Настройка компонентов Microsoft Defender для контейнеров
Microsoft Defender для контейнеров — это решение для защиты контейнеров, ориентированное на облако.
Defender для контейнеров защищает кластеры независимо от того, запущены ли они в:
Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.
Служба Amazon Elastic Kubernetes (EKS) в подключенной учетной записи Amazon Web Services (AWS) — это управляемая служба Amazon для запуска Kubernetes на AWS без установки, обработки и обслуживания собственного уровня управления и узлов Kubernetes.
Google Kubernetes Engine (GKE) в подключенном проекте Google Cloud Platform (GCP) — это управляемая среда Google для развертывания, администрирования и масштабирования приложений с помощью инфраструктуры GCP.
Другие распределения Kubernetes (с использованием Kubernetes с поддержкой Azure Arc) — это сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF), которые размещены в локальной среде или в IaaS. Дополнительные сведения см. в разделе Локальное или IaaS (ARC) статьи Поддерживаемые функции в разных средах.
Дополнительные сведения об этом плане см. в статье Обзор Microsoft Defender для контейнеров.
Сначала вы можете узнать, как подключить и защитить контейнеры в следующих статьях:
- Защита контейнеров Azure с помощью Defender для контейнеров
- Защита локальных кластеров Kubernetes с помощью Defender для контейнеров
- Защита контейнеров учетных записей Amazon Web Service (AWS) с помощью Defender для контейнеров
- Защита контейнеров проектов Google Cloud Platform (GCP) с помощью Defender для контейнеров
Вы также можете узнать больше, просмотрев эти видео из Defender для облака в серии видео field:
- Microsoft Defender для контейнеров в многооблачной среде
- Защита контейнеров в GCP с помощью Defender для контейнеров
Примечание.
Поддержка Defender для контейнеров кластеров Kubernetes с поддержкой Arc — это предварительная версия функции. Предварительная версия функции доступна на основе самостоятельного согласия.
Предварительные версии предоставляются "как есть" и "как доступны" и исключаются из соглашений об уровне обслуживания и ограниченной гарантии.
Дополнительные сведения о поддерживаемых операционных системах, доступности компонентов, исходящем прокси-сервере и многое другое см. в разделе "Доступность функций Defender для контейнеров".
Требования к сети
Убедитесь, что следующие конечные точки настроены для исходящего доступа, чтобы датчик Defender смог подключиться к Microsoft Defender для облака для отправки данных и событий безопасности:
См. необходимые правила полного доменного имени или приложения для Microsoft Defender для контейнеров.
По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету.
Датчик Defender должен подключиться к настроенной рабочей области Azure Monitor Log Analytics. В случае исходящего трафика из кластера требуется использовать область Приватный канал Azure Monitor (AMPLS), необходимо:
- Определение кластера с помощью Аналитики контейнеров и рабочей области Log Analytics
- Настройте AMPLS с режимом доступа к запросу и режимом доступа приема, равным "Open"
- Определение рабочей области Log Analytics кластера в качестве ресурса в AMPLS
- Создайте в AMPLS частную конечную точку виртуальной сети между виртуальной сетью кластера и ресурсом Log Analytics. Частная конечная точка виртуальной сети интегрируется с частной зоной DNS.
Инструкции см. в статье "Создание Приватный канал Azure Monitor".
Требования к сети
Убедитесь, что следующие конечные точки настроены для исходящего доступа, чтобы датчик Defender смог подключиться к Microsoft Defender для облака для отправки данных и событий безопасности:
Для развертываний общедоступного облака:
Домен Azure | Домен Azure для государственных организаций | Microsoft Azure, управляемый доменом 21Vianet | Порт |
---|---|---|---|
*.ods.opinsights.azure.com | *.ods.opinsights.azure.us | *.ods.opinsights.azure.cn | 443 |
*.oms.opinsights.azure.com | *.oms.opinsights.azure.us | *.oms.opinsights.azure.cn | 443 |
login.microsoftonline.com | login.microsoftonline.us | login.chinacloudapi.cn | 443 |
Кроме того, вам потребуется проверить требования к сети для Kubernetes с поддержкой Azure Arc.
Включение плана
Включение плана:
В меню Defender для облака откройте страницу параметров и выберите соответствующую подписку.
На странице планов Defender выберите Defender для контейнеров и выберите "Параметры".
Совет
Если в подписке уже есть Defender для Kubernetes и (или) включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.
Включите соответствующий компонент, чтобы включить его.
Примечание.
- Защитники для контейнеров, которые присоединились к августу 2023 г. и не имеют безагентного обнаружения для Kubernetes в рамках CSPM Defender при включении плана, должны вручную включить расширение Kubernetes без агента в плане "Защитник для контейнеров".
- При отключении Defender для контейнеров компоненты будут отключены и не развертываются в большей части контейнеров, но они не удаляются из контейнеров, на которых они уже установлены.
Метод включения для каждой возможности
По умолчанию при включении плана через портал Azure microsoft Defender для контейнеров настроена автоматическая включение всех возможностей и установка всех необходимых компонентов для обеспечения защиты, предоставляемой планом, включая назначение рабочей области по умолчанию.
Если вы не хотите включить все возможности планов, можно вручную выбрать определенные возможности для включения, нажав кнопку "Изменить конфигурацию для плана контейнеров ". Затем на странице "Параметры" и "Мониторинг " выберите возможности, которые вы хотите включить. Кроме того, эту конфигурацию можно изменить на странице планов Defender после начальной настройки плана.
Подробные сведения о методе включения для каждого из этих возможностей см. в матрице поддержки.
Роли и разрешения
Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.
Назначение пользовательской рабочей области для датчика Defender
Вы можете назначить рабочую область с помощью Политики Azure.
Ручное развертывание датчика Defender или агента политики Azure без автоматической подготовки с помощью рекомендаций
Возможности, требующие установки датчика, также можно развернуть в одном или нескольких кластерах Kubernetes, используя соответствующую рекомендацию:
Sensor | Рекомендация |
---|---|
Датчик Defender для Kubernetes | В кластерах Службы Azure Kubernetes должен быть включен профиль Defender |
Датчик Defender для Kubernetes с поддержкой Arc | В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender |
Агент политики Azure для Kubernetes | Служба Azure Kubernetes кластерам должна быть установлена надстройка Политика Azure для Kubernetes. |
Агент политики Azure для Kubernetes с поддержкой Arc | В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Политики Azure |
Выполните следующие действия, чтобы выполнить развертывание датчика Defender в определенных кластерах:
На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью или выполните поиск непосредственно для одной из приведенных выше рекомендаций (или воспользуйтесь приведенными выше ссылками, чтобы открыть рекомендацию напрямую).
Просмотр всех кластеров без датчика с помощью неработоспособной вкладки.
Выберите кластеры для развертывания требуемого датчика и нажмите кнопку "Исправить".
Выберите Исправить [X] ресурсы.
Развертывание датчика Defender — все параметры
Вы можете включить Defender для контейнеров и развернуть все соответствующие компоненты из портала Azure, REST API или с помощью шаблона Resource Manager. Для получения подробных инструкций выберите соответствующую вкладку.
После развертывания датчика Defender рабочая область по умолчанию автоматически назначается. Вы можете назначить настраиваемую рабочую область вместо рабочей области по умолчанию с помощью Политики Azure.
Примечание.
Датчик Defender развертывается на каждом узле для обеспечения защиты среды выполнения и сбора сигналов от этих узлов с помощью технологии eBPF.
Использование кнопки "Исправить" в рекомендации Defender для облака
Упрощенный, слаженный процесс позволяет использовать страницы портала Azure, чтобы включить план Defender для облака и настроить автоматическую подготовку всех необходимых компонентов для защиты кластеров Kubernetes в масштабе.
Специальная рекомендация для Defender для облака предоставляет следующие сведения:
- Видимость того, какой из кластеров развернут датчик Defender
- Кнопка "Исправить ", чтобы развернуть ее в этих кластерах без датчика
На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.
Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Службы Azure Kubernetes должен быть включен профиль Defender.
Совет
Обратите внимание на значок Исправление в столбце действий
Выберите кластеры, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с датчиком и без нее.
В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с подтверждением исправления.
Выберите Исправить [X] ресурсы.
Включение плана
Включение плана:
В меню Defender для облака откройте страницу параметров и выберите соответствующую подписку.
На странице планов Defender выберите Defender для контейнеров и выберите "Параметры".
Совет
Если в подписке уже есть Defender для Kubernetes или включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.
Включите соответствующий компонент, чтобы включить его.
Примечание.
При отключении Defender для контейнеров компоненты будут отключены и не развертываются в большей части контейнеров, но они не удаляются из контейнеров, на которых они уже установлены.
По умолчанию при включении плана с помощью портал Azure Microsoft Defender для контейнеров настроена автоматическая установка необходимых компонентов для обеспечения защиты, предлагаемых планом, включая назначение рабочей области по умолчанию.
Если вы хотите отключить автоматическую установку компонентов во время подключения, выберите "Изменить конфигурацию " для плана "Контейнеры ". Будут отображаться дополнительные параметры и вы можете отключить автоматическую установку для каждого компонента.
Кроме того, эту конфигурацию можно изменить на странице планов Defender.
Примечание.
Если вы решили отключить план после его включения на портале, как показано выше, вам потребуется вручную удалить компоненты Defender для контейнеров, развернутые в ваших кластерах.
Вы можете назначить рабочую область с помощью Политики Azure.
Если отключить автоматическую установку любого компонента, можно легко развернуть компонент в одном или нескольких кластерах с помощью соответствующей рекомендации:
- Надстройка для Kubernetes — В кластерах Службы Azure Kubernetes должна быть установлена надстройка "Политика Azure" для Kubernetes
- Профиль Службы Azure Kubernetes — В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
- Расширение Kubernetes с поддержкой Azure Arc — В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender
- Расширение политики Kubernetes с поддержкой Azure Arc. Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure
Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.
Необходимые компоненты
Перед развертыванием датчика убедитесь, что вы:
- Подключили кластер Kubernetes к Azure Arc
- Вы выполнили предварительные требования, перечисленные в обобщенной документации по расширениям кластеров.
Развертывание датчика Defender
Датчик Defender можно развернуть с помощью ряда методов. Для получения подробных инструкций выберите соответствующую вкладку.
Использование кнопки "Исправить" в рекомендации Defender для облака
Специальная рекомендация для Defender для облака предоставляет следующие сведения:
- Видимость того, какой из кластеров развернут датчик Defender
- Кнопка "Исправить ", чтобы развернуть ее в этих кластерах без датчика
На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.
Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.
Совет
Обратите внимание на значок Исправление в столбце действий
Выберите датчик, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с датчиком и без нее.
В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с параметрами исправления.
Выберите соответствующую рабочую область Log Analytics и выберите Исправить ресурс Х.
Проверка развертывания
Чтобы убедиться, что в кластере установлен датчик Defender, выполните действия, описанные на одной из следующих вкладок:
Используйте Defender для облака рекомендацию для проверки состояния датчика
На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите Microsoft Defender для облака.
Выберите рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.
Убедитесь, что кластер, на котором развернут датчик, указан как "Работоспособный".
Включение плана
Внимание
- Подключите свои учетные записи AWS к Microsoft Defender для облака, если вы этого еще не сделали.
- Если вы уже включили план в соединителе и хотите изменить необязательные конфигурации или включить новые возможности, перейдите непосредственно к шагу 4.
Чтобы защитить кластеры EKS, включите план контейнеров в соответствующем соединителе учетной записи:
В меню Defender for Cloud выберите Параметры среды.
Выберите соединитель AWS.
Убедитесь, что переключатель для плана "Контейнеры " имеет значение "Вкл.".
Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".
Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.". Чтобы изменить срок хранения журналов аудита, введите необходимый интервал времени.
Примечание.
Если отключить эту конфигурацию, функция
Threat detection (control plane)
будет отключена. См. дополнительные сведения о доступности функций.Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".
Оценка уязвимостей контейнеров без агента предоставляет управление уязвимостями для образов, хранящихся в ECR и выполняющих образы в кластерах EKS. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.
Перейдите к оставшимся страницам мастера соединителя.
Если вы включаете функцию обнаружения без агента для Kubernetes , необходимо предоставить разрешения уровня управления в кластере. Это можно сделать одним из следующих способов:
Запустите этот скрипт Python, чтобы предоставить разрешения. Сценарий добавляет роль Defender для облака MDCContainersAgentlessDiscoveryK8sRole в aws-auth ConfigMap кластеров EKS, которые требуется подключить.
Предоставьте каждому кластеру Amazon EKS роль MDCContainersAgentlessDiscoveryK8sRole с возможностью взаимодействия с кластером. Войдите во все существующие и недавно созданные кластеры с помощью eksctl и выполните следующий скрипт:
eksctl create iamidentitymapping \ --cluster my-cluster \ --region region-code \ --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ --group system:masters\ --no-duplicate-arns
Дополнительные сведения см. в разделе "Включение доступа субъекта IAM к кластеру".
Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes должны быть установлены и запущены в кластерах EKS. Существуют специальные рекомендации Defender для облака по установке этих расширений (а при необходимости и Azure Arc):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Для каждой из рекомендаций выполните следующие действия, чтобы установить необходимые расширения.
Чтобы установить необходимые расширения:
На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.
Выберите неработоспособный кластер.
Внимание
Необходимо выбирать кластеры по одному за раз.
Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.
Выберите элемент Исправить.
Defender для облака создает скрипт на выбранном вами языке: выберите Bash (для Linux) или PowerShell (для Windows).
Выберите элемент Download remediation logic (Скачать логику исправления).
Запустите созданный скрипт в кластере.
Повторите шаги "a" до "f" для второй рекомендации.
Просмотр рекомендаций и оповещений для кластеров EKS
Совет
Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.
Чтобы просмотреть оповещения и рекомендации для кластеров EKS, используйте фильтры на страницах оповещений, рекомендаций и инвентаризации для фильтрации по типу ресурса AWS EKS cluster (Кластер AWS EKS).
Развертывание датчика Defender
Чтобы развернуть датчик Defender в кластерах AWS, выполните следующие действия.
Перейдите к разделу Microsoft Defender для облака -Environment settings ->Add environment ->Amazon Web Services.>
Заполните сведения об учетной записи.
Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что включен датчик Защитника автоматической подготовки для Azure Arc .
Перейдите к разделу "Настройка доступа" и выполните указанные там действия.
После успешного развертывания шаблона "Формирование облака" нажмите кнопку "Создать".
Примечание.
Вы можете исключить определенный кластер AWS из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents
тег к ресурсу со значением true
. Для развертывания без агента примените ms_defender_container_exclude_agentless
тег к ресурсу со значением true
.
Включение плана
Внимание
Подключите свои проекты GCP к Microsoft Defender для облака, если вы этого еще не сделали.
Чтобы защитить кластеры GKE, необходимо включить план контейнеров в соответствующем проекте GCP.
Примечание.
Убедитесь, что у вас нет политик Azure, которые препятствуют установке Arc.
Чтобы защитить кластеры Google Kubernetes Engine (GKE):
Войдите на портал Azure.
Перейдите к разделу Microsoft Defender для облака>Параметры среды.
Выберите соответствующий соединитель GCP
Нажмите кнопку Next: Select Plans > (Далее: выбор планов).
Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).
Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".
Журналы аудита Kubernetes для Defender для облака: включен по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет бессерверную коллекцию данных журнала аудита через GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа. Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.".
Примечание.
Если отключить эту конфигурацию, функция
Threat detection (control plane)
будет отключена. См. дополнительные сведения о доступности функций.Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:
- Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
- Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
- Вручную установите Kubernetes и расширения с поддержкой Arc.
Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".
Оценка уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в реестрах Google (GAR и GCR) и выполняющих образы в кластерах GKE. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.
Нажмите кнопку Copy (Копировать).
Нажмите кнопку GCP Cloud Shell >.
Вставьте сценарий в терминал Cloud Shell и выполните его.
Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.
Развертывание решения в определенных кластерах
Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Вам потребуется вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes для каждого кластера GKE, чтобы получить полное значение безопасности из Defender для контейнеров.
Далее приведены 2 специальные рекомендации Defender для облака для установки этих расширений (а при необходимости — Arc):
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Примечание.
При установке расширений Arc необходимо убедиться, что проект GCP идентичен одному из них в соответствующем соединителе.
Чтобы развернуть решение в определенных кластерах:
Войдите на портал Azure.
Перейдите в Microsoft Defender для облака>Рекомендации.
На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.
Выберите неработоспособный кластер GKE.
Внимание
Необходимо выбирать кластеры по одному за раз.
Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.
Выберите имя неработоспособного ресурса.
Выберите элемент Исправить.
Defender для облака создаст сценарий на языке по вашему выбору:
- Для Linux выберите Bash.
- Для Windows выберите PowerShell.
Выберите элемент Download remediation logic (Скачать логику исправления).
Запустите созданный скрипт в кластере.
Повторите шаги "3" до "8" для второй рекомендации.
Просмотр оповещений кластера GKE
Войдите на портал Azure.
Перейдите Microsoft Defender для облака>Оповещения системы безопасности.
Выберите кнопку .
В раскрывающемся меню "Фильтр" выберите Тип ресурса.
В раскрывающемся меню "Значение" выберите Кластер GCP GKE.
Нажмите OK.
Развертывание датчика Defender
Чтобы развернуть датчик Defender в кластерах GCP, выполните следующие действия.
Перейдите к разделу Microsoft Defender для облака -Environment settings ->Add environment ->Google Cloud Platform.>
Заполните сведения об учетной записи.
Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что для azure Arc установлен датчик автоматической подготовки Защитника.
Перейдите к разделу "Настройка доступа" и выполните указанные там действия.
После успешного запуска скрипта gcloud нажмите кнопку "Создать".
Примечание.
Можно исключить определенный кластер GCP из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents
метку к ресурсу со значением true
. Для развертывания без агента примените ms_defender_container_exclude_agentless
метку к ресурсу со значением true
.
Моделирование оповещений системы безопасности из Microsoft Defender для контейнеров
Полный список поддерживаемых оповещений доступен в справочной таблице всех оповещений системы безопасности Defender для облака.
Чтобы смоделировать оповещение системы безопасности, выполните следующую команду в кластере:
kubectl get pods --namespace=asc-alerttest-662jfi039n
Ожидаемый ответ .
No resource found
В течение 30 минут Defender для облака обнаруживает это действие и активирует оповещение системы безопасности.
Примечание.
Для имитации оповещений без агента для контейнеров Defender для контейнеров Azure Arc не является обязательным условием.
На портале Azure откройте страницу оповещений системы безопасности Microsoft Defender для облака и найдите оповещение о соответствующем ресурсе:
Удаление датчика Defender
Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:
- Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
- Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.
Примечание.
Чтобы полностью отключить план Defender для контейнеров, перейдите к параметрам среды и отключите план Microsoft Defender для контейнеров .
Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.
Расширение можно удалить с помощью портала Azure, Azure CLI или REST API, как описано на приведенных ниже вкладках.
Удаление расширения с помощью портала Azure
Рабочая область Log Analytics для AKS по умолчанию
Рабочая область Log Analytics используется датчиком Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.
Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию создается на основе региона.
Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:
- Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
- Группа ресурсов: DefaultResourceGroup-[geo]
Назначение пользовательской рабочей области
При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.
Чтобы проверить, назначена ли рабочая область, выполните следующие действия.
Войдите на портал Azure.
Найдите в поиске и выберите пункт Политика.
Выберите элемент Определения.
Поиск идентификатора политики
64def556-fbad-4622-930e-72d1d5589bf5
.Выберите Настройка кластеров Службы Azure Kubernetes для активации профиля Defender.
Выберите Назначение.
Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.
Создание нового назначения с настраиваемой рабочей областью
Если политика не назначена, отображается Assignments (0)
.
Чтобы назначить пользовательскую рабочую область:
Выберите Назначить.
На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.
Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Обновление нового назначения с настраиваемой рабочей областью
Если политика уже назначена рабочей области, отображается Assignments (1)
.
Примечание.
Если у вас несколько подписок, возможно, будет больше.
Чтобы назначить пользовательскую рабочую область:
Выберите соответствующее назначение.
Выберите Изменить назначение.
На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.
Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.
Выберите "Рецензирование и сохранение".
Выберите Сохранить.
Рабочая область Log Analytics для Arc по умолчанию
Рабочая область Log Analytics используется датчиком Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.
Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию создается на основе региона.
Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:
- Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
- Группа ресурсов: DefaultResourceGroup-[geo]
Назначение пользовательской рабочей области
При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.
Чтобы проверить, назначена ли рабочая область, выполните следующие действия.
Войдите на портал Azure.
Найдите в поиске и выберите пункт Политика.
Выберите элемент Определения.
Поиск идентификатора политики
708b60a6-d253-4fe0-9114-4be4c00f012c
.Выберите Настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Microsoft Defender для облака.
Выберите назначения.
Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.
Создание нового назначения с настраиваемой рабочей областью
Если политика не назначена, отображается Assignments (0)
.
Чтобы назначить пользовательскую рабочую область:
Выберите Назначить.
На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.
Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.
Выберите Review + create (Просмотреть и создать).
Нажмите кнопку создания.
Обновление нового назначения с настраиваемой рабочей областью
Если политика уже назначена рабочей области, отображается Assignments (1)
.
Примечание.
Если у вас несколько подписок, возможно, будет больше. Если у вас есть номер 1 или более поздней версии, назначение может по-прежнему не находиться в соответствующей области. В этом случае потребуется выполнить инструкции по созданию нового назначения с настраиваемой рабочей областью.
Чтобы назначить пользовательскую рабочую область:
Выберите соответствующее назначение.
Выберите Изменить назначение.
На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.
Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.
Выберите "Рецензирование и сохранение".
Выберите Сохранить.
Удаление датчика Defender
Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:
- Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
- Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.
Примечание.
Чтобы полностью отключить план Defender для контейнеров, перейдите к параметрам среды и отключите план Microsoft Defender для контейнеров .
Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.
Расширение можно удалить с помощью REST API или шаблона Resource Manager, как описано на вкладках ниже.
Использование REST API для удаления датчика Defender из AKS
Чтобы удалить расширение с помощью REST API, выполните следующую команду PUT:
https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Имя | Описание | Обязательно |
---|---|---|
SubscriptionId | ИД подписки кластера | Да |
ResourceGroup | Группа ресурсов кластера | Да |
ClusterName | Имя кластера | Да |
ApiVersion | Номер версии API должен быть >= 2022-06-01 | Да |
Текст запроса:
{
"location": "{{Location}}",
"properties": {
"securityProfile": {
"defender": {
"securityMonitoring": {
"enabled": false
}
}
}
}
}
Параметры текста запроса:
Имя | Описание | Обязательно |
---|---|---|
расположение | Расположение кластера | Да |
properties.securityProfile.defender.securityMonitoring.enabled | Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере | Да |
Подробнее
См. следующие блоги:
- Защитите рабочие нагрузки Google Cloud с помощью Microsoft Defender для облака
- Представляем Microsoft Defender для контейнеров
- Новое название системы безопасности для защиты многооблачной среды: Microsoft Defender для облака
Следующие шаги
Теперь, когда вы включили Defender для контейнеров, вы можете: