Konfigurowanie składników usługi Microsoft Defender for Containers

Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów.

Usługa Defender dla Kontenerów chroni klastry niezależnie od tego, czy działają w:

• Azure Kubernetes Service (AKS) — zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.

• Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS) — zarządzana usługa Amazon do uruchamiania rozwiązania Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.

• Google Kubernetes Engine (GKE) w połączonym projekcie Google Cloud Platform (GCP) — zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.

• Inne dystrybucje Platformy Kubernetes (przy użyciu platformy Kubernetes z obsługą usługi Azure Arc) — certyfikowane klastry Kubernetes (Cloud Native Computing Foundation, CNCF) hostowane lokalnie lub w usłudze IaaS. Aby uzyskać więcej informacji, zobacz sekcję On-prem/IaaS (Arc) w temacie Obsługiwane funkcje według środowiska.

Dowiedz się więcej o tym planie w temacie Omówienie usługi Microsoft Defender for Containers.

Najpierw możesz dowiedzieć się, jak łączyć i chronić kontenery w następujących artykułach:

• Ochrona kontenerów platformy Azure za pomocą usługi Defender for Containers
• Ochrona lokalnych klastrów Kubernetes za pomocą usługi Defender for Containers
• Ochrona kontenerów kont usługi Amazon Web Service (AWS) za pomocą usługi Defender for Containers
• Ochrona kontenerów projektu Google Cloud Platform (GCP) za pomocą usługi Defender for Containers

Możesz również dowiedzieć się więcej, oglądając te filmy wideo z Defender dla Chmury w serii wideo Field:

• Usługa Microsoft Defender for Containers w środowisku wielochmurowym
• Ochrona kontenerów w GCP za pomocą usługi Defender for Containers

Uwaga

Obsługa usługi Defender for Containers dla klastrów Kubernetes z obsługą usługi Arc jest funkcją w wersji zapoznawczej. Funkcja w wersji zapoznawczej jest dostępna na zasadzie samoobsługi.

Wersje zapoznawcze są udostępniane w wersji "as is" i "jako dostępne" i są wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji.

Aby dowiedzieć się więcej o obsługiwanych systemach operacyjnych, dostępności funkcji, serwerze proxy ruchu wychodzącego i nie tylko, zobacz dostępność funkcji usługi Defender for Containers.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:

Zobacz wymagane reguły nazwy FQDN/aplikacji dla usługi Microsoft Defender for Containers.

Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego.

Wymagania dotyczące sieci

Uwaga

W tym artykule odwołuje się do systemu CentOS — dystrybucji systemu Linux, która zbliża się do stanu zakończenia życia (EOL). Rozważ odpowiednie użycie i planowanie. Aby uzyskać więcej informacji, zobacz wskazówki dotyczące zakończenia życia systemu CentOS.

Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:

W przypadku wdrożeń w chmurze publicznej:

Domena platformy Azure	Domena platformy Azure Dla instytucji rządowych	Platforma Microsoft Azure obsługiwana przez domenę 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Następujące domeny są niezbędne tylko wtedy, gdy używasz odpowiedniego systemu operacyjnego. Jeśli na przykład masz klastry EKS uruchomione na platformie AWS, wystarczy zastosować domenę Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" .

Domain	Port	Hostowanie systemów operacyjnych
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
Domyślne repozytoria yum	-	RHEL / Centos
repozytoria domyślne apt	-	Debian

Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.

Włączanie planu

Aby włączyć plan:

1. W menu Defender dla Chmury otwórz stronę Ustawienia i wybierz odpowiednią subskrypcję.

2. Na stronie Plany usługi Defender wybierz pozycję Defender for Containers i wybierz pozycję Ustawienia.

   

   Napiwek

   Jeśli subskrypcja ma już włączoną usługę Defender dla platformy Kubernetes i/lub defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją będzie defender for Containers.

   

3. Włącz odpowiedni składnik, aby go włączyć.

   

   Uwaga

   • Klienci usługi Defenders for Containers, którzy dołączyli przed sierpniem 2023 r. i nie mają włączonego odnajdywania bez agenta dla platformy Kubernetes w ramach CSPM w usłudze Defender po włączeniu planu, muszą ręcznie włączyć odnajdywanie bez agenta dla rozszerzenia Kubernetes w ramach planu usługi Defender for Containers.
   • Po wyłączeniu usługi Defender for Containers składniki są wyłączone i nie są wdrażane w kontenerach, ale nie są usuwane z kontenerów, na których są już zainstalowane.

Metoda włączania na możliwość

Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego włączania wszystkich funkcji i instalowania wszystkich wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.

Jeśli nie chcesz włączyć wszystkich możliwości planów, możesz ręcznie wybrać określone możliwości, które mają zostać włączone, wybierając pozycję Edytuj konfigurację dla planu Kontenery . Następnie na stronie Ustawienia i monitorowania wybierz możliwości, które chcesz włączyć. Ponadto tę konfigurację można zmodyfikować na stronie plany usługi Defender po wstępnej konfiguracji planu.

Aby uzyskać szczegółowe informacje na temat metody włączania dla każdej z tych funkcji, zobacz macierz obsługi.

Uprawnienia i role

Dowiedz się więcej o rolach używanych do aprowizacji rozszerzeń usługi Defender for Containers.

Przypisywanie niestandardowego obszaru roboczego dla czujnika usługi Defender

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Ręczne wdrażanie czujnika usługi Defender lub agenta zasad platformy Azure bez automatycznego aprowizowania przy użyciu zaleceń

Możliwości wymagające instalacji czujnika można również wdrożyć w co najmniej jednym klastrze Kubernetes, korzystając z odpowiedniego zalecenia:

Czujnik	Zalecenie
Czujnik usługi Defender dla platformy Kubernetes	Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
Czujnik defender dla platformy Kubernetes z obsługą usługi Arc	Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
Agent usługi Azure Policy dla platformy Kubernetes	Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
Agent usługi Azure Policy dla platformy Kubernetes z obsługą usługi Arc	Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Wykonaj następujące kroki, aby wykonać wdrożenie czujnika usługi Defender w określonych klastrach:

1. Na stronie zaleceń Microsoft Defender dla Chmury otwórz stronę Włącz rozszerzoną kontrolę zabezpieczeń lub wyszukaj bezpośrednio jedną z powyższych rekomendacji (lub skorzystaj z powyższych linków, aby bezpośrednio otworzyć zalecenie)

2. Wyświetl wszystkie klastry bez czujnika za pośrednictwem karty w złej kondycji.

3. Wybierz klastry, aby wdrożyć żądany czujnik, a następnie wybierz pozycję Napraw.

4. Wybierz pozycję Napraw zasoby X.

Wdrażanie czujnika usługi Defender — wszystkie opcje

Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki z witryny Azure Portal, interfejsu API REST lub szablonu usługi Resource Manager. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Po wdrożeniu czujnika usługi Defender domyślny obszar roboczy zostanie automatycznie przypisany. Niestandardowy obszar roboczy można przypisać zamiast domyślnego obszaru roboczego za pomocą usługi Azure Policy.

Uwaga

Czujnik usługi Defender jest wdrażany w każdym węźle w celu zapewnienia ochrony środowiska uruchomieniowego i zbierania sygnałów z tych węzłów przy użyciu technologii eBPF.

Witryna Azure Portal

Użyj przycisku naprawy z zalecenia Defender dla Chmury

Usprawniony, bezproblemowy proces umożliwia korzystanie ze stron witryny Azure Portal w celu włączenia planu Defender dla Chmury i skonfigurowania automatycznego aprowizowania wszystkich niezbędnych składników do obrony klastrów Kubernetes na dużą skalę.

Dedykowane zalecenie Defender dla Chmury zawiera:

• Widoczność , który z klastrów ma wdrożony czujnik usługi Defender
• Przycisk Napraw , aby wdrożyć go w tych klastrach bez czujnika

1. Na stronie zaleceń Microsoft Defender dla Chmury otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender.

   Napiwek

   Zwróć uwagę na ikonę Napraw w kolumnie actions

3. Wybierz klastry, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji — klastry z czujnikiem i bez tego czujnika.

4. Z listy zasobów w złej kondycji wybierz klaster i wybierz pozycję Koryguj , aby otworzyć okienko z potwierdzeniem korygowania.

5. Wybierz pozycję Napraw zasoby X.

Interfejs API REST

Wdrażanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby zainstalować plik "SecurityProfile" w istniejącym klastrze za pomocą interfejsu API REST, uruchom następujące polecenie PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Identyfikator URI żądania: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parametry zapytania żądania:

Nazwa/nazwisko	opis	Obowiązkowy
SubscriptionId	Identyfikator subskrypcji klastra	Tak
ResourceGroup	Grupa zasobów klastra	Tak
NazwaKlastra	Nazwa klastra	Tak
ApiVersion	Wersja interfejsu API musi być >= 2022-06-01	Tak

Treść żądania:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parametry treści żądania:

Nazwa/nazwisko	opis	Obowiązkowy
lokalizacja	Lokalizacja klastra	Tak
properties.securityProfile.defender.securityMonitoring.enabled	Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze	Tak
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Identyfikator zasobu platformy Azure obszaru roboczego usługi Log Analytics	Tak

Interfejs wiersza polecenia platformy Azure

Wdrażanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Zaloguj się do platformy Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Ważne

   Upewnij się, że używasz tego samego identyfikatora subskrypcji co <your-subscription-id> identyfikator skojarzony z klastrem usługi AKS.

2. Włącz czujnik usługi Defender w kontenerach:

   • Uruchom następujące polecenie, aby utworzyć nowy klaster z włączonym czujnikiem usługi Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Uruchom następujące polecenie, aby włączyć czujnik usługi Defender w istniejącym klastrze:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Poniżej przedstawiono opis wszystkich obsługiwanych ustawień konfiguracji w typie czujnika usługi Defender:

   Właściwości

   opis

   logAnalyticsWorkspaceResourceId

   Opcjonalne. Pełny identyfikator zasobu własnego obszaru roboczego usługi Log Analytics. Jeśli nie zostanie podany, zostanie użyty domyślny obszar roboczy regionu. Aby uzyskać pełny identyfikator zasobu, uruchom następujące polecenie, aby wyświetlić listę obszarów roboczych w subskrypcjach w domyślnym formacie JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Identyfikator zasobu obszaru roboczego usługi Log Analytics ma następującą składnię: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Szczegółowe informacje/workspaces/{nazwa-obszaru roboczego}. Dowiedz się więcej w obszarach roboczych usługi Log Analytics

   Te ustawienia można uwzględnić w pliku JSON i określić plik JSON w az aks create poleceniach i az aks update za pomocą tego parametru: --defender-config <path-to-JSON-file>. Format pliku JSON musi być następujący:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Dowiedz się więcej o poleceniach interfejsu wiersza polecenia usługi AKS w narzędziu az aks.

3. Aby sprawdzić, czy czujnik został pomyślnie dodany, uruchom następujące polecenie na maszynie z plikiem kubeconfig wskazywanym na klaster:

   kubectl get pods -n kube-system
   

   Po dodaniu czujnika powinien zostać wyświetlony zasobnik o nazwie microsoft-defender-XXXXX w Running stanie . Dodanie zasobników może potrwać kilka minut.

Resource Manager

Wdrażanie czujnika usługi Defender przy użyciu usługi Azure Resource Manager

Aby wdrożyć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, musisz mieć obszar roboczy usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?

Aby zainstalować plik "SecurityProfile" w istniejącym klastrze za pomocą usługi Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Włączanie planu

Aby włączyć plan:

1. W menu Defender dla Chmury otwórz stronę Ustawienia i wybierz odpowiednią subskrypcję.

2. Na stronie Plany usługi Defender wybierz pozycję Defender for Containers i wybierz pozycję Ustawienia.

   Napiwek

   Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją będzie defender for Containers.

   

3. Włącz odpowiedni składnik, aby go włączyć.

   

   Uwaga

   Po wyłączeniu usługi Defender for Containers składniki są wyłączone i nie są wdrażane w kontenerach, ale nie są usuwane z kontenerów, na których są już zainstalowane.

Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.

Jeśli chcesz wyłączyć automatyczną instalację składników podczas procesu dołączania, wybierz pozycję Edytuj konfigurację dla planu kontenerów . Zostaną wyświetlone opcje Zaawansowane i można wyłączyć automatyczną instalację dla każdego składnika.

Ponadto tę konfigurację można zmodyfikować na stronie plany usługi Defender.

Uwaga

Jeśli zdecydujesz się wyłączyć plan w dowolnym momencie po włączeniu go za pośrednictwem portalu, jak pokazano powyżej, musisz ręcznie usunąć składniki usługi Defender for Containers wdrożone w klastrach.

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Jeśli wyłączysz automatyczną instalację dowolnego składnika, możesz łatwo wdrożyć składnik w co najmniej jednym klastrze przy użyciu odpowiedniego zalecenia:

• Dodatek zasad dla platformy Kubernetes — klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
• Profil usługi Azure Kubernetes Service — klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
• Rozszerzenie Kubernetes z obsługą usługi Azure Arc — klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
• Rozszerzenie Kubernetes Policy z obsługą usługi Azure Arc — klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Dowiedz się więcej o rolach używanych do aprowizacji rozszerzeń usługi Defender for Containers.

Wymagania wstępne

Przed wdrożeniem czujnika upewnij się, że:

• Połączenie klastra Kubernetes do usługi Azure Arc
• Wypełnij wymagania wstępne wymienione w dokumentacji ogólnych rozszerzeń klastra.

Wdrażanie czujnika usługi Defender

Czujnik usługi Defender można wdrożyć przy użyciu szeregu metod. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Witryna Azure Portal

Użyj przycisku naprawy z zalecenia Defender dla Chmury

Dedykowane zalecenie Defender dla Chmury zawiera:

• Widoczność , który z klastrów ma wdrożony czujnik usługi Defender
• Przycisk Napraw , aby wdrożyć go w tych klastrach bez czujnika

1. Na stronie zaleceń Microsoft Defender dla Chmury otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender dla Chmury.

   

   Napiwek

   Zwróć uwagę na ikonę Napraw w kolumnie actions

3. Wybierz czujnik, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji — klastry z czujnikiem i bez tego czujnika.

4. Z listy zasobów w złej kondycji wybierz klaster i wybierz pozycję Koryguj , aby otworzyć okienko przy użyciu opcji korygowania.

5. Wybierz odpowiedni obszar roboczy usługi Log Analytics i wybierz pozycję Koryguj x zasobu.

   

Interfejs wiersza polecenia platformy Azure

Wdrażanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Zaloguj się do platformy Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Ważne

   Upewnij się, że używasz tego samego identyfikatora subskrypcji co <your-subscription-id> ten, który był używany podczas łączenia klastra z usługą Azure Arc.

2. Uruchom następujące polecenie, aby wdrożyć czujnik w klastrze Kubernetes z włączoną usługą Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Poniżej przedstawiono opis wszystkich obsługiwanych ustawień konfiguracji w typie czujnika usługi Defender:

   Właściwości	opis
   logAnalyticsWorkspaceResourceID	Opcjonalne. Pełny identyfikator zasobu własnego obszaru roboczego usługi Log Analytics. Jeśli nie zostanie podany, zostanie użyty domyślny obszar roboczy regionu. Aby uzyskać pełny identyfikator zasobu, uruchom następujące polecenie, aby wyświetlić listę obszarów roboczych w subskrypcjach w domyślnym formacie JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Identyfikator zasobu obszaru roboczego usługi Log Analytics ma następującą składnię: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Szczegółowe informacje/workspaces/{nazwa-obszaru roboczego}. Dowiedz się więcej w obszarach roboczych usługi Log Analytics
   auditLogPath	Opcjonalne. Pełna ścieżka do plików dziennika inspekcji. Jeśli nie zostanie podana, zostanie użyta ścieżka /var/log/kube-apiserver/audit.log domyślna. W przypadku aparatu AKS ścieżka standardowa to /var/log/kubeaudit/audit.log

   Poniższe polecenie przedstawia przykładowe użycie wszystkich pól opcjonalnych:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Wdrażanie czujnika usługi Defender przy użyciu usługi Azure Resource Manager

Aby wdrożyć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, musisz mieć obszar roboczy usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Szablon azure-defender-extension-arm-template.json Resource Manager można użyć z przykładów instalacji Defender dla Chmury.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?

Interfejs API REST

Wdrażanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby wdrożyć czujnik usługi Defender przy użyciu interfejsu API REST, musisz mieć obszar roboczy usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Napiwek

Najprostszym sposobem użycia interfejsu API do wdrożenia czujnika usługi Defender jest podany przykład kodu JSON kolekcji Postman Collection z przykładów instalacji Defender dla Chmury.

• Aby zmodyfikować kod JSON kolekcji Postman Collection lub ręcznie wdrożyć czujnik za pomocą interfejsu API REST, uruchom następujące polecenie PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Gdzie:

  Nazwisko	W	Wymagania	Type	Opis
  Identyfikator subskrypcji	Ścieżka	Prawda	String	Identyfikator subskrypcji zasobu platformy Kubernetes z włączoną usługą Azure Arc
  Grupa zasobów	Ścieżka	Prawda	String	Nazwa grupy zasobów zawierającej zasób Kubernetes z włączoną usługą Azure Arc
  Nazwa klastra	Ścieżka	Prawda	String	Nazwa zasobu Kubernetes z obsługą usługi Azure Arc

  W przypadku uwierzytelniania nagłówek musi mieć token elementu nośnego (podobnie jak w przypadku innych interfejsów API platformy Azure). Aby uzyskać token elementu nośnego, uruchom następujące polecenie:

  az account get-access-token --subscription <your-subscription-id> Użyj następującej struktury treści komunikatu:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Poniżej podano opis właściwości:

  Właściwości	opis
  logAnalytics.workspaceId	Identyfikator obszaru roboczego zasobu usługi Log Analytics
  logAnalytics.key	Klucz zasobu usługi Log Analytics
  auditLogPath	Opcjonalne. Pełna ścieżka do plików dziennika inspekcji. Domyślna wartość to /var/log/kube-apiserver/audit.log

Weryfikowanie wdrożenia

Aby sprawdzić, czy klaster ma zainstalowany czujnik usługi Defender, wykonaj kroki opisane na jednej z poniższych kart:

Azure Portal — Defender dla Chmury

Użyj rekomendacji Defender dla Chmury, aby zweryfikować stan czujnika

1. Na stronie rekomendacji Microsoft Defender dla Chmury otwórz pozycję Włącz kontrolę zabezpieczeń Microsoft Defender dla Chmury.

2. Wybierz zalecenie o nazwie Klastry Kubernetes z obsługą usługi Azure Arc, które powinny mieć zainstalowane rozszerzenie Microsoft Defender dla Chmury.

   

3. Sprawdź, czy klaster, na którym wdrożono czujnik, jest wymieniony jako W dobrej kondycji.

Azure Portal — Azure Arc

Używanie stron usługi Azure Arc do weryfikowania stanu czujnika

1. W witrynie Azure Portal otwórz usługę Azure Arc.

2. Z listy infrastruktury wybierz pozycję Klastry Kubernetes, a następnie wybierz konkretny klaster.

3. Otwórz stronę rozszerzeń. Rozszerzenia w klastrze są wyświetlane. Aby sprawdzić, czy czujnik usługi Defender został poprawnie zainstalowany, sprawdź kolumnę Stan instalacji.

   

4. Aby uzyskać więcej informacji, wybierz rozszerzenie.

   

Interfejs wiersza polecenia platformy Azure

Użyj interfejsu wiersza polecenia platformy Azure, aby sprawdzić, czy czujnik jest wdrożony

1. Uruchom następujące polecenie w interfejsie wiersza polecenia platformy Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. W odpowiedzi wyszukaj ciąg "extensionType": "microsoft.azuredefender.kubernetes" i "installState": "Installed".

   Uwaga

   Może być wyświetlany komunikat "installState": "Pending" (Oczekujące) w ciągu pierwszych kilku minut.

3. Jeśli stan to Zainstalowano, uruchom następujące polecenie na maszynie z kubeconfig plikiem wskazującym klaster, aby sprawdzić, czy wszystkie zasobniki w przestrzeni nazw mdc są w stanie "Uruchomiono":

   kubectl get pods -n mdc
   

Interfejs API REST

Użyj interfejsu API REST, aby sprawdzić, czy czujnik został wdrożony

Aby potwierdzić pomyślne wdrożenie lub zweryfikować stan czujnika w dowolnym momencie:

1. Uruchom następujące polecenie GET:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. W odpowiedzi wyszukaj ciąg "extensionType": "microsoft.azuredefender.kubernetes" dla polecenia "installState": "Installed".

   Napiwek

   Może być wyświetlany komunikat "installState": "Pending" (Oczekujące) w ciągu pierwszych kilku minut.

3. Jeśli stan to Zainstalowano, uruchom następujące polecenie na maszynie z kubeconfig plikiem wskazującym klaster, aby sprawdzić, czy wszystkie zasobniki w przestrzeni nazw mdc są w stanie "Uruchomiono":

   kubectl get pods -n mdc
   

Włączanie planu

Ważne

• Jeśli jeszcze nie połączono konta platformy AWS, połącz konta platformy AWS z Microsoft Defender dla Chmury.
• Jeśli plan został już włączony w łączniku i chcesz zmienić opcjonalne konfiguracje lub włączyć nowe możliwości, przejdź bezpośrednio do kroku 4.

Aby chronić klastry EKS, włącz plan Kontenery w odpowiednim łączniku konta:

1. W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.

2. Wybierz łącznik AWS.

   

3. Sprawdź, czy przełącznik dla planu kontenerów ma wartość Włączone.

   

4. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

   

   • Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.

     Uwaga

     Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona Threat detection (control plane) . Dowiedz się więcej o dostępności funkcji.

   • Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.

   • Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.

5. Przejdź do pozostałych stron kreatora łącznika.

6. Jeśli włączasz funkcję Odnajdywanie bez agenta dla platformy Kubernetes , musisz udzielić uprawnień płaszczyzny sterowania w klastrze. Można to zrobić w jeden z następujących sposobów:

   • Uruchom ten skrypt języka Python, aby udzielić uprawnień. Skrypt dodaje rolę Defender dla Chmury MDCContainersAgentlessDiscoveryK8sRole do elementu aws-auth ConfigMap klastrów EKS, które chcesz dołączyć.

   • Udziel każdemu klastrowi usługi Amazon EKS rolę MDCContainersAgentlessDiscoveryK8sRole z możliwością interakcji z klastrem. Zaloguj się do wszystkich istniejących i nowo utworzonych klastrów przy użyciu narzędzia eksctl i wykonaj następujący skrypt:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Aby uzyskać więcej informacji, zobacz Włączanie dostępu podmiotu zabezpieczeń IAM do klastra.

7. Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieją dedykowane zalecenia Defender dla Chmury dotyczące instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Dla każdego z zaleceń wykonaj poniższe kroki, aby zainstalować wymagane rozszerzenia.

   Aby zainstalować wymagane rozszerzenia:

   1. Na stronie Rekomendacje Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.

   2. Wybierz klaster w złej kondycji.

      Ważne

      Należy wybrać klastry pojedynczo.

      Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.

   3. Wybierz pozycję Napraw.

   4. Defender dla Chmury generuje skrypt w wybranym języku: wybierz pozycję Bash (dla systemu Linux) lub PowerShell (dla systemu Windows).

   5. Wybierz pozycję Pobierz logikę korygowania.

   6. Uruchom wygenerowany skrypt w klastrze.

   7. Powtórz kroki od "a" do "f" dla drugiego zalecenia.

   

Wyświetlanie zaleceń i alertów dla klastrów EKS

Napiwek

Alerty kontenerów można symulować, postępując zgodnie z instrukcjami w tym wpisie w blogu.

Aby wyświetlić alerty i zalecenia dotyczące klastrów EKS, użyj filtrów na stronach alertów, zaleceń i spisu, aby filtrować według typu zasobu klastra EKS usługi AWS.

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach platformy AWS, wykonaj następujące kroki:

1. Przejdź do pozycji Microsoft Defender dla Chmury ->Ustawienia środowiska ->Dodaj środowisko ->Amazon Web Services.

   

2. Podaj szczegóły konta.

   

3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc jest włączony.

   

4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

   

5. Po pomyślnym wdrożeniu szablonu tworzenia chmury wybierz pozycję Utwórz.

Uwaga

Z automatycznego aprowizowania można wykluczyć określony klaster AWS. W przypadku wdrożenia czujnika ms_defender_container_exclude_agents zastosuj tag w zasobie z wartością true. W przypadku wdrożenia bez agenta ms_defender_container_exclude_agentless zastosuj tag w zasobie z wartością true.

Włączanie planu

Ważne

Jeśli projekt GCP nie został jeszcze połączony, połącz projekty GCP z Microsoft Defender dla Chmury.

Aby chronić klastry GKE, należy włączyć plan Kontenery w odpowiednim projekcie GCP.

Uwaga

Sprawdź, czy nie masz żadnych zasad platformy Azure, które uniemożliwiają instalację usługi Arc.

Aby chronić klastry aparatu Google Kubernetes Engine (GKE):

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Microsoft Defender dla Chmury> Ustawienia środowiska.

3. Wybierz odpowiedni łącznik GCP

   

4. Wybierz przycisk Dalej: Wybierz plany>.

5. Upewnij się, że plan kontenerów jest włączony.

   

6. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

   

   • Dzienniki inspekcji platformy Kubernetes do Defender dla Chmury: włączone domyślnie. Ta konfiguracja jest dostępna tylko na poziomie projektu GCP. Udostępnia ona bez agenta zbieranie danych dziennika inspekcji za pośrednictwem rejestrowania chmury GCP do zaplecza Microsoft Defender dla Chmury na potrzeby dalszej analizy. Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone.

     Uwaga

     Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona Threat detection (control plane) . Dowiedz się więcej o dostępności funkcji.

   • Automatycznie aprowizacja czujnika usługi Defender dla usługi Azure Arc i automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc: domyślnie włączona. Platforma Kubernetes z obsługą usługi Azure Arc i jej rozszerzenia można zainstalować w klastrach GKE na trzy sposoby:

     • Włącz automatyczne aprowizowanie usługi Defender for Containers na poziomie projektu, jak wyjaśniono w instrukcjach w tej sekcji. Zalecamy tę metodę.
     • Użyj Defender dla Chmury rekomendacji dotyczących instalacji poszczególnych klastrów. Są one wyświetlane na stronie zaleceń Microsoft Defender dla Chmury. Dowiedz się, jak wdrożyć rozwiązanie w określonych klastrach.
     • Ręcznie zainstaluj platformę Kubernetes z obsługą usługi Arc i rozszerzenia.

   • Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.

   • Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w rejestrach Google (GAR i GCR) oraz uruchamianiu obrazów w klastrach GKE. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.

7. Wybierz przycisk Kopiuj.

   

8. Wybierz przycisk GCP Cloud Shell>.

9. Wklej skrypt do terminalu usługi Cloud Shell i uruchom go.

Łącznik zostanie zaktualizowany po wykonaniu skryptu. Ukończenie tego procesu może potrwać do 6–8 godzin.

Wdrażanie rozwiązania w określonych klastrach

Jeśli którakolwiek z domyślnych konfiguracji automatycznej aprowizacji została wyłączona, podczas procesu dołączania łącznika GCP lub później. Musisz ręcznie zainstalować platformę Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługę Azure Policy dla platformy Kubernetes do każdego z klastrów GKE, aby uzyskać pełną wartość zabezpieczeń z usługi Defender for Containers.

Istnieją 2 dedykowane zalecenia Defender dla Chmury, których można użyć do zainstalowania rozszerzeń (i arc, jeśli to konieczne):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Uwaga

Podczas instalowania rozszerzeń usługi Arc należy sprawdzić, czy udostępniony projekt GCP jest identyczny z tym, który znajduje się w odpowiednim łączniku.

Aby wdrożyć rozwiązanie w określonych klastrach:

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Microsoft Defender dla Chmury> Rekomendacje.

3. Na stronie Rekomendacje Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.

   

4. Wybierz klaster GKE w złej kondycji.

   Ważne

   Należy wybrać klastry pojedynczo.

   Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.

5. Wybierz nazwę zasobu w złej kondycji.

6. Wybierz pozycję Napraw.

   

7. Defender dla Chmury wygeneruje skrypt w wybranym języku:

   • W przypadku systemu Linux wybierz pozycję Bash.
   • W przypadku systemu Windows wybierz pozycję PowerShell.

8. Wybierz pozycję Pobierz logikę korygowania.

9. Uruchom wygenerowany skrypt w klastrze.

10. Powtórz kroki od 3 do 8 dla drugiego zalecenia.

Wyświetlanie alertów klastra GKE

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.

3. Wybierz przycisk .

4. W menu rozwijanym Filtr wybierz pozycję Typ zasobu.

5. W menu rozwijanym Wartość wybierz pozycję Klaster GKE GCP.

6. Wybierz OK

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach GCP, wykonaj następujące kroki:

1. Przejdź do pozycji Microsoft Defender dla Chmury ->Ustawienia środowiska ->Dodaj środowisko ->Google Cloud Platform.

   

2. Podaj szczegóły konta.

   

3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc jest włączony.

   

4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

   

5. Po pomyślnym uruchomieniu skryptu usługi gcloud wybierz pozycję Utwórz.

Uwaga

Z automatycznego aprowizowania można wykluczyć określony klaster GCP. W przypadku wdrożenia czujnika zastosuj etykietę ms_defender_container_exclude_agents na zasobie z wartością true. W przypadku wdrożenia bez agenta zastosuj etykietę ms_defender_container_exclude_agentless na zasobie z wartością true.

Symulowanie alertów zabezpieczeń z usługi Microsoft Defender for Containers

Pełna lista obsługiwanych alertów jest dostępna w tabeli referencyjnej wszystkich alertów zabezpieczeń Defender dla Chmury.

1. Aby zasymulować alert zabezpieczeń, uruchom następujące polecenie z klastra:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Oczekiwana odpowiedź to No resource found.

   W ciągu 30 minut Defender dla Chmury wykrywa to działanie i wyzwala alert zabezpieczeń.

   Uwaga

   Aby symulować alerty bez agenta dla usługi Defender for Containers, usługa Azure Arc nie jest wymaganiem wstępnym.

2. W witrynie Azure Portal otwórz stronę alertów zabezpieczeń Microsoft Defender dla Chmury i poszukaj alertu dla odpowiedniego zasobu:

   

Usuwanie czujnika usługi Defender

Aby usunąć to — lub dowolne — rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczne aprowizowanie:

• Włączenie automatycznej aprowizacji może mieć wpływ na istniejące i przyszłe maszyny.
• Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny — nic nie zostanie odinstalowane przez wyłączenie automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do obszaru Ustawienia środowiska i wyłącz plan usługi Microsoft Defender for Containers .

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są automatycznie aprowizowane do zasobów od teraz, wyłącz automatyczne aprowizowanie rozszerzeń zgodnie z opisem w temacie Konfigurowanie automatycznej aprowizacji agentów i rozszerzeń z Microsoft Defender dla Chmury.

Rozszerzenie można usunąć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST, jak wyjaśniono na poniższych kartach.

Azure Portal — Arc

Usuwanie rozszerzenia za pomocą witryny Azure Portal

1. W witrynie Azure Portal otwórz usługę Azure Arc.

2. Z listy infrastruktury wybierz pozycję Klastry Kubernetes, a następnie wybierz konkretny klaster.

3. Otwórz stronę rozszerzeń. Rozszerzenia w klastrze są wyświetlane.

4. Wybierz klaster i wybierz pozycję Odinstaluj.

   

Interfejs wiersza polecenia platformy Azure

Usuwanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Usuń rozszerzenie Microsoft Defender for Kubernetes Arc przy użyciu następujących poleceń:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Usunięcie rozszerzenia może potrwać kilka minut. Zalecamy poczekanie, zanim spróbujesz sprawdzić, czy operacja zakończyła się pomyślnie.

2. Aby sprawdzić, czy rozszerzenie zostało pomyślnie usunięte, uruchom następujące polecenia:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Następnie sprawdź, czy w klastrze nie ma zasobników w przestrzeni nazw mdc, uruchamiając następujące polecenie z plikiem kubeconfig wskazującym klaster:

   kubectl get pods -n mdc
   

   Usunięcie zasobników może potrwać kilka minut.

Interfejs API REST

Usuwanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące polecenie DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nazwisko	W	Wymagania	Type	Opis
Identyfikator subskrypcji	Ścieżka	Prawda	String	Identyfikator subskrypcji klastra Kubernetes z włączoną usługą Azure Arc
Grupa zasobów	Ścieżka	Prawda	String	Grupa zasobów klastra Kubernetes z włączoną usługą Azure Arc
Nazwa klastra	Ścieżka	Prawda	String	Nazwa klastra Kubernetes z obsługą usługi Azure Arc

W przypadku uwierzytelniania nagłówek musi mieć token elementu nośnego (podobnie jak w przypadku innych interfejsów API platformy Azure). Aby uzyskać token elementu nośnego, uruchom następujące polecenie:

az account get-access-token --subscription <your-subscription-id>

Ukończenie żądania może potrwać kilka minut.

Domyślny obszar roboczy usługi Log Analytics dla usługi AKS

Obszar roboczy usługi Log Analytics jest używany przez czujnik usługi Defender jako potok danych do wysyłania danych z klastra do Defender dla Chmury bez przechowywania żadnych danych w samym obszarze roboczym usługi Log Analytics. W związku z tym użytkownicy nie będą rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy po zainstalowaniu czujnika usługi Defender. Domyślny obszar roboczy jest tworzony na podstawie regionu.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

• Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
• Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu opcji automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zasady.

   

3. Wybierz pozycję Definicje.

4. Wyszukaj identyfikator 64def556-fbad-4622-930e-72d1d5589bf5zasad .

   

5. Wybierz pozycję Konfiguruj klastry usługi Azure Kubernetes Service, aby włączyć profil usługi Defender.

6. Wybierz pozycję Przypisanie.

   

7. Postępuj zgodnie z instrukcjami Tworzenie nowego przypisania z niestandardowym obszarem roboczym, jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu. Możesz też wykonać kroki aktualizacji z niestandardowym obszarem roboczym , jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego.

Tworzenie nowego przypisania z niestandardowym obszarem roboczym

Jeśli zasady nie zostały przypisane, zobaczysz wartość Assignments (0).

Aby przypisać niestandardowy obszar roboczy:

1. Zaznacz Przypisz.

2. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

3. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

   

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania za pomocą niestandardowego obszaru roboczego

Jeśli zasady zostały już przypisane do obszaru roboczego, zobaczysz polecenie Assignments (1).

Uwaga

Jeśli masz więcej niż jedną subskrypcję, numer może być wyższy.

Aby przypisać niestandardowy obszar roboczy:

1. Wybierz odpowiednie przypisanie.

   

2. Wybierz pozycję Edytuj przypisanie.

3. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

4. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

   

5. Wybierz pozycję Przejrzyj i zapisz.

6. Wybierz pozycję Zapisz.

Domyślny obszar roboczy usługi Log Analytics dla usługi Arc

Obszar roboczy usługi Log Analytics jest używany przez czujnik usługi Defender jako potok danych do wysyłania danych z klastra do Defender dla Chmury bez przechowywania żadnych danych w samym obszarze roboczym usługi Log Analytics. W związku z tym użytkownicy nie będą rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy po zainstalowaniu czujnika usługi Defender. Domyślny obszar roboczy jest tworzony na podstawie regionu.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

• Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
• Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu opcji automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zasady.

   

3. Wybierz pozycję Definicje.

4. Wyszukaj identyfikator 708b60a6-d253-4fe0-9114-4be4c00f012czasad .

   

5. Wybierz pozycję Konfiguruj klastry Kubernetes z włączoną usługą Azure Arc, aby zainstalować rozszerzenie Microsoft Defender dla Chmury.

6. Wybierz pozycję Przypisania.

   

7. Postępuj zgodnie z instrukcjami Tworzenie nowego przypisania z niestandardowym obszarem roboczym, jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu. Możesz też wykonać kroki aktualizacji z niestandardowym obszarem roboczym , jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego.

Tworzenie nowego przypisania z niestandardowym obszarem roboczym

Jeśli zasady nie zostały przypisane, zobaczysz wartość Assignments (0).

Aby przypisać niestandardowy obszar roboczy:

1. Zaznacz Przypisz.

2. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

3. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

   

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania za pomocą niestandardowego obszaru roboczego

Jeśli zasady zostały już przypisane do obszaru roboczego, zobaczysz polecenie Assignments (1).

Uwaga

Jeśli masz więcej niż jedną subskrypcję, numer może być wyższy. Jeśli masz liczbę 1 lub większą, przypisanie może nadal nie znajdować się w odpowiednim zakresie. W takim przypadku należy wykonać kroki Tworzenia nowego przypisania z niestandardowym obszarem roboczym .

Aby przypisać niestandardowy obszar roboczy:

1. Wybierz odpowiednie przypisanie.

   

2. Wybierz pozycję Edytuj przypisanie.

3. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

4. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

   

5. Wybierz pozycję Przejrzyj i zapisz.

6. Wybierz pozycję Zapisz.

Usuwanie czujnika usługi Defender

Aby usunąć to — lub dowolne — rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczne aprowizowanie:

• Włączenie automatycznej aprowizacji może mieć wpływ na istniejące i przyszłe maszyny.
• Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny — nic nie zostanie odinstalowane przez wyłączenie automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do obszaru Ustawienia środowiska i wyłącz plan usługi Microsoft Defender for Containers .

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są automatycznie aprowizowane do zasobów od teraz, wyłącz automatyczne aprowizowanie rozszerzeń zgodnie z opisem w temacie Konfigurowanie automatycznej aprowizacji agentów i rozszerzeń z Microsoft Defender dla Chmury.

Rozszerzenie można usunąć przy użyciu interfejsu API REST lub szablonu usługi Resource Manager, jak wyjaśniono na poniższych kartach.

Interfejs API REST

Usuwanie czujnika usługi Defender z usługi AKS przy użyciu interfejsu API REST

Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące polecenie PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nazwa/nazwisko	opis	Obowiązkowy
SubscriptionId	Identyfikator subskrypcji klastra	Tak
ResourceGroup	Grupa zasobów klastra	Tak
NazwaKlastra	Nazwa klastra	Tak
ApiVersion	Wersja interfejsu API musi być >= 2022-06-01	Tak

Treść żądania:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parametry treści żądania:

Nazwa/nazwisko	opis	Obowiązkowy
lokalizacja	Lokalizacja klastra	Tak
properties.securityProfile.defender.securityMonitoring.enabled	Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze	Tak

Interfejs wiersza polecenia platformy Azure

Usuwanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Usuń usługę Microsoft Defender dla programu z następującymi poleceniami:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Usunięcie rozszerzenia może potrwać kilka minut.

2. Aby sprawdzić, czy rozszerzenie zostało pomyślnie usunięte, uruchom następujące polecenie:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Po usunięciu rozszerzenia powinno być widoczne, że w poleceniu get pods nie są zwracane żadne zasobniki. Usunięcie zasobników może potrwać kilka minut.

Resource Manager

Usuwanie czujnika usługi Defender z usługi AKS za pomocą usługi Azure Resource Manager

Aby usunąć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, musisz mieć obszar roboczy usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?

Odpowiednie szablony i parametry do usunięcia czujnika usługi Defender z usługi AKS to:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Dowiedz się więcej

Możesz zapoznać się z następującymi blogami:

• Ochrona obciążeń usługi Google Cloud za pomocą Microsoft Defender dla Chmury
• Wprowadzenie do usługi Microsoft Defender for Containers
• Nowa nazwa zabezpieczeń w wielu chmurach: Microsoft Defender dla Chmury

Następne kroki

Po włączeniu usługi Defender for Containers możesz wykonywać następujące czynności:

• Skanowanie obrazów usługi ACR pod kątem luk w zabezpieczeniach
• Skanowanie obrazów platformy AWS pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Skanowanie obrazów GGP pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.