Microsoft Defender for Containers コンポーネントを構成する

Microsoft Defender for Containers は、コンテナーをセキュリティで保護するためのクラウド ネイティブ ソリューションです。

Defender for Containers は、クラスターがどのような環境で動作しているかに関わらず、クラスターを保護します。

  • Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。

  • 接続された Amazon Web Services (AWS) アカウントでの Amazon Elastic Kubernetes Service (EKS) - 独自で Kubernetes の制御プレーンやノードをインストール、運用、保守することなく、AWS 上で Kubernetes を稼働させるための Amazon のマネージド サービスです。

  • 接続された Google Cloud Platform (GKE) プロジェクトの Google Kubernetes Engine (GKE) - GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、スケーリングするための Google の管理された環境。

  • その他の Kubernetes ディストリビューション (Azure Arc 対応の Kubernetes を使用) - Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスターを、オンプレミスまたは IaaS 上でホストします。 詳細については、「サポートされている環境別の機能」の「オンプレミス/IaaS (Arc)」セクションを参照してください。

この計画の詳細は、Microsoft Defender for Containers の概要を参照してください。

まず、次の記事で、コンテナーを接続して保護する方法を確認してください。

また、詳細については、Field ビデオ シリーズの Defender for Cloud に関する次のビデオをご覧ください。

注意

Defender for Containers による Arc 対応の Kubernetes クラスタ AWS EKSまた、GCP GKE へのサポートはプレビュー機能です。 プレビュー機能は、セルフサービスのオプトイン 方式で利用できます。

プレビューは、「現状有姿のまま」 または「利用可能な限度」 で提供され、サービス レベル契約および限定保証から除外されるものとします。

サポートされているオペレーティング システム、使用できる機能、アウトバウンドプロキシなどの詳細については、Defender for Containers の機能の可用性をご覧ください。

ネットワークの要件

Defender エージェントが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

Microsoft Defender に必要な FQDN/アプリケーション ルール」を参照してください。

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。

ネットワークの要件

注意

この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 それに応じて、使用と計画を検討してください。

Defender エージェントが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

パブリック クラウド デプロイの場合。

Azure ドメイン Azure Government ドメイン 21Vianet によって運営される Microsoft Azure ポート
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

次のドメインは、関連する OS を使っている場合にのみ必要です。 たとえば、AWS で EKS クラスターを実行している場合は、Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" ドメインを適用するだけで済みます。

Domain Port オペレーティング システムをホストする
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum の既定のリポジトリ - RHEL / Centos
apt の既定のリポジトリ - Debian

また、Azure Arc 対応 Kubernetes ネットワークの要件も検証する必要があります。

プランを有効にする

プランを有効にするには次のようにします。

  1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

  2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。

    screenshot of Defender plans page.

    ヒント

    サブスクリプションで Defender for Kubernetes および (または)、Defender for container registries がすでに有効になっている場合は、アップデート通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. 関連コンポーネントをオンにして有効にします。

    screenshot of turning on components.

    Note

    • 2023 年 8 月より前に参加していて、計画を有効にしたときに Defender CSPM の一部として Kubernetes のエージェントレス検出が有効になっていない Defender for Containers のお客様は、Defender for Containers プラン内で Kubernetes 拡張機能のエージェントレス検出を手動で有効にする必要があります。
    • Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

機能に応じた有効化方法

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護を提供するために、すべての機能を自動的に有効にし、必要なコンポーネントをインストールするように構成されます。

プランのすべての機能を有効にしない場合は、コンテナー プランの [構成の編集] を選択して、有効にする特定の機能を手動で選択できます。 次に、[設定および監視] ページで、有効にしたい機能を選択します。 さらに、プランの初期設定後に [Defender プラン] ページからこの構成を変更できます。

それぞれの機能の有効化方法の詳細情報については、「サポート マトリックス」を参照してください。

ロールとアクセス許可

Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

Defender エージェント用のカスタム ワークスペースの割り当て

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

推奨事項を使用した自動プロビジョニングを使用しない、Defender エージェントまたは Azure Policy エージェントの手動デプロイ

エージェントのインストールを必要とする機能は、次の適切な推奨事項を使用して、1 つ以上の Kubernetes クラスターにデプロイすることもできます。

エージェント 推奨事項
Kubernetes 用の Defender エージェント Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
Arc 対応 Kubernetes 用の Defender エージェント Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
Kubernetes 用の Azure Policy エージェント Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
Arc 対応 Kubernetes 用の Azure Policy エージェント Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある

特定のクラスターに Defender エージェントをデプロイするには、次の手順を実行します。

  1. Microsoft Defender for Cloud の推奨事項ページから、[強化されたセキュリティを有効にする] セキュリティ制御を開くか、上記の推奨事項のいずれかを直接検索します (または、上記のリンクを使用して推奨事項を直接開きます)

  2. 異常タブを介してエージェントのないすべてのクラスターを表示します。

  3. 目的のエージェントをデプロイするクラスターを選択し、[固定] を選択します。

  4. [X 個のリソースの修正] を選択します。

Defender エージェントのデプロイ - すべてのオプション

Defender for Containers プランを有効にし、Azure portal、REST API、または Resource Manager テンプレートを使用して、関連するすべてのコンポーネントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender エージェントをデプロイすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用して、既定のワークスペースの代わりに カスタム ワークスペースを割り当てることができます。

Note

実行時に保護を行うため、および eBPF テクノロジを使用して各ノードからシグナルを収集するために、Defender エージェントはそれらの各ノードにデプロイされます。

Defender for Cloud の推奨事項の修正ボタンを使用する

簡素化された無駄のないプロセスにより、Azure portal ページを使用してDefender for Cloud プランを有効にすることができ、大規模なKubernetes クラスターを保護ために必要なすべてのコンポーネントの自動プロビジョニングを設定します。

専用の Defender for Cloud のレコメンデーションは次のとおりです。

  • どのクラスターに Defender エージェントがデプロイされているかに関する可視性
  • エージェントのないクラスターにエージェントをデプロイするための[修正] ボタン
  1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

  2. フィルターを使用して、Azure Kubernetes Service のクラスターは Defender プロファイルを有効にする必要があるという名前のレコメンデーションを検索します。

    ヒント

    アクション 列の 修正 アイコンに注目してください

  3. クラスターを選択して、正常なリソースと異常なリソース (エージェントのあるクラスターとないクラスター) の詳細を表示します。

  4. 異常なリソースの一覧からクラスターを選択し、[修復] を選択して、修復オプションを含むペインを開きます。

  5. [X 個のリソースの修正] を選択します。

プランを有効にする

プランを有効にするには次のようにします。

  1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

  2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。 screenshot of Defender plans page.

    ヒント

    サブスクリプションで Defender for Kubernetes または Defender for container registries が既に有効になっている場合は、更新通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

    Defender for container registries and Defender for Kubernetes plans showing 'Deprecated' and upgrade information.

  3. 関連コンポーネントをオンにして有効にします。

    screenshot of turning on components.

    Note

    Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護の提供に必要なコンポーネントを自動的にインストールするように構成されます。

オンボード プロセス中の自動インストールを無効にする場合は、コンテナープランの [構成の編集] を選択します。 詳細オプションが表示され、各コンポーネントの自動インストールを無効にできます。

さらに、[Defender プラン] ページからこの構成を変更できます。

注意

上記のようにポータルを使用して有効にした後、いずれかの時点でプランを無効にすることを選択した場合、クラスターにデプロイされている Defender for Containers コンポーネントを手動で削除する必要があります。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用して、コンポーネントを 1 つまたは複数のクラスターに簡単にデプロイできます。

Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

前提条件

エージェントをデプロイする前に、次のことを確認します。

Defender エージェントをデプロイする

さまざまな方法を使用して Defender エージェントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender for Cloud の推奨事項の修正ボタンを使用する

専用の Defender for Cloud のレコメンデーションは次のとおりです。

  • どのクラスターに Defender エージェントがデプロイされているかに関する可視性
  • エージェントのないクラスターにエージェントをデプロイするための[修正] ボタン
  1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

  2. フィルターを使用して、Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要があるという名前のレコメンデーションを見つけます。

    Microsoft Defender for Cloud's recommendation for deploying the Defender agent for Azure Arc-enabled Kubernetes clusters.

    ヒント

    アクション 列の 修正 アイコンに注目してください

  3. エージェントを選択して、正常なリソースと異常なリソース (エージェントのあるクラスターとないクラスター) の詳細を表示します。

  4. 異常なリソースの一覧からクラスターを選択し、 [修復] を選択して、修復オプションを含むペインを開きます。

  5. 関連する Log Analytics ワークスペースを選択し、 [x 個のリソースの修復] を選択します。

    Deploy Defender agent for Azure Arc with Defender for Cloud's 'fix' option.

デプロイを検証する

クラスターに Defender エージェントがインストールされていることを確認するには、次のいずれかのタブの手順に従います。

Defender for Cloud の推奨事項を使用してエージェントの状態を確認する

  1. Microsoft Defender for Cloud の [おすすめ候補] ページで、[Enable Microsoft Defender for Cloud (Azure Defender for Cloud を有効にする)] を開きます。

  2. [Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある] というレコメンデーションを選択します。

    Microsoft Defender for Cloud's recommendation for deploying the Defender agent for Azure Arc-enabled Kubernetes clusters.

  3. エージェントをデプロイしたクラスターが [正常] と表示されていることを確認します。

プランを有効にする

重要

  • AWS アカウントをまだ接続していない場合は、AWS アカウントを Microsoft Defender for Cloud に接続してください。
  • コネクタ上でプランを既に有効にしていて、オプションの構成を変更したり、新機能を有効にしたい場合は、直接手順 4 に進んでください。

EKS クラスターを保護するには、関連するアカウント コネクタでコンテナー計画を有効にします。

  1. [Defender for Cloud] メニューで、 [環境設定] を開きます。

  2. AWS コネクタを選択します。

    Screenshot of Defender for Cloud's environment settings page showing an AWS connector.

  3. [コンテナー] プランのトグルが [オン] に設定されていることを確認します。

    Screenshot of enabling Defender for Containers for an AWS connector.

  4. プランのオプションの構成を変更するには、[設定] を選択します。

    Screenshot of Defender for Cloud's environment settings page showing the settings for the Containers plan.

    • Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes 監査ログを Microsoft Defender に送信するには、設定を [オン] に切り替えます。監査ログの保持期間を変更するには、必要な概算時間を入力します。

      Note

      この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください

    • Kubernetes のエージェントレス検出は、Kubernetes クラスターの API ベースの検出を提供します。 Kubernetes のエージェントレス検出機能を有効にするには、設定を [オン] に切り替えます。

    • エージェントレス コンテナー脆弱性評価は、ECR に保存されたイメージと EKS クラスター上で実行されているイメージに対する脆弱性管理を提供します。 エージェントレス コンテナー脆弱性評価機能を有効にするには、設定を [オン] に切り替えます。

  5. コネクタ ウィザードの残りのページに進みます。

  6. Kubernetes のエージェントレス検出機能を有効にしている場合は、クラスター上のコントロール プレーンのアクセス許可を付与する必要があります。 これは、次の方法のいずれかで実行できます。

    • こちらの Python スクリプトを実行してアクセス許可を付与します。 このスクリプトは、オンボードしたい EKS クラスターの aws-auth ConfigMap に対して、Defender for Cloud ロールの MDCContainersAgentlessDiscoveryK8sRole を追加します。

    • 各 Amazon EKS クラスターに、クラスターとやり取りする権限を持つ MDCContainersAgentlessDiscoveryK8sRole ロールを付与します。 eksctl を使用して、既存および新しく作成されたすべてのクラスターにサインインし、次のスクリプトを実行します。

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      詳細については、「クラスターへの IAM プリンシパル アクセスの有効化」を参照してください。

  7. Azure Arc 対応 Kubernetes、Defender エージェント、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) をインストールする場合は、Defender for Cloud に固有の推奨事項があります。

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    各推奨事項について、次の手順に従って必要な拡張機能をインストールします。

    必要な拡張機能をインストールするには:

    1. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

    2. 異常なイメージを選択します。

      重要

      クラスターは一度に 1 つずつ選択する必要があります。

      ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

    3. [修正プログラム] を選択します。

    4. Defender for Cloud では、選択した言語でスクリプトが生成されます。Bash (Linux の場合) または PowerShell (Windows の場合) を選択します。

    5. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

    6. 生成されたスクリプトをクラスターで実行します。

    7. 2 番目の推奨事項について、ステップ "a" から "f" を繰り返します。

    Video of how to use the Defender for Cloud recommendation to generate a script for your EKS clusters that enables the Azure Arc extension.

EKS クラスターのレコメンデーションとアラートを表示する

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。

EKS クラスターのアラートとレコメンデーションを表示するには、アラート、レコメンデーション、およびインベントリページのフィルターを使用して、リソースの種類 AWS EKS クラスター でフィルター処理します。

Screenshot of how to use filters on Microsoft Defender for Cloud's security alerts page to view alerts related to AWS EKS clusters.

プランを有効にする

重要

GCP プロジェクトをまだ接続していない場合は、GCP プロジェクトを Microsoft Defender for Cloud に接続してください。

GKE クラスターを保護するには、関連する GCP プロジェクトでコンテナー プランを有効にする必要があります。

Note

Arc のインストールを妨げる Azure ポリシーがないことを確認します。

Google Kubernetes Engine (GKE) クラスターを保護するには:

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud]>[Environment settings](環境設定) に移動します。

  3. 関連する GCP コネクタを選択します

    Screenshot showing an example GCP connector.

  4. [次: プランを選択] ボタンを選択します。

  5. コンテナー計画が [オン] に切り替わっていることを確認します。

    Screenshot that shows the containers plan is toggled to on.

  6. プランのオプションの構成を変更するには、[設定] を選択してください。

    Screenshot of Defender for Cloud's environment settings page showing the settings for the Containers plan.

    • Defender for Cloud への Kubernetes 監査ログ: 既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 これにより、詳細な分析のために、GCP Cloud Logging を使用して、Microsoft Defender for Cloud のバックエンドに監査ログ データをエージェントレスで収集できます。 Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes 監査ログを Microsoft Defender に送信するには、設定を [オン] に切り替えてください。

      Note

      この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください

    • [Azure Arc 用に Defender のエージェントを自動プロビジョニングする] および [Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする]: 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。

    • Kubernetes のエージェントレス検出は、Kubernetes クラスターの API ベースの検出を提供します。 Kubernetes のエージェントレス検出機能を有効にするには、設定を [オン] に切り替えてください。

    • エージェントレス コンテナー脆弱性評価は、Google レジストリ (GAR および GCR) に保存されているイメージと GKE クラスター上で実行されているイメージに対する脆弱性の管理を提供します。 エージェントレス コンテナー脆弱性評価機能を有効にするには、設定を [オン] に切り替えてください。

  7. [コピー] ボタンを選択します。

    Screenshot showing the location of the copy button.

  8. [GCP Cloud Shell] ボタンを選択します。

  9. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

スクリプトの実行後にコネクタが更新されます。 この処理には、最大で 6-8 時間かかることがあります。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード処理中、またはそれ以降に、既定の自動プロビジョニング構成のいずれかを無効にした場合。 Defender for Containers から完全なセキュリティ値を取得するには、Azure Arc 対応 Kubernetes、Defender エージェント、Kubernetes 用 Azure Policy を各 GKE クラスターに手動でインストールする必要があります。

これらの拡張機能 (および必要に応じて Arc) をインストールするために使用できる、Defender for Cloud に固有の次の 2 つの推奨事項があります。

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Note

Arc 拡張機能をインストールする場合は、提供される GCP プロジェクトが関連するコネクタのプロジェクトと同じであることを確認する必要があります。

特定のクラスターにソリューションをデプロイするには:

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud]>[推奨事項] に移動します。

  3. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

    Screenshot showing how to search for the recommendation.

  4. 正常ではない GKE クラスターを選択します。

    重要

    クラスターは一度に 1 つずつ選択する必要があります。

    ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

  5. 正常ではないリソースの名前を選択します。

  6. [修正プログラム] を選択します。

    Screenshot showing the location of the fix button.

  7. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

    • Linux の場合は、[Bash] を選択します。
    • Windows の場合は、[PowerShell] を選択します。
  8. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

  9. 生成されたスクリプトをクラスターで実行します。

  10. 2 番目の推奨事項について、ステップ "3 から 8" を繰り返します。

GKE クラスターのアラートを表示する

  1. Azure portal にサインインします。

  2. [Microsoft Defender for Cloud]>[セキュリティ アラート] に移動します。

  3. ボタンを選択します。

  4. [フィルター] ドロップダウン メニューで、[リソースの種類] を選択します。

  5. [値] ドロップダウン メニューで、[GCP GKE クラスター] を選択します。

  6. [OK] を選択します。

Microsoft Defender for Containers からのセキュリティ アラートをシミュレートする

サポートされているアラートの完全な一覧は、Defender For Cloud のすべてのセキュリティ アラートのリファレンス表を参照してください。

  1. セキュリティ アラートをシミュレートするには、次のコマンドを実行します。

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    予期される応答は No resource found です。

    このアクティビティは、30 分以内に Defender for Cloud によって検出され、セキュリティ アラートがトリガーされます。

    Note

    Defender for Containers のエージェントレス アラートをシミュレートする場合、Azure Arc は前提条件ではありません。

  2. Azure portal で、[Microsoft Defender for Cloud のセキュリティ警告] ページを開き、関連するリソースでアラートを探します。

    Sample alert from Microsoft Defender for Kubernetes.

Defender エージェントを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

  • 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
  • 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、Azure portal、Azure CLI、または REST API を使用して拡張機能を削除できます。

Azure portal を使用して拡張機能を削除する

  1. Azure portal から Azure Arc を開きます。

  2. インフラストラクチャの一覧から [Kubernetes clusters](Kubernetes クラスター) を選択し、特定のクラスターを選択します。

  3. 拡張機能のページを開きます。 クラスターの拡張機能が一覧表示されます。

  4. クラスターを選択し、 [アンインストール] を選択します。

    Removing an extension from your Arc-enabled Kubernetes cluster.

AKS の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender エージェントによってデータ パイプラインとして使用され、データは、Log Analytics ワークスペース自体には保持されず、クラスターから Defender for Cloud に送信されます。 そのため、このユース ケースではユーザーに課金されません。

Defender エージェントでは、既定の Log Analytics ワークスペースが使用されます。 既定の Log Analytics ワークスペースがまだない場合、Defender エージェントのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

  • ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

  1. Azure portal にサインインします。

  2. Policy を検索して選択します。

    Screenshot that shows how to locate the policy page.

  3. [定義] を選択します。

  4. ポリシー ID 64def556-fbad-4622-930e-72d1d5589bf5 を検索します。

    Screenshot that shows where to search for the policy by ID number.

  5. [Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する] を選択します。

  6. [割り当て] を選択します。

    Screenshot showing where to locate the assignments tab.

  7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

Screenshot showing that no workspace has been assigned.

カスタムワークスペースを割り当てるには:

  1. [割り当て] を選択します。

  2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    Screenshot showing where the dropdown menu is located.

  4. [Review + create](レビュー + 作成) を選択します。

  5. [作成] を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

Screenshot that shows Assignment (1), meaning a workspace has already been assigned.

Note

複数のサブスクリプションがある場合、この数が多い場合があります。

カスタムワークスペースを割り当てるには:

  1. 関連する割り当てを選択します。

    Screenshot that shows where to select the relevant assignment from.

  2. [割り当ての編集] を選択します。

  3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    Screenshot showing where the dropdown menu is located.

  5. [確認と保存] を選択します。

  6. [保存] を選択します。

Arc の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender エージェントによってデータ パイプラインとして使用され、データは、Log Analytics ワークスペース自体には保持されず、クラスターから Defender for Cloud に送信されます。 そのため、このユース ケースではユーザーに課金されません。

Defender エージェントでは、既定の Log Analytics ワークスペースが使用されます。 既定の Log Analytics ワークスペースがまだない場合、Defender エージェントのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

  • ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
  • リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

  1. Azure portal にサインインします。

  2. Policy を検索して選択します。

    Screenshot that shows how to locate the policy page for Arc.

  3. [定義] を選択します。

  4. ポリシー ID 708b60a6-d253-4fe0-9114-4be4c00f012c を検索します。

    Screenshot that shows where to search for the policy by ID number for Arc.

  5. [Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする] を選択します。

  6. [割り当て] を選択します。

    Screenshot that shows where the assignments tab is for Arc.

  7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

Screenshot showing that no workspace has been assigned for Arc.

カスタムワークスペースを割り当てるには:

  1. [割り当て] を選択します。

  2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    Screenshot showing where the dropdown menu is located for Arc.

  4. [Review + create](レビュー + 作成) を選択します。

  5. [作成] を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

Note

複数のサブスクリプションがある場合、この数が多い場合があります。 数が 1 以上の場合でも、割り当てが関連するスコープにまだ存在しない場合があります。 その場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従ってください。

Screenshot that shows Assignment (1), meaning a workspace has already been assigned for Arc.

カスタムワークスペースを割り当てるには:

  1. 関連する割り当てを選択します。

    Screenshot that shows where to select the relevant assignment from for Arc.

  2. [割り当ての編集] を選択します。

  3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

  4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

    Screenshot showing where the dropdown menu is located for Arc.

  5. [確認と保存] を選択します。

  6. [保存] を選択します。

Defender エージェントを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

  • 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
  • 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、REST API または Resource Manager テンプレートを使用して拡張機能を削除できます。

REST API を使用して AKS から Defender エージェントを削除する

REST API を使用して拡張機能を削除するには、次の PUT コマンドを実行します。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
名前 説明 Mandatory
SubscriptionId クラスターのサブスクリプション ID はい
ResourceGroup クラスターのリソース グループ はい
ClusterName クラスターの名前 はい
ApiVersion API バージョンは、2022-06-01 以降である必要があります はい

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文のパラメーター:

名前 説明 Mandatory
location クラスターの位置 はい
properties.securityProfile.defender.securityMonitoring.enabled クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します はい

詳細情報

次のブログをご覧ください。

次の手順

Defender for Containers を有効にしたので、次のことを行えます。