Konfigurowanie składników usługi Microsoft Defender for Containers

Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów. Pomaga chronić klastry niezależnie od tego, czy działają w:

• Azure Kubernetes Service (AKS): zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.

• Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS): zarządzana usługa Amazon do uruchamiania platformy Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.

• Google Kubernetes Engine (GKE) w połączonym projekcie Google Cloud Platform (GCP): zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.

• Inne dystrybucje Platformy Kubernetes (przy użyciu platformy Kubernetes z obsługą usługi Azure Arc): certyfikowane klastry Kubernetes (Cloud Native Computing Foundation, CNCF) hostowane lokalnie lub w infrastrukturze jako usługa (IaaS). Aby uzyskać więcej informacji, zobacz Macierz obsługi kontenerów w Defender dla Chmury.

Najpierw możesz dowiedzieć się, jak nawiązać połączenie i pomóc chronić kontenery w następujących artykułach:

• Ochrona kontenerów platformy Azure za pomocą usługi Defender for Containers
• Ochrona lokalnych klastrów Kubernetes za pomocą usługi Defender for Containers
• Ochrona kontenerów usług Amazon Web Services (AWS) za pomocą usługi Defender for Containers
• Ochrona kontenerów usługi Google Cloud Platform (GCP) za pomocą usługi Defender for Containers

Możesz również dowiedzieć się więcej, oglądając te filmy wideo z Defender dla Chmury w serii wideo pól:

• Usługa Microsoft Defender for Containers w środowisku wielochmurowym
• Ochrona kontenerów w GCP za pomocą usługi Defender for Containers

Uwaga

Obsługa usługi Defender for Containers dla klastrów Kubernetes z obsługą usługi Azure Arc jest funkcją w wersji zapoznawczej. Funkcja w wersji zapoznawczej jest dostępna na zasadzie samoobsługi.

Wersje zapoznawcze są dostępne i dostępne. Są one wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji.

Aby dowiedzieć się więcej na temat obsługiwanych systemów operacyjnych, dostępności funkcji, serwera proxy ruchu wychodzącego i nie tylko, zobacz Macierz obsługi kontenerów w Defender dla Chmury.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.

Czujnik usługi Defender musi nawiązać połączenie ze skonfigurowanym obszarem roboczym usługi Azure Monitor Log Analytics. Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego. Jeśli ruch wychodzący z klastra zdarzeń wymaga użycia zakresu usługi Azure Monitor Private Link (AMPLS), musisz:

• Zdefiniuj klaster za pomocą szczegółowych informacji o kontenerze i obszaru roboczego usługi Log Analytics.
• Skonfiguruj protokół AMPLS z trybem dostępu do zapytań i trybem dostępu pozyskiwania ustawionym na Wartość Otwórz.
• Zdefiniuj obszar roboczy usługi Log Analytics klastra jako zasób w usłudze AMPLS.
• Utwórz w programie AMPLS prywatny punkt końcowy sieci wirtualnej między siecią wirtualną klastra a zasobem usługi Log Analytics. Prywatny punkt końcowy sieci wirtualnej integruje się z prywatną strefą DNS.

Aby uzyskać instrukcje, zobacz Tworzenie zakresu usługi Azure Monitor Private Link.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe dla wdrożeń chmury publicznej są skonfigurowane pod kątem dostępu wychodzącego. Skonfigurowanie ich pod kątem dostępu wychodzącego pomaga zapewnić, że czujnik usługi Defender może nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.

Domena platformy Azure	Domena platformy Azure Government	Platforma Azure obsługiwana przez domenę 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.

Włączanie planu

1. W Defender dla Chmury wybierz pozycję Ustawienia, a następnie wybierz odpowiednią subskrypcję.

2. Na stronie Plany usługi Defender wybierz pozycję Ustawienia kontenerów>.

   

   Napiwek

   Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją jest kontenery.

   

3. Włącz odpowiedni składnik.

   

   Uwaga

   • Klienci usługi Defender for Containers, którzy dołączyli przed sierpniem 2023 r. i nie mają odnajdywania bez agenta dla platformy Kubernetes włączonej w ramach zarządzania stanem zabezpieczeń w chmurze usługi Defender (CSPM), gdy włączyli plan, muszą ręcznie włączyć odnajdywanie bez agenta dla rozszerzenia Kubernetes w ramach planu defender for Containers.
   • Po wyłączeniu usługi Defender for Containers składniki są wyłączone. Nie są one wdrażane w więcej kontenerach, ale nie są usuwane z kontenerów, w których są już zainstalowane.

Metoda włączania na możliwość

Domyślnie po włączeniu planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego włączania wszystkich funkcji i instalowania wszystkich wymaganych składników w celu zapewnienia ochrony oferowanych przez plan. Ta konfiguracja obejmuje przypisanie domyślnego obszaru roboczego.

Jeśli nie chcesz włączyć wszystkich możliwości planów, możesz ręcznie wybrać określone możliwości, które mają zostać włączone, wybierając pozycję Edytuj konfigurację dla planu Kontenery . Następnie na stronie Ustawienia i monitorowanie wybierz możliwości, które chcesz włączyć. Tę konfigurację można również zmodyfikować na stronie plany usługi Defender po wstępnej konfiguracji planu.

Aby uzyskać szczegółowe informacje na temat metody włączania dla każdej możliwości, zobacz macierz obsługi.

Uprawnienia i role

Dowiedz się więcej o rolach dotyczących aprowizacji rozszerzeń usługi Defender for Containers.

Przypisywanie niestandardowego obszaru roboczego dla czujnika usługi Defender

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Ręczne wdrażanie czujnika usługi Defender lub agenta zasad platformy Azure bez automatycznej aprowizacji przy użyciu zaleceń

Możliwości wymagające instalacji czujnika można również wdrożyć w co najmniej jednym klastrze Kubernetes. Użyj odpowiedniego zalecenia:

Czujnik	Zalecenie
Czujnik usługi Defender dla platformy Kubernetes	Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
Czujnik usługi Defender dla platformy Kubernetes z obsługą usługi Azure Arc	Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
Agent usługi Azure Policy dla platformy Kubernetes	Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
Agent usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc	Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Aby wdrożyć czujnik usługi Defender w określonych klastrach:

1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń lub wyszukaj jedną z powyższych rekomendacji. (Możesz również użyć powyższych linków, aby bezpośrednio otworzyć zalecenie).

2. Wyświetl wszystkie klastry bez czujnika, otwierając kartę W złej kondycji .

3. Wybierz klastry, w których chcesz wdrożyć czujnik, a następnie wybierz pozycję Napraw.

4. Wybierz pozycję Napraw zasoby X.

Wdrażanie czujnika usługi Defender: wszystkie opcje

Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki przy użyciu witryny Azure Portal, interfejsu API REST lub szablonu usługi Azure Resource Manager. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Po wdrożeniu czujnika usługi Defender domyślny obszar roboczy zostanie automatycznie przypisany. Niestandardowy obszar roboczy można przypisać zamiast domyślnego obszaru roboczego za pomocą usługi Azure Policy.

Uwaga

Czujnik usługi Defender jest wdrażany w każdym węźle w celu zapewnienia ochrony środowiska uruchomieniowego i zbierania sygnałów z tych węzłów przy użyciu technologii eBPF.

Witryna Azure Portal

Użyj przycisku Napraw z zalecenia Defender dla Chmury

Za pomocą stron witryny Azure Portal można włączyć plan Defender dla Chmury i skonfigurować automatyczną aprowizację wszystkich niezbędnych składników do obrony klastrów Kubernetes na dużą skalę. Proces jest usprawniony.

Dedykowane zalecenie Defender dla Chmury zawiera:

• Wgląd w to, które z klastrów ma wdrożony czujnik usługi Defender.
• Przycisk Napraw , aby wdrożyć czujnik w klastrach, które go nie mają.

Aby wdrożyć czujnik:

1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender.

   Napiwek

   Zwróć uwagę na ikonę Napraw w kolumnie Akcje .

3. Wybierz klastry, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji (klastry z czujnikiem i bez tego czujnika).

4. Na liście zasobów w złej kondycji wybierz klaster. Następnie wybierz pozycję Koryguj , aby otworzyć okienko z potwierdzeniem korygowania.

5. Wybierz pozycję Napraw zasoby X.

Interfejs API REST

Wdrażanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby zainstalować securityProfile istniejący klaster przy użyciu interfejsu API REST, uruchom następujące PUT polecenie:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Oto identyfikator URI żądania:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Zapytanie żądania ma następujące parametry:

Nazwa/nazwisko	opis	Obowiązkowy
SubscriptionId	Identyfikator subskrypcji klastra	Tak
ResourceGroup	Grupa zasobów klastra	Tak
ClusterName	Nazwa klastra	Tak
ApiVersion	Wersja interfejsu API; musi mieć wartość 2022-06-01 lub nowszą	Tak

Jest to treść żądania:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Treść żądania ma następujące parametry:

Nazwa/nazwisko	opis	Obowiązkowy
location	Lokalizacja klastra	Tak
properties.securityProfile.defender.securityMonitoring.enabled	Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze	Tak
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Identyfikator zasobu platformy Azure dla obszaru roboczego usługi Log Analytics	Tak

Interfejs wiersza polecenia platformy Azure

Wdrażanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Zaloguj się do platformy Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Ważne

   Upewnij się, że używasz tego samego identyfikatora subskrypcji co <your-subscription-id> ten, który jest skojarzony z klastrem usługi AKS.

2. Włącz czujnik usługi Defender w kontenerach:

   • Uruchom następujące polecenie, aby utworzyć nowy klaster z włączonym czujnikiem usługi Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Uruchom następujące polecenie, aby włączyć czujnik usługi Defender w istniejącym klastrze:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Poniżej przedstawiono obsługiwane ustawienia konfiguracji w typie czujnika usługi Defender:

   Właściwości

   opis

   logAnalyticsWorkspaceResourceId

   Opcjonalne. Pełny identyfikator zasobu własnego obszaru roboczego usługi Log Analytics. Jeśli go nie podasz, zostanie użyty domyślny obszar roboczy regionu. Aby uzyskać pełny identyfikator zasobu, uruchom następujące polecenie, aby wyświetlić listę obszarów roboczych w subskrypcjach w domyślnym formacie JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Identyfikator zasobu obszaru roboczego usługi Log Analytics ma następującą składnię: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

   Te ustawienia można uwzględnić w pliku JSON i określić plik JSON w az aks create poleceniach i az aks update za pomocą tego parametru: --defender-config <path-to-JSON-file>. Format pliku JSON musi być następujący:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Dowiedz się więcej o poleceniach interfejsu wiersza polecenia usługi AKS w narzędziu az aks.

3. Aby sprawdzić, czy czujnik został pomyślnie dodany, uruchom następujące polecenie na maszynie z plikiem kubeconfig wskazywanym na klaster:

   kubectl get pods -n kube-system
   

   Po dodaniu czujnika powinien zostać wyświetlony zasobnik o nazwie microsoft-defender-XXXXX w Running stanie . Dodanie zasobników może potrwać kilka minut.

Resource Manager

Wdrażanie czujnika usługi Defender przy użyciu usługi Azure Resource Manager

Aby wdrożyć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, potrzebujesz obszaru roboczego usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?.

Aby zainstalować securityProfile w istniejącym klastrze przy użyciu usługi Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Włączanie planu

1. W Defender dla Chmury wybierz pozycję Ustawienia, a następnie wybierz odpowiednią subskrypcję.

2. Na stronie Plany usługi Defender wybierz pozycję Ustawienia kontenerów>.

   

   Napiwek

   Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją jest kontenery.

   

3. Włącz odpowiedni składnik.

   

   Uwaga

   Po wyłączeniu usługi Defender for Containers składniki są wyłączone. Nie są one wdrażane w więcej kontenerach, ale nie są usuwane z kontenerów, w których są już zainstalowane.

Domyślnie po włączeniu planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony, które oferuje plan. Ta konfiguracja obejmuje przypisanie domyślnego obszaru roboczego.

Jeśli chcesz wyłączyć automatyczną instalację składników podczas procesu dołączania, wybierz pozycję Edytuj konfigurację dla planu kontenerów . Pojawią się opcje zaawansowane i można wyłączyć automatyczną instalację dla każdego składnika.

Tę konfigurację można również zmodyfikować na stronie planów usługi Defender.

Uwaga

Jeśli zdecydujesz się wyłączyć plan w dowolnym momencie po włączeniu go za pośrednictwem portalu, musisz ręcznie usunąć składniki usługi Defender for Containers wdrożone w klastrach.

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Jeśli wyłączysz automatyczną instalację dowolnego składnika, możesz łatwo wdrożyć składnik w co najmniej jednym klastrze przy użyciu odpowiedniego zalecenia:

• Dodatek usługi Azure Policy dla platformy Kubernetes: klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
• Profil usługi Azure Kubernetes Service: klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
• Rozszerzenie usługi Defender dla platformy Kubernetes z obsługą usługi Azure Arc: klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
• Rozszerzenie usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc: klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Dowiedz się więcej o rolach dotyczących aprowizacji rozszerzeń usługi Defender for Containers.

Wymagania wstępne

Przed wdrożeniem czujnika upewnij się, że:

• Połącz klaster Kubernetes z usługą Azure Arc.
• Wypełnij wymagania wstępne wymienione w dokumentacji dla ogólnych rozszerzeń klastra.

Wdrażanie czujnika usługi Defender

Czujnik usługi Defender można wdrożyć przy użyciu szeregu metod. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Witryna Azure Portal

Użyj przycisku Napraw z zalecenia Defender dla Chmury

Dedykowane zalecenie Defender dla Chmury zawiera:

• Wgląd w to, które z klastrów ma wdrożony czujnik usługi Defender.
• Przycisk Napraw , aby wdrożyć czujnik w klastrach, które go nie mają.

Aby wdrożyć czujnik:

1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc, powinny mieć włączone rozszerzenie usługi Microsoft Defender.

   

   Napiwek

   Zwróć uwagę na ikonę Napraw w kolumnie Akcje .

3. Wybierz czujnik, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji (klastry z czujnikiem i bez tego czujnika).

4. Na liście zasobów w złej kondycji wybierz klaster. Następnie wybierz pozycję Koryguj , aby otworzyć okienko z opcjami korygowania.

5. Wybierz odpowiedni obszar roboczy usługi Log Analytics, a następnie wybierz pozycję Koryguj x zasobu.

   

Interfejs wiersza polecenia platformy Azure

Wdrażanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

1. Zaloguj się do platformy Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Ważne

   Upewnij się, że używasz tego samego identyfikatora subskrypcji jako <your-subscription-id> identyfikatora użytego podczas łączenia klastra z usługą Azure Arc.

2. Uruchom następujące polecenie, aby wdrożyć czujnik w klastrze Kubernetes z włączoną usługą Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Poniżej przedstawiono obsługiwane ustawienia konfiguracji w typie czujnika usługi Defender:

   Właściwości	opis
   logAnalyticsWorkspaceResourceID	Opcjonalne. Pełny identyfikator zasobu własnego obszaru roboczego usługi Log Analytics. Jeśli go nie podasz, zostanie użyty domyślny obszar roboczy regionu. Aby uzyskać pełny identyfikator zasobu, uruchom następujące polecenie, aby wyświetlić listę obszarów roboczych w subskrypcjach w domyślnym formacie JSON: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Identyfikator zasobu obszaru roboczego usługi Log Analytics ma następującą składnię: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Dowiedz się więcej w obszarach roboczych usługi Log Analytics.
   auditLogPath	Opcjonalne. Pełna ścieżka do plików dziennika inspekcji. Jeśli go nie podasz, zostanie użyta ścieżka /var/log/kube-apiserver/audit.log domyślna. W przypadku aparatu AKS ścieżka standardowa to /var/log/kubeaudit/audit.log.

   Następujące polecenie przedstawia przykładowe użycie wszystkich pól opcjonalnych:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Wdrażanie czujnika usługi Defender przy użyciu usługi Azure Resource Manager

Aby wdrożyć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, potrzebujesz obszaru roboczego usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Możesz użyć szablonu usługi azure-defender-extension-arm-template.json Resource Manager z przykładów instalacji Defender dla Chmury.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?.

Interfejs API REST

Wdrażanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby użyć interfejsu API REST do wdrożenia czujnika usługi Defender, potrzebujesz obszaru roboczego usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Aby ręcznie wdrożyć czujnik przy użyciu interfejsu API REST, uruchom następujące PUT polecenie:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Polecenie zawiera następujące parametry:

Nazwisko	W	Wymagania	Type	Opis
Subscription ID	Ścieżka	Prawda	String	Identyfikator subskrypcji zasobu platformy Kubernetes z włączoną usługą Azure Arc
Resource Group	Ścieżka	Prawda	String	Nazwa grupy zasobów zawierającej zasób Kubernetes z włączoną usługą Azure Arc
Cluster Name	Ścieżka	Prawda	String	Nazwa zasobu Kubernetes z obsługą usługi Azure Arc

W przypadku uwierzytelniania nagłówek musi mieć token elementu nośnego (podobnie jak w przypadku innych interfejsów API platformy Azure). Aby uzyskać token elementu nośnego, uruchom następujące polecenie:

az account get-access-token --subscription <your-subscription-id>

Użyj następującej struktury treści komunikatu:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

Treść komunikatu zawiera następujące właściwości:

Właściwości	opis
logAnalytics.workspaceId	Identyfikator obszaru roboczego zasobu usługi Log Analytics.
logAnalytics.key	Klucz zasobu usługi Log Analytics.
auditLogPath	Opcjonalne. Pełna ścieżka do plików dziennika inspekcji. Domyślna wartość to /var/log/kube-apiserver/audit.log.

Weryfikowanie wdrożenia

Aby sprawdzić, czy klaster ma zainstalowany czujnik usługi Defender, wykonaj kroki na jednej z poniższych kart.

Azure Portal — Defender dla Chmury

Użyj Defender dla Chmury rekomendacji, aby zweryfikować stan czujnika

1. Na stronie zalecenia Microsoft Defender dla Chmury otwórz pozycję Włącz kontrolę zabezpieczeń Microsoft Defender dla Chmury.

2. Wybierz zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc powinno mieć włączone rozszerzenie usługi Microsoft Defender.

   

3. Sprawdź, czy klaster, na którym wdrożono czujnik, jest wymieniony jako W dobrej kondycji.

Azure Portal — Azure Arc

Używanie stron usługi Azure Arc do weryfikowania stanu czujnika

1. W witrynie Azure Portal otwórz usługę Azure Arc.

2. Na liście infrastruktury wybierz pozycję Klastry Kubernetes, a następnie wybierz określony klaster.

3. Otwórz stronę Rozszerzenia. Strona zawiera listę rozszerzeń w klastrze. Aby sprawdzić, czy czujnik usługi Defender został poprawnie zainstalowany, sprawdź kolumnę Stan instalacji.

   

4. Aby uzyskać więcej informacji, wybierz rozszerzenie.

   

Interfejs wiersza polecenia platformy Azure

Użyj interfejsu wiersza polecenia platformy Azure, aby sprawdzić, czy czujnik został wdrożony

1. Uruchom następujące polecenie w interfejsie wiersza polecenia platformy Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. W odpowiedzi poszukaj "extensionType": "microsoft.azuredefender.kubernetes" i "installState": "Installed".

   Uwaga

   Odpowiedź może być wyświetlana "installState": "Pending" przez pierwsze kilka minut.

3. Jeśli stan to Installed, uruchom następujące polecenie na maszynie z plikiem wskazującym kubeconfig klaster. Następnie sprawdź, czy wszystkie zasobniki w mdc przestrzeni nazw są w Running stanie .

   kubectl get pods -n mdc
   

Interfejs API REST

Użyj interfejsu API REST, aby sprawdzić, czy czujnik został wdrożony

Aby potwierdzić pomyślne wdrożenie lub zweryfikować stan czujnika w dowolnym momencie:

1. Uruchom następujące polecenie GET:

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. W odpowiedzi wyszukaj ciąg "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed".

   Napiwek

   Odpowiedź może być wyświetlana "installState": "Pending" przez pierwsze kilka minut.

3. Jeśli stan to Installed, uruchom następujące polecenie na maszynie z plikiem wskazującym kubeconfig klaster. Następnie sprawdź, czy wszystkie zasobniki w mdc przestrzeni nazw są w Running stanie .

   kubectl get pods -n mdc
   

Włączanie planu

Ważne

• Jeśli nie nawiązaliśmy połączenia z kontem platformy AWS, połącz swoje konto platformy AWS z Microsoft Defender dla Chmury przed rozpoczęciem poniższych kroków.
• Jeśli plan został już włączony w łączniku i chcesz zmienić opcjonalne konfiguracje lub włączyć nowe możliwości, przejdź bezpośrednio do kroku 4.

Aby ułatwić ochronę klastrów EKS, włącz plan usługi Defender for Containers w odpowiednim łączniku konta:

1. W Defender dla Chmury otwórz pozycję Ustawienia środowiska.

2. Wybierz łącznik AWS.

   

3. Sprawdź, czy przełącznik dla planu kontenerów ma wartość Włączone.

   

4. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

   

   • Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, ustaw przełącznik dla tej funkcji na wartość Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.

     Uwaga

     Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń (płaszczyzny sterowania) również zostanie wyłączona. Dowiedz się więcej o dostępności funkcji.

   • Funkcja Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

   • Funkcja oceny luk w zabezpieczeniach kontenerów bez agenta udostępnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

5. Przejdź do pozostałych stron kreatora łącznika.

6. Jeśli włączasz funkcję Odnajdywanie bez agenta dla platformy Kubernetes , musisz udzielić uprawnień płaszczyzny sterowania w klastrze. Uprawnienia można przyznać w jeden z następujących sposobów:

   • Uruchom ten skrypt języka Python. Skrypt dodaje rolę MDCContainersAgentlessDiscoveryK8sRole Defender dla Chmury dla aws-auth ConfigMap klastrów EKS, do których chcesz dołączyć.

   • Przyznaj każdemu MDCContainersAgentlessDiscoveryK8sRole klastrowi Usługi Amazon EKS rolę z możliwością interakcji z klastrem. Zaloguj się do wszystkich istniejących i nowo utworzonych klastrów przy użyciu narzędzia eksctl i uruchom następujący skrypt:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Aby uzyskać więcej informacji, zobacz Grant IAM users access to Kubernetes with EKS access wpisów w podręczniku użytkownika usługi Amazon EKS.

7. Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieje dedykowane zalecenie Defender dla Chmury dotyczące instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby): klastry EKS powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc.

   Aby zainstalować wymagane rozszerzenia, wykonaj następujące czynności:

   1. Na stronie zalecenia Defender dla Chmury wyszukaj i wybierz klastry EKS, które powinny mieć zainstalowane zalecenie dotyczące usługi Microsoft Defender dla usługi Azure Arc.

   2. Wybierz klaster w złej kondycji.

      Ważne

      Należy wybrać klastry pojedynczo.

      Nie wybieraj klastrów według ich hiperlinków. Wybierz dowolne miejsce w odpowiednim wierszu.

   3. Wybierz pozycję Napraw.

   4. Defender dla Chmury generuje skrypt w wybranym języku: wybierz pozycję Bash (dla systemu Linux) lub PowerShell (dla systemu Windows).

   5. Wybierz pozycję Pobierz logikę korygowania.

   6. Uruchom wygenerowany skrypt w klastrze.

   

Wyświetlanie zaleceń i alertów dla klastrów EKS

Napiwek

Alerty kontenerów można symulować, postępując zgodnie z instrukcjami w tym wpisie w blogu.

Aby wyświetlić alerty i zalecenia dotyczące klastrów EKS, użyj filtrów na stronach alertów, zaleceń i spisu, aby filtrować według typu zasobu klastra EKS platformy AWS.

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach platformy AWS:

1. Przejdź do pozycji Microsoft Defender dla Chmury> Ustawieniaśrodowisko>Dodaj środowisko>Amazon Web Services.

   

2. Podaj szczegóły konta.

   

3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc ma wartość Włączone.

   

4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

   

5. Po pomyślnym wdrożeniu szablonu tworzenia chmury wybierz pozycję Utwórz.

Uwaga

Możesz wykluczyć określony klaster AWS z automatycznej aprowizacji. W przypadku wdrożenia czujnika ms_defender_container_exclude_agents zastosuj tag w zasobie z wartością true. W przypadku wdrożenia bez agenta ms_defender_container_exclude_agentless zastosuj tag w zasobie z wartością true.

Włączanie planu

Ważne

Jeśli projekt GCP nie został połączony, połącz projekt GCP z Microsoft Defender dla Chmury.

Aby ułatwić ochronę klastrów GKE, wykonaj następujące kroki, aby włączyć plan usługi Defender for Containers w odpowiednim projekcie GCP.

Uwaga

Sprawdź, czy nie masz żadnych zasad platformy Azure, które uniemożliwiają instalację usługi Azure Arc.

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do Microsoft Defender dla Chmury> Ustawienia środowiska.

3. Wybierz odpowiedni łącznik GCP.

   

4. Wybierz przycisk Dalej: Wybierz plany>.

5. Upewnij się, że przełącznik dla planu kontenerów jest włączony.

   

6. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

   

   • Dzienniki inspekcji platformy Kubernetes do Defender dla Chmury: włączone domyślnie. Ta konfiguracja jest dostępna tylko na poziomie projektu GCP. Udostępnia ona bez agenta zbieranie danych dziennika inspekcji za pośrednictwem rejestrowania chmury GCP do zaplecza Microsoft Defender dla Chmury na potrzeby dalszej analizy. Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, ustaw przełącznik na Wł.

     Uwaga

     Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń (płaszczyzny sterowania) również zostanie wyłączona. Dowiedz się więcej o dostępności funkcji.

   • Automatycznie aprowizacja czujnika usługi Defender dla usługi Azure Arc i automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc: domyślnie włączona. Platforma Kubernetes z obsługą usługi Azure Arc i jej rozszerzenia można zainstalować w klastrach GKE na trzy sposoby:

     • Włącz automatyczną aprowizację usługi Defender for Containers na poziomie projektu, jak wyjaśniono w instrukcjach w tej sekcji. Zalecamy tę metodę.
     • Użyj Defender dla Chmury rekomendacji dotyczących instalacji poszczególnych klastrów. Są one wyświetlane na stronie zalecenia Microsoft Defender dla Chmury. Dowiedz się, jak wdrożyć rozwiązanie w określonych klastrach.
     • Ręcznie zainstaluj platformę Kubernetes z obsługą usługi Azure Arc i rozszerzenia.

   • Funkcja Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

   • Funkcja oceny luk w zabezpieczeniach kontenerów bez agenta udostępnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w rejestrach Google (Google Artifact Registry i Google Container Registry) oraz uruchamianiu obrazów w klastrach GKE. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

7. Wybierz przycisk Kopiuj.

   

8. Wybierz przycisk GCP Cloud Shell>.

9. Wklej skrypt do terminalu usługi Cloud Shell i uruchom go.

Łącznik zostanie zaktualizowany po uruchomieniu skryptu. Ukończenie tego procesu może potrwać do 8 godzin.

Wdrażanie rozwiązania w określonych klastrach

W przypadku ustawienia dowolnej z domyślnych konfiguracji automatycznej aprowizacji na Wyłączone podczas procesu dołączania łącznika GCP lub później należy ręcznie zainstalować platformę Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługę Azure Policy dla platformy Kubernetes w każdym klastrze GKE. Zainstalowanie ich pomaga zagwarantować, że uzyskasz pełną wartość zabezpieczeń z usługi Defender for Containers.

Możesz użyć dwóch dedykowanych rekomendacji Defender dla Chmury do zainstalowania rozszerzeń (i usługi Azure Arc, jeśli to konieczne):

• Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc
• Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Uwaga

Podczas instalowania rozszerzeń usługi Arc należy sprawdzić, czy podany projekt GCP jest identyczny z tym, który znajduje się w odpowiednim łączniku.

Aby wdrożyć rozwiązanie w określonych klastrach:

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

3. Na stronie Defender dla Chmury Zalecenia wyszukaj jedną z rekomendacji według nazwy.

   

4. Wybierz klaster GKE w złej kondycji.

   Ważne

   Należy wybrać klastry pojedynczo.

   Nie wybieraj klastrów według ich hiperlinków. Wybierz dowolne miejsce w odpowiednim wierszu.

5. Wybierz nazwę zasobu w złej kondycji.

6. Wybierz pozycję Napraw.

   

7. Defender dla Chmury generuje skrypt w wybranym języku:

   • W przypadku systemu Linux wybierz pozycję Bash.
   • W przypadku systemu Windows wybierz pozycję PowerShell.

8. Wybierz pozycję Pobierz logikę korygowania.

9. Uruchom wygenerowany skrypt w klastrze.

10. Powtórz kroki od 3 do 8 dla innego zalecenia.

Wyświetlanie alertów klastra GKE

1. Zaloguj się w witrynie Azure Portal.

2. Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.

3. Wybierz przycisk .

4. W menu rozwijanym Filtr wybierz pozycję Typ zasobu.

5. W menu rozwijanym Wartość wybierz pozycję Klaster GKE GCP.

6. Wybierz OK

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach GCP:

1. Przejdź do pozycji Microsoft Defender dla Chmury> Ustawienia>środowiska Dodaj środowisko>Google Cloud Platform.

   

2. Podaj szczegóły konta.

   

3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc ma wartość Włączone.

   

4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

   

5. Po pomyślnym uruchomieniu skryptu gcloud wybierz pozycję Utwórz.

Uwaga

Z automatycznej aprowizacji można wykluczyć określony klaster GCP. W przypadku wdrożenia czujnika zastosuj etykietę ms_defender_container_exclude_agents na zasobie z wartością true. W przypadku wdrożenia bez agenta zastosuj etykietę ms_defender_container_exclude_agentless na zasobie z wartością true.

Symulowanie alertów zabezpieczeń z usługi Microsoft Defender for Containers

Pełna lista obsługiwanych alertów jest dostępna w tabeli referencyjnej wszystkich alertów zabezpieczeń Defender dla Chmury.

Aby zasymulować alert zabezpieczeń:

1. Uruchom następujące polecenie z klastra:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Oczekiwana odpowiedź to No resource found.

   W ciągu 30 minut Defender dla Chmury wykrywa to działanie i wyzwala alert zabezpieczeń.

   Uwaga

   Usługa Azure Arc nie jest wymaganiem wstępnym do symulowania alertów bez agenta dla usługi Defender for Containers.

2. W witrynie Azure Portal przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń i poszukaj alertu dla odpowiedniego zasobu.

   

Usuwanie czujnika usługi Defender

Aby usunąć to (lub dowolne) rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczną aprowizację:

• Włączenie automatycznej aprowizacji potencjalnie wpływa na istniejące i przyszłe maszyny.
• Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny. Nic nie zostanie odinstalowane po wyłączeniu automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do pozycji Ustawienia środowiska i wyłącz usługę Microsoft Defender for Containers.

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są teraz automatycznie aprowidowane w zasobach, wyłącz automatyczną aprowizację rozszerzeń.

Rozszerzenie można usunąć z aktualnie uruchomionych maszyn przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST, zgodnie z opisem na poniższych kartach.

Azure Portal — Arc

Usuwanie rozszerzenia za pomocą witryny Azure Portal

1. W witrynie Azure Portal otwórz usługę Azure Arc.

2. Na liście infrastruktury wybierz pozycję Klastry Kubernetes, a następnie wybierz określony klaster.

3. Otwórz stronę Rozszerzenia, która zawiera listę rozszerzeń w klastrze.

4. Wybierz rozszerzenie, a następnie wybierz pozycję Odinstaluj.

   

Interfejs wiersza polecenia platformy Azure

Usuwanie czujnika usługi Defender za pomocą interfejsu wiersza polecenia platformy Azure

1. Usuń rozszerzenie usługi Azure Arc dla usługi Microsoft Defender dla platformy Kubernetes przy użyciu następujących poleceń:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Usunięcie rozszerzenia może potrwać kilka minut. Zalecamy, aby poczekać, zanim spróbujesz sprawdzić, czy operacja zakończyła się pomyślnie.

2. Aby sprawdzić, czy rozszerzenie zostało pomyślnie usunięte, uruchom następujące polecenia:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Sprawdź, czy w klastrze nie ma zasobników w mdc przestrzeni nazw. Uruchom następujące polecenie z plikiem wskazującym kubeconfig klaster:

   kubectl get pods -n mdc
   

   Usunięcie zasobników może potrwać kilka minut.

Interfejs API REST

Usuwanie czujnika usługi Defender przy użyciu interfejsu API REST

Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące DELETE polecenie:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Polecenie zawiera następujące parametry:

Nazwisko	W	Wymagania	Type	Opis
Subscription ID	Ścieżka	Prawda	String	Identyfikator subskrypcji klastra Kubernetes z włączoną usługą Azure Arc
Resource Group	Ścieżka	Prawda	String	Grupa zasobów klastra Kubernetes z włączoną usługą Azure Arc
Cluster Name	Ścieżka	Prawda	String	Nazwa klastra Kubernetes z obsługą usługi Azure Arc

W przypadku uwierzytelniania nagłówek musi mieć token elementu nośnego (podobnie jak w przypadku innych interfejsów API platformy Azure). Aby uzyskać token elementu nośnego, uruchom następujące polecenie:

az account get-access-token --subscription <your-subscription-id>

Ukończenie żądania może potrwać kilka minut.

Ustawianie domyślnego obszaru roboczego usługi Log Analytics dla usługi AKS

Czujnik usługi Defender używa obszaru roboczego usługi Log Analytics jako potoku danych do wysyłania danych z klastra do Defender dla Chmury. Obszar roboczy nie zachowuje żadnych danych. W związku z tym użytkownicy nie są rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy podczas instalowania czujnika usługi Defender. Domyślny obszar roboczy jest oparty na Twoim regionie.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

• Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
• Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zasady.

   

3. Wybierz pozycję Definicje.

4. Wyszukaj identyfikator 64def556-fbad-4622-930e-72d1d5589bf5zasad .

   

5. Wybierz pozycję Konfiguruj klastry usługi Azure Kubernetes Service, aby włączyć profil usługi Defender.

6. Wybierz pozycję Przypisania.

   

7. Użyj jednej z następnych sekcji w tym artykule w następujący sposób:

   • Jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu, wykonaj kroki Tworzenie nowego przypisania z niestandardowym obszarem roboczym .
   • Jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego, wykonaj kroki Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego .

Tworzenie nowego przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady nie zostały jeszcze przypisane, na karcie Przypisania zostanie wyświetlona liczba 0.

Aby przypisać niestandardowy obszar roboczy:

1. Zaznacz Przypisz.

2. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

3. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

   

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady są przypisane do obszaru roboczego, na karcie Przypisania zostanie wyświetlona liczba 1.

Uwaga

Jeśli masz więcej niż jedną subskrypcję, liczba może być większa.

Aby przypisać niestandardowy obszar roboczy:

1. Wybierz odpowiednie przypisanie.

   

2. Wybierz pozycję Edytuj przypisanie.

3. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

4. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

   

5. Wybierz pozycję Przejrzyj i zapisz.

6. Wybierz pozycję Zapisz.

Domyślny obszar roboczy usługi Log Analytics dla usługi Azure Arc

Czujnik usługi Defender używa obszaru roboczego usługi Log Analytics jako potoku danych do wysyłania danych z klastra do Defender dla Chmury. Obszar roboczy nie zachowuje żadnych danych. W związku z tym użytkownicy nie są rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy podczas instalowania czujnika usługi Defender. Domyślny obszar roboczy jest oparty na Twoim regionie.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

• Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
• Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zasady.

   

3. Wybierz pozycję Definicje.

4. Wyszukaj identyfikator 708b60a6-d253-4fe0-9114-4be4c00f012czasad .

   

5. Wybierz pozycję Konfiguruj klastry Kubernetes z włączoną usługą Azure Arc, aby zainstalować rozszerzenie Microsoft Defender dla Chmury.

6. Wybierz pozycję Przypisania.

   

7. Użyj jednej z następnych sekcji w tym artykule w następujący sposób:

   • Jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu, wykonaj kroki Tworzenie nowego przypisania z niestandardowym obszarem roboczym .
   • Jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego, wykonaj kroki Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego .

Tworzenie nowego przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady nie zostały jeszcze przypisane, na karcie Przypisania zostanie wyświetlona liczba 0.

Aby przypisać niestandardowy obszar roboczy:

1. Zaznacz Przypisz.

2. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

3. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

   

4. Wybierz pozycję Przejrzyj i utwórz.

5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady są przypisane do obszaru roboczego, na karcie Przypisania zostanie wyświetlona liczba 1.

Uwaga

Jeśli masz więcej niż jedną subskrypcję, liczba może być większa. Jeśli masz liczbę 1 lub większą, ale przypisanie nie znajduje się w odpowiednim zakresie, wykonaj kroki Tworzenie nowego przypisania z niestandardowym obszarem roboczym.

Aby przypisać niestandardowy obszar roboczy:

1. Wybierz odpowiednie przypisanie.

   

2. Wybierz pozycję Edytuj przypisanie.

3. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

4. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

   

5. Wybierz pozycję Przejrzyj i zapisz.

6. Wybierz pozycję Zapisz.

Usuwanie czujnika usługi Defender

Aby usunąć to (lub dowolne) rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczną aprowizację:

• Włączenie automatycznej aprowizacji potencjalnie wpływa na istniejące i przyszłe maszyny.
• Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny. Nic nie zostanie odinstalowane po wyłączeniu automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do pozycji Ustawienia środowiska i wyłącz usługę Microsoft Defender for Containers.

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są teraz automatycznie aprowidowane w zasobach, wyłącz automatyczną aprowizację rozszerzeń.

Rozszerzenie można usunąć z aktualnie uruchomionych maszyn przy użyciu interfejsu API REST, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Resource Manager, jak wyjaśniono na poniższych kartach.

Interfejs API REST

Usuwanie czujnika usługi Defender z usługi AKS przy użyciu interfejsu API REST

Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące PUT polecenie:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Polecenie zawiera następujące parametry:

Nazwa/nazwisko	opis	Obowiązkowy
SubscriptionId	Identyfikator subskrypcji klastra	Tak
ResourceGroup	Grupa zasobów klastra	Tak
ClusterName	Nazwa klastra	Tak
ApiVersion	Wersja interfejsu API; musi mieć wartość 2022-06-01 lub nowszą	Tak

Jest to treść żądania:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Treść żądania ma następujące parametry:

Nazwa/nazwisko	opis	Obowiązkowy
location	Lokalizacja klastra	Tak
properties.securityProfile.defender.securityMonitoring.enabled	Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze	Tak

Interfejs wiersza polecenia platformy Azure

Usuwanie czujnika usługi Defender za pomocą interfejsu wiersza polecenia platformy Azure

1. Uruchom następujące polecenia:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Usunięcie rozszerzenia może potrwać kilka minut.

2. Aby sprawdzić, czy rozszerzenie zostało pomyślnie usunięte, uruchom następujące polecenie:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Po usunięciu get pods rozszerzenia polecenie nie zwraca żadnych zasobników. Usunięcie zasobników może potrwać kilka minut.

Resource Manager

Usuwanie czujnika usługi Defender z usługi AKS za pomocą usługi Azure Resource Manager

Aby usunąć czujnik usługi Defender przy użyciu usługi Azure Resource Manager, potrzebujesz obszaru roboczego usługi Log Analytics w ramach subskrypcji. Dowiedz się więcej w obszarach roboczych usługi Log Analytics.

Napiwek

Jeśli dopiero zaczynasz korzystać z szablonów usługi Resource Manager, zacznij tutaj: Co to są szablony usługi Azure Resource Manager?.

Odpowiednie szablony i parametry do usunięcia czujnika usługi Defender z usługi AKS to:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Powiązana zawartość

Po włączeniu usługi Defender for Containers możesz wykonywać następujące czynności:

• Skanowanie obrazów usługi Azure Container Registry pod kątem luk w zabezpieczeniach
• Skanowanie obrazów platformy AWS pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Skanowanie obrazów GCP pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
• Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.

Aby dowiedzieć się więcej na temat Defender dla Chmury i usługi Defender for Containers, zapoznaj się z następującymi blogami:

• Ochrona obciążeń usługi Google Cloud za pomocą Microsoft Defender dla Chmury
• Wprowadzenie do usługi Microsoft Defender for Containers
• Nowa nazwa zabezpieczeń w wielu chmurach: Microsoft Defender dla Chmury