  1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

  2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。 Defender プラン ページのスクリーンショット。

    ヒント

    サブスクリプションで Defender for Kubernetes または Defender for container registries が既に有効になっている場合は、更新通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

    Defender for container registries と Defender for Kubernetes plans に表示された「Deprecated」とアップグレード情報。

  3. 関連コンポーネントをオンにして有効にします。

    コンポーネントをオンにするスクリーンショット。

    注意

    Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護の提供に必要なコンポーネントを自動的にインストールするように構成されます。

オンボード プロセス中の自動インストールを無効にする場合は、コンテナープランの [構成の編集] を選択します。 詳細オプションが表示され、各コンポーネントの自動インストールを無効にできます。

さらに、[Defender プラン] ページからこの構成を変更できます。

注意

上記のようにポータルを使用して有効にした後、いずれかの時点でプランを無効にすることを選択した場合、クラスターにデプロイされている Defender for Containers コンポーネントを手動で削除する必要があります。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用して、コンポーネントを 1 つまたは複数のクラスターに簡単にデプロイできます。

前提条件

拡張機能を展開する前に、次のことを確認してください。

Defender 拡張機能をデプロイする

さまざまな方法を使用して Defender 拡張機能をデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender for Cloud の推奨事項の修正ボタンを使用する

専用の Defender for Cloud のレコメンデーションは次のとおりです。

  • Defender for Kubernetes 拡張機能がデプロイされているご自分のクラスターの可視性
  • 拡張機能がデプロイされていないそれらのクラスターにそれをデプロイするための [修正] ボタン
  1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

  2. フィルターを使用して、Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要があるという名前のレコメンデーションを見つけます。

    Azure Arc 対応 Kubernetes クラスター用の Defender 拡張機能をデプロイするための Microsoft Defender for Cloud の推奨事項。

    ヒント

    アクション 列の 修正 アイコンに注目してください

  3. 拡張機能を選択すると、正常および異常なリソース (クラスターで拡張機能がデプロイされているものとされていないもの) の詳細が表示されます。

  4. 異常なリソースの一覧からクラスターを選択し、 [修復] を選択して、修復オプションを含むペインを開きます。

  5. 関連する Log Analytics ワークスペースを選択し、 [x 個のリソースの修復] を選択します。

    Defender for Cloud の「修正」オプションを使用した、Defender extension for Azure Arc のデプロイ。

デプロイを検証する

クラスターに Defender 拡張機能がインストールされていることを確認するには、次のいずれかのタブの手順に従います。

クラウドの推奨事項として Defender を使用して拡張機能の状態を確認する

  1. Microsoft Defender for Cloud の [おすすめ候補] ページで、[Enable Microsoft Defender for Cloud (Azure Defender for Cloud を有効にする)] を開きます。

  2. [Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある] というレコメンデーションを選択します。

    Azure Arc 対応 Kubernetes クラスター用の Defender 拡張機能をデプロイするための Microsoft Defender for Cloud の推奨事項。

  3. 拡張機能をデプロイしたクラスターが [正常] と表示されていることを確認します。

Amazon Elastic Kubernetes Service クラスターを保護する

重要

AWS アカウントをまだ接続していない場合は、AWS アカウントを Microsoft Defender for Cloud に接続してください。

EKS クラスターを保護するには、関連するアカウント コネクタでコンテナー計画を有効にします。

  1. [Defender for Cloud] メニューで、 [環境設定] を開きます。

  2. AWS コネクタを選択します。

    AWS コネクタを表示した Defender for Cloud の環境設定ページのスクリーンショット。

  3. [コンテナー] プランのトグル を [On (オン)] に設定します。

    AWS コネクタで Defender for Containers を有効にしたときのスクリーンショット。

  4. (必要に応じて)、監査ログの保有期間を変更するには、[構成] を選択し、必要な期間を入力して、[Save (保存)] を選択します。

    EKS コントロール ウィンドウのログ保存期間を調整するスクリーンショット。

    注意

    この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください

  5. (必要に応じて) ECR イメージの脆弱性スキャンを有効にします。 詳細については、ECR イメージの脆弱性評価に関する情報を参照してください。

  6. コネクタ ウィザードの残りのページに進みます。

  7. Azure Arc 対応 Kubernetes、Defender 拡張機能、Azure Policy 拡張機能がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) をインストールする場合は、Defender for Cloud に固有の推奨事項があります。

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    各推奨事項について、次の手順に従って必要な拡張機能をインストールします。

    必要な拡張機能をインストールするには:

    1. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

    2. 異常なイメージを選択します。

      重要

      クラスターは一度に 1 つずつ選択する必要があります。

      ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

    3. [修正プログラム] を選択します。

    4. Defender for Cloud では、選択した言語でスクリプトが生成されます。Bash (Linux の場合) または PowerShell (Windows の場合) を選択します。

    5. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

    6. 生成されたスクリプトをクラスターで実行します。

    7. 2 番目の推奨事項について、ステップ "a" から "f" を繰り返します。

    Defender for Cloud のレコメンデーションを使って、Azure Arc エクステンションを有効にする EKS クラスター用のスクリプトを生成する方法の動画。

EKS クラスターのレコメンデーションとアラートを表示する

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。

EKS クラスターのアラートとレコメンデーションを表示するには、アラート、レコメンデーション、およびインベントリページのフィルターを使用して、リソースの種類 AWS EKS クラスター でフィルター処理します。

Microsoft Defender for Cloud のセキュリティ アラート ページでフィルターを使用して、AWS EKS クラスターに関連するアラートを表示する方法のスクリーンショット。

Google Kubernetes Engine (GKE) クラスターを保護する

重要

GCP プロジェクトをまだ接続していない場合は、GCP プロジェクトを Microsoft Defender for Cloud に接続してください。

GKE クラスターを保護するには、関連する GCP プロジェクトでコンテナー プランを有効にする必要があります。

Google Kubernetes Engine (GKE) クラスターを保護するには:

  1. Azure Portal にサインインします。

  2. [Microsoft Defender for Cloud][Environment settings](環境設定) に移動します。

  3. 関連する GCP コネクタを選択します

    GCP コネクタの例を示すスクリーンショット。

  4. [次: プランを選択] ボタンを選択します。

  5. コンテナー計画が [オン] に切り替わっていることを確認します。

    コンテナー計画がオンに切り替えられていることを示すスクリーンショット。

  6. (オプション) コンテナー計画を構成します

  7. [コピー] ボタンを選択します。

    [コピー] ボタンの位置を示すスクリーンショット。

  8. [GCP Cloud Shell] ボタンを選択します。

  9. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

スクリプトの実行後にコネクタが更新されます。 この処理には、最大で 6-8 時間かかることがあります。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード処理中、またはそれ以降に、既定の自動プロビジョニング構成のいずれかを無効にした場合。 Defender for Containers から完全なセキュリティ値を取得するには、Azure Arc 対応 Kubernetes、Defender 拡張機能、Azure Policy 拡張機能を各 GKE クラスターに手動でインストールする必要があります。

これらの拡張機能 (および必要に応じて Arc) をインストールするために使用できる、Defender for Cloud に固有の次の 2 つの推奨事項があります。

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

特定のクラスターにソリューションをデプロイするには:

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud][推奨事項] に移動します。

  3. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

    推奨事項の検索方法を示すスクリーンショット。

  4. 正常ではない GKE クラスターを選択します。

    重要

    クラスターは一度に 1 つずつ選択する必要があります。

    ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

  5. 正常ではないリソースの名前を選択します。

  6. [修正プログラム] を選択します。

    [修正] ボタンの位置を示すスクリーンショット。

  7. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

    • Linux の場合は、[Bash] を選択します。
    • Windows の場合は、[PowerShell] を選択します。
  8. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

  9. 生成されたスクリプトをクラスターで実行します。

  10. 2 番目の推奨事項について、ステップ "3 から 8" を繰り返します。

GKE クラスターのアラートを表示する

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud][セキュリティ アラート] に移動します。

  3. ボタンを選択します。

  4. [フィルター] ドロップダウン メニューで、[リソースの種類] を選択します。

  5. [値] ドロップダウン メニューで、[GCP GKE クラスター] を選択します。

  6. [OK] を選択します。

Microsoft Defender for Containers からのセキュリティ アラートをシミュレートする

サポートされているアラートの完全な一覧は、Defender For Cloud のすべてのセキュリティ アラートのリファレンス表を参照してください。

  1. セキュリティ アラートをシミュレートするには、次のコマンドを実行します。

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    予期される応答は "リソースが見つかりませんでした" です。

    このアクティビティは、30分以内に Defender によって検出され、セキュリティアラートがトリガーされます。

  2. Azure portal で、[Microsoft Defender for Cloud のセキュリティ警告] ページを開き、関連するリソースでアラートを探します。

    Microsoft Defender for Kubernetes からのサンプルアラート。

Defender 拡張機能を削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

  • 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
  • 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、Azure portal、Azure CLI、または REST API を使用して拡張機能を削除できます。

Azure portal を使用して拡張機能を削除する

  1. Azure portal から Azure Arc を開きます。

  2. インフラストラクチャの一覧から [Kubernetes clusters](Kubernetes クラスター) を選択し、特定のクラスターを選択します。

  3. 拡張機能のページを開きます。 クラスターの拡張機能が一覧表示されます。

  4. クラスターを選択し、 [アンインストール] を選択します。

    Arc 対応 Kubernetes クラスターからの拡張機能の削除。

AKS の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender プロファイルによってデータ パイプラインとして使用され、Log Analytics ワークスペース自体にデータを保持せずに、クラスターから Defender for Cloud にデータを送信します。 そのため、このユース ケースではユーザーに課金されません。

Defender プロファイルでは、既定の Log Analytics ワークスペースが使用されます。 既定の Log Analytics ワークスペースがまだない場合は、Defender for Cloud によって、Defender プロファイルのインストール時に新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

  • ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

  1. Azure portal にサインインします。

  2. Policy を検索して選択します。

    ポリシー ページを見つける方法を示すスクリーンショット。

  3. [定義] を選択します。

  4. ポリシー ID 64def556-fbad-4622-930e-72d1d5589bf5 を検索します。

    ID 番号でポリシーを検索する場所を示すスクリーンショット。

  5. [Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する] を選択します。

  6. [割り当て] を選択します。

    [割り当て] タブの場所を示すスクリーンショット。

  7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

ワークスペースが割り当てられていないことを示すスクリーンショット。

カスタムワークスペースを割り当てるには:

  1. [割り当て] を選択します。

  2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    ドロップダウン メニューの場所を示すスクリーンショット。

  4. [Review + create](レビュー + 作成) を選択します。

  5. [作成] を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

[Assignment (1)] (割り当て数 (1)) を示すスクリーンショット。これは、ワークスペースが既に割り当てられていることを意味します。

注意

複数のサブスクリプションがある場合、この数が多い場合があります。

カスタムワークスペースを割り当てるには:

  1. 関連する割り当てを選択します。

    関連する割り当てを選択する場所を示すスクリーンショット。

  2. [割り当ての編集] を選択します。

  3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    ドロップダウン メニューの場所を示すスクリーンショット。

  5. [Review + create](レビュー + 作成) を選択します。

  6. [作成] を選択します

Arc の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender 拡張機能によってデータ パイプラインとして使用され、Log Analytics ワークスペース自体にデータを保持せずに、クラスターから Defender for Cloud にデータを送信します。 そのため、このユース ケースではユーザーに課金されません。

Defender 拡張機能では、既定の Log Analytics ワークスペースが使用されます。 既定の Log Analytics ワークスペースがまだない場合は、Defender for Cloud によって、Defender 拡張機能のインストール時に新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

  • ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

  1. Azure portal にサインインします。

  2. Policy を検索して選択します。

    ポリシー ページを見つける方法を示すスクリーンショット (ARC の場合)。

  3. [定義] を選択します。

  4. ポリシー ID 708b60a6-d253-4fe0-9114-4be4c00f012c を検索します。

    ID 番号でポリシーを検索する場所を示すスクリーンショット (ARC の場合)。

  5. [Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする] を選択します。

  6. [割り当て] を選択します。

    [割り当て] タブの場所を示すスクリーンショット (ARC の場合)。

  7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

ワークスペースが割り当てられていないことを示すスクリーンショット (ARC の場合)。

カスタムワークスペースを割り当てるには:

  1. [割り当て] を選択します。

  2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    ドロップダウン メニューの場所を示すスクリーンショット (ARC の場合)。

  4. [Review + create](レビュー + 作成) を選択します。

  5. [作成] を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

注意

複数のサブスクリプションがある場合、この数が多い場合があります。 数が 1 以上の場合でも、割り当てが関連するスコープにまだ存在しない場合があります。 その場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従ってください。

[Assignment (1)] (割り当て数 (1)) を示すスクリーンショット (ARC の場合)。これは、ワークスペースが既に割り当てられていることを意味します。

カスタムワークスペースを割り当てるには:

  1. 関連する割り当てを選択します。

    関連する割り当てを選択する場所を示すスクリーンショット (ARC の場合)。

  2. [割り当ての編集] を選択します。

  3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    ドロップダウン メニューの場所を示すスクリーンショット (ARC の場合)。

  5. [Review + create](レビュー + 作成) を選択します。

  6. [作成] を選択します

Defender プロファイルを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

  • 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
  • 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、REST API または Resource Manager テンプレートを使用してプロファイルを削除できます。

REST API を使用して AKS から Defender プロファイルを削除する

REST API を使ってプロファイルを削除するには、次の PUT コマンドを実行します。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
名前 説明 Mandatory
SubscriptionId クラスターのサブスクリプション ID はい
ResourceGroup クラスターのリソース グループ はい
ClusterName クラスターの名前 はい
ApiVersion API バージョンは、2022-06-01 以降である必要があります はい

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文のパラメーター:

名前 説明 Mandatory
location クラスターの位置 はい
properties.securityProfile.defender.securityMonitoring.enabled クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します はい

よく寄せられる質問

既存の Log Analytics ワークスペースを使用するにはどうすればよいですか?

既存の Log Analytics ワークスペースを使用するには、この記事の「カスタム ワークスペースを割り当てる」 でワークスペース セクションの手順をフォローします。

Defender for Cloud によって作成された既定のワークスペースを削除できますか?

既定のワークスペースを削除することは推奨されません。 Defender for Containers は、既定のワークスペースを使用して、クラスターからセキュリティ データを収集します。 Defender for Containers がデータを収集できず、既定のワークスペースを削除すると、一部のセキュリティの推奨事項とアラートが使用できなくなります。

既定のワークスペースを削除しましたが、元に戻すことができますか?

既定のワークスペースを回復するには、Defender プロファイル/拡張機能を削除し、エージェントを再インストールする必要があります。 Defender プロファイル/拡張機能を再インストールすると、新しい既定のワークスペースが作成されます。

既定の Log Analytics ワークスペースはどこにありますか?

リージョンによっては、既定の Log Analytics ワークスペースがさまざまな場所に配置されます。 リージョンを確認するには、「既定の Log Analytics ワークスペースの作成場所」を参照してください?

組織からリソースにタグを付けるよう要求されましたが、必要な拡張機能がインストールされませんでした。何が問題だったのでしょうか?

Defender エージェントは、Log Analytics ワークスペースを使用して、Kubernetes クラスターから Defender for Cloud にデータを送信します。 Defender for Cloud では、エージェントが使用する Log Analytic ワークスペースとリソース グループをパラメーターとして追加します。

ただし、リソースに特定のタグを付けることを必須とするポリシーが組織にある場合、それが原因で、リソース グループまたは既定のワークスペースの作成段階で、拡張機能のインストールが失敗する場合があります。 失敗した場合、次のいずれかを実行できます。

  • カスタム ワークスペースを割り当てて、組織が要求するタグを追加します。

    または

  • 会社がリソースにタグを付けるよう要求する場合、そのポリシーに移動し、次のリソースを除外する必要があります。

    1. リソース グループ DefaultResourceGroup-<RegionShortCode>
    2. ワークスペース DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode は 2 から 4 文字の文字列です。

詳細

次のブログをご覧ください。

次の手順

Defender for Containers を有効にしたので、次のことを行えます。