Onderdelen van Microsoft Defender for Containers configureren

Microsoft Defender for Containers is de cloudeigen oplossing voor het beveiligen van uw containers.

Defender voor Containers beveiligt uw clusters, ongeacht of ze worden uitgevoerd in:

• Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.

• Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account (Amazon Web Services): de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.

• Google Kubernetes Engine (GKE) in een verbonden GCP-project (Google Cloud Platform): de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.

• Andere Kubernetes-distributies (met behulp van Kubernetes met Azure Arc) - CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) die on-premises of op IaaS worden gehost. Zie de sectie On-premises/IaaS (Arc) van ondersteunde functies per omgeving voor meer informatie.

Meer informatie over dit plan vindt u in Overzicht van Microsoft Defender for Containers.

U kunt eerst leren hoe u uw containers verbindt en beveiligt in deze artikelen:

• Uw Azure-containers beveiligen met Defender for Containers
• Uw on-premises Kubernetes-clusters beveiligen met Defender for Containers
• Uw AwS-accounts (Amazon Web Service) beveiligen met Defender for Containers
• Uw GCP-projectcontainers (Google Cloud Platform) beveiligen met Defender for Containers

U kunt ook meer informatie vinden door deze video's te bekijken vanuit de Defender voor Cloud in de videoserie Veld:

• Microsoft Defender for Containers in een omgeving met meerdere clouds
• Containers beveiligen in GCP met Defender for Containers

Notitie

Ondersteuning van Defender for Containers voor Kubernetes-clusters met Arc is een preview-functie. De preview-functie is beschikbaar op selfservice, opt-in basis.

Previews worden geleverd 'zoals is' en 'als beschikbaar' en worden uitgesloten van de serviceovereenkomsten en beperkte garantie.

Zie de beschikbaarheid van de functie Defender for Containers voor meer informatie over de ondersteunde besturingssystemen, beschikbaarheid van functies, uitgaande proxy en meer.

Vereisten voor netwerkfirewall

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Zie de vereiste FQDN-/toepassingsregels voor Microsoft Defender for Containers.

AKS-clusters hebben standaard onbeperkte toegang tot uitgaand (uitgaand) internet.

Vereisten voor netwerkfirewall

Let op

In dit artikel wordt verwezen naar CentOS, een Linux-distributie die de status End Of Life (EOL) nadert. Overweeg uw gebruik en planning dienovereenkomstig. Zie de Richtlijnen voor het einde van de levensduur van CentOS voor meer informatie.

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Voor openbare cloudimplementaties:

Azure-domein	Azure Government-domein	Microsoft Azure beheerd door 21Vianet-domein	Poort
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

De volgende domeinen zijn alleen nodig als u een relevant besturingssysteem gebruikt. Als er bijvoorbeeld EKS-clusters worden uitgevoerd in AWS, hoeft u alleen het Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domein toe te passen.

Domain	Poort	Hostbesturingssystemen
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
yum-standaardopslagplaatsen	-	RHEL / Centos
apt-standaardopslagplaatsen	-	Debian

U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.

Het plan inschakelen

Ga als volgende te werk om het plan in te schakelen:

1. Open in het menu van Defender voor Cloud de Instellingen pagina en selecteer het relevante abonnement.

2. Selecteer Defender for Containers op de pagina Defender-abonnementen en selecteer Instellingen.

   

   Tip

   Als defender voor Kubernetes en/of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is de enige optie Defender for Containers.

   

3. Schakel het relevante onderdeel in om het in te schakelen.

   

   Notitie

   • Defenders for Containers-klanten die zich vóór augustus 2023 hebben aangemeld en waarvoor geen detectie zonder agent voor Kubernetes is ingeschakeld als onderdeel van Defender CSPM wanneer ze het plan hebben ingeschakeld, moeten de detectie zonder agent handmatig inschakelen voor de Kubernetes-extensie binnen het Defender for Containers-plan.
   • Wanneer u Defender for Containers uitschakelt, worden de onderdelen uitgeschakeld en worden ze niet geïmplementeerd in andere containers, maar worden ze niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Methode voor inschakelen per mogelijkheid

Wanneer u het plan inschakelt via Azure Portal, wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch alle mogelijkheden in te schakelen en alle vereiste onderdelen te installeren om de beveiligingen te bieden die door het plan worden geboden, inclusief de toewijzing van een standaardwerkruimte.

Als u niet alle mogelijkheden van de plannen wilt inschakelen, kunt u handmatig selecteren welke specifieke mogelijkheden u wilt inschakelen door Configuratie bewerken voor het containers-plan te selecteren. Selecteer vervolgens op de pagina Instellingen & bewaking de mogelijkheden die u wilt inschakelen. Daarnaast kunt u deze configuratie wijzigen vanaf de pagina Defender-abonnementen na de eerste configuratie van het plan.

Zie de ondersteuningsmatrix voor gedetailleerde informatie over de activeringsmethode voor elk van de mogelijkheden.

Rollen en machtigingen

Meer informatie over de rollen die worden gebruikt voor het inrichten van Defender for Containers-extensies.

Aangepaste werkruimte toewijzen voor Defender-sensor

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Handmatige implementatie van Defender-sensor of Azure Policy-agent zonder automatische inrichting met behulp van aanbevelingen

Mogelijkheden waarvoor sensorinstallatie is vereist, kunnen ook worden geïmplementeerd op een of meer Kubernetes-clusters, met behulp van de juiste aanbeveling:

Sensor	Aanbeveling
Defender Sensor voor Kubernetes	Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld
Defender Sensor voor Kubernetes met Arc	Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd
Azure Policy-agent voor Kubernetes	Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd
Azure Policy-agent voor Kubernetes met Arc	Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Voer de volgende stappen uit om de defender-sensor te implementeren op specifieke clusters:

1. Open op de pagina met aanbevelingen van Microsoft Defender voor Cloud het verbeterde beveiligingsbeheer inschakelen of zoek rechtstreeks naar een van de bovenstaande aanbevelingen (of gebruik de bovenstaande koppelingen om de aanbeveling rechtstreeks te openen)

2. Bekijk alle clusters zonder sensor via het beschadigde tabblad.

3. Selecteer de clusters waarop u de gewenste sensor wilt implementeren en selecteer Herstellen.

4. Selecteer X-resources herstellen.

Defender-sensor implementeren - alle opties

U kunt het Defender for Containers-plan inschakelen en alle relevante onderdelen implementeren vanuit Azure Portal, de REST API of met een Resource Manager-sjabloon. Selecteer het relevante tabblad voor gedetailleerde stappen.

Zodra de Defender-sensor is geïmplementeerd, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen in plaats van de standaardwerkruimte via Azure Policy.

Notitie

De Defender-sensor wordt op elk knooppunt geïmplementeerd om de runtimebeveiligingen te bieden en signalen van deze knooppunten te verzamelen met behulp van eBPF-technologie.

Azure-portal

Gebruik de knop Fix uit de Defender voor Cloud aanbeveling

Met een gestroomlijnd, probleemloos proces kunt u de Azure Portal-pagina's gebruiken om de Defender voor Cloud automatische inrichting van alle benodigde onderdelen voor het verdedigen van uw Kubernetes-clusters op schaal mogelijk te maken.

Een aanbeveling voor toegewezen Defender voor Cloud biedt:

• Zichtbaarheid over welke van uw clusters de Defender-sensor heeft geïmplementeerd
• Knop Herstellen om deze te implementeren in die clusters zonder de sensor

1. Open op de pagina met aanbevelingen van Microsoft Defender voor Cloud het verbeterde beveiligingsbeheer inschakelen.

2. Gebruik het filter om te zoeken naar de aanbeveling met de naam Azure Kubernetes Service-clusters waarvoor Defender-profiel moet zijn ingeschakeld.

   Tip

   Let op het pictogram Fix in de kolom acties

3. Selecteer de clusters om de details te bekijken van de resources die in orde en beschadigd zijn: clusters met en zonder de sensor.

4. Selecteer een cluster in de lijst met beschadigde resources en selecteer Herstel om het deelvenster te openen met de bevestiging van herstel.

5. Selecteer X-resources herstellen.

REST API

De REST API gebruiken om de Defender-sensor te implementeren

Voer de volgende PUT-opdracht uit om het bestand SecurityProfile te installeren op een bestaand cluster met de REST API:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Aanvraag-URI: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Queryparameters aanvragen:

Name	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Ja
ResourceGroup	Resourcegroep van cluster	Ja
Clusternaam	Clusternaam	Ja
ApiVersion	API-versie moet = 2022-06-01 zijn >	Ja

Aanvraagtekst:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parameters voor aanvraagbody:

Name	Beschrijving	Verplicht
locatie	Locatie van cluster	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of u Microsoft Defender for Containers wilt in- of uitschakelen op het cluster	Ja
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Azure-resource-id voor Log Analytics-werkruimte	Ja

Azure-CLI

Azure CLI gebruiken om de Defender-sensor te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt als <your-subscription-id> de id die is gekoppeld aan uw AKS-cluster.

2. Schakel de Defender-sensor in voor uw containers:

   • Voer de volgende opdracht uit om een nieuw cluster te maken waarvoor de Defender-sensor is ingeschakeld:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Voer de volgende opdracht uit om de Defender-sensor in te schakelen op een bestaand cluster:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Hieronder vindt u een beschrijving van alle ondersteunde configuratie-instellingen voor het defender-sensortype:

   Eigenschappen

   Beschrijving

   logAnalyticsWorkspaceResourceId

   Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Wanneer deze niet is opgegeven, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Meer informatie in Log Analytics-werkruimten

   U kunt deze instellingen opnemen in een JSON-bestand en het JSON-bestand opgeven in de az aks create en az aks update opdrachten met deze parameter: --defender-config <path-to-JSON-file> De indeling van het JSON-bestand moet zijn:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Meer informatie over AKS CLI-opdrachten in az aks.

3. Als u wilt controleren of de sensor is toegevoegd, voert u de volgende opdracht uit op uw computer, waarbij het kubeconfig bestand naar uw cluster wijst:

   kubectl get pods -n kube-system
   

   Wanneer de sensor wordt toegevoegd, ziet u een pod microsoft-defender-XXXXX die de Running status heeft. Het kan enkele minuten duren voordat pods zijn toegevoegd.

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor te implementeren

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

De 'SecurityProfile' installeren op een bestaand cluster met Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Het plan inschakelen

Ga als volgende te werk om het plan in te schakelen:

1. Open in het menu van Defender voor Cloud de Instellingen pagina en selecteer het relevante abonnement.

2. Selecteer Defender for Containers op de pagina Defender-abonnementen en selecteer Instellingen.

   Tip

   Als defender voor Kubernetes of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is de enige optie Defender for Containers.

   

3. Schakel het relevante onderdeel in om het in te schakelen.

   

   Notitie

   Wanneer u Defender for Containers uitschakelt, worden de onderdelen uitgeschakeld en worden ze niet geïmplementeerd in andere containers, maar worden ze niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Wanneer u het plan inschakelt via Azure Portal, wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch vereiste onderdelen te installeren om de beveiligingen te bieden die worden aangeboden door een plan, inclusief de toewijzing van een standaardwerkruimte.

Als u de automatische installatie van onderdelen tijdens het onboardingproces wilt uitschakelen, selecteert u Configuratie bewerken voor het Containers-plan . De geavanceerde opties worden weergegeven en u kunt automatische installatie voor elk onderdeel uitschakelen.

Daarnaast kunt u deze configuratie wijzigen op de pagina Defender-abonnementen.

Notitie

Als u ervoor kiest om het plan op elk gewenst moment uit te schakelen nadat u het hebt ingeschakeld via de portal, zoals hierboven wordt weergegeven, moet u de onderdelen van Defender for Containers die op uw clusters zijn geïmplementeerd, handmatig verwijderen.

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Als u de automatische installatie van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren in een of meer clusters met behulp van de juiste aanbeveling:

• Beleidsinvoegtoepassing voor Kubernetes - Azure Kubernetes Service-clusters moeten de Azure Policy-invoegtoepassing voor Kubernetes hebben geïnstalleerd
• Azure Kubernetes Service-profiel - Azure Kubernetes Service-clusters moeten Defender-profiel hebben ingeschakeld
• Kubernetes-extensie met Azure Arc - Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd
• Kubernetes Policy-extensie met Azure Arc - Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Meer informatie over de rollen die worden gebruikt voor het inrichten van Defender for Containers-extensies.

Vereisten

Voordat u de sensor implementeert, moet u het volgende doen:

• Verbinding maken het Kubernetes-cluster naar Azure Arc
• Voltooi de vereisten die worden vermeld in de algemene documentatie voor clusterextensies.

De Defender-sensor implementeren

U kunt de Defender-sensor implementeren met behulp van een reeks methoden. Selecteer het relevante tabblad voor gedetailleerde stappen.

Azure-portal

Gebruik de knop Fix uit de Defender voor Cloud aanbeveling

Een aanbeveling voor toegewezen Defender voor Cloud biedt:

• Zichtbaarheid over welke van uw clusters de Defender-sensor heeft geïmplementeerd
• Knop Herstellen om deze te implementeren in die clusters zonder de sensor

1. Open op de pagina met aanbevelingen van Microsoft Defender voor Cloud het verbeterde beveiligingsbeheer inschakelen.

2. Gebruik het filter om te zoeken naar de aanbeveling met de naam Kubernetes-clusters met Azure Arc Defender voor Cloud extensie moet zijn geïnstalleerd.

   

   Tip

   Let op het pictogram Fix in de kolom acties

3. Selecteer de sensor om de details te bekijken van de resources die in orde en beschadigd zijn: clusters met en zonder de sensor.

4. Selecteer een cluster in de lijst met beschadigde resources en selecteer Herstel om het deelvenster te openen met de herstelopties.

5. Selecteer de relevante Log Analytics-werkruimte en selecteer X-resource herstellen.

   

Azure-CLI

Azure CLI gebruiken om de Defender-sensor te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt als <your-subscription-id> de id die is gebruikt bij het verbinden van uw cluster met Azure Arc.

2. Voer de volgende opdracht uit om de sensor boven op uw Kubernetes-cluster met Azure Arc te implementeren:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Hieronder vindt u een beschrijving van alle ondersteunde configuratie-instellingen voor het defender-sensortype:

   Eigenschappen	Beschrijving
   logAnalyticsWorkspaceResourceID	Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Wanneer deze niet is opgegeven, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Meer informatie in Log Analytics-werkruimten
   auditLogPath	Optioneel. Het volledige pad naar de auditlogboekbestanden. Wanneer dit niet is opgegeven, wordt het standaardpad /var/log/kube-apiserver/audit.log gebruikt. Voor de AKS-engine is het standaardpad /var/log/kubeaudit/audit.log

   In de onderstaande opdracht ziet u een voorbeeld van het gebruik van alle optionele velden:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor te implementeren

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

U kunt de azure-defender-extension-arm-template.json Resource Manager-sjabloon gebruiken uit de installatievoorbeelden van Defender voor Cloud.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

REST API

REST API gebruiken om de Defender-sensor te implementeren

Als u de REST API wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

De eenvoudigste manier om de API te gebruiken om de Defender-sensor te implementeren, is het meegeleverde JSON-voorbeeld van postman Collection uit de installatievoorbeelden van Defender voor Cloud.

• Als u de JSON van de Postman Collection wilt wijzigen of de sensor handmatig wilt implementeren met de REST API, voert u de volgende PUT-opdracht uit:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Hierin:

  Naam	In	Vereist	Type	Description
  Abonnements-id	Pad	Waar	String	De abonnements-id van uw Kubernetes-resource met Azure Arc
  Resourcegroep	Pad	Waar	String	Naam van de resourcegroep met uw Kubernetes-resource met Azure Arc
  Clusternaam	Pad	Waar	String	Naam van uw Kubernetes-resource met Azure Arc

  Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een Bearer-token op te halen:

  az account get-access-token --subscription <your-subscription-id> Gebruik de volgende structuur voor de hoofdtekst van uw bericht:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Hieronder vindt u een beschrijving van de eigenschappen:

  Eigenschappen	Beschrijving
  logAnalytics.workspaceId	Werkruimte-id van de Log Analytics-resource
  logAnalytics.key	Sleutel van de Log Analytics-resource
  auditLogPath	Optioneel. Het volledige pad naar de auditlogboekbestanden. De standaardwaarde is /var/log/kube-apiserver/audit.log.

De implementatie controleren

Volg de stappen in een van de onderstaande tabbladen om te controleren of de Defender-sensor erop is geïnstalleerd:

Azure Portal - Defender voor Cloud

Gebruik Defender voor Cloud aanbeveling om de status van uw sensor te controleren

1. Open op de pagina met aanbevelingen van Microsoft Defender voor Cloud het beveiligingsbeheer inschakelen Microsoft Defender voor Cloud.

2. Selecteer de aanbeveling met de naam Kubernetes-clusters met Azure Arc als Microsoft Defender voor Cloud extensie moet zijn geïnstalleerd.

   

3. Controleer of het cluster waarop u de sensor hebt geïmplementeerd, wordt vermeld als In orde.

Azure portal - Azure Arc

De Azure Arc-pagina's gebruiken om de status van uw sensor te controleren

1. Open Azure Arc vanuit Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina extensies. De extensies op het cluster worden vermeld. Als u wilt controleren of de Defender-sensor juist is geïnstalleerd, controleert u de kolom Status installeren .

   

4. Selecteer de extensie voor meer informatie.

   

Azure-CLI

Azure CLI gebruiken om te controleren of de sensor is geïmplementeerd

1. Voer de volgende opdracht uit in Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Zoek in het antwoord naar 'extensionType': 'microsoft.azuredefender.kubernetes' en 'installState': 'Installed'.

   Notitie

   Mogelijk wordt 'installState': 'In behandeling' weergegeven voor de eerste paar minuten.

3. Als de status Geïnstalleerd wordt weergegeven, voert u de volgende opdracht uit op uw computer, waarbij het bestand naar het kubeconfig cluster wijst om te controleren of alle pods onder de mdc-naamruimte de status Actief hebben:

   kubectl get pods -n mdc
   

REST API

De REST API gebruiken om te controleren of de sensor is geïmplementeerd

Ga als volgt te werk om een geslaagde implementatie te bevestigen of om de status van uw sensor op elk gewenst moment te valideren:

1. Voer de volgende GET-opdracht uit:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Zoek in het antwoord naar 'extensionType': 'microsoft.azuredefender.kubernetes' voor 'installState': 'Installed'.

   Tip

   Mogelijk wordt 'installState': 'In behandeling' weergegeven voor de eerste paar minuten.

3. Als de status Geïnstalleerd wordt weergegeven, voert u de volgende opdracht uit op uw computer, waarbij het bestand naar het kubeconfig cluster wijst om te controleren of alle pods onder de mdc-naamruimte de status Actief hebben:

   kubectl get pods -n mdc
   

Het plan inschakelen

Belangrijk

• Als u nog geen AWS-account hebt verbonden, verbindt u uw AWS-accounts met Microsoft Defender voor Cloud.
• Als u het plan al hebt ingeschakeld voor uw connector en u optionele configuraties wilt wijzigen of nieuwe mogelijkheden wilt inschakelen, gaat u rechtstreeks naar stap 4.

Als u uw EKS-clusters wilt beveiligen, schakelt u het Containers-plan in op de relevante accountconnector:

1. Open de omgevingsinstellingen in het menu van Defender voor Cloud.

2. Selecteer de AWS-connector.

   

3. Controleer of de wisselknop voor het Containers-plan is ingesteld op Aan.

   

4. Als u optionele configuraties voor het plan wilt wijzigen, selecteert u Instellingen.

   

   • Defender for Containers vereist auditlogboeken voor het besturingsvlak om runtime-bedreigingsbeveiliging te bieden. Als u Kubernetes-auditlogboeken naar Microsoft Defender wilt verzenden, schakelt u de instelling in op Aan. Als u de bewaarperiode voor uw auditlogboeken wilt wijzigen, voert u het vereiste tijdsbestek in.

     Notitie

     Als u deze configuratie uitschakelt, wordt de Threat detection (control plane) functie uitgeschakeld. Meer informatie over de beschikbaarheid van functies.

   • Detectie zonder agent voor Kubernetes biedt API-gebaseerde detectie van uw Kubernetes-clusters. Als u de detectie zonder agent voor de Kubernetes-functie wilt inschakelen, schakelt u de instelling in op Aan.

   • De evaluatie van beveiligingsproblemen zonder agent biedt beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in ECR en het uitvoeren van installatiekopieën op uw EKS-clusters. Als u de functie Evaluatie van beveiligingsproblemen zonder agent wilt inschakelen, schakelt u de instelling in op Aan.

5. Doorloop de resterende pagina's van de wizard Connector.

6. Als u de functie Detectie zonder agent inschakelt voor Kubernetes , moet u besturingsvlakmachtigingen verlenen voor het cluster. U kunt dit op een van de volgende manieren doen:

   • Voer dit Python-script uit om de machtigingen te verlenen. Het script voegt de Defender voor Cloud rol MDCContainersAgentlessDiscoveryK8sRole toe aan de aws-auth ConfigMap van de EKS-clusters die u wilt onboarden.

   • Verdeel elk Amazon EKS-cluster de rol MDCContainersAgentlessDiscoveryK8sRole met de mogelijkheid om met het cluster te communiceren. Meld u aan bij alle bestaande en nieuw gemaakte clusters met behulp van eksctl en voer het volgende script uit:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Zie IAM-principaltoegang tot uw cluster inschakelen voor meer informatie.

7. Kubernetes met Azure Arc, de Defender-sensor en Azure Policy voor Kubernetes moet worden geïnstalleerd en uitgevoerd op uw EKS-clusters. Er zijn speciale Defender voor Cloud aanbevelingen voor het installeren van deze extensies (en Azure Arc indien nodig):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Volg voor elk van de aanbevelingen de onderstaande stappen om de vereiste extensies te installeren.

   De vereiste extensies installeren:

   1. Zoek op Defender voor Cloud Aanbevelingen pagina naar een van de aanbevelingen op naam.

   2. Selecteer een beschadigd cluster.

      Belangrijk

      U moet de clusters één voor één selecteren.

      Selecteer de clusters niet op basis van hun hyperlinknamen: selecteer ergens anders in de relevante rij.

   3. Selecteer Herstellen.

   4. Defender voor Cloud genereert een script in de taal van uw keuze: selecteer Bash (voor Linux) of PowerShell (voor Windows).

   5. Selecteer Herstellogica downloaden.

   6. Voer het gegenereerde script uit op uw cluster.

   7. Herhaal de stappen a tot en met f voor de tweede aanbeveling.

   

Aanbevelingen en waarschuwingen voor uw EKS-clusters weergeven

Tip

U kunt containerwaarschuwingen simuleren door de instructies in dit blogbericht te volgen.

Als u de waarschuwingen en aanbevelingen voor uw EKS-clusters wilt weergeven, gebruikt u de filters op de waarschuwingen, aanbevelingen en inventarispagina's om te filteren op resourcetype AWS EKS-cluster.

De Defender-sensor implementeren

Voer de volgende stappen uit om de Defender-sensor op uw AWS-clusters te implementeren:

1. Ga naar Microsoft Defender voor Cloud ->Environment settings ->Add environment ->Amazon Web Services.

   

2. Vul de accountgegevens in.

   

3. Ga naar Plannen selecteren, open het containersplan en zorg ervoor dat de sensor van Defender voor Automatisch inrichten voor Azure Arc is ingeschakeld.

   

4. Ga naar Toegang configureren en volg de stappen daar.

   

5. Zodra de cloudformatiesjabloon is geïmplementeerd, selecteert u Maken.

Notitie

U kunt een specifiek AWS-cluster uitsluiten van automatische inrichting. Voor sensorimplementatie past u de ms_defender_container_exclude_agents tag toe op de resource met de waarde true. Voor implementatie zonder agent past u de ms_defender_container_exclude_agentless tag toe op de resource met de waarde true.

Het plan inschakelen

Belangrijk

Als u nog geen GCP-project hebt verbonden, verbindt u uw GCP-projecten met Microsoft Defender voor Cloud.

Als u uw GKE-clusters wilt beveiligen, moet u het Containers-plan inschakelen voor het relevante GCP-project.

Notitie

Controleer of u geen Azure-beleid hebt waarmee de Arc-installatie wordt voorkomen.

Google Kubernetes Engine-clusters (GKE) beveiligen:

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar Microsoft Defender voor Cloud> Omgevingsinstellingen.

3. Selecteer de relevante GCP-connector

   

4. Selecteer de knop Volgende: Knop Plannen selecteren > .

5. Zorg ervoor dat het Containers-plan is ingeschakeld.

   

6. Als u optionele configuraties voor het plan wilt wijzigen, selecteert u Instellingen.

   

   • Kubernetes-auditlogboeken voor Defender voor Cloud: standaard ingeschakeld. Deze configuratie is alleen beschikbaar op GCP-projectniveau. Het biedt een verzameling zonder agent van de auditlogboekgegevens via GCP Cloud Logging naar de Microsoft Defender voor Cloud back-end voor verdere analyse. Defender for Containers vereist auditlogboeken voor het besturingsvlak om runtime-bedreigingsbeveiliging te bieden. Als u Kubernetes-auditlogboeken naar Microsoft Defender wilt verzenden, schakelt u de instelling in op Aan.

     Notitie

     Als u deze configuratie uitschakelt, wordt de Threat detection (control plane) functie uitgeschakeld. Meer informatie over de beschikbaarheid van functies.

   • De sensor van Defender automatisch inrichten voor Azure Arc en de Azure Policy-extensie automatisch inrichten voor Azure Arc: standaard ingeschakeld. U kunt Kubernetes met Azure Arc en de bijbehorende extensies op uw GKE-clusters op drie manieren installeren:

     • Schakel automatische inrichting van Defender for Containers in op projectniveau, zoals wordt uitgelegd in de instructies in deze sectie. We raden deze methode aan.
     • Gebruik Defender voor Cloud aanbevelingen voor installatie per cluster. Ze worden weergegeven op de pagina met Microsoft Defender voor Cloud aanbevelingen. Meer informatie over het implementeren van de oplossing voor specifieke clusters.
     • Installeer Kubernetes en -extensies met Arc handmatig.

   • Detectie zonder agent voor Kubernetes biedt API-gebaseerde detectie van uw Kubernetes-clusters. Als u de detectie zonder agent voor de Kubernetes-functie wilt inschakelen, schakelt u de instelling in op Aan.

   • De evaluatie van beveiligingsproblemen zonder agent biedt beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in Google-registers (GAR en GCR) en het uitvoeren van installatiekopieën op uw GKE-clusters. Als u de functie Evaluatie van beveiligingsproblemen zonder agent wilt inschakelen, schakelt u de instelling in op Aan.

7. Selecteer de knop Kopiëren .

   

8. Selecteer de knop GCP Cloud Shell > .

9. Plak het script in de Cloud Shell-terminal en voer het uit.

De connector wordt bijgewerkt nadat het script is uitgevoerd. Dit proces kan tot 6-8 uur duren.

De oplossing implementeren in specifieke clusters

Als u een van de standaardconfiguraties voor automatische inrichting hebt uitgeschakeld op Uit, tijdens het onboardingproces van de GCP-connector of daarna. U moet Kubernetes met Azure Arc, de Defender-sensor en de Azure Policy voor Kubernetes handmatig installeren voor elk van uw GKE-clusters om de volledige beveiligingswaarde van Defender for Containers op te halen.

Er zijn 2 speciale Defender voor Cloud aanbevelingen die u kunt gebruiken om de extensies te installeren (en Arc indien nodig):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Notitie

Wanneer u Arc-extensies installeert, moet u controleren of het opgegeven GCP-project identiek is aan het project in de relevante connector.

De oplossing implementeren in specifieke clusters:

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud> Aanbevelingen.

3. Zoek op Defender voor Cloud Aanbevelingen pagina naar een van de aanbevelingen op naam.

   

4. Selecteer een beschadigd GKE-cluster.

   Belangrijk

   U moet de clusters één voor één selecteren.

   Selecteer de clusters niet op basis van hun hyperlinknamen: selecteer ergens anders in de relevante rij.

5. Selecteer de naam van de beschadigde resource.

6. Selecteer Herstellen.

   

7. Defender voor Cloud genereert een script in de taal van uw keuze:

   • Voor Linux selecteert u Bash.
   • Voor Windows selecteert u PowerShell.

8. Selecteer Herstellogica downloaden.

9. Voer het gegenereerde script uit op uw cluster.

10. Herhaal stap 3 tot en met 8 voor de tweede aanbeveling.

Waarschuwingen voor uw GKE-cluster weergeven

1. Meld u aan bij het Azure-portaal.

2. Navigeer naar Microsoft Defender voor Cloud> Beveiligingswaarschuwingen.

3. Selecteer de knop .

4. Selecteer resourcetype in het vervolgkeuzemenu Filter.

5. Selecteer GCP GKE-cluster in de vervolgkeuzelijst Waarde.

6. Selecteer OK.

De Defender-sensor implementeren

Voer de volgende stappen uit om de Defender-sensor op uw GCP-clusters te implementeren:

1. Ga naar Microsoft Defender voor Cloud ->Environment settings ->Add environment ->Google Cloud Platform.

   

2. Vul de accountgegevens in.

   

3. Ga naar Plannen selecteren, open het containersplan en zorg ervoor dat de sensor van Defender voor Automatisch inrichten voor Azure Arc is ingeschakeld.

   

4. Ga naar Toegang configureren en volg de stappen daar.

   

5. Nadat het gcloud-script is uitgevoerd, selecteert u Maken.

Notitie

U kunt een specifiek GCP-cluster uitsluiten van automatische inrichting. Voor sensorimplementatie past u het ms_defender_container_exclude_agents label toe op de resource met de waarde true. Voor implementatie zonder agent past u het ms_defender_container_exclude_agentless label toe op de resource met de waarde true.

Beveiligingswaarschuwingen van Microsoft Defender for Containers simuleren

Een volledige lijst met ondersteunde waarschuwingen is beschikbaar in de referentietabel van alle Defender voor Cloud beveiligingswaarschuwingen.

1. Als u een beveiligingswaarschuwing wilt simuleren, voert u de volgende opdracht uit vanuit het cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Het verwachte antwoord is No resource found.

   Binnen 30 minuten detecteert Defender voor Cloud deze activiteit en activeert u een beveiligingswaarschuwing.

   Notitie

   Voor het simuleren van waarschuwingen zonder agents voor Defender for Containers is Azure Arc geen vereiste.

2. Open in Azure Portal de pagina met beveiligingswaarschuwingen van Microsoft Defender voor Cloud en zoek de waarschuwing op de relevante resource:

   

De Defender-sensor verwijderen

Als u deze extensie (of een willekeurige extensie Defender voor Cloud) wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

• Automatische inrichting inschakelen , kan van invloed zijn op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie, heeft alleen invloed op de toekomstige computers. Er wordt niets verwijderd door automatisch inrichten uit te schakelen.

Notitie

Als u het Defender for Containers-abonnement volledig wilt uitschakelen, gaat u naar Omgevingsinstellingen en schakelt u het Microsoft Defender for Containers-abonnement uit.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals wordt uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender voor Cloud.

U kunt de extensie verwijderen met behulp van Azure Portal, Azure CLI of REST API, zoals wordt uitgelegd in de onderstaande tabbladen.

Azure portal - Arc

Azure Portal gebruiken om de extensie te verwijderen

1. Open Azure Arc vanuit Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina extensies. De extensies op het cluster worden vermeld.

4. Selecteer het cluster en selecteer Verwijderen.

   

Azure-CLI

Azure CLI gebruiken om de Defender-sensor te verwijderen

1. Verwijder de Microsoft Defender voor Kubernetes Arc-extensie met de volgende opdrachten:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Het verwijderen van de extensie kan enkele minuten duren. U wordt aangeraden te wachten voordat u probeert te controleren of deze is geslaagd.

2. Voer de volgende opdrachten uit om te controleren of de extensie is verwijderd:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Controleer daarna of er geen pods onder de mdc-naamruimte in het cluster staan door de volgende opdracht uit te voeren met het kubeconfig bestand dat naar uw cluster wijst:

   kubectl get pods -n mdc
   

   Het kan enkele minuten duren voordat de pods zijn verwijderd.

REST API

REST API gebruiken om de Defender-sensor te verwijderen

Als u de extensie wilt verwijderen met behulp van de REST API, voert u de volgende DELETE-opdracht uit:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Naam	In	Vereist	Type	Description
Abonnements-id	Pad	Waar	String	De abonnements-id van uw Kubernetes-cluster met Azure Arc
Resourcegroep	Pad	Waar	String	De resourcegroep van uw Kubernetes-cluster met Azure Arc
Clusternaam	Pad	Waar	String	De naam van uw Kubernetes-cluster met Azure Arc

Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een Bearer-token op te halen:

az account get-access-token --subscription <your-subscription-id>

Het kan enkele minuten duren voordat de aanvraag is voltooid.

Log Analytics-standaardwerkruimte voor AKS

De Log Analytics-werkruimte wordt door de Defender-sensor gebruikt als een gegevenspijplijn om gegevens van het cluster te verzenden naar Defender voor Cloud zonder gegevens in de Log Analytics-werkruimte zelf te bewaren. Als gevolg hiervan worden gebruikers niet gefactureerd in deze use-case.

De Defender-sensor maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en een standaardwerkruimte wanneer de Defender-sensor is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Selecteer Azure Kubernetes Service-clusters configureren om het Defender-profiel in te schakelen.

6. Selecteer Opdracht.

   

7. Volg de stappen Een nieuwe toewijzing maken met aangepaste werkruimtestappen als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de toewijzing Bijwerken met aangepaste werkruimtestappen als het beleid al is toegewezen en u dit wilt wijzigen voor het gebruik van een aangepaste werkruimte.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters de selectie van alleen parameters op die invoer- of revisieoptie nodig hebben.

3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn.

Aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters de selectie van alleen parameters op die invoer- of revisieoptie nodig hebben.

4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

5. Selecteer Beoordelen en opslaan.

6. Selecteer Opslaan.

Standaard Log Analytics-werkruimte voor Arc

De Log Analytics-werkruimte wordt door de Defender-sensor gebruikt als een gegevenspijplijn om gegevens van het cluster te verzenden naar Defender voor Cloud zonder gegevens in de Log Analytics-werkruimte zelf te bewaren. Als gevolg hiervan worden gebruikers niet gefactureerd in deze use-case.

De Defender-sensor maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en een standaardwerkruimte wanneer de Defender-sensor is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Selecteer Kubernetes-clusters met Azure Arc configureren om Microsoft Defender voor Cloud extensie te installeren.

6. Selecteer Opdrachten.

   

7. Volg de stappen Een nieuwe toewijzing maken met aangepaste werkruimtestappen als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de toewijzing Bijwerken met aangepaste werkruimtestappen als het beleid al is toegewezen en u dit wilt wijzigen voor het gebruik van een aangepaste werkruimte.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters de selectie van alleen parameters op die invoer- of revisieoptie nodig hebben.

3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn. Als u een getal 1 of hoger hebt, bevindt de toewijzing zich mogelijk nog steeds niet in het relevante bereik. Als dit het geval is, volgt u de stappen Een nieuwe toewijzing maken met aangepaste werkruimtestappen .

Aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters de selectie van alleen parameters op die invoer- of revisieoptie nodig hebben.

4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

5. Selecteer Beoordelen en opslaan.

6. Selecteer Opslaan.

De Defender-sensor verwijderen

Als u deze extensie (of een willekeurige extensie Defender voor Cloud) wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

• Automatische inrichting inschakelen , kan van invloed zijn op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie, heeft alleen invloed op de toekomstige computers. Er wordt niets verwijderd door automatisch inrichten uit te schakelen.

Notitie

Als u het Defender for Containers-abonnement volledig wilt uitschakelen, gaat u naar Omgevingsinstellingen en schakelt u het Microsoft Defender for Containers-abonnement uit.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals wordt uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender voor Cloud.

U kunt de extensie verwijderen met behulp van de REST API of een Resource Manager-sjabloon, zoals wordt uitgelegd in de onderstaande tabbladen.

REST API

REST API gebruiken om de Defender-sensor uit AKS te verwijderen

Als u de extensie wilt verwijderen met behulp van de REST API, voert u de volgende PUT-opdracht uit:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Name	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Ja
ResourceGroup	Resourcegroep van cluster	Ja
Clusternaam	Clusternaam	Ja
ApiVersion	API-versie moet = 2022-06-01 zijn >	Ja

Aanvraagtekst:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parameters voor aanvraagbody:

Name	Beschrijving	Verplicht
locatie	Locatie van cluster	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of u Microsoft Defender for Containers wilt in- of uitschakelen op het cluster	Ja

Azure-CLI

Azure CLI gebruiken om de Defender-sensor te verwijderen

1. Verwijder Microsoft Defender voor met de volgende opdrachten:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Het verwijderen van de extensie kan enkele minuten duren.

2. Voer de volgende opdracht uit om te controleren of de extensie is verwijderd:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Wanneer de extensie wordt verwijderd, ziet u dat er geen pods worden geretourneerd in de get pods opdracht. Het kan enkele minuten duren voordat de pods zijn verwijderd.

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor uit AKS te verwijderen

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te verwijderen, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

De relevante sjabloon en parameters voor het verwijderen van de Defender-sensor uit AKS zijn:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Meer informatie

U kunt de volgende blogs bekijken:

• Uw Google Cloud-workloads beveiligen met Microsoft Defender voor Cloud
• Inleiding tot Microsoft Defender voor containers
• Een nieuwe naam voor beveiliging met meerdere clouds: Microsoft Defender voor Cloud

Volgende stappen

Nu u Defender for Containers hebt ingeschakeld, kunt u het volgende doen:

• Uw ACR-installatiekopieën scannen op beveiligingsproblemen
• Uw AWS-installatiekopieën scannen op beveiligingsproblemen met Microsoft Defender Vulnerability Management
• Uw GGP-installatiekopieën scannen op beveiligingsproblemen met Microsoft Defender Vulnerability Management
• Bekijk veelgestelde vragen over Defender for Containers.