Onderdelen van Microsoft Defender for Containers configureren

Microsoft Defender for Containers is de cloudeigen oplossing voor het beveiligen van uw containers. Hiermee kunt u uw clusters beveiligen, ongeacht of ze worden uitgevoerd in:

• Azure Kubernetes Service (AKS):de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.

• Amazon Elastic Kubernetes Service (EKS) in een verbonden AWS-account (Amazon Web Services): de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.

• Google Kubernetes Engine (GKE) in een verbonden GCP-project (Google Cloud Platform): de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.

• Andere Kubernetes-distributies (met behulp van Kubernetes met Azure Arc): CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) die on-premises of on-premises of on-infrastructure as a service (IaaS) worden gehost. Zie Containers-ondersteuningsmatrix in Defender voor Cloud voor meer informatie.

U kunt eerst leren hoe u uw containers verbindt en beveiligt in deze artikelen:

• Uw Azure-containers beveiligen met Defender for Containers
• Uw on-premises Kubernetes-clusters beveiligen met Defender for Containers
• Uw Amazon Web Services-containers (AWS) beveiligen met Defender for Containers
• Uw Google Cloud Platform-containers (GCP) beveiligen met Defender for Containers

U kunt ook meer informatie vinden door deze video's te bekijken vanuit de Defender voor Cloud in de videoreeks voor velden:

• Microsoft Defender for Containers in een omgeving met meerdere clouds
• Containers beveiligen in GCP met Defender for Containers

Notitie

Defender for Containers-ondersteuning voor Kubernetes-clusters met Azure Arc is een preview-functie. De preview-functie is beschikbaar op selfservice, opt-in basis.

Previews worden geleverd zoals is en als beschikbaar. Ze zijn uitgesloten van de serviceovereenkomsten en de beperkte garantie.

Zie de ondersteuningsmatrix voor containers in Defender voor Cloud voor meer informatie over de ondersteunde besturingssystemen, beschikbaarheid van functies, uitgaande proxy en meer.

Vereisten voor netwerkfirewall

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden.

De Defender-sensor moet verbinding maken met de geconfigureerde Azure Monitor Log Analytics-werkruimte. AKS-clusters hebben standaard onbeperkte toegang tot uitgaand (uitgaand) internet. Als uitgaand verkeer van gebeurtenissen van het cluster het gebruik van een Azure Monitor Private Link Scope (AMPLS) vereist, moet u het volgende doen:

• Definieer het cluster met Container Insights en een Log Analytics-werkruimte.
• Configureer de AMPLS met querytoegangsmodus en opnametoegangsmodus ingesteld op Openen.
• Definieer de Log Analytics-werkruimte van het cluster als een resource in de AMPLS.
• Maak in de AMPLS een privé-eindpunt voor een virtueel netwerk tussen het virtuele netwerk van het cluster en de Log Analytics-resource. Het privé-eindpunt van het virtuele netwerk kan worden geïntegreerd met een privé-DNS-zone.

Raadpleeg een Azure Monitor Private Link-bereik maken voor instructies.

Vereisten voor netwerkfirewall

Controleer of de volgende eindpunten voor openbare cloudimplementaties zijn geconfigureerd voor uitgaande toegang. Als u deze configureert voor uitgaande toegang, zorgt u ervoor dat de Defender-sensor verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden.

Azure-domein	Azure Government-domein	Azure beheerd door 21Vianet-domein	Poort
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.

Het plan inschakelen

1. Selecteer in Defender voor Cloud Instellingen en selecteer vervolgens het relevante abonnement.

2. Selecteer Op de pagina Defender-abonnementen de optie Containers-instellingen>.

   

   Tip

   Als voor het abonnement Defender voor Kubernetes of Defender voor containerregisters al is ingeschakeld, wordt er een updatemelding weergegeven. Anders is de enige optie Containers.

   

3. Schakel het relevante onderdeel in.

   

   Notitie

   • Defender for Containers-klanten die zich vóór augustus 2023 hebben aangemeld en geen detectie zonder agent voor Kubernetes hebben ingeschakeld als onderdeel van Defender-cloudbeveiligingspostuurbeheer (CSPM) wanneer ze het plan hebben ingeschakeld, moeten de detectie zonder agent handmatig inschakelen voor de Kubernetes-extensie binnen het Defender for Containers-plan.
   • Wanneer u Defender for Containers uitschakelt, worden de onderdelen ingesteld op Uit. Ze worden niet geïmplementeerd in meer containers, maar ze worden niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Methode voor inschakelen per mogelijkheid

Wanneer u het plan inschakelt via Azure Portal, wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch alle mogelijkheden in te schakelen en alle vereiste onderdelen te installeren om de beveiliging te bieden die het plan biedt. Deze configuratie omvat de toewijzing van een standaardwerkruimte.

Als u niet alle mogelijkheden van de plannen wilt inschakelen, kunt u handmatig selecteren welke specifieke mogelijkheden u wilt inschakelen door Configuratie bewerken voor het containers-plan te selecteren. Selecteer vervolgens op de pagina Instellingen en bewaking de mogelijkheden die u wilt inschakelen. U kunt deze configuratie ook wijzigen vanaf de pagina Defender-abonnementen na de eerste configuratie van het plan.

Zie de ondersteuningsmatrix voor gedetailleerde informatie over de activeringsmethode voor elke mogelijkheid.

Rollen en machtigingen

Meer informatie over de rollen voor het inrichten van Defender for Containers-extensies.

Een aangepaste werkruimte toewijzen voor de Defender-sensor

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Handmatige implementatie van de Defender-sensor of Azure Policy-agent zonder automatische inrichting met behulp van aanbevelingen

Mogelijkheden waarvoor sensorinstallatie is vereist, kunnen ook worden geïmplementeerd op een of meer Kubernetes-clusters. Gebruik de juiste aanbeveling:

Sensor	Aanbeveling
Defender-sensor voor Kubernetes	Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld
Defender-sensor voor Kubernetes met Azure Arc	Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd
Azure Policy-agent voor Kubernetes	Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd
Azure Policy-agent voor Kubernetes met Azure Arc	Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

De Defender-sensor implementeren op specifieke clusters:

1. Open op de pagina Microsoft Defender voor Cloud Aanbevelingen het verbeterde beveiligingsbeheer inschakelen of zoek naar een van de voorgaande aanbevelingen. (U kunt ook de voorgaande koppelingen gebruiken om de aanbeveling rechtstreeks te openen.)

2. Bekijk alle clusters zonder sensor door het tabblad Beschadigd te openen.

3. Selecteer de clusters waar u de sensor wilt implementeren en selecteer Vervolgens Herstellen.

4. Selecteer X-resources herstellen.

De Defender-sensor implementeren: alle opties

U kunt het Defender for Containers-plan inschakelen en alle relevante onderdelen implementeren met behulp van Azure Portal, de REST API of een Azure Resource Manager-sjabloon. Selecteer het relevante tabblad voor gedetailleerde stappen.

Nadat de Defender-sensor is geïmplementeerd, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen in plaats van de standaardwerkruimte via Azure Policy.

Notitie

De Defender-sensor wordt op elk knooppunt geïmplementeerd om de runtimebeveiligingen te bieden en signalen van deze knooppunten te verzamelen met behulp van eBPF-technologie.

Azure-portal

Gebruik de knop Fix uit de aanbeveling Defender voor Cloud

U kunt Azure Portal-pagina's gebruiken om het Defender voor Cloud plan in te schakelen en automatische inrichting van alle benodigde onderdelen in te stellen voor het beschermen van uw Kubernetes-clusters op schaal. Het proces wordt gestroomlijnd.

Een aanbeveling voor toegewezen Defender voor Cloud biedt:

• Inzicht in de clusters waarop de Defender-sensor is geïmplementeerd.
• Een fix-knop om de sensor te implementeren in clusters die deze niet hebben.

De sensor implementeren:

1. Open op de pagina Microsoft Defender voor Cloud Aanbevelingen het verbeterde beveiligingsbeheer inschakelen.

2. Gebruik het filter om te zoeken naar de aanbeveling met de naam Azure Kubernetes Service-clusters waarvoor Defender-profiel moet zijn ingeschakeld.

   Tip

   Let op het pictogram Fix in de kolom Acties .

3. Selecteer de clusters om de details te bekijken van de resources die in orde en beschadigd zijn (clusters met en zonder de sensor).

4. Selecteer een cluster in de lijst met beschadigde resources. Selecteer Vervolgens Herstellen om het deelvenster te openen met de herstelbevestiging.

5. Selecteer X-resources herstellen.

REST API

De REST API gebruiken om de Defender-sensor te implementeren

Als u wilt installeren securityProfile op een bestaand cluster met behulp van de REST API, voert u de volgende PUT opdracht uit:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Dit is de aanvraag-URI:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

De aanvraagquery heeft deze parameters:

Name	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Ja
ResourceGroup	Resourcegroep van cluster	Ja
ClusterName	Clusternaam	Ja
ApiVersion	API-versie; moet 2022-06-01 of hoger zijn	Ja

Dit is de aanvraagbody:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

De hoofdtekst van de aanvraag heeft deze parameters:

Name	Beschrijving	Verplicht
location	Locatie van cluster	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of u Microsoft Defender for Containers wilt in- of uitschakelen op het cluster	Ja
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Azure-resource-id voor de Log Analytics-werkruimte	Ja

Azure-CLI

De Azure CLI gebruiken om de Defender-sensor te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt als <your-subscription-id> de id die is gekoppeld aan uw AKS-cluster.

2. Schakel de Defender-sensor in voor uw containers:

   • Voer de volgende opdracht uit om een nieuw cluster te maken waarvoor de Defender-sensor is ingeschakeld:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Voer de volgende opdracht uit om de Defender-sensor in te schakelen op een bestaand cluster:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Dit zijn de ondersteunde configuratie-instellingen voor het defender-sensortype:

   Eigenschappen

   Beschrijving

   logAnalyticsWorkspaceResourceId

   Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Als u geen werkruimte opgeeft, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Meer informatie in Log Analytics-werkruimten.

   U kunt deze instellingen opnemen in een JSON-bestand en het JSON-bestand opgeven in de az aks create en az aks update opdrachten met deze parameter: --defender-config <path-to-JSON-file> De indeling van het JSON-bestand moet zijn:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Meer informatie over AKS CLI-opdrachten in az aks.

3. Als u wilt controleren of de sensor is toegevoegd, voert u de volgende opdracht uit op uw computer, waarbij het kubeconfig bestand naar uw cluster wijst:

   kubectl get pods -n kube-system
   

   Wanneer de sensor is toegevoegd, ziet u een pod microsoft-defender-XXXXX die de Running status heeft. Het kan enkele minuten duren voordat pods zijn toegevoegd.

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor te implementeren

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

Ga als volgende te werk om te installeren securityProfile op een bestaand cluster met behulp van Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Het plan inschakelen

1. Selecteer in Defender voor Cloud Instellingen en selecteer vervolgens het relevante abonnement.

2. Selecteer Op de pagina Defender-abonnementen de optie Containers-instellingen>.

   

   Tip

   Als voor het abonnement Defender voor Kubernetes of Defender voor containerregisters al is ingeschakeld, wordt er een updatemelding weergegeven. Anders is de enige optie Containers.

   

3. Schakel het relevante onderdeel in.

   

   Notitie

   Wanneer u Defender for Containers uitschakelt, worden de onderdelen ingesteld op Uit. Ze worden niet geïmplementeerd in meer containers, maar ze worden niet verwijderd uit containers waarop ze al zijn geïnstalleerd.

Wanneer u het plan inschakelt via Azure Portal, wordt Microsoft Defender for Containers standaard geconfigureerd om automatisch vereiste onderdelen te installeren om de beveiligingen te bieden die het plan biedt. Deze configuratie omvat de toewijzing van een standaardwerkruimte.

Als u de automatische installatie van onderdelen tijdens het onboardingproces wilt uitschakelen, selecteert u Configuratie bewerken voor het Containers-plan . De geavanceerde opties worden weergegeven en u kunt automatische installatie voor elk onderdeel uitschakelen.

U kunt deze configuratie ook wijzigen op de pagina Defender-abonnementen .

Notitie

Als u ervoor kiest om het plan op elk gewenst moment uit te schakelen nadat u het hebt ingeschakeld via de portal, moet u de onderdelen van Defender for Containers die zijn geïmplementeerd op uw clusters handmatig verwijderen.

U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Als u de automatische installatie van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren op een of meer clusters met behulp van de juiste aanbeveling:

• Azure Policy-invoegtoepassing voor Kubernetes: Azure Kubernetes Service-clusters moeten de Azure Policy-invoegtoepassing voor Kubernetes hebben geïnstalleerd
• Azure Kubernetes Service-profiel: Azure Kubernetes Service-clusters moeten Defender-profiel hebben ingeschakeld
• Defender-extensie voor Kubernetes met Azure Arc: Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd
• Azure Policy-extensie voor Kubernetes met Azure Arc: Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd

Meer informatie over de rollen voor het inrichten van Defender for Containers-extensies.

Vereisten

Voordat u de sensor implementeert, moet u het volgende doen:

• Verbind het Kubernetes-cluster met Azure Arc.
• Voltooi de vereisten die worden vermeld in de documentatie voor algemene clusterextensies.

De Defender-sensor implementeren

U kunt de Defender-sensor implementeren met behulp van een reeks methoden. Selecteer het relevante tabblad voor gedetailleerde stappen.

Azure-portal

Gebruik de knop Fix uit de aanbeveling Defender voor Cloud

Een aanbeveling voor toegewezen Defender voor Cloud biedt:

• Inzicht in de clusters waarop de Defender-sensor is geïmplementeerd.
• Een fix-knop om de sensor te implementeren in clusters die deze niet hebben.

De sensor implementeren:

1. Open op de pagina Microsoft Defender voor Cloud Aanbevelingen het verbeterde beveiligingsbeheer inschakelen.

2. Gebruik het filter om de aanbeveling met de naam Kubernetes-clusters met Azure Arc te vinden, moet de extensie van Microsoft Defender zijn ingeschakeld.

   

   Tip

   Let op het pictogram Fix in de kolom Acties .

3. Selecteer de sensor om de details te zien van de resources die in orde en beschadigd zijn (clusters met en zonder de sensor).

4. Selecteer een cluster in de lijst met beschadigde resources. Selecteer Vervolgens Herstellen om het deelvenster te openen met de herstelopties.

5. Selecteer de relevante Log Analytics-werkruimte en selecteer vervolgens X-resource herstellen.

   

Azure-CLI

De Azure CLI gebruiken om de Defender-sensor te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt als <your-subscription-id> de id die u hebt gebruikt bij het verbinden van uw cluster met Azure Arc.

2. Voer de volgende opdracht uit om de sensor boven op uw Kubernetes-cluster met Azure Arc te implementeren:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Dit zijn de ondersteunde configuratie-instellingen voor het defender-sensortype:

   Eigenschappen	Beschrijving
   logAnalyticsWorkspaceResourceID	Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Als u geen werkruimte opgeeft, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Meer informatie in Log Analytics-werkruimten.
   auditLogPath	Optioneel. Volledig pad naar de auditlogboekbestanden. Als u geen pad opgeeft, wordt het standaardpad /var/log/kube-apiserver/audit.log gebruikt. Voor de AKS-engine is /var/log/kubeaudit/audit.loghet standaardpad.

   De volgende opdracht toont een voorbeeld van het gebruik van alle optionele velden:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor te implementeren

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

U kunt de azure-defender-extension-arm-template.json Resource Manager-sjabloon gebruiken uit de Defender voor Cloud installatievoorbeelden.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

REST API

De REST API gebruiken om de Defender-sensor te implementeren

Als u de REST API wilt gebruiken om de Defender-sensor te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Voer de volgende PUT opdracht uit om de sensor handmatig te implementeren met behulp van de REST API:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

De opdracht bevat de volgende parameters:

Naam	In	Vereist	Type	Description
Subscription ID	Pad	Waar	String	De abonnements-id van uw Kubernetes-resource met Azure Arc
Resource Group	Pad	Waar	String	Naam van de resourcegroep die uw Kubernetes-resource met Azure Arc bevat
Cluster Name	Pad	Waar	String	Naam van uw Kubernetes-resource met Azure Arc

Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een Bearer-token op te halen:

az account get-access-token --subscription <your-subscription-id>

Gebruik de volgende structuur voor de hoofdtekst van uw bericht:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

De hoofdtekst van het bericht bevat de volgende eigenschappen:

Eigenschappen	Beschrijving
logAnalytics.workspaceId	Werkruimte-id van de Log Analytics-resource.
logAnalytics.key	Sleutel van de Log Analytics-resource.
auditLogPath	Optioneel. Volledig pad naar de auditlogboekbestanden. De standaardwaarde is /var/log/kube-apiserver/audit.log.

De implementatie controleren

Als u wilt controleren of de Defender-sensor op het cluster is geïnstalleerd, volgt u de stappen op een van de volgende tabbladen.

Azure Portal - Defender voor Cloud

Gebruik Defender voor Cloud aanbevelingen om de status van uw sensor te controleren

1. Open op de pagina Microsoft Defender voor Cloud Aanbevelingen het beveiligingsbeheer inschakelen Microsoft Defender voor Cloud.

2. Selecteer de aanbeveling met de naam Kubernetes-clusters met Azure Arc als de extensie van Microsoft Defender moet zijn ingeschakeld.

   

3. Controleer of het cluster waarop u de sensor hebt geïmplementeerd, wordt vermeld als In orde.

Azure portal - Azure Arc

De Azure Arc-pagina's gebruiken om de status van uw sensor te controleren

1. Open Azure Arc in Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina Extensies . Op de pagina worden de extensies op het cluster weergegeven. Als u wilt controleren of de Defender-sensor juist is geïnstalleerd, controleert u de kolom Status installeren .

   

4. Selecteer de extensie voor meer informatie.

   

Azure-CLI

De Azure CLI gebruiken om te controleren of de sensor is geïmplementeerd

1. Voer de volgende opdracht uit in de Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Zoek in het antwoord naar "extensionType": "microsoft.azuredefender.kubernetes" en "installState": "Installed".

   Notitie

   Het antwoord kan de eerste paar minuten worden weergegeven "installState": "Pending" .

3. Als de status wordt weergegeven Installed, voert u de volgende opdracht uit op uw computer, waarbij het bestand naar het kubeconfig cluster wijst. Controleer vervolgens of alle pods onder de mdc naamruimte de Running status hebben.

   kubectl get pods -n mdc
   

REST API

De REST API gebruiken om te controleren of de sensor is geïmplementeerd

Ga als volgt te werk om een geslaagde implementatie te bevestigen of om de status van uw sensor op elk gewenst moment te valideren:

1. Voer de volgende GET-opdracht uit:

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Zoek in "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed"het antwoord naar .

   Tip

   Het antwoord kan de eerste paar minuten worden weergegeven "installState": "Pending" .

3. Als de status wordt weergegeven Installed, voert u de volgende opdracht uit op uw computer, waarbij het bestand naar het kubeconfig cluster wijst. Controleer vervolgens of alle pods onder de mdc naamruimte de Running status hebben.

   kubectl get pods -n mdc
   

Het plan inschakelen

Belangrijk

• Als u nog geen AWS-account hebt verbonden, verbindt u uw AWS-account met Microsoft Defender voor Cloud voordat u met de volgende stappen begint.
• Als u het plan al hebt ingeschakeld voor uw connector en u optionele configuraties wilt wijzigen of nieuwe mogelijkheden wilt inschakelen, gaat u rechtstreeks naar stap 4.

Als u uw EKS-clusters wilt beveiligen, schakelt u het Defender for Containers-plan in op de relevante accountconnector:

1. Open de omgevingsinstellingen in Defender voor Cloud.

2. Selecteer de AWS-connector.

   

3. Controleer of de wisselknop voor het Containers-plan is ingesteld op Aan.

   

4. Als u optionele configuraties voor het plan wilt wijzigen, selecteert u Instellingen.

   

   • Defender for Containers vereist auditlogboeken voor het besturingsvlak om runtime-bedreigingsbeveiliging te bieden. Als u Kubernetes-auditlogboeken naar Microsoft Defender wilt verzenden, stelt u de wisselknop voor die functie in op Aan. Als u de bewaarperiode voor uw auditlogboeken wilt wijzigen, voert u het vereiste tijdsbestek in.

     Notitie

     Als u deze configuratie uitschakelt, wordt de functie Bedreigingsdetectie (besturingsvlak) ook uitgeschakeld. Meer informatie over beschikbaarheid van functies.

   • De functie Detectie zonder agent voor Kubernetes biedt api-gebaseerde detectie van uw Kubernetes-clusters. Als u de functie wilt inschakelen, stelt u de wisselknop in op Aan.

   • De functie Evaluatie van beveiligingsproblemen zonder agent biedt beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in ECR en voor het uitvoeren van installatiekopieën op uw EKS-clusters. Als u de functie wilt inschakelen, stelt u de wisselknop in op Aan.

5. Doorloop de resterende pagina's van de wizard Connector.

6. Als u de functie Detectie zonder agent inschakelt voor Kubernetes , moet u besturingsvlakmachtigingen verlenen voor het cluster. U kunt op een van de volgende manieren machtigingen verlenen:

   • Voer dit Python-script uit. Met het script wordt de Defender voor Cloud-rol MDCContainersAgentlessDiscoveryK8sRole toegevoegd aan aws-auth ConfigMap de EKS-clusters die u wilt onboarden.

   • Verdeel elk Amazon EKS-cluster de MDCContainersAgentlessDiscoveryK8sRole rol met de mogelijkheid om met het cluster te communiceren. Meld u aan bij alle bestaande en nieuw gemaakte clusters met behulp van eksctl en voer het volgende script uit:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Zie IAM-gebruikers toegang verlenen tot Kubernetes met EKS-toegangsvermeldingen in de Gebruikershandleiding voor Amazon EKS voor meer informatie.

7. Kubernetes met Azure Arc, de Defender-sensor en Azure Policy voor Kubernetes moet worden geïnstalleerd en uitgevoerd op uw EKS-clusters. Er is een speciale Defender voor Cloud aanbeveling om deze extensies te installeren (en Azure Arc, indien nodig): voor EKS-clusters moet de extensie van Microsoft Defender voor Azure Arc zijn geïnstalleerd.

   Gebruik de volgende stappen om de vereiste extensies te installeren:

   1. Zoek en selecteer de EKS-clusters op de pagina Defender voor Cloud Aanbevelingen de extensie van Microsoft Defender voor azure Arc hebben geïnstalleerd.

   2. Selecteer een beschadigd cluster.

      Belangrijk

      U moet clusters één voor één selecteren.

      Selecteer de clusters niet op basis van hun hyperlinknamen. Selecteer ergens anders in de relevante rij.

   3. Selecteer Herstellen.

   4. Defender voor Cloud een script genereert in de taal van uw keuze: selecteer Bash (voor Linux) of PowerShell (voor Windows).

   5. Selecteer Herstellogica downloaden.

   6. Voer het gegenereerde script uit op uw cluster.

   

Aanbevelingen en waarschuwingen voor uw EKS-clusters weergeven

Tip

U kunt containerwaarschuwingen simuleren door de instructies in dit blogbericht te volgen.

Als u de waarschuwingen en aanbevelingen voor uw EKS-clusters wilt weergeven, gebruikt u de filters op de waarschuwingen, aanbevelingen en inventarispagina's om te filteren op resourcetype AWS EKS-cluster.

De Defender-sensor implementeren

De Defender-sensor implementeren op uw AWS-clusters:

1. Ga naar Microsoft Defender voor Cloud> Omgevingsinstellingen>Omgeving toevoegen>Amazon Web Services.

   

2. Vul de accountgegevens in.

   

3. Ga naar Plannen selecteren, open het containersplan en zorg ervoor dat de sensor van Defender voor Automatisch inrichten voor Azure Arc is ingesteld op Aan.

   

4. Ga naar Toegang configureren en volg de stappen daar.

   

5. Nadat de cloudformatiesjabloon is geïmplementeerd, selecteert u Maken.

Notitie

U kunt een specifiek AWS-cluster uitsluiten van automatische inrichting. Voor sensorimplementatie past u de ms_defender_container_exclude_agents tag toe op de resource met de waarde true. Voor implementatie zonder agent past u de ms_defender_container_exclude_agentless tag toe op de resource met de waarde true.

Het plan inschakelen

Belangrijk

Als u geen GCP-project hebt verbonden, verbindt u uw GCP-project met Microsoft Defender voor Cloud.

Als u uw GKE-clusters wilt beveiligen, gebruikt u de volgende stappen om het Defender for Containers-plan in te schakelen voor het relevante GCP-project.

Notitie

Controleer of u geen Azure-beleid hebt waarmee de Installatie van Azure Arc wordt voorkomen.

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud> Omgevingsinstellingen.

3. Selecteer de relevante GCP-connector.

   

4. Selecteer de knop Volgende: Knop Plannen selecteren > .

5. Zorg ervoor dat de wisselknop voor het Containers-plan is ingeschakeld.

   

6. Als u optionele configuraties voor het plan wilt wijzigen, selecteert u Instellingen.

   

   • Kubernetes-auditlogboeken voor Defender voor Cloud: standaard ingeschakeld. Deze configuratie is alleen beschikbaar op GCP-projectniveau. Het biedt een verzameling zonder agent van de auditlogboekgegevens via GCP Cloud Logging naar de Microsoft Defender voor Cloud back-end voor verdere analyse. Defender for Containers vereist auditlogboeken voor het besturingsvlak om runtime-bedreigingsbeveiliging te bieden. Als u Kubernetes-auditlogboeken naar Microsoft Defender wilt verzenden, stelt u de wisselknop in op Aan.

     Notitie

     Als u deze configuratie uitschakelt, wordt de functie Bedreigingsdetectie (besturingsvlak) ook uitgeschakeld. Meer informatie over beschikbaarheid van functies.

   • De sensor van Defender automatisch inrichten voor Azure Arc en de Azure Policy-extensie automatisch inrichten voor Azure Arc: standaard ingeschakeld. U kunt Kubernetes met Azure Arc en de bijbehorende extensies op uw GKE-clusters op drie manieren installeren:

     • Schakel automatische inrichting van Defender for Containers in op projectniveau, zoals wordt uitgelegd in de instructies in deze sectie. We raden deze methode aan.
     • Gebruik Defender voor Cloud aanbevelingen voor installatie per cluster. Ze worden weergegeven op de pagina Microsoft Defender voor Cloud Aanbevelingen. Meer informatie over het implementeren van de oplossing voor specifieke clusters.
     • Installeer Kubernetes en extensies met Azure Arc handmatig.

   • De functie Detectie zonder agent voor Kubernetes biedt api-gebaseerde detectie van uw Kubernetes-clusters. Als u de functie wilt inschakelen, stelt u de wisselknop in op Aan.

   • De functie Evaluatie van beveiligingsproblemen zonder agent biedt beheer van beveiligingsproblemen voor installatiekopieën die zijn opgeslagen in Google-registers (Google Artifact Registry en Google Container Registry) en het uitvoeren van installatiekopieën op uw GKE-clusters. Als u de functie wilt inschakelen, stelt u de wisselknop in op Aan.

7. Selecteer de knop Kopiëren .

   

8. Selecteer de knop GCP Cloud Shell > .

9. Plak het script in de Cloud Shell-terminal en voer het uit.

De connector wordt bijgewerkt nadat het script is uitgevoerd. Het kan tot 8 uur duren voordat dit proces is voltooid.

De oplossing implementeren in specifieke clusters

Als u een van de standaardconfiguraties voor automatische inrichting instelt op Uit tijdens het onboardingproces van de GCP-connector of later, moet u Kubernetes, de Defender-sensor en Azure Policy voor Kubernetes handmatig installeren in elk van uw GKE-clusters. Door ze te installeren, zorgt u ervoor dat u de volledige beveiligingswaarde van Defender for Containers krijgt.

U kunt twee specifieke Defender voor Cloud aanbevelingen gebruiken om de extensies te installeren (en Azure Arc, indien nodig):

• Voor GKE-clusters moet de extensie van Microsoft Defender zijn geïnstalleerd voor Azure Arc
• GKE-clusters moeten de Azure Policy-extensie hebben geïnstalleerd

Notitie

Wanneer u Arc-extensies installeert, moet u controleren of het opgegeven GCP-project identiek is aan het project in de relevante connector.

De oplossing implementeren in specifieke clusters:

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud> Aanbevelingen.

3. Zoek op de pagina Defender voor Cloud Aanbevelingen naar een van de aanbevelingen op naam.

   

4. Selecteer een beschadigd GKE-cluster.

   Belangrijk

   U moet clusters één voor één selecteren.

   Selecteer de clusters niet op basis van hun hyperlinknamen. Selecteer ergens anders in de relevante rij.

5. Selecteer de naam van de beschadigde resource.

6. Selecteer Herstellen.

   

7. Defender voor Cloud genereert een script in de taal van uw keuze:

   • Voor Linux selecteert u Bash.
   • Voor Windows selecteert u PowerShell.

8. Selecteer Herstellogica downloaden.

9. Voer het gegenereerde script uit op uw cluster.

10. Herhaal stap 3 tot en met 8 voor de andere aanbeveling.

Waarschuwingen voor uw GKE-cluster weergeven

1. Meld u aan bij het Azure-portaal.

2. Ga naar Microsoft Defender voor Cloud> Beveiligingswaarschuwingen.

3. Selecteer de knop .

4. Selecteer resourcetype in het vervolgkeuzemenu Filter.

5. Selecteer GCP GKE-cluster in het vervolgkeuzemenu Waarde.

6. Selecteer OK.

De Defender-sensor implementeren

De Defender-sensor implementeren op uw GCP-clusters:

1. Ga naar Microsoft Defender voor Cloud> Omgevingsinstellingen>Google Cloud Platform toevoegen.>

   

2. Vul de accountgegevens in.

   

3. Ga naar Plannen selecteren, open het containersplan en zorg ervoor dat de sensor van Defender voor Automatisch inrichten voor Azure Arc is ingesteld op Aan.

   

4. Ga naar Toegang configureren en volg de stappen daar.

   

5. Nadat het gcloud script is uitgevoerd, selecteert u Maken.

Notitie

U kunt een specifiek GCP-cluster uitsluiten van automatische inrichting. Voor sensorimplementatie past u het ms_defender_container_exclude_agents label toe op de resource met de waarde true. Voor implementatie zonder agent past u het ms_defender_container_exclude_agentless label toe op de resource met de waarde true.

Beveiligingswaarschuwingen van Microsoft Defender for Containers simuleren

Een volledige lijst met ondersteunde waarschuwingen is beschikbaar in de referentietabel van alle Defender voor Cloud beveiligingswaarschuwingen.

Een beveiligingswaarschuwing simuleren:

1. Voer de volgende opdracht uit vanuit het cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Het verwachte antwoord is No resource found.

   Binnen 30 minuten detecteert Defender voor Cloud deze activiteit en activeert een beveiligingswaarschuwing.

   Notitie

   Azure Arc is geen vereiste voor het simuleren van waarschuwingen zonder agent voor Defender for Containers.

2. Ga in Azure Portal naar Microsoft Defender voor Cloud> Beveiligingswaarschuwingen en zoek naar de waarschuwing voor de relevante resource.

   

De Defender-sensor verwijderen

Als u deze (of een) Defender voor Cloud extensie wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

• Het inschakelen van automatische inrichting is mogelijk van invloed op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie is alleen van invloed op de toekomstige machines. Er wordt niets verwijderd wanneer u automatische inrichting uitschakelt.

Notitie

Als u het Defender for Containers-abonnement volledig wilt uitschakelen, gaat u naar Omgevingsinstellingen en schakelt u Microsoft Defender for Containers uit.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit.

U kunt de extensie verwijderen van machines die momenteel worden uitgevoerd met behulp van Azure Portal, de Azure CLI of de REST API, zoals wordt uitgelegd op de volgende tabbladen.

Azure portal - Arc

Azure Portal gebruiken om de extensie te verwijderen

1. Open Azure Arc in Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina Extensies , waarin extensies in het cluster worden vermeld.

4. Selecteer de extensie en selecteer Vervolgens Verwijderen.

   

Azure-CLI

De Azure CLI gebruiken om de Defender-sensor te verwijderen

1. Verwijder de Azure Arc-extensie voor Microsoft Defender voor Kubernetes met behulp van de volgende opdrachten:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Het verwijderen van de extensie kan enkele minuten duren. U wordt aangeraden te wachten voordat u probeert te controleren of deze is geslaagd.

2. Voer de volgende opdrachten uit om te controleren of u de extensie hebt verwijderd:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Controleer of er geen pods onder de mdc naamruimte in het cluster staan. Voer de volgende opdracht uit met het kubeconfig bestand dat naar uw cluster wijst:

   kubectl get pods -n mdc
   

   Het verwijderen van de pods kan enkele minuten duren.

REST API

De REST API gebruiken om de Defender-sensor te verwijderen

Als u de extensie wilt verwijderen met behulp van de REST API, voert u de volgende DELETE opdracht uit:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

De opdracht bevat de volgende parameters:

Naam	In	Vereist	Type	Description
Subscription ID	Pad	Waar	String	De abonnements-id van uw Kubernetes-cluster met Azure Arc
Resource Group	Pad	Waar	String	De resourcegroep van uw Kubernetes-cluster met Azure Arc
Cluster Name	Pad	Waar	String	De naam van uw Kubernetes-cluster met Azure Arc

Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een Bearer-token op te halen:

az account get-access-token --subscription <your-subscription-id>

Het kan enkele minuten duren voordat de aanvraag is voltooid.

Een standaard Log Analytics-werkruimte instellen voor AKS

De Defender-sensor gebruikt de Log Analytics-werkruimte als een gegevenspijplijn om gegevens van het cluster naar Defender voor Cloud te verzenden. De werkruimte bewaart geen gegevens. Als gevolg hiervan worden gebruikers niet gefactureerd in deze use-case.

De Defender-sensor maakt gebruik van een standaard Log Analytics-werkruimte. Als u geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en standaardwerkruimte wanneer u de Defender-sensor installeert. De standaardwerkruimte is gebaseerd op uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u automatische inrichting inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Selecteer Azure Kubernetes Service-clusters configureren om het Defender-profiel in te schakelen.

6. Selecteer Opdrachten.

   

7. Gebruik een van de volgende secties in dit artikel als volgt:

   • Als het beleid nog niet is toegewezen aan het relevante bereik, volgt u de stappen Een nieuwe toewijzing maken met een aangepaste werkruimte .
   • Als het beleid al is toegewezen en u dit wilt wijzigen voor het gebruik van een aangepaste werkruimte, volgt u de opdracht Een toewijzing bijwerken met een aangepaste werkruimtestappen .

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid nog niet is toegewezen, wordt op het tabblad Toewijzingen het nummer 0 weergegeven.

Een aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters de optie Alleen parameters weergeven waarvoor invoer of revisie is vereist.

3. Selecteer een LogAnalyticsWorkspaceResourceId-waarde in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Een toewijzing bijwerken met een aangepaste werkruimte

Als het beleid is toegewezen aan een werkruimte, wordt op het tabblad Toewijzingen het nummer 1 weergegeven.

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn.

Een aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters de optie Alleen parameters weergeven waarvoor invoer of revisie is vereist.

4. Selecteer een LogAnalyticsWorkspaceResourceId-waarde in de vervolgkeuzelijst.

   

5. Selecteer Beoordelen en opslaan.

6. Selecteer Opslaan.

Standaard Log Analytics-werkruimte voor Azure Arc

De Defender-sensor gebruikt de Log Analytics-werkruimte als een gegevenspijplijn om gegevens van het cluster naar Defender voor Cloud te verzenden. De werkruimte bewaart geen gegevens. Als gevolg hiervan worden gebruikers niet gefactureerd in deze use-case.

De Defender-sensor maakt gebruik van een standaard Log Analytics-werkruimte. Als u geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en standaardwerkruimte wanneer u de Defender-sensor installeert. De standaardwerkruimte is gebaseerd op uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u automatische inrichting inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Selecteer Kubernetes-clusters met Azure Arc configureren om Microsoft Defender voor Cloud extensie te installeren.

6. Selecteer Opdrachten.

   

7. Gebruik een van de volgende secties in dit artikel als volgt:

   • Als het beleid nog niet is toegewezen aan het relevante bereik, volgt u de stappen Een nieuwe toewijzing maken met een aangepaste werkruimte .
   • Als het beleid al is toegewezen en u dit wilt wijzigen voor het gebruik van een aangepaste werkruimte, volgt u de opdracht Een toewijzing bijwerken met een aangepaste werkruimtestappen .

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid nog niet is toegewezen, wordt op het tabblad Toewijzingen het nummer 0 weergegeven.

Een aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters de optie Alleen parameters weergeven waarvoor invoer of revisie is vereist.

3. Selecteer een LogAnalyticsWorkspaceResourceId-waarde in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Een toewijzing bijwerken met een aangepaste werkruimte

Als het beleid is toegewezen aan een werkruimte, wordt op het tabblad Toewijzingen het nummer 1 weergegeven.

Notitie

Als u meer dan één abonnement hebt, kan het aantal hoger zijn. Als u een getal 1 of hoger hebt, maar de toewijzing zich niet in het relevante bereik bevindt, volgt u de stappen Voor het maken van een nieuwe toewijzing met een aangepaste werkruimte .

Een aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters de optie Alleen parameters weergeven waarvoor invoer of revisie is vereist.

4. Selecteer een LogAnalyticsWorkspaceResourceId-waarde in de vervolgkeuzelijst.

   

5. Selecteer Beoordelen en opslaan.

6. Selecteer Opslaan.

De Defender-sensor verwijderen

Als u deze (of een) Defender voor Cloud extensie wilt verwijderen, is het niet voldoende om automatische inrichting uit te schakelen:

• Het inschakelen van automatische inrichting is mogelijk van invloed op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie is alleen van invloed op de toekomstige machines. Er wordt niets verwijderd wanneer u automatische inrichting uitschakelt.

Notitie

Als u het Defender for Containers-abonnement volledig wilt uitschakelen, gaat u naar Omgevingsinstellingen en schakelt u Microsoft Defender for Containers uit.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit.

U kunt de extensie verwijderen van machines die momenteel worden uitgevoerd met behulp van de REST API, de Azure CLI of een Resource Manager-sjabloon, zoals wordt uitgelegd op de volgende tabbladen.

REST API

De REST API gebruiken om de Defender-sensor uit AKS te verwijderen

Als u de extensie wilt verwijderen met behulp van de REST API, voert u de volgende PUT opdracht uit:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

De opdracht bevat de volgende parameters:

Name	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Ja
ResourceGroup	Resourcegroep van cluster	Ja
ClusterName	Clusternaam	Ja
ApiVersion	API-versie; moet 2022-06-01 of hoger zijn	Ja

Dit is de aanvraagbody:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

De hoofdtekst van de aanvraag heeft deze parameters:

Name	Beschrijving	Verplicht
location	Locatie van cluster	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of u Microsoft Defender for Containers wilt in- of uitschakelen op het cluster	Ja

Azure-CLI

De Azure CLI gebruiken om de Defender-sensor te verwijderen

1. Voer de volgende opdrachten uit:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Het verwijderen van de extensie kan enkele minuten duren.

2. Voer de volgende opdracht uit om te controleren of u de extensie hebt verwijderd:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Wanneer de extensie wordt verwijderd, retourneert de get pods opdracht geen pods. Het verwijderen van de pods kan enkele minuten duren.

Resource Manager

Azure Resource Manager gebruiken om de Defender-sensor uit AKS te verwijderen

Als u Azure Resource Manager wilt gebruiken om de Defender-sensor te verwijderen, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager-sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

De relevante sjabloon en parameters voor het verwijderen van de Defender-sensor uit AKS zijn:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Gerelateerde inhoud

Nu u Defender for Containers hebt ingeschakeld, kunt u het volgende doen:

• Uw Azure Container Registry-installatiekopieën scannen op beveiligingsproblemen
• Uw AWS-installatiekopieën scannen op beveiligingsproblemen met Microsoft Defender Vulnerability Management
• Uw GCP-installatiekopieën scannen op beveiligingsproblemen met Microsoft Defender Vulnerability Management
• Bekijk veelgestelde vragen over Defender for Containers.

Raadpleeg de volgende blogs voor meer informatie over Defender voor Cloud en Defender for Containers:

• Uw Google Cloud-workloads beveiligen met Microsoft Defender voor Cloud
• Inleiding tot Microsoft Defender voor containers
• Een nieuwe naam voor beveiliging met meerdere clouds: Microsoft Defender voor Cloud