Microsoft Defender voor Containers inschakelen

Microsoft Defender for Containers is de cloudeigen oplossing voor het beveiligen van uw containers.

Defender voor Containers beveiligt uw clusters, ongeacht of ze worden uitgevoerd in:

  • Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.

  • Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account (Amazon Web Services): de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.

  • Google Kubernetes Engine (GKE) in een verbonden GCP-project (Google Cloud Platform): de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.

  • Andere Kubernetes-distributies (met Behulp van Kubernetes met Azure Arc) - Cloud Native Computing Foundation (CNCF) gecertificeerde Kubernetes-clusters die on-premises of op IaaS worden gehost. Zie de sectie On-premises/IaaS (Arc) van Ondersteunde functies per omgeving voor meer informatie.

Meer informatie over dit plan vindt u in Overzicht van Microsoft Defender voor containers.

Bekijk de volgende video's uit de videoserie Defender for Cloud in the Field voor meer informatie:

Notitie

Ondersteuning van Defender for Containers voor Kubernetes-clusters met Arc, AWS EKS en GCP GKE. Dit is een preview-functie.

Zie de functieBeschikbaarheid van Defender for Containers voor meer informatie over de ondersteunde besturingssystemen, de beschikbaarheid van functies, de uitgaande proxy en meer.

Netwerkvereisten

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat het Defender-profiel verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Zie de vereiste FQDN-/toepassingsregels voor Microsoft Defender voor containers.

AKS-clusters hebben standaard onbeperkte toegang tot uitgaand (uitgaand) internet.

Netwerkvereisten

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat de Defender-extensie verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Voor implementaties van openbare Azure-clouds:

Domain Poort
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

De volgende domeinen zijn alleen nodig als u een relevant besturingssysteem gebruikt. Als u bijvoorbeeld EKS-clusters hebt die worden uitgevoerd in AWS, hoeft u alleen het Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domein toe te passen.

Domain Poort Hostbesturingssystemen
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum-standaardopslagplaatsen - RHEL / Centos
apt-standaardopslagplaatsen - Debian

U moet ook de Kubernetes-netwerkvereisten met Azure Arc valideren.

Tip

Wanneer u deze extensie gebruikt met hybride AKS-clusters die zijn ingericht vanuit Azure , moet u instellen --cluster-type voor gebruik provisionedClusters en ook toevoegen --cluster-resource-provider microsoft.hybridcontainerservice aan de opdracht. Het installeren van Azure Arc-extensies op hybride AKS-clusters die zijn ingericht vanuit Azure, is momenteel in preview.

Het plan inschakelen

Het plan inschakelen:

  1. Open in het menu van Defender for Cloud de pagina Instellingen en selecteer het relevante abonnement.

  2. Selecteer op de pagina Defender-abonnementendefender voor containers en selecteer Instellingen.

    schermopname van de pagina Defender-abonnementen.

    Tip

    Als Defender voor Kubernetes en/of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is defender voor containers de enige optie.

    Defender voor containerregisters en Defender voor Kubernetes-abonnementen met 'Afgeschaft' en upgradegegevens.

  3. Schakel het relevante onderdeel in om het in te schakelen.

    schermopname van het inschakelen van onderdelen.

    Notitie

    Wanneer u Defender voor containers uitschakelt, worden de onderdelen uitgeschakeld en niet meer geïmplementeerd in containers, maar worden ze niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Bij het inschakelen van het plan via de Azure Portal wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch vereiste onderdelen te installeren om de beveiliging te bieden die door het plan wordt geboden, inclusief de toewijzing van een standaardwerkruimte.

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Als u de bewakingsonderdelen van Defender for Containers niet automatisch wilt installeren op uw containerresources, selecteert u Configuratie bewerken voor het Containers-plan . Schakel vervolgens op de pagina Instellingen & controleren automatische installatie voor elk onderdeel uit.

Daarnaast kunt u deze configuratie wijzigen op de pagina Defender-abonnementen.

Als u de automatische installatie van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren in een of meer clusters met behulp van de juiste aanbeveling:

Meer informatie over de rollen die worden gebruikt voor het inrichten van Defender for Containers-extensies.

Het Defender-profiel implementeren

U kunt het Defender for Containers-plan inschakelen en alle relevante onderdelen implementeren vanuit de Azure Portal, de REST API of met een Resource Manager sjabloon. Selecteer het relevante tabblad voor gedetailleerde stappen.

Zodra het Defender-profiel is geïmplementeerd, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen in plaats van de standaardwerkruimte via Azure Policy.

Notitie

Het Defender-profiel wordt geïmplementeerd op elk knooppunt om runtimebeveiligingen te bieden en signalen van die knooppunten te verzamelen met behulp van eBPF-technologie.

Gebruik de knop Fix uit de aanbeveling voor Defender voor Cloud

Met een gestroomlijnd, probleemloos proces kunt u de Azure Portal pagina's gebruiken om het Defender for Cloud-plan in te schakelen en automatische inrichting van alle benodigde onderdelen voor het beschermen van uw Kubernetes-clusters op schaal in te stellen.

Een speciale aanbeveling voor Defender for Cloud biedt het volgende:

  • Zichtbaarheid over welke van uw clusters het Defender-profiel heeft geïmplementeerd
  • Knop Herstellen om deze te implementeren naar deze clusters zonder de extensie
  1. Open op de pagina met aanbevelingen van Microsoft Defender for Cloud uitgebreid beveiligingsbeheer inschakelen.

  2. Gebruik het filter om de aanbeveling met de naam te vinden Azure Kubernetes Service clusters Defender-profiel moeten hebben ingeschakeld.

    Tip

    U ziet het pictogram Herstellen in de kolom Acties

  3. Selecteer de clusters om de details te zien van de resources in orde en niet in orde: clusters met en zonder het profiel.

  4. Selecteer in de lijst beschadigde resources een cluster en selecteer Herstellen om het deelvenster te openen met de bevestiging van het herstel.

  5. Selecteer X-resources herstellen.

Het plan inschakelen

Het plan inschakelen:

  1. Open in het menu van Defender for Cloud de pagina Instellingen en selecteer het relevante abonnement.

  2. Selecteer op de pagina Defender-abonnementendefender voor containers en selecteer Instellingen. schermopname van de pagina Defender-abonnementen.

    Tip

    Als Defender voor Kubernetes of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is Defender for Containers de enige optie.

    Defender voor containerregisters en Defender voor Kubernetes-abonnementen met afgeschafte en upgradegegevens.

  3. Schakel het relevante onderdeel in om het in te schakelen.

    schermopname van het inschakelen van onderdelen.

    Notitie

    Wanneer u Defender voor containers uitschakelt, worden de onderdelen uitgeschakeld en niet meer geïmplementeerd in containers, maar worden ze niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Bij het inschakelen van het plan via de Azure Portal wordt Microsoft Defender voor containers standaard geconfigureerd om automatisch vereiste onderdelen te installeren om de beveiligingen te bieden die door het plan worden geboden, inclusief de toewijzing van een standaardwerkruimte.

Als u de automatische installatie van onderdelen tijdens het onboardingproces wilt uitschakelen, selecteert u Configuratie bewerken voor het Containers-plan . De geavanceerde opties worden weergegeven en u kunt automatische installatie voor elk onderdeel uitschakelen.

Daarnaast kunt u deze configuratie wijzigen op de pagina Defender-abonnementen.

Notitie

Als u ervoor kiest om het plan op elk gewenst moment uit te schakelen nadat u het hebt ingeschakeld via de portal, zoals hierboven wordt weergegeven, moet u defender voor containers-onderdelen die zijn geïmplementeerd op uw clusters handmatig verwijderen.

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Als u de automatische installatie van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren in een of meer clusters met behulp van de juiste aanbeveling:

Meer informatie over de rollen die worden gebruikt voor het inrichten van Defender for Containers-extensies.

Vereisten

Voordat u de extensie implementeert, moet u het volgende doen:

De Defender-extensie implementeren

U kunt de Defender-extensie implementeren met behulp van verschillende methoden. Selecteer het relevante tabblad voor gedetailleerde stappen.

Gebruik de knop Fix uit de aanbeveling voor Defender voor Cloud

Een speciale aanbeveling voor Defender for Cloud biedt het volgende:

  • Inzicht in welke van uw clusters de Defender voor Kubernetes-extensie is geïmplementeerd
  • Knop Herstellen om deze te implementeren naar deze clusters zonder de extensie
  1. Open op de pagina met aanbevelingen van Microsoft Defender for Cloud uitgebreid beveiligingsbeheer inschakelen.

  2. Gebruik het filter om de aanbeveling te vinden met de naam Kubernetes-clusters met Azure Arc, waarvoor de extensie van Defender for Cloud moet zijn geïnstalleerd.

    Microsoft Defender aanbeveling voor cloud voor het implementeren van de Defender-extensie voor Kubernetes-clusters met Azure Arc.

    Tip

    U ziet het pictogram Herstellen in de kolom Acties

  3. Selecteer de extensie om de details te zien van de resources die in orde en niet in orde zijn: clusters met en zonder de extensie.

  4. Selecteer in de lijst beschadigde resources een cluster en selecteer Herstellen om het deelvenster te openen met de herstelopties.

  5. Selecteer de relevante Log Analytics-werkruimte en selecteer X resource herstellen.

    Implementeer de Defender-extensie voor Azure Arc met de optie 'fix' van Defender for Cloud.

De implementatie controleren

Als u wilt controleren of de Defender-extensie op uw cluster is geïnstalleerd, volgt u de stappen op een van de onderstaande tabbladen:

Defender for Cloud-aanbeveling gebruiken om de status van uw extensie te controleren

  1. Open op de pagina met aanbevelingen van Microsoft Defender for Cloud de Microsoft Defender inschakelen voor cloudbeveiligingsbeheer.

  2. Selecteer de aanbeveling met de naam Kubernetes-clusters met Azure Arc moet Microsoft Defender voor de cloudextensie hebben geïnstalleerd.

    Microsoft Defender aanbeveling voor cloud voor het implementeren van de Defender-extensie voor Kubernetes-clusters met Azure Arc.

  3. Controleer of het cluster waarop u de extensie hebt geïmplementeerd, wordt vermeld als In orde.

Amazon Elastic Kubernetes Service-clusters beveiligen

Belangrijk

Als u nog geen AWS-account hebt verbonden, verbindt u uw AWS-accounts met Microsoft Defender for Cloud.

Als u uw EKS-clusters wilt beveiligen, schakelt u het Containers-plan in op de relevante accountconnector:

  1. Open omgevingsinstellingen in het menu van Defender voor Cloud.

  2. Selecteer de AWS-connector.

    Schermopname van de pagina met omgevingsinstellingen van Defender for Cloud met een AWS-connector.

  3. Stel de wisselknop voor het Containers-plan in op Aan.

    Schermopname van het inschakelen van Defender for Containers voor een AWS-connector.

  4. (Optioneel) Als u de bewaarperiode voor uw auditlogboeken wilt wijzigen, selecteert u Configureren, voert u het vereiste tijdsbestek in en selecteert u Opslaan.

    Schermopname van het aanpassen van de retentieperiode voor logboeken van het EKS-besturingsvenster.

    Notitie

    Als u deze configuratie uitschakelt, wordt de Threat detection (control plane) functie uitgeschakeld. Meer informatie over de beschikbaarheid van functies.

  5. (Optioneel) Scannen op beveiligingsproblemen van uw ECR-installatiekopieën inschakelen. Meer informatie over evaluatie van beveiligingsproblemen voor ECR-installatiekopieën.

  6. Ga door naar de resterende pagina's van de connectorwizard.

  7. Kubernetes met Azure Arc, de Defender-extensie en de Azure Policy-extensie moeten worden geïnstalleerd en uitgevoerd op uw EKS-clusters. Er is een speciale Defender for Cloud-aanbeveling voor het installeren van deze extensies (en Azure Arc indien nodig):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    Volg voor elk van de aanbevelingen de onderstaande stappen om de vereiste extensies te installeren.

    De vereiste extensies installeren:

    1. Zoek op de pagina Aanbevelingen van Defender for Cloud naar een van de aanbevelingen op naam.

    2. Selecteer een cluster dat niet in orde is.

      Belangrijk

      U moet de clusters één voor één selecteren.

      Selecteer de clusters niet met de hyperlinknamen: selecteer ergens anders in de relevante rij.

    3. Selecteer Herstellen.

    4. Defender voor Cloud genereert een script in de taal van uw keuze: selecteer Bash (voor Linux) of PowerShell (voor Windows).

    5. Selecteer Herstellogica downloaden.

    6. Voer het gegenereerde script uit op uw cluster.

    7. Herhaal de stappen 'a' tot en met 'f' voor de tweede aanbeveling.

    Video over het gebruik van de defender voor Cloud-aanbeveling om een script te genereren voor uw EKS-clusters waarmee de Azure Arc-extensie wordt ingeschakeld.

Aanbevelingen en waarschuwingen voor uw EKS-clusters weergeven

Tip

U kunt containerwaarschuwingen simuleren door de instructies in dit blogbericht te volgen.

Als u de waarschuwingen en aanbevelingen voor uw EKS-clusters wilt weergeven, gebruikt u de filters op de pagina's waarschuwingen, aanbevelingen en inventaris om te filteren op aws EKS-cluster van het resourcetype.

Schermopname van het gebruik van filters op de pagina beveiligingswaarschuwingen van Microsoft Defender for Cloud om waarschuwingen met betrekking tot AWS EKS-clusters weer te geven.

GKE-clusters (Google Kubernetes Engine) beveiligen

Belangrijk

Als u nog geen GCP-project hebt verbonden, verbindt u uw GCP-projecten met Microsoft Defender for Cloud.

Als u uw GKE-clusters wilt beveiligen, moet u het Containers-plan inschakelen voor het relevante GCP-project.

GKE-clusters (Google Kubernetes Engine) beveiligen:

  1. Meld u aan bij de Azure-portal.

  2. Navigeer naar Microsoft Defender voor instellingen voorcloudomgevingen>.

  3. Selecteer de relevante GCP-connector

    Schermopname van een voorbeeld van een GCP-connector.

  4. Selecteer de knop Volgende: Plannen >selecteren.

  5. Zorg ervoor dat het Containers-plan is ingesteld op Aan.

    Schermopname die laat zien dat het containers-plan is ingeschakeld.

  6. (Optioneel) Configureer het containers-plan.

  7. Selecteer de knop Kopiëren .

    Schermopname van de locatie van de kopieerknop.

  8. Selecteer de knop GCP Cloud Shell>.

  9. Plak het script in de Cloud Shell terminal en voer het uit.

De connector wordt bijgewerkt nadat het script is uitgevoerd. Dit proces kan maximaal 6-8 uur duren.

De oplossing implementeren in specifieke clusters

Als u een van de standaardconfiguraties voor automatische inrichting hebt uitgeschakeld op Uit, tijdens het onboardingproces van de GCP-connector of daarna. U moet Kubernetes met Azure Arc, de Defender-extensie en de Azure Policy-extensies handmatig installeren op elk van uw GKE-clusters om de volledige beveiligingswaarde uit Defender for Containers te halen.

Er zijn 2 speciale Defender for Cloud-aanbevelingen die u kunt gebruiken om de extensies te installeren (en Arc indien nodig):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

De oplossing implementeren op specifieke clusters:

  1. Meld u aan bij de Azure-portal.

  2. Navigeer naar Microsoft Defender voorcloudaanbeveling>.

  3. Zoek op de pagina Aanbevelingen van Defender for Cloud naar een van de aanbevelingen op naam.

    Schermopname van het zoeken naar de aanbeveling.

  4. Selecteer een beschadigd GKE-cluster.

    Belangrijk

    U moet de clusters één voor één selecteren.

    Selecteer de clusters niet met de hyperlinknamen: selecteer ergens anders in de relevante rij.

  5. Selecteer de naam van de resource die niet in orde is.

  6. Selecteer Herstellen.

    Schermopname van de locatie van de knop Fix.

  7. Defender for Cloud genereert een script in de taal van uw keuze:

    • Voor Linux selecteert u Bash.
    • Voor Windows selecteert u PowerShell.
  8. Selecteer Herstellogica downloaden.

  9. Voer het gegenereerde script uit op uw cluster.

  10. Herhaal stap 3 tot en met 8 voor de tweede aanbeveling.

Waarschuwingen van uw GKE-cluster weergeven

  1. Meld u aan bij de Azure-portal.

  2. Navigeer naar Microsoft Defender voor Cloud>Security-waarschuwingen.

  3. Selecteer de knop .

  4. Selecteer Resourcetype in de vervolgkeuzelijst Filter.

  5. Selecteer GCP GKE-cluster in het vervolgkeuzemenu Waarde.

  6. Selecteer OK.

Beveiligingswaarschuwingen van Microsoft Defender for Containers simuleren

Een volledige lijst met ondersteunde waarschuwingen is beschikbaar in de referentietabel van alle Defender for Cloud-beveiligingswaarschuwingen.

  1. Als u een beveiligingswaarschuwing wilt simuleren, voert u de volgende opdracht uit vanuit het cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Het verwachte antwoord is 'Geen resource gevonden'.

    Binnen 30 minuten detecteert Defender voor Cloud deze activiteit en activeert een beveiligingswaarschuwing.

  2. Open in de Azure Portal de pagina beveiligingswaarschuwingen van Microsoft Defender for Cloud en zoek de waarschuwing op de relevante resource:

    Voorbeeldwaarschuwing van Microsoft Defender voor Kubernetes.

De Defender-extensie verwijderen

Als u deze of enige Defender for Cloud-extensie wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

  • Het inschakelen van automatische inrichting heeft mogelijk gevolgen voor bestaande en toekomstige machines.
  • Het uitschakelen van automatische inrichting voor een extensie heeft alleen invloed op de toekomstige machines. Er wordt niets verwijderd door automatische inrichting uit te schakelen.

Als u er echter voor wilt zorgen dat de Defender voor Containers-onderdelen vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender for Cloud.

U kunt de extensie verwijderen met behulp van Azure Portal, Azure CLI of REST API, zoals wordt uitgelegd op de onderstaande tabbladen.

Gebruik Azure Portal om de extensie te verwijderen

  1. Open Azure Arc in de Azure Portal.

  2. Selecteer Kubernetes-clusters in de lijst infrastructuur en selecteer vervolgens het specifieke cluster.

  3. Open de pagina extensies. De extensies op het cluster worden weergegeven.

  4. Selecteer het cluster en selecteer Verwijderen.

    Een extensie verwijderen uit uw Kubernetes-cluster met Arc.

Log Analytics-standaardwerkruimte voor AKS

De Log Analytics-werkruimte wordt door het Defender-profiel gebruikt als een gegevenspijplijn om gegevens van het cluster naar Defender for Cloud te verzenden zonder gegevens in de Log Analytics-werkruimte zelf te bewaren. Als gevolg hiervan worden gebruikers in deze use-case niet gefactureerd.

Het Defender-profiel maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en een standaardwerkruimte wanneer het Defender-profiel is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

  • Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
  • Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte aan u is toegewezen:

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Beleid.

    Schermopname die laat zien hoe u de beleidspagina kunt vinden.

  3. Selecteer Definities.

  4. Zoek naar beleids-id 64def556-fbad-4622-930e-72d1d5589bf5.

    Schermopname die laat zien waar u het beleid kunt zoeken op id-nummer.

  5. Selecteer Configureren Azure Kubernetes Service clusters om Defender-profiel in te schakelen.

  6. Selecteer Toewijzing.

    Schermopname van de locatie van het tabblad Toewijzingen.

  7. Volg de stappen Een nieuwe toewijzing met aangepaste werkruimte maken als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de stappen Toewijzing bijwerken met aangepaste werkruimte als het beleid al is toegewezen en u het wilt wijzigen om een aangepaste werkruimte te gebruiken.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Schermopname die laat zien dat er geen werkruimte is toegewezen.

Aangepaste werkruimte toewijzen:

  1. Selecteer Toewijzen.

  2. Schakel op het tabblad Parameters de optie Alleen parameters weergeven die invoer of controle nodig hebben uit.

  3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

    Schermopname die laat zien waar het vervolgkeuzemenu zich bevindt.

  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Schermopname van Toewijzing (1), wat betekent dat er al een werkruimte is toegewezen.

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn.

Aangepaste werkruimte toewijzen:

  1. Selecteer de relevante opdracht.

    Schermopname die laat zien waar de relevante toewijzing moet worden geselecteerd.

  2. Selecteer Opdracht bewerken.

  3. Schakel op het tabblad Parameters de optie Alleen parameters weergeven die moeten worden ingevoerd of beoordeeld uit.

  4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

    Schermopname die laat zien waar de vervolgkeuzelijst zich bevindt.

  5. Selecteer Controleren + maken.

  6. Selecteer Maken.

Standaard Log Analytics-werkruimte voor Arc

De Log Analytics-werkruimte wordt door de Defender-extensie gebruikt als een gegevenspijplijn om gegevens van het cluster naar Defender for Cloud te verzenden zonder dat gegevens in de Log Analytics-werkruimte zelf worden bewaard. Als gevolg hiervan worden gebruikers in deze use-case niet gefactureerd.

De Defender-extensie maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en standaardwerkruimte wanneer de Defender-extensie is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en resourcegroep is:

  • Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
  • Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte aan u is toegewezen:

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Beleid.

    Schermopname die laat zien hoe u de beleidspagina voor ARC kunt vinden.

  3. Selecteer Definities.

  4. Zoek naar beleids-id 708b60a6-d253-4fe0-9114-4be4c00f012c.

    Schermopname die laat zien waar u kunt zoeken naar het beleid op id-nummer voor ARC.

  5. Selecteer Kubernetes-clusters met Azure Arc configureren om Microsoft Defender voor Cloud-extensie te installeren.

  6. Selecteer Toewijzingen.

    Schermopname die laat zien waar het tabblad Toewijzingen zich bevindt voor ARC.

  7. Volg de stappen Een nieuwe toewijzing met aangepaste werkruimte maken als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de stappen Toewijzing bijwerken met aangepaste werkruimte als het beleid al is toegewezen en u het wilt wijzigen om een aangepaste werkruimte te gebruiken.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Schermopname die laat zien dat er geen werkruimte is toegewezen voor ARC.

Aangepaste werkruimte toewijzen:

  1. Selecteer Toewijzen.

  2. Schakel op het tabblad Parameters de optie Alleen parameters weergeven die moeten worden ingevoerd of beoordeeld uit.

  3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

    Schermopname van de locatie van het vervolgkeuzemenu voor ARC.

  4. Selecteer Controleren + maken.

  5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn. Als u een getal 1 of hoger hebt, bevindt de toewijzing zich mogelijk nog steeds niet in het relevante bereik. Als dit het geval is, volgt u de stappen Een nieuwe toewijzing maken met aangepaste werkruimte .

Schermopname van Toewijzing (1), wat betekent dat er al een werkruimte is toegewezen voor ARC.

Aangepaste werkruimte toewijzen:

  1. Selecteer de relevante opdracht.

    Schermopname die laat zien waar de relevante toewijzing voor ARC moet worden geselecteerd.

  2. Selecteer Opdracht bewerken.

  3. Schakel op het tabblad Parameters de optie Alleen parameters weergeven die moeten worden ingevoerd of beoordeeld uit.

  4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

    Schermopname van de locatie van het vervolgkeuzemenu voor ARC.

  5. Selecteer Controleren + maken.

  6. Selecteer Maken.

Het Defender-profiel verwijderen

Als u deze of enige Defender for Cloud-extensie wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

  • Het inschakelen van automatische inrichting is mogelijk van invloed op bestaande en toekomstige machines.
  • Het uitschakelen van automatische inrichting voor een extensie is alleen van invloed op de toekomstige machines. Er wordt niets verwijderd door automatische inrichting uit te schakelen.

Om ervoor te zorgen dat de Defender for Containers-onderdelen vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender for Cloud.

U kunt het profiel verwijderen met behulp van de REST API of een Resource Manager sjabloon, zoals wordt uitgelegd op de onderstaande tabbladen.

REST API gebruiken om het Defender-profiel uit AKS te verwijderen

Als u het profiel wilt verwijderen met behulp van de REST API, voert u de volgende PUT-opdracht uit:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Naam Beschrijving Verplicht
SubscriptionId Abonnements-id van cluster Yes
ResourceGroup Resourcegroep van cluster Yes
Clusternaam De naam van het cluster Yes
ApiVersion API-versie moet = 2022-06-01 zijn > Yes

Aanvraagtekst:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parameters voor aanvraagbody:

Naam Beschrijving Verplicht
location Locatie van het cluster Yes
properties.securityProfile.defender.securityMonitoring.enabled Bepaalt of Microsoft Defender voor containers op het cluster moet worden in- of uitgeschakeld Yes

Veelgestelde vragen

Hoe kan ik mijn bestaande Log Analytics-werkruimte gebruiken?

U kunt uw bestaande Log Analytics-werkruimte gebruiken door de stappen te volgen in de sectie Een aangepaste werkruimte toewijzen van dit artikel.

Kan ik de standaardwerkruimten verwijderen die door Defender voor Cloud zijn gemaakt?

We raden u af de standaardwerkruimte te verwijderen. Defender for Containers gebruikt de standaardwerkruimten om beveiligingsgegevens van uw clusters te verzamelen. Defender for Containers kan geen gegevens verzamelen en sommige aanbevelingen en waarschuwingen voor beveiliging zijn niet meer beschikbaar als u de standaardwerkruimte verwijdert.

Ik heb mijn standaardwerkruimte verwijderd. Hoe krijg ik deze terug?

Als u uw standaardwerkruimte wilt herstellen, moet u het Defender-profiel/de defender-extensie verwijderen en de agent opnieuw installeren. Als u het Defender-profiel/de Defender-extensie opnieuw installeert, wordt er een nieuwe standaardwerkruimte gemaakt.

Waar bevindt zich de standaard Log Analytics-werkruimte?

Afhankelijk van uw regio bevindt de standaard Log Analytics-werkruimte zich op verschillende locaties. Als u uw regio wilt controleren, raadpleegt u Waar wordt de standaard Log Analytics-werkruimte gemaakt?

Mijn organisatie vereist dat ik mijn resources taggen en de vereiste extensie is niet geïnstalleerd. Wat is er misgegaan?

De Defender-agent gebruikt de Log Analytics-werkruimte om gegevens van uw Kubernetes-clusters naar Defender for Cloud te verzenden. Defender voor Cloud voegt de werkruimte Logboekanalyse en de resourcegroep toe als een parameter voor de agent die moet worden gebruikt.

Als uw organisatie echter een beleid heeft waarvoor een specifieke tag voor uw resources is vereist, kan dit ertoe leiden dat de installatie van de extensie mislukt tijdens de resourcegroep of de standaardfase voor het maken van de werkruimte. Als dit mislukt, kunt u het volgende doen:

  • Wijs een aangepaste werkruimte toe en voeg de tag toe die uw organisatie nodig heeft.

    of

  • Als uw bedrijf vereist dat u uw resource tagt, moet u naar dat beleid navigeren en de volgende resources uitsluiten:

    1. De resourcegroep DefaultResourceGroup-<RegionShortCode>
    2. De werkruimte DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode is een tekenreeks van 2-4 letters.

Meer informatie

U kunt de volgende blogs bekijken:

Volgende stappen

Nu u Defender voor containers hebt ingeschakeld, kunt u het volgende doen: