Konfigurowanie składników usługi Microsoft Defender for Containers
Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów.
Usługa Defender dla Kontenerów chroni klastry niezależnie od tego, czy działają w:
Azure Kubernetes Service (AKS) — zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.
Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS) — zarządzana usługa Amazon do uruchamiania rozwiązania Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.
Google Kubernetes Engine (GKE) w połączonym projekcie Google Cloud Platform (GCP) — zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.
Inne dystrybucje Platformy Kubernetes (przy użyciu platformy Kubernetes z obsługą usługi Azure Arc) — certyfikowane klastry Kubernetes (Cloud Native Computing Foundation, CNCF) hostowane lokalnie lub w usłudze IaaS. Aby uzyskać więcej informacji, zobacz sekcję On-prem/IaaS (Arc) w temacie Obsługiwane funkcje według środowiska.
Dowiedz się więcej o tym planie w temacie Omówienie usługi Microsoft Defender for Containers.
Najpierw możesz dowiedzieć się, jak łączyć i chronić kontenery w następujących artykułach:
- Ochrona kontenerów platformy Azure za pomocą usługi Defender for Containers
- Ochrona lokalnych klastrów Kubernetes za pomocą usługi Defender for Containers
- Ochrona kontenerów kont usługi Amazon Web Service (AWS) za pomocą usługi Defender for Containers
- Ochrona kontenerów projektu Google Cloud Platform (GCP) za pomocą usługi Defender for Containers
Możesz również dowiedzieć się więcej, oglądając te filmy wideo z Defender dla Chmury w serii wideo Field:
- Usługa Microsoft Defender for Containers w środowisku wielochmurowym
- Ochrona kontenerów w GCP za pomocą usługi Defender for Containers
Uwaga
Obsługa usługi Defender for Containers dla klastrów Kubernetes z obsługą usługi Arc jest funkcją w wersji zapoznawczej. Funkcja w wersji zapoznawczej jest dostępna na zasadzie samoobsługi.
Wersje zapoznawcze są udostępniane w wersji "as is" i "jako dostępne" i są wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji.
Aby dowiedzieć się więcej o obsługiwanych systemach operacyjnych, dostępności funkcji, serwerze proxy ruchu wychodzącego i nie tylko, zobacz dostępność funkcji usługi Defender for Containers.
Wymagania dotyczące sieci
Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:
Zobacz wymagane reguły nazwy FQDN/aplikacji dla usługi Microsoft Defender for Containers.
Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego.
Czujnik usługi Defender musi nawiązać połączenie ze skonfigurowanym obszarem roboczym usługi Azure Monitor Log Analytics. W przypadku ruchu wychodzącego z klastra wymaga użycia zakresu usługi Azure Monitor Private Link (AMPLS), musisz:
- Definiowanie klastra za pomocą usługi Container Insights i obszaru roboczego usługi Log Analytics
- Konfigurowanie protokołu AMPLS z trybem dostępu do zapytań i trybem dostępu pozyskiwania ustawionym na "Otwórz"
- Definiowanie obszaru roboczego usługi Log Analytics klastra jako zasobu w usłudze AMPLS
- Utwórz w programie AMPLS prywatny punkt końcowy sieci wirtualnej między siecią wirtualną klastra a zasobem usługi Log Analytics. Prywatny punkt końcowy sieci wirtualnej integruje się z prywatną strefą DNS.
Aby uzyskać instrukcje, zobacz Tworzenie usługi Azure Monitor Private Link.
Wymagania dotyczące sieci
Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:
W przypadku wdrożeń w chmurze publicznej:
Domena platformy Azure | Domena platformy Azure Dla instytucji rządowych | Platforma Microsoft Azure obsługiwana przez domenę 21Vianet | Port |
---|---|---|---|
*.ods.opinsights.azure.com | *.ods.opinsights.azure.us | *.ods.opinsights.azure.cn | 443 |
*.oms.opinsights.azure.com | *.oms.opinsights.azure.us | *.oms.opinsights.azure.cn | 443 |
login.microsoftonline.com | login.microsoftonline.us | login.chinacloudapi.cn | 443 |
Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.
Włączanie planu
Aby włączyć plan:
W menu Defender dla Chmury otwórz stronę Ustawienia i wybierz odpowiednią subskrypcję.
Na stronie Plany usługi Defender wybierz pozycję Defender for Containers i wybierz pozycję Ustawienia.
Napiwek
Jeśli subskrypcja ma już włączoną usługę Defender dla platformy Kubernetes i/lub defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją będzie defender for Containers.
Włącz odpowiedni składnik, aby go włączyć.
Uwaga
- Klienci usługi Defenders for Containers, którzy dołączyli przed sierpniem 2023 r. i nie mają włączonego odnajdywania bez agenta dla platformy Kubernetes w ramach CSPM w usłudze Defender po włączeniu planu, muszą ręcznie włączyć odnajdywanie bez agenta dla rozszerzenia Kubernetes w ramach planu usługi Defender for Containers.
- Po wyłączeniu usługi Defender for Containers składniki są wyłączone i nie są wdrażane w kontenerach, ale nie są usuwane z kontenerów, na których są już zainstalowane.
Metoda włączania na możliwość
Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego włączania wszystkich funkcji i instalowania wszystkich wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.
Jeśli nie chcesz włączyć wszystkich możliwości planów, możesz ręcznie wybrać określone możliwości, które mają zostać włączone, wybierając pozycję Edytuj konfigurację dla planu Kontenery . Następnie na stronie Ustawienia i monitorowanie wybierz możliwości, które chcesz włączyć. Ponadto tę konfigurację można zmodyfikować na stronie plany usługi Defender po wstępnej konfiguracji planu.
Aby uzyskać szczegółowe informacje na temat metody włączania dla każdej z tych funkcji, zobacz macierz obsługi.
Uprawnienia i role
Dowiedz się więcej o rolach używanych do aprowizacji rozszerzeń usługi Defender for Containers.
Przypisywanie niestandardowego obszaru roboczego dla czujnika usługi Defender
Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.
Ręczne wdrażanie czujnika usługi Defender lub agenta zasad platformy Azure bez automatycznego aprowizowania przy użyciu zaleceń
Możliwości wymagające instalacji czujnika można również wdrożyć w co najmniej jednym klastrze Kubernetes, korzystając z odpowiedniego zalecenia:
Czujnik | Zalecenie |
---|---|
Czujnik usługi Defender dla platformy Kubernetes | Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender |
Czujnik defender dla platformy Kubernetes z obsługą usługi Arc | Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender |
Agent usługi Azure Policy dla platformy Kubernetes | Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes |
Agent usługi Azure Policy dla platformy Kubernetes z obsługą usługi Arc | Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy |
Wykonaj następujące kroki, aby wykonać wdrożenie czujnika usługi Defender w określonych klastrach:
Na stronie zaleceń Microsoft Defender dla Chmury otwórz stronę Włącz rozszerzoną kontrolę zabezpieczeń lub wyszukaj bezpośrednio jedną z powyższych rekomendacji (lub skorzystaj z powyższych linków, aby bezpośrednio otworzyć zalecenie)
Wyświetl wszystkie klastry bez czujnika za pośrednictwem karty w złej kondycji.
Wybierz klastry, aby wdrożyć żądany czujnik, a następnie wybierz pozycję Napraw.
Wybierz pozycję Napraw zasoby X.
Wdrażanie czujnika usługi Defender — wszystkie opcje
Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki z witryny Azure Portal, interfejsu API REST lub szablonu usługi Resource Manager. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.
Po wdrożeniu czujnika usługi Defender domyślny obszar roboczy zostanie automatycznie przypisany. Niestandardowy obszar roboczy można przypisać zamiast domyślnego obszaru roboczego za pomocą usługi Azure Policy.
Uwaga
Czujnik usługi Defender jest wdrażany w każdym węźle w celu zapewnienia ochrony środowiska uruchomieniowego i zbierania sygnałów z tych węzłów przy użyciu technologii eBPF.
- Witryna Azure Portal
- Interfejs API REST
- Interfejs wiersza polecenia platformy Azure
- Resource Manager
Użyj przycisku naprawy z zalecenia Defender dla Chmury
Usprawniony, bezproblemowy proces umożliwia korzystanie ze stron witryny Azure Portal w celu włączenia planu Defender dla Chmury i skonfigurowania automatycznego aprowizowania wszystkich niezbędnych składników do obrony klastrów Kubernetes na dużą skalę.
Dedykowane zalecenie Defender dla Chmury zawiera:
- Widoczność , który z klastrów ma wdrożony czujnik usługi Defender
- Przycisk Napraw , aby wdrożyć go w tych klastrach bez czujnika
Na stronie zaleceń Microsoft Defender dla Chmury otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.
Użyj filtru, aby znaleźć zalecenie o nazwie Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender.
Napiwek
Zwróć uwagę na ikonę Napraw w kolumnie actions
Wybierz klastry, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji — klastry z czujnikiem i bez tego czujnika.
Z listy zasobów w złej kondycji wybierz klaster i wybierz pozycję Koryguj , aby otworzyć okienko z potwierdzeniem korygowania.
Wybierz pozycję Napraw zasoby X.
Włączanie planu
Aby włączyć plan:
W menu Defender dla Chmury otwórz stronę Ustawienia i wybierz odpowiednią subskrypcję.
Na stronie Plany usługi Defender wybierz pozycję Defender for Containers i wybierz pozycję Ustawienia.
Napiwek
Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją będzie defender for Containers.
Włącz odpowiedni składnik, aby go włączyć.
Uwaga
Po wyłączeniu usługi Defender for Containers składniki są wyłączone i nie są wdrażane w kontenerach, ale nie są usuwane z kontenerów, na których są już zainstalowane.
Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.
Jeśli chcesz wyłączyć automatyczną instalację składników podczas procesu dołączania, wybierz pozycję Edytuj konfigurację dla planu kontenerów . Zostaną wyświetlone opcje Zaawansowane i można wyłączyć automatyczną instalację dla każdego składnika.
Ponadto tę konfigurację można zmodyfikować na stronie plany usługi Defender.
Uwaga
Jeśli zdecydujesz się wyłączyć plan w dowolnym momencie po włączeniu go za pośrednictwem portalu, jak pokazano powyżej, musisz ręcznie usunąć składniki usługi Defender for Containers wdrożone w klastrach.
Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.
Jeśli wyłączysz automatyczną instalację dowolnego składnika, możesz łatwo wdrożyć składnik w co najmniej jednym klastrze przy użyciu odpowiedniego zalecenia:
- Dodatek zasad dla platformy Kubernetes — klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
- Profil usługi Azure Kubernetes Service — klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
- Rozszerzenie Kubernetes z obsługą usługi Azure Arc — klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
- Rozszerzenie Kubernetes Policy z obsługą usługi Azure Arc — klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy
Dowiedz się więcej o rolach używanych do aprowizacji rozszerzeń usługi Defender for Containers.
Wymagania wstępne
Przed wdrożeniem czujnika upewnij się, że:
- Łączenie klastra Kubernetes z usługą Azure Arc
- Wypełnij wymagania wstępne wymienione w dokumentacji ogólnych rozszerzeń klastra.
Wdrażanie czujnika usługi Defender
Czujnik usługi Defender można wdrożyć przy użyciu szeregu metod. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.
- Witryna Azure Portal
- Interfejs wiersza polecenia platformy Azure
- Resource Manager
- Interfejs API REST
Użyj przycisku naprawy z zalecenia Defender dla Chmury
Dedykowane zalecenie Defender dla Chmury zawiera:
- Widoczność , który z klastrów ma wdrożony czujnik usługi Defender
- Przycisk Napraw , aby wdrożyć go w tych klastrach bez czujnika
Na stronie zaleceń Microsoft Defender dla Chmury otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.
Użyj filtru, aby znaleźć zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender dla Chmury.
Napiwek
Zwróć uwagę na ikonę Napraw w kolumnie actions
Wybierz czujnik, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji — klastry z czujnikiem i bez tego czujnika.
Z listy zasobów w złej kondycji wybierz klaster i wybierz pozycję Koryguj , aby otworzyć okienko przy użyciu opcji korygowania.
Wybierz odpowiedni obszar roboczy usługi Log Analytics i wybierz pozycję Koryguj x zasobu.
Weryfikowanie wdrożenia
Aby sprawdzić, czy klaster ma zainstalowany czujnik usługi Defender, wykonaj kroki opisane na jednej z poniższych kart:
- Azure Portal — Defender dla Chmury
- Azure Portal — Azure Arc
- Interfejs wiersza polecenia platformy Azure
- Interfejs API REST
Użyj rekomendacji Defender dla Chmury, aby zweryfikować stan czujnika
Na stronie rekomendacji Microsoft Defender dla Chmury otwórz pozycję Włącz kontrolę zabezpieczeń Microsoft Defender dla Chmury.
Wybierz zalecenie o nazwie Klastry Kubernetes z obsługą usługi Azure Arc, które powinny mieć zainstalowane rozszerzenie Microsoft Defender dla Chmury.
Sprawdź, czy klaster, na którym wdrożono czujnik, jest wymieniony jako W dobrej kondycji.
Włączanie planu
Ważne
- Jeśli jeszcze nie połączono konta platformy AWS, połącz konta platformy AWS z Microsoft Defender dla Chmury.
- Jeśli plan został już włączony w łączniku i chcesz zmienić opcjonalne konfiguracje lub włączyć nowe możliwości, przejdź bezpośrednio do kroku 4.
Aby chronić klastry EKS, włącz plan Kontenery w odpowiednim łączniku konta:
W menu Defender dla Chmury otwórz pozycję Ustawienia środowiska.
Wybierz łącznik AWS.
Sprawdź, czy przełącznik dla planu kontenerów ma wartość Włączone.
Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.
Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.
Uwaga
Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona
Threat detection (control plane)
. Dowiedz się więcej o dostępności funkcji.Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.
Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.
Przejdź do pozostałych stron kreatora łącznika.
Jeśli włączasz funkcję Odnajdywanie bez agenta dla platformy Kubernetes , musisz udzielić uprawnień płaszczyzny sterowania w klastrze. Można to zrobić w jeden z następujących sposobów:
Uruchom ten skrypt języka Python, aby udzielić uprawnień. Skrypt dodaje rolę Defender dla Chmury MDCContainersAgentlessDiscoveryK8sRole do elementu aws-auth ConfigMap klastrów EKS, które chcesz dołączyć.
Udziel każdemu klastrowi usługi Amazon EKS rolę MDCContainersAgentlessDiscoveryK8sRole z możliwością interakcji z klastrem. Zaloguj się do wszystkich istniejących i nowo utworzonych klastrów przy użyciu narzędzia eksctl i wykonaj następujący skrypt:
eksctl create iamidentitymapping \ --cluster my-cluster \ --region region-code \ --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ --group system:masters\ --no-duplicate-arns
Aby uzyskać więcej informacji, zobacz Włączanie dostępu podmiotu zabezpieczeń IAM do klastra.
Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieją dedykowane zalecenia Defender dla Chmury dotyczące instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby):
EKS clusters should have Microsoft Defender's extension for Azure Arc installed
Dla każdego z zaleceń wykonaj poniższe kroki, aby zainstalować wymagane rozszerzenia.
Aby zainstalować wymagane rozszerzenia:
Na stronie Zalecenia Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.
Wybierz klaster w złej kondycji.
Ważne
Należy wybrać klastry pojedynczo.
Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.
Wybierz pozycję Napraw.
Defender dla Chmury generuje skrypt w wybranym języku: wybierz pozycję Bash (dla systemu Linux) lub PowerShell (dla systemu Windows).
Wybierz pozycję Pobierz logikę korygowania.
Uruchom wygenerowany skrypt w klastrze.
Powtórz kroki od "a" do "f" dla drugiego zalecenia.
Wyświetlanie zaleceń i alertów dla klastrów EKS
Napiwek
Alerty kontenerów można symulować, postępując zgodnie z instrukcjami w tym wpisie w blogu.
Aby wyświetlić alerty i zalecenia dotyczące klastrów EKS, użyj filtrów na stronach alertów, zaleceń i spisu, aby filtrować według typu zasobu klastra EKS usługi AWS.
Wdrażanie czujnika usługi Defender
Aby wdrożyć czujnik usługi Defender w klastrach platformy AWS, wykonaj następujące kroki:
Przejdź do pozycji Microsoft Defender dla Chmury ->Ustawienia środowiska ->Dodaj środowisko ->Amazon Web Services.
Podaj szczegóły konta.
Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc jest włączony.
Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.
Po pomyślnym wdrożeniu szablonu tworzenia chmury wybierz pozycję Utwórz.
Uwaga
Z automatycznego aprowizowania można wykluczyć określony klaster AWS. W przypadku wdrożenia czujnika ms_defender_container_exclude_agents
zastosuj tag w zasobie z wartością true
. W przypadku wdrożenia bez agenta ms_defender_container_exclude_agentless
zastosuj tag w zasobie z wartością true
.
Włączanie planu
Ważne
Jeśli projekt GCP nie został jeszcze połączony, połącz projekty GCP z Microsoft Defender dla Chmury.
Aby chronić klastry GKE, należy włączyć plan Kontenery w odpowiednim projekcie GCP.
Uwaga
Sprawdź, czy nie masz żadnych zasad platformy Azure, które uniemożliwiają instalację usługi Arc.
Aby chronić klastry aparatu Google Kubernetes Engine (GKE):
Zaloguj się w witrynie Azure Portal.
Przejdź do Microsoft Defender dla Chmury> Ustawienia środowiska.
Wybierz odpowiedni łącznik GCP
Wybierz przycisk Dalej: Wybierz plany>.
Upewnij się, że plan kontenerów jest włączony.
Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.
Dzienniki inspekcji platformy Kubernetes do Defender dla Chmury: włączone domyślnie. Ta konfiguracja jest dostępna tylko na poziomie projektu GCP. Udostępnia ona bez agenta zbieranie danych dziennika inspekcji za pośrednictwem rejestrowania chmury GCP do zaplecza Microsoft Defender dla Chmury na potrzeby dalszej analizy. Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, przełącz ustawienie na Włączone.
Uwaga
Jeśli wyłączysz tę konfigurację, funkcja zostanie wyłączona
Threat detection (control plane)
. Dowiedz się więcej o dostępności funkcji.Automatycznie aprowizacja czujnika usługi Defender dla usługi Azure Arc i automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc: domyślnie włączona. Platforma Kubernetes z obsługą usługi Azure Arc i jej rozszerzenia można zainstalować w klastrach GKE na trzy sposoby:
- Włącz automatyczne aprowizowanie usługi Defender for Containers na poziomie projektu, jak wyjaśniono w instrukcjach w tej sekcji. Zalecamy tę metodę.
- Użyj Defender dla Chmury rekomendacji dotyczących instalacji poszczególnych klastrów. Są one wyświetlane na stronie zaleceń Microsoft Defender dla Chmury. Dowiedz się, jak wdrożyć rozwiązanie w określonych klastrach.
- Ręcznie zainstaluj platformę Kubernetes z obsługą usługi Arc i rozszerzenia.
Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć funkcję Odnajdywanie bez agenta dla platformy Kubernetes , przełącz ustawienie na Włączone.
Ocena luk w zabezpieczeniach kontenera bez agenta zapewnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w rejestrach Google (GAR i GCR) oraz uruchamianiu obrazów w klastrach GKE. Aby włączyć funkcję Ocena luk w zabezpieczeniach kontenera bez agenta, przełącz ustawienie na Włączone.
Wybierz przycisk Kopiuj.
Wybierz przycisk GCP Cloud Shell>.
Wklej skrypt do terminalu usługi Cloud Shell i uruchom go.
Łącznik zostanie zaktualizowany po wykonaniu skryptu. Ukończenie tego procesu może potrwać do 6–8 godzin.
Wdrażanie rozwiązania w określonych klastrach
Jeśli którakolwiek z domyślnych konfiguracji automatycznej aprowizacji została wyłączona, podczas procesu dołączania łącznika GCP lub później. Musisz ręcznie zainstalować platformę Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługę Azure Policy dla platformy Kubernetes do każdego z klastrów GKE, aby uzyskać pełną wartość zabezpieczeń z usługi Defender for Containers.
Istnieją 2 dedykowane zalecenia Defender dla Chmury, których można użyć do zainstalowania rozszerzeń (i arc, jeśli to konieczne):
GKE clusters should have Microsoft Defender's extension for Azure Arc installed
GKE clusters should have the Azure Policy extension installed
Uwaga
Podczas instalowania rozszerzeń usługi Arc należy sprawdzić, czy udostępniony projekt GCP jest identyczny z tym, który znajduje się w odpowiednim łączniku.
Aby wdrożyć rozwiązanie w określonych klastrach:
Zaloguj się w witrynie Azure Portal.
Przejdź do Microsoft Defender dla Chmury> Poleceń.
Na stronie Zalecenia Defender dla Chmury wyszukaj jedną z rekomendacji według nazwy.
Wybierz klaster GKE w złej kondycji.
Ważne
Należy wybrać klastry pojedynczo.
Nie wybieraj klastrów według ich hiperlinków: wybierz gdziekolwiek indziej w odpowiednim wierszu.
Wybierz nazwę zasobu w złej kondycji.
Wybierz pozycję Napraw.
Defender dla Chmury wygeneruje skrypt w wybranym języku:
- W przypadku systemu Linux wybierz pozycję Bash.
- W przypadku systemu Windows wybierz pozycję PowerShell.
Wybierz pozycję Pobierz logikę korygowania.
Uruchom wygenerowany skrypt w klastrze.
Powtórz kroki od 3 do 8 dla drugiego zalecenia.
Wyświetlanie alertów klastra GKE
Zaloguj się w witrynie Azure Portal.
Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.
Wybierz przycisk .
W menu rozwijanym Filtr wybierz pozycję Typ zasobu.
W menu rozwijanym Wartość wybierz pozycję Klaster GKE GCP.
Wybierz OK
Wdrażanie czujnika usługi Defender
Aby wdrożyć czujnik usługi Defender w klastrach GCP, wykonaj następujące kroki:
Przejdź do pozycji Microsoft Defender dla Chmury ->Ustawienia środowiska ->Dodaj środowisko ->Google Cloud Platform.
Podaj szczegóły konta.
Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc jest włączony.
Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.
Po pomyślnym uruchomieniu skryptu usługi gcloud wybierz pozycję Utwórz.
Uwaga
Z automatycznego aprowizowania można wykluczyć określony klaster GCP. W przypadku wdrożenia czujnika zastosuj etykietę ms_defender_container_exclude_agents
na zasobie z wartością true
. W przypadku wdrożenia bez agenta zastosuj etykietę ms_defender_container_exclude_agentless
na zasobie z wartością true
.
Symulowanie alertów zabezpieczeń z usługi Microsoft Defender for Containers
Pełna lista obsługiwanych alertów jest dostępna w tabeli referencyjnej wszystkich alertów zabezpieczeń Defender dla Chmury.
Aby zasymulować alert zabezpieczeń, uruchom następujące polecenie z klastra:
kubectl get pods --namespace=asc-alerttest-662jfi039n
Oczekiwana odpowiedź to
No resource found
.W ciągu 30 minut Defender dla Chmury wykrywa to działanie i wyzwala alert zabezpieczeń.
Uwaga
Aby symulować alerty bez agenta dla usługi Defender for Containers, usługa Azure Arc nie jest wymaganiem wstępnym.
W witrynie Azure Portal otwórz stronę alertów zabezpieczeń Microsoft Defender dla Chmury i poszukaj alertu dla odpowiedniego zasobu:
Usuwanie czujnika usługi Defender
Aby usunąć to — lub dowolne — rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczne aprowizowanie:
- Włączenie automatycznej aprowizacji może mieć wpływ na istniejące i przyszłe maszyny.
- Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny — nic nie zostanie odinstalowane przez wyłączenie automatycznej aprowizacji.
Uwaga
Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do obszaru Ustawienia środowiska i wyłącz plan usługi Microsoft Defender for Containers .
Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są automatycznie aprowizowane do zasobów od teraz, wyłącz automatyczne aprowizowanie rozszerzeń zgodnie z opisem w temacie Konfigurowanie automatycznej aprowizacji agentów i rozszerzeń z Microsoft Defender dla Chmury.
Rozszerzenie można usunąć przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST, jak wyjaśniono na poniższych kartach.
Usuwanie rozszerzenia za pomocą witryny Azure Portal
Domyślny obszar roboczy usługi Log Analytics dla usługi AKS
Obszar roboczy usługi Log Analytics jest używany przez czujnik usługi Defender jako potok danych do wysyłania danych z klastra do Defender dla Chmury bez przechowywania żadnych danych w samym obszarze roboczym usługi Log Analytics. W związku z tym użytkownicy nie będą rozliczani w tym przypadku użycia.
Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy po zainstalowaniu czujnika usługi Defender. Domyślny obszar roboczy jest tworzony na podstawie regionu.
Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:
- Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
- Grupa zasobów: DefaultResourceGroup-[geo]
Przypisywanie niestandardowego obszaru roboczego
Po włączeniu opcji automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.
Aby sprawdzić, czy masz przypisany obszar roboczy:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Zasady.
Wybierz pozycję Definicje.
Wyszukaj identyfikator
64def556-fbad-4622-930e-72d1d5589bf5
zasad .Wybierz pozycję Konfiguruj klastry usługi Azure Kubernetes Service, aby włączyć profil usługi Defender.
Wybierz pozycję Przypisanie.
Postępuj zgodnie z instrukcjami Tworzenie nowego przypisania z niestandardowym obszarem roboczym, jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu. Możesz też wykonać kroki aktualizacji z niestandardowym obszarem roboczym , jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego.
Tworzenie nowego przypisania z niestandardowym obszarem roboczym
Jeśli zasady nie zostały przypisane, zobaczysz wartość Assignments (0)
.
Aby przypisać niestandardowy obszar roboczy:
Zaznacz Przypisz.
Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.
Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Aktualizowanie przypisania za pomocą niestandardowego obszaru roboczego
Jeśli zasady zostały już przypisane do obszaru roboczego, zobaczysz polecenie Assignments (1)
.
Uwaga
Jeśli masz więcej niż jedną subskrypcję, numer może być wyższy.
Aby przypisać niestandardowy obszar roboczy:
Wybierz odpowiednie przypisanie.
Wybierz pozycję Edytuj przypisanie.
Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.
Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.
Wybierz pozycję Przejrzyj i zapisz.
Wybierz pozycję Zapisz.
Domyślny obszar roboczy usługi Log Analytics dla usługi Arc
Obszar roboczy usługi Log Analytics jest używany przez czujnik usługi Defender jako potok danych do wysyłania danych z klastra do Defender dla Chmury bez przechowywania żadnych danych w samym obszarze roboczym usługi Log Analytics. W związku z tym użytkownicy nie będą rozliczani w tym przypadku użycia.
Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy po zainstalowaniu czujnika usługi Defender. Domyślny obszar roboczy jest tworzony na podstawie regionu.
Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:
- Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
- Grupa zasobów: DefaultResourceGroup-[geo]
Przypisywanie niestandardowego obszaru roboczego
Po włączeniu opcji automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.
Aby sprawdzić, czy masz przypisany obszar roboczy:
Zaloguj się w witrynie Azure Portal.
Wyszukaj i wybierz pozycję Zasady.
Wybierz pozycję Definicje.
Wyszukaj identyfikator
708b60a6-d253-4fe0-9114-4be4c00f012c
zasad .Wybierz pozycję Konfiguruj klastry Kubernetes z włączoną usługą Azure Arc, aby zainstalować rozszerzenie Microsoft Defender dla Chmury.
Wybierz pozycję Przypisania.
Postępuj zgodnie z instrukcjami Tworzenie nowego przypisania z niestandardowym obszarem roboczym, jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu. Możesz też wykonać kroki aktualizacji z niestandardowym obszarem roboczym , jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego.
Tworzenie nowego przypisania z niestandardowym obszarem roboczym
Jeśli zasady nie zostały przypisane, zobaczysz wartość Assignments (0)
.
Aby przypisać niestandardowy obszar roboczy:
Zaznacz Przypisz.
Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.
Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Aktualizowanie przypisania za pomocą niestandardowego obszaru roboczego
Jeśli zasady zostały już przypisane do obszaru roboczego, zobaczysz polecenie Assignments (1)
.
Uwaga
Jeśli masz więcej niż jedną subskrypcję, numer może być wyższy. Jeśli masz liczbę 1 lub większą, przypisanie może nadal nie znajdować się w odpowiednim zakresie. W takim przypadku należy wykonać kroki Tworzenia nowego przypisania z niestandardowym obszarem roboczym .
Aby przypisać niestandardowy obszar roboczy:
Wybierz odpowiednie przypisanie.
Wybierz pozycję Edytuj przypisanie.
Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.
Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.
Wybierz pozycję Przejrzyj i zapisz.
Wybierz pozycję Zapisz.
Usuwanie czujnika usługi Defender
Aby usunąć to — lub dowolne — rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczne aprowizowanie:
- Włączenie automatycznej aprowizacji może mieć wpływ na istniejące i przyszłe maszyny.
- Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny — nic nie zostanie odinstalowane przez wyłączenie automatycznej aprowizacji.
Uwaga
Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do obszaru Ustawienia środowiska i wyłącz plan usługi Microsoft Defender for Containers .
Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są automatycznie aprowizowane do zasobów od teraz, wyłącz automatyczne aprowizowanie rozszerzeń zgodnie z opisem w temacie Konfigurowanie automatycznej aprowizacji agentów i rozszerzeń z Microsoft Defender dla Chmury.
Rozszerzenie można usunąć przy użyciu interfejsu API REST lub szablonu usługi Resource Manager, jak wyjaśniono na poniższych kartach.
Usuwanie czujnika usługi Defender z usługi AKS przy użyciu interfejsu API REST
Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące polecenie PUT:
https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nazwa/nazwisko | opis | Obowiązkowy |
---|---|---|
SubscriptionId | Identyfikator subskrypcji klastra | Tak |
ResourceGroup | Grupa zasobów klastra | Tak |
NazwaKlastra | Nazwa klastra | Tak |
ApiVersion | Wersja interfejsu API musi być >= 2022-06-01 | Tak |
Treść żądania:
{
"location": "{{Location}}",
"properties": {
"securityProfile": {
"defender": {
"securityMonitoring": {
"enabled": false
}
}
}
}
}
Parametry treści żądania:
Nazwa/nazwisko | opis | Obowiązkowy |
---|---|---|
lokalizacja | Lokalizacja klastra | Tak |
properties.securityProfile.defender.securityMonitoring.enabled | Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze | Tak |
Dowiedz się więcej
Możesz zapoznać się z następującymi blogami:
- Ochrona obciążeń usługi Google Cloud za pomocą Microsoft Defender dla Chmury
- Wprowadzenie do usługi Microsoft Defender for Containers
- Nowa nazwa zabezpieczeń w wielu chmurach: Microsoft Defender dla Chmury
Następne kroki
Po włączeniu usługi Defender for Containers możesz wykonywać następujące czynności:
- Skanowanie obrazów usługi ACR pod kątem luk w zabezpieczeniach
- Skanowanie obrazów platformy AWS pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Skanowanie obrazów GGP pod kątem luk w zabezpieczeniach za pomocą Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
- Zapoznaj się z typowymi pytaniami dotyczącymi usługi Defender for Containers.