Configurar componentes do Microsoft Defender para contêineres

O Microsoft Defender para contêineres é a solução nativa de nuvem para proteger contêineres.

O Defender para contêineres protege os clusters quando estão em execução em:

• AKS (Serviço de Kubernetes do Azure) - serviço gerenciado da Microsoft para desenvolvimento, implantação e gerenciamento de aplicativos conteinerizados.

• Amazon Elastic Kubernetes Service (EKS) em uma conta conectada do Amazon Web Services (AWS) - serviço gerenciado do Amazon para execução de Kubernetes no AWS sem precisar instalar, operar e manter um painel de controle ou nós de Kubernetes.

• GKE (Google Kubernetes Engine) em um projeto GCP (Google Cloud Platform) conectado – o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.

• Outras distribuições de Kubernetes (usando Kubernetes habilitados para Azure Arc) - clusters de Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou na IaaS. Para obter mais informações, consulte a seção local/IaaS (Arc) de recursos com suporte por ambiente.

Saiba mais sobre esse plano em Visão geral do Microsoft Defender para contêineres.

Primeiro, saiba como conectar e proteger seus contêineres nestes artigos:

• Proteger seus contêineres do Azure com o Microsoft Defender para contêineres
• Proteger seus clusters do Kubernetes no local com o Microsoft Defender para contêineres
• Proteger seus contêineres de contas do Amazon Web Service (AWS) com o Microsoft Defender para Contêineres
• Proteger os contêineres dos seus projetos do Google Cloud Platform (GCP) com o Microsoft Defender para Contêineres

Você também pode saber mais assistindo a estes vídeos da série de vídeos do Defender para Nuvem em Campo:

• Microsoft Defender para contêineres em um Ambiente multinuvem
• Proteger contêineres no GCP com o Defender para contêineres

Observação

O suporte do Defender para contêineres para clusters de Kubernetes habilitados para AR é uma versão prévia do recurso. A versão prévia do recurso está disponível no modo autoatendimento e aceitação.

As versões prévias são fornecidas "no estado em que se encontram" e "conforme disponível" e são excluídas dos contratos de nível de serviço e da garantia limitada.

Para saber mais sobre os sistemas operacionais com suporte, disponibilidade de recurso, proxy de saída e muito mais, consulte a disponibilidade de recursos do Defender para Contêineres.

Requisitos de rede

Valide se os seguintes pontos de extremidade estão configurados para acesso de saída para que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem e enviar dados de segurança e eventos:

Confira as regras de FQDN/aplicação necessárias para o Microsoft Defender para Contêineres.

Por padrão, os clusters do AKS têm acesso irrestrito de internet de saída.

Requisitos de rede

Cuidado

Este artigo faz referência ao CentOS, uma distribuição do Linux que está se aproximando do status de EOL (fim da vida útil). Considere seu uso e planejamento adequadamente. Para obter mais informações, veja as Diretrizes sobre fim da vida útil do CentOS.

Valide se os seguintes pontos de extremidade estão configurados para acesso de saída para que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem e enviar dados de segurança e eventos:

Para implantações de nuvem pública:

Azure Domain	Domínio do Azure Governamental	Microsoft Azure operado pelo Domínio 21Vianet	Porta
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Os domínios a seguir só serão necessários se você estiver usando um sistema operacional relevante. Por exemplo, se você tiver clusters EKS em execução no AWS, só precisará aplicar o domínio Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*".

Domínio	Porta	Sistemas operacionais do host
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
repositórios padrão yum	-	RHEL/Centos
repositórios padrão do apt	-	Debian

Você também precisará validar os requisitos de rede do Kubernetes habilitado para Azure Arc.

Habilitar o plano

Habilitar o plano:

1. No menu do Defender para Nuvem, abra a página de configurações e selecione a assinatura relevante.

2. Na página de Planos do Defender, selecione Defender para Contêineres e selecione Configurações.

   

   Dica

   Se a assinatura já incluir os registros do Defender para Kubernetes e/ou do Defender para contêiner habilitados, um aviso de atualização será mostrado. Caso contrário, a única opção será Defender para contêineres.

   

3. Ative o componente relevante para habilitá-lo.

   

   Observação

   • Os clientes do Defenders para Contêineres que ingressaram antes de agosto de 2023 e não têm a Descoberta sem agente para Kubernetes habilitada como parte do GPSN quando ativaram o plano, devem habilitar manualmente a extensão Descoberta sem agente para Kubernetes no plano do Defender para Contêineres.
   • Quando você desativa o Defender para contêineres, os componentes são definidos como desativados e não são implantados em mais contêineres, mas eles não são removidos dos contêineres em que já estão instalados.

Método de habilitação por capacidade

Por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender para contêineres é configurado para habilitar automaticamente todos os recursos e instalar todos os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um espaço de trabalho padrão.

Se você não quiser habilitar todos os recursos dos planos, poderá selecionar manualmente quais recursos específicos habilitar selecionando Editar configuração para o plano Contêineres plano. Em seguida, na página de Monitoramento e Configurações, selecione os recursos que deseja habilitar. Além disso, você pode modificar essa configuração na página planos do Defender após a configuração inicial do plano.

Para obter informações detalhadas sobre o método de habilitação para cada um dos recursos, consulte a matriz de suporte.

Funções e permissões

Saiba mais sobre as funções usadas para provisionar extensões do Defender para Contêineres.

Atribuindo espaço de trabalho personalizado para o sensor do Defender

Você pode atribuir um workspace personalizado por meio da Azure Policy.

Implantação manual do sensor do Defender ou do agente de política do Azure sem provisionamento automático usando recomendações

Os recursos que exigem a instalação do sensor também podem ser implantados em um ou mais clusters do Kubernetes, usando a recomendação apropriada:

Sensor	Recomendação
Sensor do Defender para Kubernetes	Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado
Sensor do Defender para Kubernetes habilitado para Arc	Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada
Agente de política do Azure para Kubernetes	Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
Agente de política do Azure para Kubernetes habilitado para Arc	Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Execute as seguintes etapas para executar a implantação do sensor do Defender em clusters específicos:

1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada ou pesquise diretamente uma das recomendações acima (ou use os links acima para abrir a recomendação diretamente)

2. Exiba todos os clusters sem um sensor, por meio do guia não íntegro.

3. Selecione os clusters nos quais implantar o sensor desejado e selecione Corrigir.

4. Selecione Corrigir recursos X.

Implantar o sensor do Defender – todas as opções

Você pode habilitar o plano do Defender para Contêineres e implantar todos os componentes relevantes do portal do Azure, da API REST ou usando um modelo do Resource Manager. Para obter etapas detalhadas, selecione a guia relevante.

Depois que o sensor do Defender for implantado, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado, no lugar do workspace, padrão por meio da Azure Policy.

Observação

O sensor do Defender é implantado em cada nó para fornecer as proteções de runtime e coletar sinais desses nós usando a tecnologia eBPF.

Portal do Azure

Use o botão corrigir da recomendação do Defender para Nuvem

Um processo simplificado e descomplicado permite que você use as páginas do portal do Azure para habilitar o plano do Defender para Nuvem e configurar o provisionamento automático de todos os componentes necessários para defender seus clusters de Kubernetes em escala.

Uma recomendação dedicada do Defender para Nuvem fornece:

• Visibilidade sobre qual dos clusters tem o sensor do Defender implantado
• Botão de correção para implantar nesses clusters sem o sensor

1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada.

2. Use o filtro para localizar a recomendação chamada Clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado.

   Dica

   Observe o botão Correção na coluna ações

3. Selecione os clusters para ver os detalhes dos recursos íntegros e não íntegros: clusters com e sem o sensor.

4. Na lista de recursos não íntegros, selecione um cluster e selecione Corrigir para abrir o painel com a confirmação de correção.

5. Selecione Corrigir recursos X.

REST API

Usar a API REST para implantar o sensor do Defender

Para instalar o “SecurityProfile” em um cluster existente com a API REST, execute o seguinte comando PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI de solicitação: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parâmetros de consulta de solicitação:

Name	Descrição	Obrigatório
SubscriptionId	ID da assinatura do cluster	Yes
ResourceGroup	Grupo de recursos do cluster	Yes
ClusterName	Nome do cluster	Yes
ApiVersion	A versão da API deve ser >= 2022-06-01	Yes

Corpo da solicitação:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parâmetros do corpo da solicitação:

Name	Descrição	Obrigatório
local	Local do cluster	Sim
properties.securityProfile.defender.securityMonitoring.enabled	Determina se é para habilitar ou desabilitar o Microsoft Defender para contêineres no cluster	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID do recurso do Azure do workspace do Log Analytics	Yes

CLI do Azure

Usar a CLI do Azure para implantar o sensor do Defender

1. Entrar no Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Procure usar a mesma ID de assinatura para <your-subscription-id> que a associada ao cluster do AKS.

2. Habilite o sensor do Defender em seus contêineres:

   • Execute o seguinte comando para criar um cluster com o sensor do Defender habilitado:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Execute o seguinte comando para habilitar o sensor do Defender em um cluster existente:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Uma descrição de todas as definições de configuração com suporte no tipo de sensor do Defender é fornecida abaixo:

   Propriedade

   DESCRIÇÃO

   logAnalyticsWorkspaceResourceId

   Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics. Quando não for fornecido, o espaço de trabalho padrão da região será usado. Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json A ID de recurso do espaço de trabalho Log Analytics tem a seguinte sintaxe: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/espaços de trabalhos/{your-espaços de trabalho-name}. Saiba mais em espaços de trabalhos do Log Analytics

   Você pode incluir essas configurações em um arquivo JSON e especificá-lo nos comandos az aks create e az aks update com este parâmetro: --defender-config <path-to-JSON-file>. O formato do arquivo JSON deve ser:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Saiba mais sobre comandos da CLI do AKS em az aks.

3. Para verificar se o sensor foi adicionado, execute o seguinte comando no computador com o arquivo kubeconfig apontado para o cluster:

   kubectl get pods -n kube-system
   

   Quando o sensor é adicionado, você encontra um pod chamado microsoft-defender-XXXXX no estado Running. Pode demorar alguns minutos para os pods serem adicionados.

Gerenciador de Recursos

Usar Azure Resource Manager para implantar o sensor do Defender

Para usar o Azure Resource Manager para implantar o sensor do Defender, você precisará de um workspace do Log Analytics na assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Dica

Se você for novo nos modelos do Resource Manager, comece aqui: quais são os modelos de Azure Resource Manager?

Para instalar o “SecurityProfile” em um cluster existente com o Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Habilitar o plano

Habilitar o plano:

1. No menu do Defender para Nuvem, abra a página de configurações e selecione a assinatura relevante.

2. Na página de Planos do Defender, selecione Defender para Contêineres e selecione Configurações.

   Dica

   Se a assinatura já incluir registros do Defender para Kubernetes ou do Defender para Contêiner habilitados, um aviso de atualização será mostrado. Caso contrário, a única opção será Defender para contêineres.

   

3. Ative o componente relevante para habilitá-lo.

   

   Observação

   Quando você desativa o Defender para contêineres, os componentes são definidos como desativados e não são implantados em mais contêineres, mas eles não são removidos dos contêineres em que já estão instalados.

Por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender para contêineres é configurado para instalar automaticamente os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um workspace padrão.

Para desabilitar a instalação automática de componentes durante o processo de integração, selecione Editar configuração para o plano de Contêineres. As opções avançadas aparecerão, e você poderá desabilitar a instalação automática de cada componente.

Além disso, você pode modificar essa configuração na página de planos do Defender.

Observação

Se você optar por desabilitar o plano a qualquer momento após habilitá-lo por meio do portal, conforme mostrado acima, será necessário remover manualmente os componentes do Defender para contêineres implantado em seus clusters.

Você pode atribuir um workspace personalizado por meio da Azure Policy.

Se você desabilitar o provisionamento automático de qualquer componente, poderá implantar facilmente o componente em um ou mais clusters usando a recomendação apropriada:

• Complemento da Azure Policy para Kubernetes: os clusters do Serviço de Kubernetes do Azure devem ter o complemento para Kubernetes da Azure Policy instalado.
• Perfil do Serviço de Kubernetes do Azure: os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado.
• Extensão de Kubernetes habilitados para Azure Arc: os clusters de Kubernetes habilitados para Azure Arc devem ter a extensão do Defender instalada.
• Extensão do Policy do Kubernetes habilitado para Azure Arc – os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Policy instalada

Saiba mais sobre as funções usadas para provisionar extensões do Defender para Contêineres.

Pré-requisitos

Antes de implantar o sensor, verifique se:

• Conectar o cluster do Kubernetes ao Azure Arc
• Preencha os pré-requisitos listados na documentação de extensões de cluster genéricas.

Implantar o sensor do Defender

É possível implantar o sensor do Defender usando uma variedade de métodos. Para obter etapas detalhadas, selecione a guia relevante.

Portal do Azure

Use o botão corrigir da recomendação do Defender para Nuvem

Uma recomendação dedicada do Defender para Nuvem fornece:

• Visibilidade sobre qual dos clusters tem o sensor do Defender implantado
• Botão de correção para implantar nesses clusters sem o sensor

1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada.

2. Use o filtro para localizar a recomendação chamada Clusters Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender para Nuvem instalada.

   

   Dica

   Observe o botão Correção na coluna ações

3. Selecione o sensor para visualizar os detalhes dos recursos íntegros e não íntegros: clusters com e sem o sensor.

4. Na lista recursos não íntegros, selecione um cluster e selecione corrigir para abrir o painel com as opções de correção.

5. Selecione o espaço de trabalho Log Analytics relevante e selecione corrigir recurso x.

   

CLI do Azure

Usar a CLI do Azure para implantar o sensor do Defender

1. Entrar no Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Certifique-se de usar a mesma ID de assinatura para <your-subscription-id> como aquela que foi usada ao conectar seu cluster ao arco do Azure.

2. Execute o comando a seguir para implantar o sensor na parte superior do seu cluster do Kubernetes habilitado para Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Uma descrição de todas as definições de configuração com suporte no tipo de sensor do Defender é fornecida abaixo:

   Propriedade	DESCRIÇÃO
   logAnalyticsespaços de trabalhoResourceID	Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics. Quando não for fornecido, o espaço de trabalho padrão da região será usado. Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json A ID de recurso do espaço de trabalho Log Analytics tem a seguinte sintaxe: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/espaços de trabalhos/{your-espaços de trabalho-name}. Saiba mais em espaços de trabalhos do Log Analytics
   auditLogPath	Opcional. O caminho completo para os arquivos de log de auditoria. Quando não for fornecido, o caminho padrão /var/log/kube-apiserver/audit.log será usado. Para o mecanismo AKS, o caminho padrão é /var/log/kubeaudit/audit.log

   O comando abaixo mostra um exemplo de uso de todos os campos opcionais:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Gerenciador de Recursos

Usar Azure Resource Manager para implantar o sensor do Defender

Para usar o Azure Resource Manager para implantar o sensor do Defender, você precisará de um workspace do Log Analytics na assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Você pode usar o modelo do Resource Manager azure-defender-extension-arm-template.json nos exemplos de instalação do Defender para Nuvem.

Dica

Se você for novo nos modelos do Resource Manager, comece aqui: quais são os modelos de Azure Resource Manager?

REST API

Usar a API REST do Azure para implantar o sensor do Defender

Para usar API REST para implantar o sensor do Defender, você precisará de um workspace do Log Analytics em sua assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Dica

A maneira mais simples de usar a API para implantar o sensor do Defender é com o exemplo de JSON de coleção do postmaster fornecido nos exemplos de instalação do Defender para Nuvem.

• Para modificar o JSON da coleção do postmaster ou para implantar manualmente o sensor com a API REST, execute o seguinte comando PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Em que:

  Nome	Em	Obrigatório	Type	Descrição
  ID da assinatura	Caminho	True	String	Sua ID de assinatura do recurso do Kubernetes habilitados para o Azure Arc
  Grupo de recursos	Caminho	True	String	Nome do grupo de recursos que contém o recurso do Kubernetes habilitados para o Azure Arc
  Nome do cluster	Caminho	True	String	Nome do recurso do Kubernetes habilitados para Azure Arc

  Para autenticação, seu cabeçalho deve ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

  az account get-access-token --subscription <your-subscription-id> Use a seguinte estrutura para o corpo da sua mensagem:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  A descrição das propriedades é fornecida abaixo:

  Propriedade	DESCRIÇÃO
  logAnalytics.espaços de trabalhoId	ID do espaço de trabalho do recurso de Log Analytics
  logAnalytics.key	Chave de um recurso do Log Analytics
  auditLogPath	Opcional. O caminho completo para os arquivos de log de auditoria. O valor padrão é /var/log/kube-apiserver/audit.log

Verificar a implantação

Para verificar se o cluster tem o sensor do Defender instalado, siga as etapas em uma das guias abaixo:

Portal do Azure – Defender para Nuvem

Usar a recomendação do Defender para Nuvem para verificar o status do sensor

1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar Microsoft Defender para Nuvem.

2. Selecione uma recomendação chamada clusters Kubernetes habilitados para o Azure Arc devem ter a extensão do Microsoft Defender para Nuvem instalada.

   

3. Verifique se o cluster no qual você implantou o sensor está listado como Íntegro.

Portal do Azure-arco do Azure

Use as páginas do Azure Arc para verificar o status do sensor

1. No portal do Azure, abra o arco do Azure.

2. Na lista infraestrutura, selecione clusters kubernetes e, em seguida, selecione o cluster específico.

3. Abra a página de extensões. As extensões no cluster são listadas. Para confirmar se o sensor do Defender foi instalado corretamente, verifique a coluna Status da instalação.

   

4. Para obter mais detalhes, selecione a extensão.

   

CLI do Azure

Usar CLI do Azure para verificar se o sensor está implantado

1. Execute o seguinte comando na CLI do Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Na resposta, procure "ExtensionType": "Microsoft. azuredefender. kubernetes" e "InstallState": "instalado".

   Observação

   Ele pode mostrar "InstallState": "pendente" pelos primeiros minutos.

3. Quando o estado mostrar Instalado, execute o comando a seguir no seu computador com o arquivo kubeconfig apontado para o seu cluster para verificar se todos os pods no namespace mdc estão no estado “Em execução”:

   kubectl get pods -n mdc
   

REST API

Usar API REST para verificar se o sensor está implantado

Para confirmar uma implantação bem-sucedida ou para validar o status do sensor a qualquer momento:

1. Executar o comando GET a seguir:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Na resposta, procure "ExtensionType": "Microsoft. azuredefender. kubernetes" e "InstallState": "instalado".

   Dica

   Ele pode mostrar "InstallState": "pendente" pelos primeiros minutos.

3. Quando o estado mostrar Instalado, execute o comando a seguir no seu computador com o arquivo kubeconfig apontado para o seu cluster para verificar se todos os pods no namespace mdc estão no estado “Em execução”:

   kubectl get pods -n mdc
   

Habilitar o plano

Importante

• Se você ainda não conectou uma conta do AWS, conecte suas contas do AWS ao Microsoft Defender para Nuvem.
• Se você já tiver habilitado o plano em seu conector e quiser alterar as configurações opcionais ou habilitar novos recursos, vá diretamente para a etapa 4.

Para proteger seus clusters do EKS, habilite o plano de contêineres no conector de conta relevante:

1. No menu do Defender para Nuvem, abra Configurações de ambiente.

2. Selecione o conector do AWS.

   

3. Verifique se a alternância do plano Contêineres está definida como Ativada.

   

4. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • O Defender para Contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativada. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.

     Observação

     Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

   • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e imagens em execução em seus clusters do EKS. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.

5. Continue nas páginas restantes do assistente do conector.

6. Se você estiver habilitando o recursoDescoberta sem Agente para Kubernetes, será necessário conceder permissões de plano de controle no cluster. Faça isso de uma das seguintes maneiras:

   • Execute esse script Python para conceder as permissões. O script adiciona a função MDCContainersAgentlessDiscoveryK8sRole do Defender para Nuvem ao aws-auth ConfigMap dos clusters do EKS que você deseja integrar.

   • Conceda a cada cluster do Amazon EKS a função MDCContainersAgentlessDiscoveryK8sRole com a capacidade de interagir com o cluster. Entre em todos os clusters existentes e recém-criados usando eksctl e execute o seguinte script:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Para obter mais informações, consulte Habilitar o acesso da entidade de IAM ao cluster.

7. O Kubernetes habilitado para o Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes devem estar instalados e em execução em seus clusters do EKS. Há uma recomendação dedicada do Defender para Nuvem para instalar essas extensões (e o Azure Arc, se necessário):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Para cada uma das recomendações, siga as etapas abaixo para instalar as extensões necessárias.

   Para instalar as extensões necessárias:

   1. Na página Recomendações do Defender para Nuvem, procure uma das recomendações por nome.

   2. Selecione um cluster não íntegro.

      Importante

      Você deve selecionar um cluster por vez.

      Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

   3. Selecione Corrigir.

   4. O Defender para Nuvem gera um script na linguagem da sua escolha: selecione Bash (para Linux) ou PowerShell (para Windows).

   5. Selecione Baixar lógica de correção.

   6. Execute o script gerado no cluster.

   7. Repita as etapas "a" até "f" para a segunda recomendação.

   

Exibir recomendações e alertas para clusters do EKS

Dica

Você pode simular alertas de contêiner seguindo as instruções nesta postagem de blog.

Para exibir alertas e recomendações dos clusters do EKS, use os filtros nas páginas de alertas, recomendações e inventário para filtrar pelo tipo de recurso cluster de EKS do AWS.

Implantar o sensor do Defender

Para implantar o sensor do Defender nos clusters da AWS, siga estas etapas:

1. Acesse o Microsoft Defender para Nuvem –>Configurações de ambiente –>Adicionar ambiente –>Amazon Web Services.

   

2. Preencha os detalhes da conta.

   

3. Acesse Selecionar planos, abra o plano de Contêineres e verifique se o Provisionamento automático do sensor do Defender para Azure Arc está definido como ativado.

   

4. Acesse Configurar o acesso e siga as etapas lá.

   

5. Depois que o modelo de Formação de Nuvem tiver sido implantado com êxito, selecione Criar.

Observação

Exclua um cluster da AWS específico do provisionamento automático. Para implantação do sensor, aplique a marca ms_defender_container_exclude_agents no recurso com o valor true. Para implantação sem agente, aplique a marca ms_defender_container_exclude_agentless no recurso com o valor true.

Habilitar o plano

Importante

Se você ainda não conectou um projeto do GCP, conecte seus projetos do GCP ao Microsoft Defender para Nuvem.

Para proteger os clusters do GKE, você precisará habilitar o plano de Contêineres no projeto do GCP relevante.

Observação

Verifique se você não tem políticas do Azure que impeçam a instalação do Arc.

Para proteger os clusters do GKE (Google Kubernetes Engine):

1. Entre no portal do Azure.

2. Navegue até as configurações do Microsoft Defender para Nuvem>Configurações de ambiente.

3. Selecione o conector GCP relevante

   

4. Selecione o botão Próximo: selecionar planos >.

5. Verifique se o plano de Contêineres está alternado para Ativado.

   

6. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do registrar em log na nuvem do GCP para o back-back do Microsoft Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativar.

     Observação

     Se você desabilitar essa configuração, o recurso Threat detection (control plane) será desabilitado. Saiba mais sobre a disponibilidade dos recursos.

   • Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:

     • Habilite o provisionamento automático do Microsoft Defender para contêineres no nível do projeto, conforme explicado nas instruções desta seção. Este método é recomendável.
     • Use as recomendações do Defender para Nuvem para instalação por cluster. Elas aparecem na página de recomendações do Microsoft Defender para Nuvem. Saiba como implantar a solução em clusters específicos.
     • Instale manualmente o Kubernetes habilitado para Arc e extensões.

   • A descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar a descoberta sem agente para o recurso do Kubernetes, alterne a configuração para Ativada.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas em Registros do Google (GAR e GCR) e imagens em execução em seus clusters do GKE. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente, alterne a configuração para Ativada.

7. Selecione o botão Copiar.

   

8. Selecione o botão Cloud Shell do GCP >.

9. Cole o script no terminal do Cloud Shell e execute-o.

O conector será atualizado após a execução do script. Esse processo pode levar de 6 a 8 horas até ser concluído.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão como Desligado, durante o processo de integração do conector GCP ou depois. Para obter o valor de segurança completo do Defender para contêineres, você precisará instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes para cada um dos clusters do GKE.

Há 2 recomendações dedicadas do Defender para Nuvem que você pode usar para instalar essas extensões (e o Arc se necessário):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Observação

Ao instalar as extensões do Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Recomendações.

3. Na página Recomendações do Defender para Nuvem, procure uma das recomendações por nome.

   

4. Selecione um cluster do GKE não íntegro.

   Importante

   Você deve selecionar um cluster por vez.

   Não selecione os clusters pelo nome do hiperlink, selecione qualquer outro lugar na linha relevante.

5. Selecione o nome do recurso não íntegro.

6. Selecione Corrigir.

   

7. O Defender para Nuvem vai gerar um script no idioma de sua escolha:

   • No Linux, selecione Bash.
   • No Windows, selecione PowerShell.

8. Selecione Baixar lógica de correção.

9. Execute o script gerado no cluster.

10. Repita as etapas 3 até 8 para a segunda recomendação.

Exibir os alertas do cluster do GKE

1. Entre no portal do Azure.

2. Navegue até Microsoft Defender para Nuvem>Alertas de segurança.

3. Selecione o botão .

4. No menu suspenso Filtrar, selecione Tipo de recurso.

5. No menu suspenso Valor, selecione Cluster do GKE de GCP.

6. Selecione OK.

Implantar o sensor do Defender

Para implantar o sensor do Defender em seus clusters do GCP, siga estas etapas:

1. Acesse o Microsoft Defender para Nuvem –>Configurações de ambiente –>Adicionar ambiente –>Google Cloud Platform.

   

2. Preencha os detalhes da conta.

   

3. Acesse o Selecionar planos, abra o plano de Contêineres e verifique se o Provisionamento automático do sensor do Defender para Azure Arc está definido como ativado.

   

4. Acesse Configurar o acesso e siga as etapas lá.

   

5. Depois que o script do gcloud for executado com êxito, selecione Criar.

Observação

Exclua um cluster do GCP específico do provisionamento automático. Para implantação do sensor, aplique o rótulo ms_defender_container_exclude_agents no recurso com o valor true. Para implantação sem agente, aplique o rótulo ms_defender_container_exclude_agentless no recurso com o valor true.

Simular alertas de segurança do Microsoft Defender para contêineres

Uma lista completa de alertas com suporte está disponível na tabela de referência de todos os alertas de segurança do Defender para Nuvem.

1. Para simular um alerta de segurança, execute o seguinte comando no cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   A resposta esperada é No resource found.

   Dentro de 30 minutos, o Defender para Nuvem vai detectar essa atividade e disparar um alerta de segurança.

   Observação

   Para simular alertas sem agente para o Defender para contêineres, o Azure Arc não é um pré-requisito.

2. Na portal do Azure, abra a página alertas de segurança do Microsoft Defender para Nuvem e procure o alerta no recurso relevante:

   

Remover o sensor do Defender

Para remover essa extensão – ou qualquer uma – do Defender para Nuvem, não é suficiente desativar o provisionamento automático:

• Habilitar o provisionamento automático potencialmente afeta computadores existentes e futuros.
• Desabilitar o provisionamento automático de uma extensão afeta apenas computadores futuros: nada é desinstalado quando o provisionamento automático é desabilitado.

Observação

Para desativar totalmente o plano do Defender para Contêineres, acesse as Configurações de Ambiente e desabilite o plano do Microsoft Defender para contêineres.

No entanto, para garantir que os componentes do Defender para Contêineres não sejam provisionados automaticamente para seus recursos de agora em diante, desabilite o provisionamento automático das extensões, conforme explicado em Configurar o provisionamento automático para agentes e extensões do Microsoft Defender para Nuvem.

Você pode remover a extensão usando portal do Azure, CLI do Azure ou API REST, conforme explicado nas guias abaixo.

Portal do Azure - Arco

Usar portal do Azure para remover a extensão

1. No portal do Azure, abra o arco do Azure.

2. Na lista infraestrutura, selecione clusters kubernetes e, em seguida, selecione o cluster específico.

3. Abra a página de extensões. As extensões no cluster são listadas.

4. Selecione o cluster e selecione desinstalar.

   

CLI do Azure

Usar CLI do Azure para remover o sensor do Defender

1. Remova a extensão de Arc do Microsoft Defender para Kubernetes com os seguintes comandos:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   A remoção da extensão pode levar alguns minutos. Recomendamos que você aguarde antes de tentar verificar se foi bem-sucedido.

2. Para verificar se a extensão foi removida com êxito, execute os seguintes comandos:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Em seguida, valide se não existe nenhum pod no namespace mdc no cluster executando o seguinte comando com o arquivo kubeconfig apontado para o seu cluster:

   kubectl get pods -n mdc
   

   Pode demorar alguns minutos para os pods serem excluídos.

REST API

Usar a API REST para remover o sensor do Defender

Para remover a extensão usando a API REST, execute o seguinte comando DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nome	Em	Obrigatório	Type	Descrição
ID da assinatura	Caminho	True	String	A ID da assinatura do cluster Kubernetes habilitado para o Azure Arc
Grupo de recursos	Caminho	True	String	O grupo de recursos do cluster Kubernetes habilitado para Azure Arc
Nome do cluster	Caminho	True	String	O nome do cluster do Kubernetes habilitado para Azure Arc

Para autenticação, seu cabeçalho deve ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

az account get-access-token --subscription <your-subscription-id>

A solicitação pode levar vários minutos para ser concluída.

Workspace do Log Analytics padrão para o AKS

O workspace do Log Analytics é usado pelo sensor do Defender como um pipeline de dados para enviar dados do cluster para o Defender para Nuvem sem reter dados no próprio workspace do Log Analytics. Como resultado, os usuários não serão cobrados nesse caso de uso.

O sensor do Defender usa um workspace do Log Analytics padrão. Caso ainda não tenha um workspace do Log Analytics padrão, o Defender para Nuvem criará um grupo de recursos e um workspace padrão quando o sensor do Defender for instalado. O workspace padrão é criado com base em sua região.

A convenção de nomenclatura do grupo de recursos e do workspace padrão do Log Analytics é:

• Workspace: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um workspace personalizado

Quando você habilitar a opção de provisionamento automático, um workspace padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado por meio da Azure Policy.

Para verificar se você tem um workspace atribuído:

1. Entre no portal do Azure.

2. Pesquise por Política e selecione essa opção.

   

3. Selecione Definições.

4. Procure a ID da política 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Selecione Configurar clusters do Serviço de Kubernetes do Azure para habilitar o perfil do Defender.

6. Selecione Atribuição.

   

7. Siga as etapas em Criar uma atribuição com workspace personalizado se a política ainda não tiver sido atribuída ao escopo relevante. Ou siga as etapas em Atualizar atribuição com workspace personalizado se a política já estiver atribuída e você quiser alterá-la para usar um workspace personalizado.

Criar uma atribuição com workspace personalizado

Se a política não tiver sido atribuída, você verá Assignments (0).

Para atribuir workspace personalizado:

1. Selecione Atribuir.

2. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

3. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

   

4. Selecione Examinar + criar.

5. Selecione Criar.

Atualizar atribuição com workspace personalizado

Se a política já tiver sido atribuída a um workspace, você verá Assignments (1).

Observação

Se você tiver mais de uma assinatura, esse número poderá ser maior.

Para atribuir workspace personalizado:

1. Selecione a atribuição relevante.

   

2. Selecione Editar atribuição.

3. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

4. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

   

5. Selecione Examinar + salvar.

6. Selecione Salvar.

Workspace do Log Analytics padrão para o Arc

O workspace do Log Analytics é usado pelo sensor do Defender como um pipeline de dados para enviar dados do cluster para o Defender para Nuvem sem reter dados no próprio workspace do Log Analytics. Como resultado, os usuários não serão cobrados nesse caso de uso.

O sensor do Defender usa um workspace do Log Analytics padrão. Caso ainda não tenha um workspace do Log Analytics padrão, o Defender para Nuvem criará um grupo de recursos e um workspace padrão quando o sensor do Defender for instalado. O workspace padrão é criado com base em sua região.

A convenção de nomenclatura do grupo de recursos e do workspace padrão do Log Analytics é:

• Workspace: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um workspace personalizado

Quando você habilitar a opção de provisionamento automático, um workspace padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado por meio da Azure Policy.

Para verificar se você tem um workspace atribuído:

1. Entre no portal do Azure.

2. Procure Política e selecione essa opção.

   

3. Selecione Definições.

4. Procure a ID da política 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Selecione Configurar os clusters do Kubernetes habilitados para Azure Arc para instalar a extensão do Microsoft Defender para Nuvem.

6. Selecione Atribuições.

   

7. Siga as etapas em Criar uma atribuição com workspace personalizado se a política ainda não tiver sido atribuída ao escopo relevante. Ou siga as etapas em Atualizar atribuição com workspace personalizado se a política já estiver atribuída e você quiser alterá-la para usar um workspace personalizado.

Criar uma atribuição com workspace personalizado

Se a política não tiver sido atribuída, você verá Assignments (0).

Para atribuir workspace personalizado:

1. Selecione Atribuir.

2. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

3. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

   

4. Selecione Examinar + criar.

5. Selecione Criar.

Atualizar atribuição com workspace personalizado

Se a política já tiver sido atribuída a um workspace, você verá Assignments (1).

Observação

Se você tiver mais de uma assinatura, esse número poderá ser maior. Se você tiver um número 1 ou superior, a atribuição pode ainda não estar no escopo relevante. Se esse for o caso, siga as etapas em Criar uma atribuição com workspace personalizado.

Para atribuir workspace personalizado:

1. Selecione a atribuição relevante.

   

2. Selecione Editar atribuição.

3. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

4. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

   

5. Selecione Examinar + salvar.

6. Selecione Salvar.

Remover o sensor do Defender

Para remover essa extensão – ou qualquer uma – do Defender para Nuvem, não é suficiente desativar o provisionamento automático:

• Habilitar o provisionamento automático potencialmente afeta computadores existentes e futuros.
• Desabilitar o provisionamento automático de uma extensão afeta apenas computadores futuros: nada é desinstalado quando o provisionamento automático é desabilitado.

Observação

Para desativar totalmente o plano do Defender para Contêineres, acesse as Configurações de Ambiente e desabilite o plano do Microsoft Defender para contêineres.

No entanto, para garantir que os componentes do Defender para Contêineres não sejam provisionados automaticamente para seus recursos de agora em diante, desabilite o provisionamento automático das extensões, conforme explicado em Configurar o provisionamento automático para agentes e extensões do Microsoft Defender para Nuvem.

Você pode remover a extensão usando a API REST ou um modelo do Resource Manager, conforme explicado nas guias abaixo.

REST API

Usar API REST para remover o sensor do Defender do AKS

Para remover a extensão usando a API REST, execute o seguinte comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nome	Descrição	Obrigatório
SubscriptionId	ID da assinatura do cluster	Yes
ResourceGroup	Grupo de recursos do cluster	Yes
ClusterName	Nome do cluster	Yes
ApiVersion	A versão da API deve ser >= 2022-06-01	Yes

Corpo da solicitação:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parâmetros do corpo da solicitação:

Name	Descrição	Obrigatório
local	Local do cluster	Sim
properties.securityProfile.defender.securityMonitoring.enabled	Determina se é para habilitar ou desabilitar o Microsoft Defender para contêineres no cluster	Yes

CLI do Azure

Usar CLI do Azure para remover o sensor do Defender

1. Remova o Microsoft Defender com os seguintes comandos:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   A remoção da extensão pode levar alguns minutos.

2. Para verificar se a extensão foi removida com êxito, execute o seguinte comando:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Quando a extensão for removida, você verá que nenhum pod é retornado no comando get pods. Pode demorar alguns minutos para os pods serem excluídos.

Gerenciador de Recursos

Usar o Azure Resource Manager para remover o sensor do Defender do AKS

Para usar o Azure Resource Manager para remover o sensor do Defender, você precisará de um workspace do Log Analytics na assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Dica

Se você for novo nos modelos do Resource Manager, comece aqui: quais são os modelos de Azure Resource Manager?

O modelo e os parâmetros relevantes para remover o sensor do Defender do AKS são:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Saiba mais

Confira os seguintes blogs:

• Proteja suas cargas de trabalho do Google Cloud com o Microsoft Defender para Nuvem
• Introdução ao Microsoft Defender para contêineres
• Um novo nome para segurança multinuvens: Microsoft Defender para Nuvem

Próximas etapas

Agora que você habilitou o Defender para Contêineres, é possível fazer o seguinte:

• Verificar se há vulnerabilidades nas imagens do ACR
• Verificar as imagens do AWS em busca de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender
• Verificar as imagens do GGP em busca de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender
• Confira as perguntas comuns sobre o Defender para contêineres.