Microsoft Defender for Containers コンポーネントを構成する

Microsoft Defender for Containers は、コンテナーをセキュリティで保護するためのクラウド ネイティブ ソリューションです。 次のいずれの場所で実行されているクラスターに対しても、その保護に役立ちます。

• Azure Kubernetes Service (AKS): コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージドサービス。

• 接続されているアマゾン ウェブ サービス (AWS) アカウント内の Amazon Elastic Kubernetes Service (EKS): 独自の Kubernetes コントロール プレーンまたはノードのインストール、操作、保守を要さずに、AWS 上で Kubernetes を実行するための Amazon のマネージドサービス。

• 接続されている Google Cloud Platform (GKE) プロジェクトの Google Kubernetes Engine (GKE): GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、スケーリングするための Google のマネージド環境。

• その他の Kubernetes ディストリビューション (Azure Arc 対応の Kubernetes を使用) : オンプレミスまたはサービスとしてのインフラストラクチャ (IaaS) 上でホストされている Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスター。 詳細については、「Defender for Cloud のコンテナー サポート マトリックス」を参照してください。

まず、次の記事で、コンテナーを接続し、その保護を行う方法を確認してください。

• Defender for Containers を使用して Azure コンテナーを保護する
• Defender for Containers を使用してオンプレミスの Kubernetes クラスターを保護する
• Defender for Containers を使用して、アマゾン ウェブ サービス (AWS) コンテナーを保護する
• Defender for Containers を使用して Google Cloud Platform (GCP) コンテナーを保護する

また、「Defender for Cloud in the Field」 動画シリーズの次の動画でも詳細を確認できます。

• マルチクラウド環境での Microsoft Defender for Containers
• Defender for Containers を使用した GCP のコンテナーの保護

Note

Azure Arc 対応 Kubernetes クラスター向けの Defender for Containers サポートは、プレビュー機能です。 プレビュー機能は、セルフサービスのオプトイン 方式で利用できます。

プレビューは、現状有姿のまま、提供されているままで提供されます。 これらは、サービス レベル アグリーメントおよび限定保証から除外されるものとします。

サポートされているオペレーティング システム、使用できる機能、送信プロキシなどの詳細については、「Defender for Cloud におけるコンテナーのサポート マトリックス」を参照してください。

ネットワークの要件

Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データやセキュリティ イベントを送信できるように、次のエンドポイントが送信アクセス用に構成されていることを確認します。

Defender センサーは、構成された Azure Monitor の Log Analytics ワークスペースに接続する必要があります。 既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。 クラスターからのイベント エグレスで Azure Monitor Private Link Scope (AMPLS) を使用する必要がある場合は、次の手順を実行します。

• Container Insights と Log Analytics ワークスペースを使用してクラスターを定義する。
• クエリ アクセス モードとインジェスト アクセス モードを [開く] に設定して AMPLS を構成する。
• クラスターの Log Analytics ワークスペースを AMPLS のリソースとして定義する。
• AMPLS で、クラスターの仮想ネットワークと Log Analytics リソースの間に仮想ネットワークのプライベート エンドポイントを作成する。 仮想ネットワークプライベート エンドポイントは、プライベート DNS ゾーンと統合されます。

手順については、「Azure Monitor Private Link Scope を作成する」を参照してください。

ネットワークの要件

パブリック クラウド デプロイ向けの次のエンドポイントが送信アクセス用に構成されていることを確認します。 それらを送信アクセス用に構成することで、Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データやセキュリティ イベントを送信できるようになります。

Azure ドメイン	Azure Government ドメイン	21Vianet ドメインが運営する Azure	ポート
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

また、Azure Arc 対応 Kubernetes ネットワークの要件も検証する必要があります。

プランを有効にする

1. Defender for Cloud で、[設定] を選択し、関連するサブスクリプションを選択します。

2. Defender プランページで、[Containers]>[設定] の順に選択します。

   

   ヒント

   サブスクリプションで Defender for Kubernetes または Defender for container registries が既に有効になっている場合は、更新通知が表示されます。 それ以外の場合、Containers が唯一の選択肢となります。

   

3. 関連するコンポーネントをオンにします。

   

   Note

   • 2023 年 8 月より前に参加していて、プランを有効にしたときに Defender のクラウド セキュリティ態勢管理 (CSPM) の一部として Kubernetes のエージェントレス検出を有効にしていない Defender for Containers のお客様は、Defender for Containers プラン内で Kubernetes のエージェントレス検出の拡張機能を手動で有効にする必要があります。
   • Defender for Containers を無効にすると、コンポーネントはオフに設定されます。 以後はコンテナーにデプロイされることはありませんが、既にインストールされているコンテナーからは削除されません。

機能に応じた有効化方法

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers では、自動的にすべての機能が有効になり、すべての必要なコンポーネントをインストールして、プランで用意されている保護を提供するように構成されます。 この構成には、デフォルトのワークスペースの割り当てが含まれます。

プランのすべての機能を有効にしない場合は、コンテナー プランの [構成の編集] を選択して、有効にする特定の機能を手動で選択できます。 その後、[設定および監視] ページで、有効にしたい機能を選択します。 また、プランの初期設定後に Defender プラン ページからこの構成を変更することも可能です。

各機能を有効にする方法についての詳細は、「サポート マトリックス」を参照してください。

ロールとアクセス許可

Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

Defender センサー用のカスタム ワークスペースの割り当て

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

推奨事項を用いて行う、自動プロビジョニングによらない Defender センサーまたは Azure Policy エージェントの手動デプロイ

センサーのインストールを必要とする機能は、1 つまたは複数の Kubernetes クラスターにデプロイすることもできます。 次の適切な推奨事項を使用します。

センサー	推奨事項
Kubernetes 用 Defender センサー	Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
Azure Arc 対応 Kubernetes 用 Defender センサー	Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
Kubernetes 用 Azure Policy エージェント	Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
Azure Arc 対応 Kubernetes 用 Azure Policy エージェント	Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある

特定のクラスターに Defender センサーをデプロイするには、次の手順に従います。

1. Microsoft Defender for Cloud の推奨事項ページで、[強化されたセキュリティを有効にする] セキュリティ コントロールを開くか、前述の推奨事項のいずれかを検索します。 (上記のリンクを使用して、推奨事項を直接開くこともできます)。

2. [異常] タブを開いて、センサーのないすべてのクラスターを表示します。

3. センサーをデプロイするクラスターを選択して、[修正] を選択します。

4. [X 個のリソースの修正] を選択します。

Defender センサーのデプロイ: すべてのオプション

Defender for Containers プランを有効にし、Azure portal、REST API、または Azure Resource Manager テンプレートを使用して、関連するすべてのコンポーネントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender センサーをデプロイすると、デフォルトのワークスペースが自動的に割り当てられます。 Azure Policy を使用して、既定のワークスペースの代わりに カスタム ワークスペースを割り当てることができます。

Note

Defender センサーは、ランタイム保護を提供し、eBPF テクノロジを使ってノードからシグナルを収集するために、各ノードにデプロイされます。

Azure Portal

Defender for Cloud の推奨事項の修正ボタンを使用する

Azure portal ページを使用して、Defender for Cloud プランを有効にし、大規模な Kubernetes クラスターの防御に必要なすべてのコンポーネントの自動プロビジョニングを設定できます。 プロセスは効率化が図られています。

専用の Defender for Cloud のレコメンデーションは次のとおりです。

• Defender センサーがどのクラスターにデプロイされているかを可視化。
• センサーを持たないクラスターにセンサーをデプロイするための修正ボタン。

次の手順に沿って、センサーをデプロイします。

1. Microsoft Defender for Cloud の推奨事項ページで、[強化されたセキュリティを有効にする] セキュリティ コントロールを開きます。

2. フィルターを使用して、Azure Kubernetes Service のクラスターは Defender プロファイルを有効にする必要があるという名前のレコメンデーションを検索します。

   ヒント

   [アクション] 列の [修正] アイコンに注目してください。

3. クラスターを選ぶと、正常なリソースと異常なリソース (クラスターにセンサーのあるものとないもの) の詳細が表示されます。

4. 異常なリソースの一覧から、クラスターを選択します。 次に、修復を選択して、修復の確認を含むウィンドウを開きます。

5. [X 個のリソースの修正] を選択します。

REST API

REST API を使って Defender センサーをデプロイする

REST API を使用して、既存のクラスターに securityProfile をインストールするには、次の PUT コマンドを実行します。

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

以下は、要求 URI です。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

要求クエリには、次のパラメーターがあります。

名前	説明	必須
SubscriptionId	クラスターのサブスクリプション ID	はい
ResourceGroup	クラスターのリソース グループ	はい
ClusterName	クラスターの名前	はい
ApiVersion	API バージョンは 2022-06-01 以降である必要がある	はい

以下は要求本文です。

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

要求本文には、次のパラメーターがあります。

名前	説明	必須
location	クラスターの位置	はい
properties.securityProfile.defender.securityMonitoring.enabled	クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します	はい
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Log Analytics ワークスペースの Azure リソース ID	はい

Azure CLI

Azure CLI を使って Defender センサーをデプロイする

1. Azure にサインインします。

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   <your-subscription-id> には、AKS クラスターに関連付けられているものと同じサブスクリプション ID を使用するようにしてください。

2. コンテナー上で Defender センサーを有効にします。

   • 次のコマンドを実行して、Defender センサーが有効な新しいクラスターを作成します。

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • 次のコマンドを実行して、既存のクラスター上で Defender センサーを有効にします。

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   以下は、Defender センサーの種類でサポートされている構成設定です。

   プロパティ

   説明

   logAnalyticsWorkspaceResourceId

   省略可。 ご自分の Log Analytics ワークスペースの完全なリソース ID。 指定しない場合は、リージョンの既定のワークスペースが使用されます。 完全なリソース ID を入手するには、次のコマンドを実行して、お使いのサブスクリプション内にあるワークスペースのリストを既定の JSON 形式で表示します。 az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics ワークスペースのリソース ID の構文は次のとおりです。 /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Log Analytics ワークスペースの詳細をご確認ください。

   これらの設定を JSON ファイルに含めることができ、このパラメーター az aks create を使用して、az aks update コマンドと --defender-config <path-to-JSON-file> コマンドで JSON ファイルを指定できます。 JSON ファイルの形式は次のようにする必要があります。

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   AKS CLI コマンドの詳細については、az aks を確認してください。

3. センサーが正常に追加されたことを確認するには、クラスターを指す kubeconfig ファイルを使ってマシン上で次のコマンドを実行します。

   kubectl get pods -n kube-system
   

   センサーが追加されると、Running 状態の microsoft-defender-XXXXX というポッドが表示されます。 ポッドが追加されるまでに数分かかる場合があります。

Resource Manager

Azure Resource Manager を使って Defender センサーをデプロイする

Azure Resource Manager を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」。

Resource Manager を使用して既存のクラスターに securityProfile をインストールするには、以下を用います。

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

プランを有効にする

1. Defender for Cloud で、[設定] を選択し、関連するサブスクリプションを選択します。

2. Defender プランページで、[Containers]>[設定] の順に選択します。

   

   ヒント

   サブスクリプションで Defender for Kubernetes または Defender for container registries が既に有効になっている場合は、更新通知が表示されます。 それ以外の場合、Containers が唯一の選択肢となります。

   

3. 関連するコンポーネントをオンにします。

   

   Note

   Defender for Containers を無効にすると、コンポーネントはオフに設定されます。 以後はコンテナーにデプロイされることはありませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、プランで用意されている保護を提供するのに必要なコンポーネントを自動的にインストールするように構成されます。 この構成には、デフォルトのワークスペースの割り当てが含まれます。

オンボード プロセス中の自動インストールを無効にする場合は、コンテナープランの [構成の編集] を選択します。 詳細オプションが表示され、各コンポーネントの自動インストールを無効にできます。

Defender プランページから、この構成を変更することもできます。

Note

ポータルからプランを有効にした後に、いずれかの時点でプランを無効にすることを選択した場合、クラスターにデプロイされている Defender for Containers のコンポーネントを手動で削除する必要があります。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用することで、コンポーネントを 1 つまたは複数のクラスターに容易にデプロイできます。

• Kubernetes 用 Azure Policy アドオン: Azure Kubernetes Service のクラスターには、Kubernetes 用 Azure Policy アドオンがインストールされている必要がある
• Azure Kubernetes Service プロファイル: Azure Kubernetes Service のクラスターで Defender プロファイルを有効にする必要がある
• Azure Arc 対応 Kubernetes の Defender 拡張機能: Azure Arc 対応 Kubernetes のクラスターには、Defender 拡張機能がインストールされている必要がある
• Azure Arc 対応 Kubernetes の Azure Policy 拡張機能: Azure Arc 対応 Kubernetes のクラスターには、Azure Policy 拡張機能がインストールされている必要がある

Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

前提条件

センサーをデプロイする前に、次のことを確認します。

• Kubernetes クラスターを Azure Arc に接続する。
• 汎用クラスター拡張機能のドキュメントに記載されている前提条件を満たしている。

Defender センサーをデプロイする

さまざまな方法を使って Defender センサーをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Azure Portal

Defender for Cloud の推奨事項の修正ボタンを使用する

専用の Defender for Cloud のレコメンデーションは次のとおりです。

• Defender センサーがどのクラスターにデプロイされているかを可視化。
• センサーを持たないクラスターにセンサーをデプロイするための修正ボタン。

次の手順に沿って、センサーをデプロイします。

1. Microsoft Defender for Cloud の推奨事項ページで、[強化されたセキュリティを有効にする] セキュリティ コントロールを開きます。

2. フィルターを使用して、[Azure Arc-enabled Kubernetes clusters should have Microsoft Defender's extension enabled] (Azure Arc 対応 Kubernetes クラスターで、Microsoft Defender の拡張機能が有効になっている必要がある) という推奨事項を探します。

   

   ヒント

   [アクション] 列の [修正] アイコンに注目してください。

3. センサーを選ぶと、正常なリソースと異常なリソース (クラスターにセンサーのあるものとないもの) の詳細が表示されます。

4. 異常なリソースの一覧から、クラスターを選択します。 次に、修復を選択して、修復オプションを含むウィンドウを開きます。

5. 関連する Log Analytics ワークスペースを選択し、そこで [x 個のリソースの修復] を選択します。

   

Azure CLI

Azure CLI を使って Defender センサーをデプロイする

1. Azure にサインインします。

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   <your-subscription-id> には、クラスターを Azure Arc に接続するときに使用したものと同じサブスクリプション ID を使用するようにしてください。

2. 次のコマンドを実行して、Azure Arc 対応 Kubernetes クラスター上にセンサーをデプロイします。

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   以下は、Defender センサーの種類でサポートされている構成設定です。

   プロパティ	説明
   logAnalyticsWorkspaceResourceID	省略可。 ご自分の Log Analytics ワークスペースの完全なリソース ID。 指定しない場合は、リージョンの既定のワークスペースが使用されます。 完全なリソース ID を入手するには、次のコマンドを実行して、お使いのサブスクリプション内にあるワークスペースのリストを既定の JSON 形式で表示します。 az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics ワークスペースのリソース ID の構文は次のとおりです。 /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Log Analytics ワークスペースの詳細をご確認ください。
   auditLogPath	省略可。 監査ログ ファイルへの完全パス。 指定しない場合は、既定のパス /var/log/kube-apiserver/audit.log が使用されます。 AKS エンジンの場合、標準のパスは /var/log/kubeaudit/audit.log です。

   以下のコマンドでは、すべてのオプション フィールドの使用例が示されています。

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Azure Resource Manager を使って Defender センサーをデプロイする

Azure Resource Manager を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

Defender for Cloud のインストール例から、azure-defender-extension-arm-template.json Resource Manager テンプレートを使用できます。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」。

REST API

REST API を使って Defender センサーをデプロイする

REST API を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

REST API を使って手動でセンサーをデプロイするには、次の PUT コマンドを実行します。

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

このコマンドには、次のパラメーターがあります。

Name	/	必須	タイプ	説明
Subscription ID	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースのサブスクリプション ID
Resource Group	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースが含まれているリソース グループの名前
Cluster Name	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースの名前

認証のために、(他の Azure API と同様に) ヘッダーにベアラー トークンが含まれている必要があります。 ベアラー トークンを取得するには、次のコマンドを実行します。

az account get-access-token --subscription <your-subscription-id>

メッセージの本文には、次の構造を使用します。

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

メッセージ本文には、次のプロパティが含まれます。

プロパティ	説明
logAnalytics.workspaceId	Log Analytics リソースのワークスペース ID。
logAnalytics.key	Log Analytics リソースのキー。
auditLogPath	省略可。 監査ログ ファイルへの完全パス。 既定値は /var/log/kube-apiserver/audit.log です。

デプロイを検証する

クラスターに Defender センサーがインストールされていることを確認するには、次のいずれかのタブの手順に従います。

Azure portal-Defender for Cloud

Defender for Cloud の推奨事項を使って、センサーの状態を確認する

1. Microsoft Defender for Cloud の推奨事項ページで、[Microsoft Defender for Cloud を有効にする] セキュリティ コントロールを開きます。

2. [Azure Arc-enabled Kubernetes clusters should have Microsoft Defender's extension enabled] (Azure Arc 対応 Kubernetes クラスターで、Microsoft Defender の拡張機能が有効になっている必要がある) という推奨事項を選択します。

   

3. センサーをデプロイしたクラスターが [正常] と表示されていることを確認します。

Azure portal - Azure Arc

Azure Arc のページを使ってセンサーの状態を確認する

1. Azure portal で Azure Arc を開きます。

2. インフラストラクチャの一覧から [Kubernetes クラスター] を選択し、そこで特定のクラスターを選択します。

3. 拡張機能のページを開きます。 このページには、クラスター上の拡張機能が一覧表示されています。 Defender センサーが正しくインストールされているかどうかを確認するには、[インストールの状態] 列を確認します。

   

4. 詳細については、拡張機能を選択します。

   

Azure CLI

Azure CLI を使って、センサーがデプロイされていることを確認する

1. Azure CLI で、次のコマンドを実行します。

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. 応答から "extensionType": "microsoft.azuredefender.kubernetes" と "installState": "Installed" を見つけます。

   Note

   最初の数分間は、応答に "installState": "Pending" と表示されることがあります。

3. 状態が Installed と表示されている場合、クラスターを指定している kubeconfig ファイルを使ってマシン上で次のコマンドを実行します。 次に、mdc 名前空間のすべてのポッドが Running 状態であることを確認します。

   kubectl get pods -n mdc
   

REST API

REST API を使って、センサーがデプロイされていることを確認する

正常にデプロイされていることを確認する、またはいつでもセンサーの状態を検証するには、次のことが必要です。

1. 次の GET コマンドを実行します。

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. 応答で "extensionType": "microsoft.azuredefender.kubernetes" を見て "installState": "Installed" を探します。

   ヒント

   最初の数分間は、応答に "installState": "Pending" と表示されることがあります。

3. 状態が Installed と表示されている場合、クラスターを指定している kubeconfig ファイルを使ってマシン上で次のコマンドを実行します。 次に、mdc 名前空間のすべてのポッドが Running 状態であることを確認します。

   kubectl get pods -n mdc
   

プランを有効にする

重要

• AWS アカウントをまだ接続していない場合は、次の手順を開始する前に、AWS アカウントを Microsoft Defender for Cloud に接続してください。
• コネクタ上で既にプランを有効にしていて、オプションの構成を変更したり、新機能を有効にしたい場合は、直接手順 4 に進んでください。

EKS クラスターを保護するには、次の手順に沿って、該当するアカウントのコネクタで Defender for Containers プランを有効にします。

1. Defender for Cloud で、[環境設定] を開きます。

2. AWS コネクタを選択します。

   

3. [コンテナー] プランのトグルが [オン] に設定されていることを確認します。

   

4. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes の監査ログを Microsoft Defender に送信するには、この機能のトグルを [オン] に設定します。 監査ログの保持期間を変更するには、必要な概算時間を入力します。

     Note

     この構成をオフにすると、脅威検出 (コントロール プレーン) 機能も無効になります。 詳細については、機能の可用性に関する情報を参照してください。

   • Kubernetes のエージェントレス検出機能は、Kubernetes クラスターの API ベースの検出を提供します。 この機能を有効にするには、そのトグルを [オン] に設定します。

   • エージェントレス コンテナー脆弱性評価機能では、ECR に保存されているイメージと EKS クラスター上で実行されているイメージの脆弱性管理が提供されます。 この機能を有効にするには、そのトグルを [オン] に設定します。

5. コネクタ ウィザードの残りのページに進みます。

6. Kubernetes のエージェントレス検出機能を有効にしている場合は、クラスター上のコントロール プレーンのアクセス許可を付与する必要があります。 次のいずれかの方法で、アクセス許可を付与できます。

   • この Python スクリプトを実行します。 このスクリプトは、オンボード対象である EKS クラスターの aws-auth ConfigMap に Defender for Cloud ロール MDCContainersAgentlessDiscoveryK8sRole を追加します。

   • 各 Amazon EKS クラスターに、クラスターとやり取りする権限を持つ MDCContainersAgentlessDiscoveryK8sRole ロールを付与します。 eksctl を使用して、すべての既存のクラスターと新しく作成されたクラスターにサインインし、次のスクリプトを実行します。

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     詳細については、Amazon EKS ユーザー ガイドの「EKS アクセスエントリを使用して Kubernetes へのアクセスを IAM ユーザーに許可する」を参照してください。

7. Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) のインストールには、専用の Defender for Cloud の次の推奨事項があります。EKS クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある。

   次の手順に沿って、必要な拡張機能をインストールします。

   1. Defender for Cloud の推奨事項ページで、[EKS clusters should have Microsoft Defender's extension for Azure Arc installed] (EKS クラスターには、Azure Arc 用の Microsoft Defender の拡張機能がインストールされている必要がある)という推奨事項を検索し、選択します。

   2. 異常なイメージを選択します。

      重要

      クラスターは一度に 1 つずつ選択する必要があります。

      ハイパーリンクされている名前でクラスターを選択しないでください。 該当する行の他の場所を選択します。

   3. [修正プログラム] を選択します。

   4. Defender for Cloud では、選択した言語でスクリプトが生成されます。Bash (Linux の場合) または PowerShell (Windows の場合) を選択します。

   5. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

   6. 生成されたスクリプトをクラスターで実行します。

   

EKS クラスターのレコメンデーションとアラートを表示する

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。

EKS クラスターのアラートと推奨事項を表示するには、アラート、推奨事項、インベントリのページのフィルターを使用して、リソースの種類 AWS EKS クラスター でフィルター処理します。

Defender センサーをデプロイする

AWS クラスターに Defender センサーをデプロイするには、次の手順に従います。

1. [Microsoft Defender for Cloud]>[環境設定]>[環境の追加]>[アマゾン ウェブ サービス] の順に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、[Containers] プランを開き、[Auto provision Defender's sensor for Azure Arc] (Azure Arc 用に Defender のセンサーを自動プロビジョニングする) が [オン] に設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. Cloud Formation テンプレートが正常にデプロイされたら、[作成] を選択します。

Note

特定の AWS クラスターを自動プロビジョニングから除外することができます。 センサー デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agents タグを適用します。 エージェントレス デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agentless タグを適用します。

プランを有効にする

重要

GCP プロジェクトをまだ接続していない場合は、GCP プロジェクトを Microsoft Defender for Cloud に接続してください。

GKE クラスターを保護するには、次の手順に沿って、該当する GCP プロジェクトで Defender for Containers プランを有効にします。

Note

Azure Arc のインストールを妨げる Azure ポリシーがないことを確認します。

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[環境の設定] に移動します。

3. 該当する GCP コネクタを選択します。

   

4. [次: プランを選択] ボタンを選択します。

5. [Containers] プランのトグルが [オン] になっていることを確認します。

   

6. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • Defender for Cloud への Kubernetes 監査ログ: 既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 これにより、詳細な分析のために、GCP Cloud Logging を使用して、Microsoft Defender for Cloud のバックエンドに監査ログ データをエージェントレスで収集できます。 Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes の監査ログを Microsoft Defender に送信するには、トグルを [オン] に設定します。

     Note

     この構成をオフにすると、脅威検出 (コントロール プレーン) 機能も無効になります。 機能の可用性に関する情報を参照してください。

   • [Azure Arc 用に Defender のセンサーを自動プロビジョニングする] および [Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする]: 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。

     • このセクションの手順で説明しているように、Defender for Containers の自動プロビジョニングをプロジェクト レベルで有効にします。 これがお勧めしているメソッドです。
     • クラスターごとのインストールには、Defender for Cloud の推奨事項を使用します。 これは Microsoft Defender for Cloud の推奨事項ページに表示されます。 特定のクラスターにソリューションをデプロイする方法を確認してください。
     • Azure Arc 対応 Kubernetes と拡張機能を手動でインストールします。

   • Kubernetes のエージェントレス検出機能は、Kubernetes クラスターの API ベースの検出を提供します。 この機能を有効にするには、そのトグルを [オン] に設定します。

   • エージェントレス コンテナー脆弱性評価機能では、Google のレジストリ (Google Artifact Registry および Google Container Registry) に保存されているイメージと、GKE クラスター上で実行されているイメージの脆弱性管理が提供されます。 この機能を有効にするには、そのトグルを [オン] に設定します。

7. [コピー] ボタンを選択します。

   

8. [GCP Cloud Shell] ボタンを選択します。

9. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

コネクタは、スクリプトの実行後に更新されます。 このプロセスの完了には最大で 8 時間かかる可能性があります。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード プロセス中、または以降に、既定の自動プロビジョニング構成を [オフ] に設定した場合、各 GKE クラスターに Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy を手動でインストールする必要があります。 これらをインストールすることで、Defender for Containers からセキュリティ値全般を取得できるようになります。

拡張機能 (および必要に応じて Azure Arc) のインストールには、専用の Defender for Cloud の次の 2 つの推奨事項を使用できます。

• GKE クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある
• GKE クラスターには、Azure Policy 拡張機能がインストールされている必要がある

Note

Arc 拡張機能をインストールする場合は、提供される GCP プロジェクトが当該コネクタのプロジェクトと同じであることを確認する必要があります。

特定のクラスターにソリューションをデプロイするには:

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[推奨事項] の順に移動します。

3. Defender for Cloud の推奨事項ページで、いずれかの推奨事項を名前で検索します。

   

4. 正常ではない GKE クラスターを選択します。

   重要

   クラスターは一度に 1 つずつ選択する必要があります。

   ハイパーリンクされている名前でクラスターを選択しないでください。 該当する行の他の場所を選択します。

5. 正常ではないリソースの名前を選択します。

6. [修正プログラム] を選択します。

   

7. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

   • Linux の場合は、[Bash] を選択します。
   • Windows の場合は、[PowerShell] を選択します。

8. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

9. 生成されたスクリプトをクラスターで実行します。

10. その他の推奨事項について、手順の 3 から 8 を繰り返します。

GKE クラスターのアラートを表示する

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[セキュリティ アラート] の順に移動します。

3. ボタンを選択します。

4. [フィルター] のドロップダウン メニューで、[リソースの種類] を選択します。

5. [値] のドロップダウン メニューで、[GCP GKE クラスター] を選択します。

6. OK を選択します。

Defender センサーをデプロイする

GCP クラスターに Defender センサーをデプロイするには、次の手順に従います。

1. [Microsoft Defender for Cloud]>[環境設定]>[環境の追加]>[Google Cloud Platform] の順に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、[Containers] プランを開き、[Auto provision Defender's sensor for Azure Arc] (Azure Arc 用に Defender のセンサーを自動プロビジョニングする) が [オン] に設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. gcloud スクリプトが正常に実行されたら、[作成] を選択します。

Note

特定の GCP クラスターを自動プロビジョニングから除外することができます。 センサー デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agents ラベルを適用します。 エージェントレス デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agentless ラベルを適用します。

Microsoft Defender for Containers からのセキュリティ アラートをシミュレートする

サポートされているアラートの完全な一覧は、Defender For Cloud のすべてのセキュリティ アラートのリファレンス表を参照してください。

セキュリティ アラートをシミュレートするには、次の手順に従います。

1. クラスターから次のコマンドを実行します。

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   予期される応答は No resource found です。

   このアクティビティは、30 分以内に Defender for Cloud によって検出され、セキュリティ アラートがトリガーされます。

   Note

   Azure Arc は Defender for Containers のエージェントレス アラートをシミュレートする場合の前提条件ではありません。

2. Azure portal で、[Microsoft Defender for Cloud]>[セキュリティ アラート] の順に移動し、該当するリソースでアラートを探します。

   

Defender センサーを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

• 自動プロビジョニングを有効にすることは、既存のマシンにも将来のマシンにも影響する可能性があります。
• 拡張機能の自動プロビジョニングを無効にすることは、将来のマシンにのみ影響します。 自動プロビジョニングを無効にしても、何もアンインストールはされません。

Note

Defender for Containers プランを完全に無効にするには、[環境設定] に移動し、[Microsoft Defender for Containers] を無効にします。

ただし、リソースへの Defender for Containers コンポーネントの自動プロビジョニングが今後、確実に行われないようにするには、拡張機能の自動プロビジョニングを無効にします。

次のタブで説明するように、Azure portal、Azure CLI、または REST API を使用して、現在実行中のマシンから拡張機能を削除することができます。

Azure portal - Arc

Azure portal を使って拡張機能を削除する

1. Azure portal で Azure Arc を開きます。

2. インフラストラクチャの一覧から [Kubernetes クラスター] を選択し、そこで特定のクラスターを選択します。

3. [拡張機能] ページを開きます。ここには、クラスター上の拡張機能が一覧表示されています。

4. 拡張機能を選択して、[アンインストール] を選択します。

   

Azure CLI

Azure CLI を使って Defender センサーを削除する

1. 次のコマンドを使用して、Microsoft Defender for Kubernetes の Azure Arc 拡張機能を削除します。

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   拡張機能の削除には数分かかる場合があります。 時間を置いてから、成功したかを確認するようお勧めします。

2. 拡張機能が正常に削除されたことを確認するには、次のコマンドを実行します。

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. クラスター上の mdc 名前空間にポッドがないことを確認します。 クラスターを指定している kubeconfig ファイルを使って、次のコマンドを実行します。

   kubectl get pods -n mdc
   

   ポッドの削除には数分かかることがあります。

REST API

REST API を使って Defender センサーを削除する

REST API を使用して拡張機能を削除するには、次の DELETE コマンドを実行します。

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

このコマンドには、次のパラメーターがあります。

Name	/	必須	タイプ	説明
Subscription ID	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターのサブスクリプション ID
Resource Group	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターのリソース グループ
Cluster Name	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターの名前

認証のために、(他の Azure API と同様に) ヘッダーにベアラー トークンが含まれている必要があります。 ベアラー トークンを取得するには、次のコマンドを実行します。

az account get-access-token --subscription <your-subscription-id>

要求が完了するまでに数分かかる場合があります。

AKS の既定の Log Analytics ワークスペースを設定する

Defender センサーは、Log Analytics ワークスペースをデータ パイプラインとして使用し、クラスターから Defender for Cloud にデータを送信します。 ワークスペースではデータを保持しません。 そのため、このユース ケースではユーザーは課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがない場合は、Defender センサーのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、選択するリージョンに基づきます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニングを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. Policy を検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 64def556-fbad-4622-930e-72d1d5589bf5 を検索します。

   

5. [Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する] を選択します。

6. [割り当て] を選択します。

   

7. 以下に沿って、この記事の次のセクションのいずれかを使用します。

   • ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースの新しい割り当てを作成する」の手順に従います。
   • ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースの割り当てを更新する」の手順に従います。

カスタム ワークスペースの新しい割り当てを作成する

ポリシーがまだ割り当てられていない場合、[割り当て] タブには数字の「0」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 割り当てを選びます。

2. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

4. [Review + create](レビュー + 作成) を選択します。

5. ［作成］ を選択します

カスタム ワークスペースの割り当てを更新する

ワークスペースにポリシーが割り当てられている場合、[割り当て] タブには数字の「1」が表示されます。

Note

複数のサブスクリプションがある場合は、この数字は大きくなる可能性があります。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Azure Arc の既定の Log Analytics ワークスペース

Defender センサーは、Log Analytics ワークスペースをデータ パイプラインとして使用し、クラスターから Defender for Cloud にデータを送信します。 ワークスペースではデータを保持しません。 そのため、このユース ケースではユーザーは課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがない場合は、Defender センサーのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、選択するリージョンに基づきます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニングを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. Policy を検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 708b60a6-d253-4fe0-9114-4be4c00f012c を検索します。

   

5. [Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする] を選択します。

6. [割り当て] を選択します。

   

7. 以下に沿って、この記事の次のセクションのいずれかを使用します。

   • ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースの新しい割り当てを作成する」の手順に従います。
   • ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースの割り当てを更新する」の手順に従います。

カスタム ワークスペースの新しい割り当てを作成する

ポリシーがまだ割り当てられていない場合、[割り当て] タブには数字の「0」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 割り当てを選びます。

2. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

4. [Review + create](レビュー + 作成) を選択します。

5. ［作成］ を選択します

カスタム ワークスペースの割り当てを更新する

ワークスペースにポリシーが割り当てられている場合、[割り当て] タブには数字の「1」が表示されます。

Note

複数のサブスクリプションがある場合は、この数字は大きくなる可能性があります。 数字が「1」以上であるにもかかわらず、該当のスコープに割り当てがない場合は、「カスタム ワークスペースの新しい割り当てを作成する」の手順に従ってください。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Defender センサーを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

• 自動プロビジョニングを有効にすることは、既存のマシンにも将来のマシンにも影響する可能性があります。
• 拡張機能の自動プロビジョニングを無効にすることは、将来のマシンにのみ影響します。 自動プロビジョニングを無効にしても、何もアンインストールはされません。

Note

Defender for Containers プランを完全に無効にするには、[環境設定] に移動し、[Microsoft Defender for Containers] を無効にします。

ただし、リソースへの Defender for Containers コンポーネントの自動プロビジョニングが今後、確実に行われないようにするには、拡張機能の自動プロビジョニングを無効にします。

次のタブで説明するように、REST API、Azure CLI、または Resource Manager テンプレートを使用して、現在実行中のマシンから拡張機能を削除することができます。

REST API

REST API を使って AKS から Defender センサーを削除する

REST API を使用して拡張機能を削除するには、次の PUT コマンドを実行します。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

このコマンドには、次のパラメーターがあります。

名前	説明	必須
SubscriptionId	クラスターのサブスクリプション ID	はい
ResourceGroup	クラスターのリソース グループ	はい
ClusterName	クラスターの名前	はい
ApiVersion	API バージョンは 2022-06-01 以降である必要がある	はい

以下は要求本文です。

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文には、次のパラメーターがあります。

名前	説明	必須
location	クラスターの位置	はい
properties.securityProfile.defender.securityMonitoring.enabled	クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します	はい

Azure CLI

Azure CLI を使って Defender センサーを削除する

1. 次のコマンドを実行します。

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   拡張機能の削除には数分かかる場合があります。

2. 拡張機能が正常に削除されたことを確認するには、次のコマンドを実行します。

   kubectl get pods -n kube-system | grep microsoft-defender
   

   拡張機能が削除されると、get pods コマンドでポッドは返されません。 ポッドの削除には数分かかることがあります。

Resource Manager

Azure Resource Manager を使って AKS から Defender センサーを削除する

Azure Resource Manager を使って Defender センサーを削除するには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」。

AKS から Defender センサーを削除する場合に関連するテンプレートとパラメーターは次のとおりです。

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

関連するコンテンツ

Defender for Containers が有効になったので、次のことを行えます。

• Azure Container Registry イメージの脆弱性をスキャンする
• Microsoft Defender 脆弱性管理を使用して AWS イメージの脆弱性をスキャンする
• Microsoft Defender 脆弱性管理を使用して GCP イメージの脆弱性をスキャンする
• Defender for Containers に関する一般的な質問をご確認ください。

Defender for Cloud と Defender for Containers についてさらに詳しく学習するには、次のブログを参照してください。

• Microsoft Defender for Cloud を使用して Google Cloud ワークロードを保護する
• Microsoft Defender for Containers の紹介
• マルチクラウド セキュリティの新しい名前: Microsoft Defender for Cloud