Microsoft Defender for Containers コンポーネントを構成する

Microsoft Defender for Containers は、コンテナーをセキュリティで保護するためのクラウド ネイティブ ソリューションです。

Defender for Containers は、クラスターがどのような環境で動作しているかに関わらず、クラスターを保護します。

• Azure Kubernetes Service (AKS) - コンテナー化されたアプリケーションを開発、デプロイ、管理するための Microsoft のマネージド サービスです。

• 接続された Amazon Web Services (AWS) アカウントでの Amazon Elastic Kubernetes Service (EKS) - 独自で Kubernetes の制御プレーンやノードをインストール、運用、保守することなく、AWS 上で Kubernetes を稼働させるための Amazon のマネージド サービスです。

• 接続された Google Cloud Platform (GKE) プロジェクトの Google Kubernetes Engine (GKE) - GCP インフラストラクチャを使用してアプリケーションをデプロイ、管理、スケーリングするための Google の管理された環境。

• その他の Kubernetes ディストリビューション (Azure Arc 対応の Kubernetes を使用) - Cloud Native Computing Foundation (CNCF) 認定の Kubernetes クラスターを、オンプレミスまたは IaaS 上でホストします。 詳細については、「サポートされている環境別の機能」の「オンプレミス/IaaS (Arc)」セクションを参照してください。

この計画の詳細は、Microsoft Defender for Containers の概要を参照してください。

まず、次の記事で、コンテナーを接続して保護する方法を確認してください。

• Defender for Containers を使用して Azure コンテナーを保護する
• Defender for Containers を使用してオンプレミスの Kubernetes クラスターを保護する
• Defender for Containers を使用して Amazon Web Service (AWS) アカウント コンテナーを保護する
• Defender for Containers を使用して Google Cloud Platform (GCP) プロジェクト コンテナーを保護する

また、詳細については、Field ビデオ シリーズの Defender for Cloud に関する次のビデオをご覧ください。

• マルチクラウド環境での Microsoft Defender for Containers
• Defender for Containers を使用して GCP のコンテナーを保護する

Note

Defender for Containers による Arc 対応の Kubernetes クラスターのサポートは、プレビュー機能です。 プレビュー機能は、セルフサービスのオプトイン 方式で利用できます。

プレビューは、「現状有姿のまま」 または「利用可能な限度」 で提供され、サービス レベル契約および限定保証から除外されるものとします。

サポートされているオペレーティング システム、使用できる機能、アウトバウンドプロキシなどの詳細については、Defender for Containers の機能の可用性をご覧ください。

ネットワークの要件

Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

「Microsoft Defender に必要な FQDN/アプリケーション ルール」を参照してください。

既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。

ネットワークの要件

注意

この記事では、間もなくサポート終了 (EOL) 状態になる Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。

Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、次のエンドポイントが発信アクセス用に構成されていることを検証します。

パブリック クラウド デプロイの場合。

Azure ドメイン	Azure Government ドメイン	21Vianet によって運営される Microsoft Azure	ポート
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

次のドメインは、関連する OS を使っている場合にのみ必要です。 たとえば、AWS で EKS クラスターを実行している場合は、Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" ドメインを適用するだけで済みます。

Domain	Port	オペレーティング システムをホストする
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
yum の既定のリポジトリ	-	RHEL / Centos
apt の既定のリポジトリ	-	Debian

また、Azure Arc 対応 Kubernetes ネットワークの要件も検証する必要があります。

プランを有効にする

プランを有効にするには次のようにします。

1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。

   

   ヒント

   サブスクリプションで Defender for Kubernetes および (または)、Defender for container registries がすでに有効になっている場合は、アップデート通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

   

3. 関連コンポーネントをオンにして有効にします。

   

   Note

   • 2023 年 8 月より前に参加していて、計画を有効にしたときに Defender CSPM の一部として Kubernetes のエージェントレス検出が有効になっていない Defender for Containers のお客様は、Defender for Containers プラン内で Kubernetes 拡張機能のエージェントレス検出を手動で有効にする必要があります。
   • Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

機能に応じた有効化方法

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護を提供するために、すべての機能を自動的に有効にし、必要なコンポーネントをインストールするように構成されます。

プランのすべての機能を有効にしない場合は、コンテナー プランの [構成の編集] を選択して、有効にする特定の機能を手動で選択できます。 次に、[設定および監視] ページで、有効にしたい機能を選択します。 さらに、プランの初期設定後に [Defender プラン] ページからこの構成を変更できます。

それぞれの機能の有効化方法の詳細情報については、「サポート マトリックス」を参照してください。

ロールとアクセス許可

Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

Defender センサー用のカスタム ワークスペースの割り当て

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

推奨事項を使った自動プロビジョニングを使わない、Defender センサーまたは Azure Policy エージェントの手動デプロイ

センサーのインストールを必要とする機能は、次の適切な推奨事項を使って、1 つ以上の Kubernetes クラスターにデプロイすることもできます。

センサー	推奨事項
Kubernetes 用 Defender センサー	Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
Arc 対応 Kubernetes 用 Defender センサー	Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
Kubernetes 用の Azure Policy エージェント	Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
Arc 対応 Kubernetes 用の Azure Policy エージェント	Azure Arc 対応 Kubernetes クラスターには、Azure Policy 拡張機能がインストールされている必要がある

特定のクラスターに Defender センサーをデプロイするには、次の手順を実行します。

1. Microsoft Defender for Cloud の推奨事項ページから、[強化されたセキュリティを有効にする] セキュリティ制御を開くか、上記の推奨事項のいずれかを直接検索します (または、上記のリンクを使用して推奨事項を直接開きます)

2. 異常タブでセンサーのないすべてのクラスターを表示します。

3. 目的のセンサーをデプロイするクラスターを選び、[固定] を選びます。

4. [X 個のリソースの修正] を選択します。

Defender センサーのデプロイ - すべてのオプション

Defender for Containers プランを有効にし、Azure portal、REST API、または Resource Manager テンプレートを使用して、関連するすべてのコンポーネントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender センサーをデプロイすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用して、既定のワークスペースの代わりに カスタム ワークスペースを割り当てることができます。

Note

ランタイム保護を提供し、eBPF テクノロジを使ってノードからシグナルを収集するために、Defender センサーは各ノードにデプロイされます。

Azure Portal

Defender for Cloud の推奨事項の修正ボタンを使用する

簡素化された無駄のないプロセスにより、Azure portal ページを使用してDefender for Cloud プランを有効にすることができ、大規模なKubernetes クラスターを保護ために必要なすべてのコンポーネントの自動プロビジョニングを設定します。

専用の Defender for Cloud のレコメンデーションは次のとおりです。

• Defender センサーがデプロイされているクラスターに関する可視性
• センサーのないクラスターにエージェントをデプロイするための [修正] ボタン

1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

2. フィルターを使用して、Azure Kubernetes Service のクラスターは Defender プロファイルを有効にする必要があるという名前のレコメンデーションを検索します。

   ヒント

   アクション 列の 修正 アイコンに注目してください

3. クラスターを選ぶと、正常なリソースと異常なリソース (クラスターにセンサーのあるものとないもの) の詳細が表示されます。

4. 異常なリソースの一覧からクラスターを選択し、[修復] を選択して、修復オプションを含むペインを開きます。

5. [X 個のリソースの修正] を選択します。

REST API

REST API を使って Defender センサーをデプロイする

REST API を持つ既存のクラスターに「SecurityProfile」をインストールするには、次の PUT コマンドを実行します。

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

要求 URI: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

要求クエリのパラメーター:

名前	説明	Mandatory
SubscriptionId	クラスターのサブスクリプション ID	はい
ResourceGroup	クラスターのリソース グループ	はい
ClusterName	クラスターの名前	はい
ApiVersion	API バージョンは、2022-06-01 以降である必要があります	はい

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

要求本文のパラメーター:

名前	説明	Mandatory
location	クラスターの位置	はい
properties.securityProfile.defender.securityMonitoring.enabled	クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します	はい
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Log Analytics ワークスペースのリソース ID	はい

Azure CLI

Azure CLI を使って Defender センサーをデプロイする

1. Azure にサインインします。

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   <your-subscription-id> には、AKS クラスターに関連付けられているサブスクリプション ID と同じサブスクリプション ID を使用していることを確認してください。

2. コンテナー上で Defender センサーを有効にします。

   • 次のコマンドを実行して、Defender センサーが有効な新しいクラスターを作成します。

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • 次のコマンドを実行して、既存のクラスター上で Defender センサーを有効にします。

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Defender センサーの種類でサポートされているすべての構成設定の説明を以下に示します。

   プロパティ

   説明

   logAnalyticsWorkspaceResourceId

   オプション。 ご自分の Log Analytics ワークスペースの完全なリソース ID。 指定しない場合、リージョンの既定のワークスペースが使用されます。 完全なリソース ID を入手するには、次のコマンドを実行して、お使いのサブスクリプション内にあるワークスペースのリストを既定の JSON 形式で表示します。 az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics ワークスペースのリソース ID の構文は次のとおりです。 /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}。 Log Analytics ワークスペースの詳細をご確認ください

   これらの設定を JSON ファイルに含めることができ、このパラメーター az aks create を使用して、az aks update コマンドと --defender-config <path-to-JSON-file> コマンドで JSON ファイルを指定できます。 JSON ファイルの形式は次のようにする必要があります。

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   AKS CLI コマンドの詳細については、az aks を確認してください。

3. センサーが正常に追加されたことを確認するには、クラスターを指す kubeconfig ファイルを使ってマシン上で次のコマンドを実行します。

   kubectl get pods -n kube-system
   

   センサーが追加されると、Running 状態の microsoft-defender-XXXXX というポッドが表示されます。 ポッドが追加されるまでに数分かかる場合があります。

Resource Manager

Azure Resource Manager を使って Defender センサーをデプロイする

Azure Resource Manager を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」

Resource Manager を使用して既存のクラスターに「SecurityProfile」をインストールするには、次を参照してください。

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

プランを有効にする

プランを有効にするには次のようにします。

1. Defender for Cloud のメニューから [設定] ページを開き、関連するサブスクリプションを選択します。

2. [Defender プラン] ページで、[Defender for Containers] を選択し、[設定] を選択します。

   ヒント

   サブスクリプションで Defender for Kubernetes または Defender for container registries が既に有効になっている場合は、更新通知が表示されます。 それ以外の場合、唯一のオプションは、Defender for Containers です。

   

3. 関連コンポーネントをオンにして有効にします。

   

   注意

   Defender for Containers をオフにすると、コンポーネントはオフに設定され、それ以降のコンテナーには展開されませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護の提供に必要なコンポーネントを自動的にインストールするように構成されます。

オンボード プロセス中の自動インストールを無効にする場合は、コンテナープランの [構成の編集] を選択します。 詳細オプションが表示され、各コンポーネントの自動インストールを無効にできます。

さらに、[Defender プラン] ページからこの構成を変更できます。

注意

上記のようにポータルを使用して有効にした後、いずれかの時点でプランを無効にすることを選択した場合、クラスターにデプロイされている Defender for Containers コンポーネントを手動で削除する必要があります。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用して、コンポーネントを 1 つまたは複数のクラスターに簡単にデプロイできます。

• Kubernetes 用ポリシー アドオン - Azure Kubernetes Service のクラスターには、Azure Policy Add-on for Kubernetes がインストールされている必要がある
• Azure Kubernetes Service プロファイル - Azure Kubernetes Service クラスターで Defender プロファイルを有効にする
• Azure Arc に対応した Kubernetes の拡張機能 - Azure Arc 対応の Kubernetes クラスターは、Defender 拡張機能がインストールされている必要がある
• Azure Arc 対応 Kubernetes の Policy 拡張機能 - Azure Arc 対応 Kubernetes クラスターには、Policy 拡張機能がインストールされている必要がある

Defender for Containers 拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

前提条件

センサーをデプロイする前に、次のことを確認してください。

• Kubernetes クラスターを Azure Arc に接続する
• 汎用クラスター拡張機能のドキュメントに記載されている前提条件を満たしている。

Defender センサーをデプロイする

さまざまな方法を使って Defender センサーをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Azure portal

Defender for Cloud の推奨事項の修正ボタンを使用する

専用の Defender for Cloud のレコメンデーションは次のとおりです。

• Defender センサーがデプロイされているクラスターに関する可視性
• センサーのないクラスターにエージェントをデプロイするための [修正] ボタン

1. Microsoft Defender for Cloud の推奨事項ページで、[セキュリティ強化のセキュリティを有効 にする] コントロールを 開きます。

2. フィルターを使用して、Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要があるという名前のレコメンデーションを見つけます。

   

   ヒント

   アクション 列の 修正 アイコンに注目してください

3. センサーを選ぶと、正常なリソースと異常なリソース (クラスターにセンサーのあるものとないもの) の詳細が表示されます。

4. 異常なリソースの一覧からクラスターを選択し、 [修復] を選択して、修復オプションを含むペインを開きます。

5. 関連する Log Analytics ワークスペースを選択し、 [x 個のリソースの修復] を選択します。

   

Azure CLI

Azure CLI を使って Defender センサーをデプロイする

1. Azure にサインインします。

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   <your-subscription-id> には、ご自分のクラスターを Azure Arc に接続するときに使用したものと同じサブスクリプション ID を必ず使用してください。

2. 次のコマンドを実行して、Azure Arc 対応 Kubernetes クラスター上にセンサーをデプロイします。

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Defender センサーの種類でサポートされているすべての構成設定の説明を以下に示します。

   プロパティ	説明
   logAnalyticsWorkspaceResourceID	オプション。 ご自分の Log Analytics ワークスペースの完全なリソース ID。 指定しない場合、リージョンの既定のワークスペースが使用されます。 完全なリソース ID を入手するには、次のコマンドを実行して、お使いのサブスクリプション内にあるワークスペースのリストを既定の JSON 形式で表示します。 az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics ワークスペースのリソース ID の構文は次のとおりです。 /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}。 Log Analytics ワークスペースの詳細をご確認ください
   auditLogPath	オプション。 監査ログ ファイルへの完全パス。 指定しない場合、既定のパス /var/log/kube-apiserver/audit.log が使用されます。 AKS Engine の場合、標準のパスは /var/log/kubeaudit/audit.log です

   以下のコマンドは、すべての省略可能なフィールドの使用例を示しています。

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Azure Resource Manager を使って Defender センサーをデプロイする

Azure Resource Manager を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

Defender for Cloud の インストール例から、azure-defender-extension-arm-template.json Resource Manager テンプレートを 使用できます。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」

REST API

REST API を使って Defender センサーをデプロイする

REST API を使って Defender センサーをデプロイするには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

ヒント

API を使って Defender センサーをデプロイする最も簡単な方法は、Defender for Cloud のインストール例で提供されている Postman Collection JSON の例を使うことです。

• Postman Collection JSON を変更するか、REST API を使ってセンサーを手動でデプロイするには、次の PUT コマンドを実行します。

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  ここで:

  名前	/	必須	タイプ	説明
  サブスクリプション ID	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースのサブスクリプション ID
  リソース グループ	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースを含むリソース グループの名前
  クラスター名	パス	True	String	お使いの Azure Arc 対応 Kubernetes リソースの名前

  認証のために、(他の Azure API と同様に) 実際のヘッダーには、ベアラー トークンが必要です。 ベアラー トークンを取得するには、次のコマンドを実行します。

  az account get-access-token --subscription <your-subscription-id> 実際のメッセージの本文には、次の構造を使用します。

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  プロパティの説明を以下に示します。

  プロパティ	説明
  logAnalytics.workspaceId	Log Analytics リソースのワークスペース ID
  logAnalytics.key	Log Analytics リソースのキー
  auditLogPath	オプション。 監査ログ ファイルへの完全パス。 既定値は /var/log/kube-apiserver/audit.log

デプロイを検証する

クラスターに Defender センサーがインストールされていることを確認するには、次のいずれかのタブの手順に従います。

Azure portal-Defender for Cloud

Defender for Cloud の推奨事項を使ってセンサーの状態を確認する

1. Microsoft Defender for Cloud の [おすすめ候補] ページで、[Enable Microsoft Defender for Cloud (Azure Defender for Cloud を有効にする)] を開きます。

2. [Azure Arc 対応 Kubernetes クラスターには、Azure Defender の拡張機能がインストールされている必要がある] というレコメンデーションを選択します。

   

3. センサーをデプロイしたクラスターが [正常] と表示されていることを確認します。

Azure portal - Azure Arc

Azure Arc のページを使ってセンサーの状態を確認する

1. Azure portal から Azure Arc を開きます。

2. インフラストラクチャの一覧から [Kubernetes clusters](Kubernetes クラスター) を選択し、特定のクラスターを選択します。

3. 拡張機能のページを開きます。 クラスターの拡張機能が一覧表示されます。 Defender センサーが正しくインストールされているかどうかを確認するには、[インストールの状態] 列を確認します。

   

4. 詳細については、拡張機能を選択します。

   

Azure CLI

Azure CLI を使って、センサーがデプロイされていることを確認する

1. Azure CLI で、次のコマンドを実行します。

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. 応答の中から "extensionType": "microsoft.azuredefender.kubernetes" と "installState": "Installed" を探します。

   注意

   最初の数分間は、"installState": "Pending" と表示されることがあります。

3. 状態が Installed と表示されている場合は、kubeconfig ファイルが目的のクラスターを指している状態で、お使いのマシン上で次のコマンドを実行して、mdc 名前空間の下のすべてのポッドの状態が 'Running' になっていることを確認します。

   kubectl get pods -n mdc
   

REST API

REST API を使って、センサーがデプロイされていることを確認する

正常にデプロイされていることを確認する、またはいつでもセンサーの状態を検証するには、次のことが必要です。

1. 次の GET コマンドを実行します。

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. 応答の中で "extensionType": "microsoft.azuredefender.kubernetes" が "installState": "Installed" になっていることを確認します。

   ヒント

   最初の数分間は、"installState": "Pending" と表示されることがあります。

3. 状態が Installed と表示されている場合は、kubeconfig ファイルが目的のクラスターを指している状態で、お使いのマシン上で次のコマンドを実行して、mdc 名前空間の下のすべてのポッドの状態が 'Running' になっていることを確認します。

   kubectl get pods -n mdc
   

プランを有効にする

重要

• AWS アカウントをまだ接続していない場合は、AWS アカウントを Microsoft Defender for Cloud に接続してください。
• コネクタ上でプランを既に有効にしていて、オプションの構成を変更したり、新機能を有効にしたい場合は、直接手順 4 に進んでください。

EKS クラスターを保護するには、関連するアカウント コネクタでコンテナー計画を有効にします。

1. [Defender for Cloud] メニューで、 [環境設定] を開きます。

2. AWS コネクタを選択します。

   

3. [コンテナー] プランのトグルが [オン] に設定されていることを確認します。

   

4. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes 監査ログを Microsoft Defender に送信するには、設定を [オン] に切り替えます。監査ログの保持期間を変更するには、必要な概算時間を入力します。

     Note

     この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください。

   • Kubernetes のエージェントレス検出は、Kubernetes クラスターの API ベースの検出を提供します。 Kubernetes のエージェントレス検出機能を有効にするには、設定を [オン] に切り替えます。

   • エージェントレス コンテナー脆弱性評価は、ECR に保存されたイメージと EKS クラスター上で実行されているイメージに対する脆弱性管理を提供します。 エージェントレス コンテナー脆弱性評価機能を有効にするには、設定を [オン] に切り替えます。

5. コネクタ ウィザードの残りのページに進みます。

6. Kubernetes のエージェントレス検出機能を有効にしている場合は、クラスター上のコントロール プレーンのアクセス許可を付与する必要があります。 これは、次の方法のいずれかで実行できます。

   • こちらの Python スクリプトを実行してアクセス許可を付与します。 このスクリプトは、オンボードしたい EKS クラスターの aws-auth ConfigMap に対して、Defender for Cloud ロールの MDCContainersAgentlessDiscoveryK8sRole を追加します。

   • 各 Amazon EKS クラスターに、クラスターとやり取りする権限を持つ MDCContainersAgentlessDiscoveryK8sRole ロールを付与します。 eksctl を使用して、既存および新しく作成されたすべてのクラスターにサインインし、次のスクリプトを実行します。

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     詳細については、「クラスターへの IAM プリンシパル アクセスの有効化」を参照してください。

7. Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) をインストールする場合は、Defender for Cloud に固有の推奨事項があります。

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   各推奨事項について、次の手順に従って必要な拡張機能をインストールします。

   必要な拡張機能をインストールするには:

   1. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

   2. 異常なイメージを選択します。

      重要

      クラスターは一度に 1 つずつ選択する必要があります。

      ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

   3. [修正プログラム] を選択します。

   4. Defender for Cloud では、選択した言語でスクリプトが生成されます。Bash (Linux の場合) または PowerShell (Windows の場合) を選択します。

   5. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

   6. 生成されたスクリプトをクラスターで実行します。

   7. 2 番目の推奨事項について、ステップ "a" から "f" を繰り返します。

   

EKS クラスターのレコメンデーションとアラートを表示する

ヒント

コンテナーのアラートをシミュレートするには、こちらのブログ記事の手順に従います。

EKS クラスターのアラートとレコメンデーションを表示するには、アラート、レコメンデーション、およびインベントリページのフィルターを使用して、リソースの種類 AWS EKS クラスター でフィルター処理します。

Defender センサーのデプロイ

AWS クラスターに Defender センサーをデプロイするには、以下の手順を実行します。

1. Microsoft Defender for Cloud ->[環境設定] ->[環境の追加] ->[アマゾン ウェブ サービス] に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、コンテナー プランを開き、[Azure Arc 用 Defender センサーの自動プロビジョニング] がオンに設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. Cloud Formation テンプレートが正常にデプロイされたら、[作成] を選びます。

Note

特定の AWS クラスターを自動プロビジョニングから除外できます。 センサー デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agents タグを適用します。 エージェントレス デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agentless タグを適用します。

プランを有効にする

重要

GCP プロジェクトをまだ接続していない場合は、GCP プロジェクトを Microsoft Defender for Cloud に接続してください。

GKE クラスターを保護するには、関連する GCP プロジェクトでコンテナー プランを有効にする必要があります。

Note

Arc のインストールを妨げる Azure ポリシーがないことを確認します。

Google Kubernetes Engine (GKE) クラスターを保護するには:

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[Environment settings](環境設定) に移動します。

3. 関連する GCP コネクタを選択します

   

4. [次: プランを選択] ボタンを選択します。

5. コンテナー計画が [オン] に切り替わっていることを確認します。

   

6. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • Defender for Cloud への Kubernetes 監査ログ: 既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 これにより、詳細な分析のために、GCP Cloud Logging を使用して、Microsoft Defender for Cloud のバックエンドに監査ログ データをエージェントレスで収集できます。 Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes 監査ログを Microsoft Defender に送信するには、設定を [オン] に切り替えてください。

     Note

     この構成を無効にすると、 Threat detection (control plane)機能 は無効になります。 詳細については、機能の可用性 に関する情報を参照してください。

   • [Azure Arc 用に Defender のセンサーを自動プロビジョニングする] および [Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする]: 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。

     • このセクションの手順で説明されているように、プロジェクト レベルで Defender for Containers の自動プロビジョニングを有効にします。 これがお勧めしているメソッドです。
     • クラスターごとのインストールには、Defender for Cloud の推奨事項を使用します。 Microsoft Defender for Cloud の推奨事項ページに表示されます。 特定のクラスターにソリューションをデプロイする方法を確認してください。
     • Arc 対応 Kubernetes と拡張機能を手動でインストールします。

   • Kubernetes のエージェントレス検出は、Kubernetes クラスターの API ベースの検出を提供します。 Kubernetes のエージェントレス検出機能を有効にするには、設定を [オン] に切り替えてください。

   • エージェントレス コンテナー脆弱性評価は、Google レジストリ (GAR および GCR) に保存されているイメージと GKE クラスター上で実行されているイメージに対する脆弱性の管理を提供します。 エージェントレス コンテナー脆弱性評価機能を有効にするには、設定を [オン] に切り替えてください。

7. [コピー] ボタンを選択します。

   

8. [GCP Cloud Shell] ボタンを選択します。

9. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

スクリプトの実行後にコネクタが更新されます。 この処理には、最大で 6-8 時間かかることがあります。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード処理中、またはそれ以降に、既定の自動プロビジョニング構成のいずれかを無効にした場合。 Defender for Containers から完全なセキュリティ値を取得するには、Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy を各 GKE クラスターに手動でインストールする必要があります。

これらの拡張機能 (および必要に応じて Arc) をインストールするために使用できる、Defender for Cloud に固有の次の 2 つの推奨事項があります。

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Note

Arc 拡張機能をインストールする場合は、提供される GCP プロジェクトが関連するコネクタのプロジェクトと同じであることを確認する必要があります。

特定のクラスターにソリューションをデプロイするには:

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[推奨事項] に移動します。

3. Defender for Cloud の [推奨事項] ページで、いずれかの推奨事項を名前で検索します。

   

4. 正常ではない GKE クラスターを選択します。

   重要

   クラスターは一度に 1 つずつ選択する必要があります。

   ハイパーリンクされた名前のクラスターを選択するのではなく、関連する行の他の場所を選択してください。

5. 正常ではないリソースの名前を選択します。

6. [修正プログラム] を選択します。

   

7. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

   • Linux の場合は、[Bash] を選択します。
   • Windows の場合は、[PowerShell] を選択します。

8. [Download remediation logic (修復ロジックをダウンロード)] を選択します。

9. 生成されたスクリプトをクラスターで実行します。

10. 2 番目の推奨事項について、ステップ "3 から 8" を繰り返します。

GKE クラスターのアラートを表示する

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[セキュリティ アラート] に移動します。

3. ボタンを選択します。

4. [フィルター] ドロップダウン メニューで、[リソースの種類] を選択します。

5. [値] ドロップダウン メニューで、[GCP GKE クラスター] を選択します。

6. [OK] を選択します。

Defender センサーのデプロイ

GCP クラスターに Defender センサーをデプロイするには、以下の手順を実行します。

1. Microsoft Defender for Cloud ->[環境設定] ->[環境の追加] ->[Google Cloud Platform] に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、コンテナー プランを開き、[Azure Arc 用 Defender センサーの自動プロビジョニング] がオンに設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. gcloud スクリプトが正常に実行されたら、[作成] を選びます。

Note

特定の GCP クラスターを自動プロビジョニングから除外できます。 センサー デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agents ラベルを適用します。 エージェントレス デプロイの場合は、値が true のリソースに ms_defender_container_exclude_agentless ラベルを適用します。

Microsoft Defender for Containers からのセキュリティ アラートをシミュレートする

サポートされているアラートの完全な一覧は、Defender For Cloud のすべてのセキュリティ アラートのリファレンス表を参照してください。

1. セキュリティ アラートをシミュレートするには、次のコマンドを実行します。

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   予期される応答は No resource found です。

   このアクティビティは、30 分以内に Defender for Cloud によって検出され、セキュリティ アラートがトリガーされます。

   Note

   Defender for Containers のエージェントレス アラートをシミュレートする場合、Azure Arc は前提条件ではありません。

2. Azure portal で、[Microsoft Defender for Cloud のセキュリティ警告] ページを開き、関連するリソースでアラートを探します。

   

Defender センサーを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

• 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
• 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

Note

Defender for Containers プランを完全に無効にするには、[環境設定] に移動し、Microsoft Defender for Containers プランを無効にします。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、Azure portal、Azure CLI、または REST API を使用して拡張機能を削除できます。

Azure portal - Arc

Azure portal を使用して拡張機能を削除する

1. Azure portal から Azure Arc を開きます。

2. インフラストラクチャの一覧から [Kubernetes clusters](Kubernetes クラスター) を選択し、特定のクラスターを選択します。

3. 拡張機能のページを開きます。 クラスターの拡張機能が一覧表示されます。

4. クラスターを選択し、 [アンインストール] を選択します。

   

Azure CLI

Azure CLI を使って Defender センサーを削除する

1. 次のコマンドを使用して、Microsoft Defender for Kubernetes Arc 拡張機能を削除します。

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   拡張機能の削除には数分かかる場合があります。 待ってから、成功したことの確認を試みることをお勧めします。

2. 拡張機能が正常に削除されたことを確認するには、次のコマンドを実行します。

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   その後、kubeconfig ファイルが目的のクラスターを指している状態で、次のコマンドを実行して、クラスター上の mdc 名前空間の下にポッドがないことを確認します。

   kubectl get pods -n mdc
   

   ポッドが削除されるまでに数分かかる場合があります。

REST API

REST API を使って Defender センサーを削除する

REST API を使用して拡張機能を削除するには、次の DELETE コマンドを実行します。

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

名前	/	必須	タイプ	説明
サブスクリプション ID	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターのサブスクリプション ID
リソース グループ	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターのリソース グループ
クラスター名	パス	True	String	ご自分の Azure Arc 対応 Kubernetes クラスターの名前

認証のために、(他の Azure API と同様に) 実際のヘッダーには、ベアラー トークンが必要です。 ベアラー トークンを取得するには、次のコマンドを実行します。

az account get-access-token --subscription <your-subscription-id>

要求が完了するまでに数分かかる場合があります。

AKS の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender センサーによってデータ パイプラインとして使われ、Log Analytics ワークスペース自体にデータを保持せずに、クラスターから Defender for Cloud にデータを送信します。 そのため、このユース ケースではユーザーに課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがまだない場合は、Defender for Cloud によって、Defender センサーのインストール時に新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. Policy を検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 64def556-fbad-4622-930e-72d1d5589bf5 を検索します。

   

5. [Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する] を選択します。

6. [割り当て] を選択します。

   

7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

カスタムワークスペースを割り当てるには:

1. [割り当て] を選択します。

2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

   

4. [Review + create](レビュー + 作成) を選択します。

5. ［作成］ を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

Note

複数のサブスクリプションがある場合、この数が多い場合があります。

カスタムワークスペースを割り当てるには:

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Arc の既定の Log Analytics ワークスペース

Log Analytics ワークスペースは、Defender センサーによってデータ パイプラインとして使われ、Log Analytics ワークスペース自体にデータを保持せずに、クラスターから Defender for Cloud にデータを送信します。 そのため、このユース ケースではユーザーに課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがまだない場合は、Defender for Cloud によって、Defender センサーのインストール時に新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、 リージョンに基づいて作成されます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニング オプションを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. Policy を検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 708b60a6-d253-4fe0-9114-4be4c00f012c を検索します。

   

5. [Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする] を選択します。

6. [割り当て] を選択します。

   

7. ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従います。 また、ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースを使用して割り当てを更新する」の手順に従います。

カスタム ワークスペースを使用して新しい割り当てを作成する

ポリシーが割り当てられていない場合、Assignments (0) と表示されます。

カスタムワークスペースを割り当てるには:

1. [割り当て] を選択します。

2. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

   

4. [Review + create](レビュー + 作成) を選択します。

5. ［作成］ を選択します

カスタム ワークスペースを使用して割り当てを更新する

ポリシーがワークスペースに既に割り当てられている場合、Assignments (1) と表示されます。

Note

複数のサブスクリプションがある場合、この数が多い場合があります。 数が 1 以上の場合でも、割り当てが関連するスコープにまだ存在しない場合があります。 その場合は、「カスタム ワークスペースを使用して新しい割り当てを作成する」の手順に従ってください。

カスタムワークスペースを割り当てるには:

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメータ] タブで、[入力または確認が必要なパラメータのみを表示] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResource ID を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Defender センサーを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

• 自動プロビジョニングを有効化すると、既存のマシンにも将来のマシンにも影響する可能性があります。
• 拡張機能の自動プロビジョニングを無効化しても、将来のマシンに影響するだけであり、何もアンインストールされません。

Note

Defender for Containers プランを完全に無効にするには、[環境設定] に移動し、Microsoft Defender for Containers プランを無効にします。

それでも、今後は Defender for Containers コンポーネントがリソースに自動的にプロビジョニングされないようにするには、「Microsoft Defender for Cloud からエージェントと拡張機能の自動プロビジョニングを構成する」で説明されているように、拡張機能の自動プロビジョニングを無効にしてください。

以下のタブで説明するように、REST API または Resource Manager テンプレートを使用して拡張機能を削除できます。

REST API

REST API を使って AKS から Defender センサーを削除する

REST API を使用して拡張機能を削除するには、次の PUT コマンドを実行します。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

名前	説明	Mandatory
SubscriptionId	クラスターのサブスクリプション ID	はい
ResourceGroup	クラスターのリソース グループ	はい
ClusterName	クラスターの名前	はい
ApiVersion	API バージョンは、2022-06-01 以降である必要があります	はい

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文のパラメーター:

名前	説明	Mandatory
location	クラスターの位置	はい
properties.securityProfile.defender.securityMonitoring.enabled	クラスターのコンテナーに対して Microsoft Defender を有効または無効にするかどうかを決定します	はい

Azure CLI

Azure CLI を使って Defender センサーを削除する

1. 次のコマンドで Microsoft Defender を削除します。

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   拡張機能の削除には数分かかる場合があります。

2. 拡張機能が正常に削除されたことを確認するには、次のコマンドを実行します。

   kubectl get pods -n kube-system | grep microsoft-defender
   

   拡張機能が削除された場合、get pods コマンドで返されるポッドはありません。 ポッドが削除されるまでに数分かかる場合があります。

Resource Manager

Azure Resource Manager を使って AKS から Defender センサーを削除する

Azure Resource Manager を使って Defender センサーを削除するには、サブスクリプションに Log Analytics ワークスペースが必要です。 Log Analytics ワークスペースの詳細をご確認ください。

ヒント

Resource Manager テンプレートを初めて使用する場合、こちらから開始してください: 「Azure Resource Manager テンプレートとは」

AKS から Defender センサーを削除する場合に関連するテンプレートとパラメーターは次のとおりです。

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

詳細情報

次のブログをご覧ください。

• Microsoft Defender for Cloud を使用して Google Cloud ワークロードを保護する
• Microsoft Defender for Containers の紹介
• マルチクラウド セキュリティの新しい名前: Microsoft Defender for Cloud

次の手順

Defender for Containers を有効にしたので、次のことを行えます。

• ACR イメージの脆弱性をスキャンする
• Microsoft Defender 脆弱性管理を使用して AWS イメージの脆弱性をスキャンする
• Microsoft Defender 脆弱性管理を使用して GGP イメージの脆弱性をスキャンする
• Defender for Containers に関する一般的な質問をご確認ください。