Configurar componentes do Microsoft Defender para contêineres

O Microsoft Defender for Containers é a solução nativa da nuvem para proteger seus contêineres.

O Defender para contentores protege os clusters, quer estejam a ser executados:

• Azure Kubernetes Service (AKS) - o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos em contêineres.

• Amazon Elastic Kubernetes Service (EKS) em uma conta conectada da Amazon Web Services (AWS) - o serviço gerenciado da Amazon para executar o Kubernetes na AWS sem a necessidade de instalar, operar e manter seu próprio plano ou nós de controle do Kubernetes.

• Google Kubernetes Engine (GKE) em um projeto conectado do Google Cloud Platform (GCP) - o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.

• Outras distribuições Kubernetes (usando o Kubernetes habilitado para Azure Arc) - clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou em IaaS. Para obter mais informações, consulte a seção On-prem/IaaS (Arc) de Recursos suportados por ambiente.

Saiba mais sobre este plano em Visão geral do Microsoft Defender for Containers.

Você pode primeiro aprender como conectar e proteger seus contêineres nestes artigos:

• Proteja seus contêineres do Azure com o Defender for Containers
• Proteja seus clusters Kubernetes locais com o Defender for Containers
• Proteja seus contêineres de contas do Amazon Web Service (AWS) com o Defender for Containers
• Proteja seus contêineres de projeto do Google Cloud Platform (GCP) com o Defender for Containers

Você também pode saber mais assistindo a estes vídeos da série de vídeos Defender for Cloud in the Field:

• Microsoft Defender for Containers em um ambiente multicloud
• Proteja contêineres no GCP com o Defender for Containers

Nota

O suporte do Defender for Containers para clusters Kubernetes habilitados para Arc é um recurso de visualização. O recurso de visualização está disponível em uma base de autosserviço, opt-in.

As visualizações prévias são fornecidas "como estão" e "conforme disponíveis" e são excluídas dos contratos de nível de serviço e da garantia limitada.

Para saber mais sobre os sistemas operacionais suportados, disponibilidade de recursos, proxy de saída e muito mais, consulte a disponibilidade do recurso Defender for Containers.

Requisitos de rede

Valide se os seguintes pontos de extremidade estão configurados para acesso de saída para que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança:

Consulte as regras de FQDN/aplicativo necessárias para o Microsoft Defender for Containers.

Por predefinição, os clusters do AKS têm acesso à Internet de saída sem restrições.

Requisitos de rede

Atenção

Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.

Valide se os seguintes pontos de extremidade estão configurados para acesso de saída para que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança:

Para implantações de nuvem pública:

Domínio do Azure	Azure Government Domain	Microsoft Azure operado pela 21Vianet Domain	Porta
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Os domínios a seguir só são necessários se você estiver usando um sistema operacional relevante. Por exemplo, se você tiver clusters EKS em execução na AWS, só precisará aplicar o Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domínio.

Domain	Porta	Sistemas operacionais de host
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
repositórios padrão yum	-	RHEL / Centos
Repositórios padrão apt	-	Debian

Você também precisará validar os requisitos de rede do Kubernetes habilitados para Azure Arc.

Ativar o plano

Para habilitar o plano:

1. No menu do Defender for Cloud, abra a página Configurações e selecione a assinatura relevante.

2. Na página Planos do Defender, selecione Defender for Containers e selecione Configurações.

   

   Gorjeta

   Se a assinatura já tiver o Defender para Kubernetes e/ou o Defender para registros de contêiner habilitados, um aviso de atualização será exibido. Caso contrário, a única opção será Defender for Containers.

   

3. Ligue o componente relevante para ativá-lo.

   

   Nota

   • Os clientes do Defenders for Containers que ingressaram antes de agosto de 2023 e não têm a descoberta sem agente para Kubernetes habilitada como parte do Defender CSPM quando habilitaram o plano, devem habilitar manualmente a descoberta sem agente para a extensão Kubernetes dentro do plano Defender for Containers.
   • Quando você desativa o Defender for Containers, os componentes são desativados e não são implantados em mais contêineres, mas não são removidos dos contêineres nos quais já estão instalados.

Método de habilitação por capacidade

Por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender for Containers é configurado para habilitar automaticamente todos os recursos e instalar todos os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um espaço de trabalho padrão.

Se você não quiser habilitar todos os recursos dos planos, poderá selecionar manualmente quais recursos específicos habilitar selecionando Editar configuração para o plano Contêineres . Em seguida, na página Configurações e monitoramento , selecione os recursos que deseja habilitar. Além disso, você pode modificar essa configuração na página de planos do Defender após a configuração inicial do plano.

Para obter informações detalhadas sobre o método de habilitação para cada um dos recursos, consulte a matriz de suporte.

Funções e permissões

Saiba mais sobre as funções usadas para provisionar as extensões do Defender for Containers.

Atribuição de espaço de trabalho personalizado para o sensor Defender

Você pode atribuir um espaço de trabalho personalizado por meio da Política do Azure.

Implantação manual do sensor Defender ou do agente de políticas do Azure sem provisionamento automático usando recomendações

Os recursos que exigem a instalação do sensor também podem ser implantados em um ou mais clusters Kubernetes, usando a recomendação apropriada:

Sensor	Recomendação
Sensor Defender para Kubernetes	Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado
Sensor Defender para Kubernetes habilitado para Arc	Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada
Agente de política do Azure para Kubernetes	Os clusters do Serviço Kubernetes do Azure devem ter o Complemento de Política do Azure para Kubernetes instalado
Agente de política do Azure para Kubernetes habilitado para Arc	Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Execute as seguintes etapas para executar a implantação do sensor Defender em clusters específicos:

1. Na página de recomendações do Microsoft Defender for Cloud, abra a opção Ativar controle de segurança avançado ou procure diretamente uma das recomendações acima (ou use os links acima para abrir a recomendação diretamente)

2. Veja todos os clusters sem um sensor através do separador não saudável.

3. Selecione os clusters nos quais implantar o sensor desejado e selecione Corrigir.

4. Selecione Corrigir recursos X.

Implantando o sensor Defender - todas as opções

Você pode habilitar o plano do Defender for Containers e implantar todos os componentes relevantes do portal do Azure, da API REST ou com um modelo do Gerenciador de Recursos. Para obter etapas detalhadas, selecione a guia relevante.

Depois que o sensor Defender for implantado, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um espaço de trabalho personalizado no lugar do espaço de trabalho padrão por meio da Política do Azure.

Nota

O sensor Defender é implantado em cada nó para fornecer as proteções de tempo de execução e coletar sinais desses nós usando a tecnologia eBPF.

Portal do Azure

Use o botão de correção da recomendação do Defender for Cloud

Um processo simplificado e sem atrito permite que você use as páginas do portal do Azure para habilitar o plano do Defender for Cloud e configurar o provisionamento automático de todos os componentes necessários para defender seus clusters Kubernetes em escala.

Uma recomendação dedicada do Defender for Cloud oferece:

• Visibilidade sobre qual dos seus clusters tem o sensor Defender implantado
• Botão Corrigir para implantá-lo nesses clusters sem o sensor

1. Na página de recomendações do Microsoft Defender for Cloud, abra a opção Ativar controle de segurança avançado.

2. Use o filtro para localizar a recomendação chamada Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado.

   Gorjeta

   Observe o ícone Corrigir na coluna de ações

3. Selecione os clusters para ver os detalhes dos recursos íntegros e não íntegros - clusters com e sem o sensor.

4. Na lista de recursos não íntegros, selecione um cluster e selecione Corrigir para abrir o painel com a confirmação de correção.

5. Selecione Corrigir recursos X.

API REST

Use a API REST para implantar o sensor Defender

Para instalar o 'SecurityProfile' em um cluster existente com a API REST, execute o seguinte comando PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Solicitar URI: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Solicitar parâmetros de consulta:

Nome	Descrição	Obrigatório
SubscriptionId	ID de subscrição do cluster	Sim
ResourceGroup	Grupo de recursos do cluster	Sim
ClusterName	Nome do cluster	Sim
ApiVersion	Versão da API, deve ser >= 2022-06-01	Sim

Corpo do Pedido:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parâmetros do corpo da solicitação:

Nome	Descrição	Obrigatório
localização	Localização do cluster	Sim
propriedades.securityProfile.defender.securityMonitoring.enabled	Determina se o Microsoft Defender for Containers deve ser habilitado ou desabilitado no cluster	Sim
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Espaço de trabalho do Log Analytics ID do recurso do Azure	Sim

CLI do Azure

Usar a CLI do Azure para implantar o sensor do Defender

1. Entre no Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Certifique-se de usar o mesmo ID de assinatura associado <your-subscription-id> ao cluster AKS.

2. Ative o sensor Defender nos seus contentores:

   • Execute o seguinte comando para criar um novo cluster com o sensor Defender ativado:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Execute o seguinte comando para ativar o sensor Defender em um cluster existente:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Uma descrição de todas as definições de configuração suportadas no tipo de sensor Defender é dada abaixo:

   Property

   Description

   logAnalyticsWorkspaceResourceId

   Opcional. ID de recurso completo do seu próprio espaço de trabalho do Log Analytics. Quando não fornecido, o espaço de trabalho padrão da região será usado. Para obter a ID completa do recurso, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json O ID do recurso do espaço de trabalho do Log Analytics tem a seguinte sintaxe: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Saiba mais em espaços de trabalho do Log Analytics

   Você pode incluir essas configurações em um arquivo JSON e especificar o arquivo JSON nos az aks create comandos e az aks update com este parâmetro: --defender-config <path-to-JSON-file>. O formato do arquivo JSON deve ser:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Saiba mais sobre os comandos da CLI do AKS em az aks.

3. Para verificar se o sensor foi adicionado com êxito, execute o seguinte comando na sua máquina com o ficheiro apontado para o kubeconfig cluster:

   kubectl get pods -n kube-system
   

   Quando o sensor é adicionado, você deve ver um pod chamado microsoft-defender-XXXXX no Running estado. Pode levar alguns minutos para que os pods sejam adicionados.

Resource Manager

Usar o Azure Resource Manager para implantar o sensor do Defender

Para usar o Azure Resource Manager para implantar o sensor do Defender, você precisará de um espaço de trabalho do Log Analytics em sua assinatura. Saiba mais em Espaços de trabalho do Log Analytics.

Gorjeta

Se você é novo nos modelos do Resource Manager, comece aqui: O que são modelos do Azure Resource Manager?

Para instalar o 'SecurityProfile' num cluster existente com o Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Ativar o plano

Para habilitar o plano:

1. No menu do Defender for Cloud, abra a página Configurações e selecione a assinatura relevante.

2. Na página Planos do Defender, selecione Defender for Containers e selecione Configurações.

   Gorjeta

   Se a assinatura já tiver o Defender para Kubernetes ou o Defender para registros de contêiner habilitados, um aviso de atualização será exibido. Caso contrário, a única opção será Defender for Containers.

   

3. Ligue o componente relevante para ativá-lo.

   

   Nota

   Quando você desativa o Defender for Containers, os componentes são desativados e não são implantados em mais contêineres, mas não são removidos dos contêineres nos quais já estão instalados.

Por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender for Containers é configurado para instalar automaticamente os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um espaço de trabalho padrão.

Se quiser desativar a instalação automática de componentes durante o processo de integração, selecione Editar configuração para o plano Contêineres. As opções avançadas aparecerão e você pode desativar a instalação automática para cada componente.

Além disso, você pode modificar essa configuração na página de planos do Defender.

Nota

Se você optar por desativar o plano a qualquer momento depois de ativá-lo através do portal, como mostrado acima, será necessário remover manualmente os componentes do Defender for Containers implantados em seus clusters.

Você pode atribuir um espaço de trabalho personalizado por meio da Política do Azure.

Se você desabilitar a instalação automática de qualquer componente, poderá implantá-lo facilmente em um ou mais clusters usando a recomendação apropriada:

• Complemento de política para Kubernetes - Os clusters do Serviço Kubernetes do Azure devem ter o Complemento de Política do Azure para Kubernetes instalado
• Perfil do Serviço Kubernetes do Azure - Os clusters do Serviço Kubernetes do Azure devem ter o perfil do Defender habilitado
• Extensão Kubernetes habilitada para Azure Arc - Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada
• Extensão de Política do Kubernetes habilitada para Azure Arc - Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão de Política do Azure instalada

Saiba mais sobre as funções usadas para provisionar as extensões do Defender for Containers.

Pré-requisitos

Antes de implantar o sensor, certifique-se de:

• Conectar o cluster Kubernetes ao Azure Arc
• Preencha os pré-requisitos listados na documentação de extensões de cluster genéricas.

Implantar o sensor Defender

Você pode implantar o sensor Defender usando uma variedade de métodos. Para obter etapas detalhadas, selecione a guia relevante.

Portal do Azure

Use o botão de correção da recomendação do Defender for Cloud

Uma recomendação dedicada do Defender for Cloud oferece:

• Visibilidade sobre qual dos seus clusters tem o sensor Defender implantado
• Botão Corrigir para implantá-lo nesses clusters sem o sensor

1. Na página de recomendações do Microsoft Defender for Cloud, abra a opção Ativar controle de segurança avançado.

2. Use o filtro para localizar a recomendação chamada Azure Arc-enabled Kubernetes clusters deve ter a extensão do Defender for Cloud instalada.

   

   Gorjeta

   Observe o ícone Corrigir na coluna de ações

3. Selecione o sensor para ver os detalhes dos recursos saudáveis e não íntegros - clusters com e sem o sensor.

4. Na lista de recursos não íntegros, selecione um cluster e selecione Corrigir para abrir o painel com as opções de correção.

5. Selecione o espaço de trabalho relevante do Log Analytics e selecione Corrigir x recurso.

   

CLI do Azure

Usar a CLI do Azure para implantar o sensor do Defender

1. Entre no Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Certifique-se de usar a mesma ID de assinatura que foi usada ao <your-subscription-id> conectar seu cluster ao Azure Arc.

2. Execute o seguinte comando para implantar o sensor na parte superior do cluster Kubernetes habilitado para Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Uma descrição de todas as definições de configuração suportadas no tipo de sensor Defender é dada abaixo:

   Property	Description
   logAnalyticsWorkspaceResourceID	Opcional. ID de recurso completo do seu próprio espaço de trabalho do Log Analytics. Quando não fornecido, o espaço de trabalho padrão da região será usado. Para obter a ID completa do recurso, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json O ID do recurso do espaço de trabalho do Log Analytics tem a seguinte sintaxe: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Saiba mais em espaços de trabalho do Log Analytics
   auditLogPath	Opcional. O caminho completo para os arquivos de log de auditoria. Quando não fornecido, o caminho /var/log/kube-apiserver/audit.log padrão será usado. Para o AKS Engine, o caminho padrão é /var/log/kubeaudit/audit.log

   O comando abaixo mostra um exemplo de uso de todos os campos opcionais:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Usar o Azure Resource Manager para implantar o sensor do Defender

Para usar o Azure Resource Manager para implantar o sensor do Defender, você precisará de um espaço de trabalho do Log Analytics em sua assinatura. Saiba mais em Espaços de trabalho do Log Analytics.

Você pode usar o modelo azure-defender-extension-arm-template.json Resource Manager nos exemplos de instalação do Defender for Cloud.

Gorjeta

Se você é novo nos modelos do Resource Manager, comece aqui: O que são modelos do Azure Resource Manager?

API REST

Use a API REST para implantar o sensor Defender

Para usar a API REST para implantar o sensor do Defender, você precisará de um espaço de trabalho do Log Analytics em sua assinatura. Saiba mais em Espaços de trabalho do Log Analytics.

Gorjeta

A maneira mais simples de usar a API para implantar o sensor Defender é com o exemplo JSON da Postman Collection fornecido nos exemplos de instalação do Defender for Cloud.

• Para modificar o JSON Postman Collection ou implantar manualmente o sensor com a API REST, execute o seguinte comando PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Em que:

  Nome	Em	Necessário	Type	Description
  ID de Subscrição	Caminho	True	String	ID de assinatura do recurso Kubernetes habilitado para Azure Arc
  Grupo de Recursos	Caminho	True	String	Nome do grupo de recursos que contém seu recurso Kubernetes habilitado para Azure Arc
  Nome do Cluster	Caminho	True	String	Nome do seu recurso Kubernetes habilitado para Azure Arc

  Para Autenticação, seu cabeçalho deve ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

  az account get-access-token --subscription <your-subscription-id> Use a seguinte estrutura para o corpo da mensagem:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  A descrição das propriedades é dada abaixo:

  Property	Description
  logAnalytics.workspaceId	ID do espaço de trabalho do recurso Log Analytics
  logAnalytics.key	Chave do recurso do Log Analytics
  auditLogPath	Opcional. O caminho completo para os arquivos de log de auditoria. O valor predefinido é /var/log/kube-apiserver/audit.log

Verificar a implementação

Para verificar se o cluster tem o sensor Defender instalado, siga as etapas em uma das guias abaixo:

Azure portal - Defender for Cloud

Use a recomendação do Defender for Cloud para verificar o status do sensor

1. Na página de recomendações do Microsoft Defender for Cloud, abra o controle de segurança Ativar o Microsoft Defender for Cloud .

2. Selecione a recomendação chamada Os clusters Kubernetes habilitados para Azure Arc devem ter a extensão do Microsoft Defender for Cloud instalada.

   

3. Verifique se o cluster no qual você implantou o sensor está listado como Íntegro.

Azure portal - Azure Arc

Use as páginas do Azure Arc para verificar o status do seu sensor

1. No portal do Azure, abra o Azure Arc.

2. Na lista de infraestrutura, selecione clusters Kubernetes e, em seguida, selecione o cluster específico.

3. Abra a página de extensões. As extensões no cluster são listadas. Para confirmar se o sensor Defender foi instalado corretamente, verifique a coluna Status da instalação.

   

4. Para obter mais detalhes, selecione a extensão.

   

CLI do Azure

Usar a CLI do Azure para verificar se o sensor está implantado

1. Execute o seguinte comando na CLI do Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Na resposta, procure por "extensionType": "microsoft.azuredefender.kubernetes" e "installState": "Installed".

   Nota

   Pode mostrar "installState": "Pendente" nos primeiros minutos.

3. Se o estado mostrar Instalado, execute o seguinte comando em sua máquina com o arquivo apontado para o kubeconfig cluster para verificar se todos os pods sob o namespace mdc estão no estado 'Em execução':

   kubectl get pods -n mdc
   

API REST

Use a API REST para verificar se o sensor está implantado

Para confirmar uma implantação bem-sucedida ou validar o status do sensor a qualquer momento:

1. Execute o seguinte comando GET:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Na resposta, procure em "extensionType": "microsoft.azuredefender.kubernetes" por "installState": "Installed".

   Gorjeta

   Pode mostrar "installState": "Pendente" nos primeiros minutos.

3. Se o estado mostrar Instalado, execute o seguinte comando em sua máquina com o arquivo apontado para o kubeconfig cluster para verificar se todos os pods sob o namespace mdc estão no estado 'Em execução':

   kubectl get pods -n mdc
   

Ativar o plano

Importante

• Se você ainda não conectou uma conta da AWS, conecte suas contas da AWS ao Microsoft Defender for Cloud.
• Se você já tiver habilitado o plano no conector e quiser alterar as configurações opcionais ou habilitar novos recursos, vá diretamente para a etapa 4.

Para proteger seus clusters EKS, habilite o plano Contêineres no conector de conta relevante:

1. No menu do Defender for Cloud, abra Configurações de ambiente.

2. Selecione o conector da AWS.

   

3. Verifique se a alternância para o plano Contêineres está definida como Ativado.

   

4. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • O Defender for Containers requer logs de auditoria do plano de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativado. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.

     Nota

     Se você desabilitar essa configuração, o Threat detection (control plane) recurso será desativado. Saiba mais sobre a disponibilidade de recursos.

   • A descoberta sem agente para Kubernetes fornece descoberta baseada em API de seus clusters Kubernetes. Para habilitar o recurso Descoberta sem agente para Kubernetes , alterne a configuração para Ativado.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e imagens em execução em seus clusters EKS. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente , alterne a configuração para Ativado.

5. Continue pelas páginas restantes do assistente de conector.

6. Se você estiver habilitando o recurso Descoberta sem agente para Kubernetes , precisará conceder permissões de plano de controle no cluster. Você pode fazer isso de uma das seguintes maneiras:

   • Execute este script Python para conceder as permissões. O script adiciona a função MDCContainersAgentlessDiscoveryK8sRole do Defender for Cloud ao aws-auth ConfigMap dos clusters EKS que você deseja integrar.

   • Conceda a cada cluster do Amazon EKS a função MDCContainersAgentlessDiscoveryK8sRole com a capacidade de interagir com o cluster. Entre em todos os clusters existentes e recém-criados usando eksctl e execute o seguinte script:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Para obter mais informações, consulte Habilitando o acesso principal do IAM ao cluster.

7. O Kubernetes habilitado para Azure Arc, o sensor Defender e a Política do Azure para Kubernetes devem ser instalados e executados em seus clusters EKS. Há recomendações dedicadas do Defender for Cloud para instalar essas extensões (e o Azure Arc, se necessário):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Para cada uma das recomendações, siga as etapas abaixo para instalar as extensões necessárias.

   Para instalar as extensões necessárias:

   1. Na página Recomendações do Defender for Cloud, procure uma das recomendações pelo nome.

   2. Selecione um cluster não íntegro.

      Importante

      Você deve selecionar os clusters um de cada vez.

      Não selecione os clusters por seus nomes de hiperlink: selecione em qualquer outro lugar na linha relevante.

   3. Selecione Corrigir.

   4. O Defender for Cloud gera um script no idioma de sua escolha: selecione Bash (para Linux) ou PowerShell (para Windows).

   5. Selecione Baixar lógica de correção.

   6. Execute o script gerado no cluster.

   7. Repita os passos "a" a "f" para a segunda recomendação.

   

Ver recomendações e alertas para os seus clusters EKS

Gorjeta

Você pode simular alertas de contêiner seguindo as instruções nesta postagem do blog.

Para visualizar os alertas e recomendações para seus clusters EKS, use os filtros nas páginas de alertas, recomendações e inventário para filtrar por tipo de recurso cluster do AWS EKS.

Implantando o sensor Defender

Para implantar o sensor Defender em seus clusters da AWS, siga estas etapas:

1. Vá para Microsoft Defender for Cloud ->Environment settings ->Add environment ->Amazon Web Services.

   

2. Preencha os dados da conta.

   

3. Vá para Selecionar planos, abra o plano Contêineres e verifique se o sensor do Auto provision Defender for Azure Arc está definido como ativado.

   

4. Vá para Configurar acesso e siga as etapas lá.

   

5. Depois que o modelo Cloud Formation for implantado com êxito, selecione Criar.

Nota

Você pode excluir um cluster específico da AWS do provisionamento automático. Para a implantação do sensor, aplique a ms_defender_container_exclude_agents tag no recurso com o valor true. Para implantação sem agente, aplique a ms_defender_container_exclude_agentless tag no recurso com o valor true.

Ativar o plano

Importante

Se você ainda não conectou um projeto GCP, conecte seus projetos GCP ao Microsoft Defender for Cloud.

Para proteger seus clusters GKE, você precisará habilitar o plano Containers no projeto GCP relevante.

Nota

Verifique se você não tem nenhuma política do Azure que impeça a instalação do Arc.

Para proteger os clusters do Google Kubernetes Engine (GKE):

1. Inicie sessão no portal do Azure.

2. Navegue até as configurações do Microsoft Defender for Cloud>Environment.

3. Selecione o conector GCP relevante

   

4. Selecione o botão Avançar: Selecionar planos > .

5. Certifique-se de que o plano Containers está alternado para Ativado.

   

6. Para alterar as configurações opcionais do plano, selecione Configurações.

   

   • Logs de auditoria do Kubernetes no Defender for Cloud: ativado por padrão. Essa configuração está disponível apenas no nível do projeto GCP. Ele fornece coleta sem agente dos dados de log de auditoria por meio do GCP Cloud Logging para o back-end do Microsoft Defender for Cloud para análise posterior. O Defender for Containers requer logs de auditoria do plano de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a configuração para Ativado.

     Nota

     Se você desabilitar essa configuração, o Threat detection (control plane) recurso será desativado. Saiba mais sobre a disponibilidade de recursos.

   • Provisionamento automático do sensor do Defender para o Azure Arc e provisionamento automático da extensão da Política do Azure para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters GKE de três maneiras:

     • Habilite o provisionamento automático do Defender for Containers no nível do projeto, conforme explicado nas instruções desta seção. Recomendamos este método.
     • Use as recomendações do Defender for Cloud para instalação por cluster. Eles aparecem na página de recomendações do Microsoft Defender for Cloud. Saiba como implantar a solução em clusters específicos.
     • Instale manualmente o Kubernetes habilitado para Arc e extensões.

   • A descoberta sem agente para Kubernetes fornece descoberta baseada em API de seus clusters Kubernetes. Para habilitar o recurso Descoberta sem agente para Kubernetes , alterne a configuração para Ativado.

   • A Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no Google Registries (GAR e GCR) e imagens em execução em seus clusters GKE. Para habilitar o recurso Avaliação de Vulnerabilidade de Contêiner sem Agente , alterne a configuração para Ativado.

7. Selecione o botão Copiar .

   

8. Selecione o botão GCP Cloud Shell > .

9. Cole o script no terminal do Cloud Shell e execute-o.

O conector será atualizado após a execução do script. Este processo pode levar até 6-8 horas para ser concluído.

Implantar a solução em clusters específicos

Se você desabilitou qualquer uma das configurações de provisionamento automático padrão para Desativado, durante o processo de integração do conector GCP ou posteriormente. Você precisará instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor Defender e a Política do Azure para Kubernetes em cada um dos clusters GKE para obter todo o valor de segurança do Defender for Containers.

Existem 2 recomendações dedicadas do Defender for Cloud que você pode usar para instalar as extensões (e Arc, se necessário):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Nota

Ao instalar extensões Arc, você deve verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

1. Inicie sessão no portal do Azure.

2. Navegue até Recomendações do Microsoft Defender for Cloud>.

3. Na página Recomendações do Defender for Cloud, procure uma das recomendações pelo nome.

   

4. Selecione um cluster GKE não íntegro.

   Importante

   Você deve selecionar os clusters um de cada vez.

   Não selecione os clusters por seus nomes de hiperlink: selecione em qualquer outro lugar na linha relevante.

5. Selecione o nome do recurso não íntegro.

6. Selecione Corrigir.

   

7. O Defender for Cloud irá gerar um script no idioma de sua escolha:

   • Para Linux, selecione Bash.
   • Para Windows, selecione PowerShell.

8. Selecione Baixar lógica de correção.

9. Execute o script gerado no cluster.

10. Repita os passos 3 a 8 para a segunda recomendação.

Veja seus alertas de cluster GKE

1. Inicie sessão no portal do Azure.

2. Navegue até Alertas do Microsoft Defender for Cloud>Security.

3. Selecione o botão .

4. No menu suspenso Filtro, selecione Tipo de recurso.

5. No menu suspenso Valor, selecione GCP GKE Cluster.

6. Selecione OK.

Implantando o sensor Defender

Para implantar o sensor Defender em seus clusters GCP, siga estas etapas:

1. Vá para Microsoft Defender for Cloud ->Configurações do ambiente ->Adicionar ambiente ->Google Cloud Platform.

   

2. Preencha os dados da conta.

   

3. Vá para Selecionar planos, abra o plano Contêineres e verifique se o sensor do Auto provision Defender for Azure Arc está definido como ativado.

   

4. Vá para Configurar acesso e siga as etapas lá.

   

5. Depois que o script gcloud for executado com êxito, selecione Criar.

Nota

Você pode excluir um cluster GCP específico do provisionamento automático. Para a implantação do sensor, aplique o ms_defender_container_exclude_agents rótulo no recurso com o valor true. Para implantação sem agente, aplique o ms_defender_container_exclude_agentless rótulo no recurso com o valor true.

Simule alertas de segurança do Microsoft Defender for Containers

Uma lista completa de alertas suportados está disponível na tabela de referência de todos os alertas de segurança do Defender for Cloud.

1. Para simular um alerta de segurança, execute o seguinte comando a partir do cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   A resposta esperada é No resource found.

   Em 30 minutos, o Defender for Cloud deteta essa atividade e aciona um alerta de segurança.

   Nota

   Para simular alertas sem agente para o Defender for Containers, o Azure Arc não é um pré-requisito.

2. No portal do Azure, abra a página de alertas de segurança do Microsoft Defender for Cloud e procure o alerta no recurso relevante:

   

Remova o sensor Defender

Para remover esta - ou qualquer extensão - do Defender for Cloud, não basta desativar o provisionamento automático:

• A habilitação do provisionamento automático afeta potencialmente as máquinas existentes e futuras .
• A desativação do provisionamento automático para uma extensão afeta apenas as máquinas futuras - nada é desinstalado desativando o provisionamento automático.

Nota

Para desativar totalmente o plano do Defender for Containers, vá para Configurações do ambiente e desative o plano do Microsoft Defender for Containers .

No entanto, para garantir que os componentes do Defender for Containers não sejam provisionados automaticamente para seus recursos a partir de agora, desative o provisionamento automático das extensões, conforme explicado em Configurar provisionamento automático para agentes e extensões do Microsoft Defender for Cloud.

Você pode remover a extensão usando o portal do Azure, a CLI do Azure ou a API REST, conforme explicado nas guias abaixo.

Azure portal - Arc

Usar o portal do Azure para remover a extensão

1. No portal do Azure, abra o Azure Arc.

2. Na lista de infraestrutura, selecione clusters Kubernetes e, em seguida, selecione o cluster específico.

3. Abra a página de extensões. As extensões no cluster são listadas.

4. Selecione o cluster e selecione Desinstalar.

   

CLI do Azure

Usar a CLI do Azure para remover o sensor do Defender

1. Remova a extensão Microsoft Defender for Kubernetes Arc com os seguintes comandos:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   A remoção da extensão pode levar alguns minutos. Recomendamos que aguarde antes de tentar verificar se foi bem-sucedido.

2. Para verificar se a extensão foi removida com êxito, execute os seguintes comandos:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Depois disso, valide se não há pods no namespace mdc no cluster executando o seguinte comando com o arquivo apontado kubeconfig para o cluster:

   kubectl get pods -n mdc
   

   Pode levar alguns minutos para que os pods sejam excluídos.

API REST

Use a API REST para remover o sensor Defender

Para remover a extensão usando a API REST, execute o seguinte comando DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nome	Em	Necessário	Type	Description
ID de Subscrição	Caminho	True	String	A ID de assinatura do cluster Kubernetes habilitado para Azure Arc
Grupo de Recursos	Caminho	True	String	O grupo de recursos do cluster Kubernetes habilitado para Azure Arc
Nome do Cluster	Caminho	True	String	Nome do cluster Kubernetes habilitado para Azure Arc

Para Autenticação, seu cabeçalho deve ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

az account get-access-token --subscription <your-subscription-id>

A solicitação pode levar vários minutos para ser concluída.

Área de trabalho do Log Analytics predefinida para o AKS

O espaço de trabalho do Log Analytics é usado pelo sensor do Defender como um pipeline de dados para enviar dados do cluster para o Defender for Cloud sem reter dados no próprio espaço de trabalho do Log Analytics. Como resultado, os usuários não serão cobrados neste caso de uso.

O sensor do Defender usa um espaço de trabalho padrão do Log Analytics. Se você ainda não tiver um espaço de trabalho padrão do Log Analytics, o Defender for Cloud criará um novo grupo de recursos e um espaço de trabalho padrão quando o sensor do Defender for instalado. O espaço de trabalho padrão é criado com base na sua região.

A convenção de nomenclatura para o espaço de trabalho e o grupo de recursos padrão do Log Analytics é:

• Espaço de trabalho: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um espaço de trabalho personalizado

Quando você habilita a opção de provisionamento automático, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um espaço de trabalho personalizado por meio da Política do Azure.

Para verificar se você tem um espaço de trabalho atribuído:

1. Inicie sessão no portal do Azure.

2. Pesquise e selecione Política.

   

3. Selecione Definições.

4. Procure o ID 64def556-fbad-4622-930e-72d1d5589bf5da política .

   

5. Selecione Configurar clusters do Serviço Kubernetes do Azure para habilitar o perfil do Defender.

6. Selecione Atribuição.

   

7. Siga as etapas Criar uma nova atribuição com espaço de trabalho personalizado se a política ainda não tiver sido atribuída ao escopo relevante. Ou siga as etapas Atualizar atribuição com espaço de trabalho personalizado se a política já estiver atribuída e você quiser alterá-la para usar um espaço de trabalho personalizado.

Criar uma nova atribuição com espaço de trabalho personalizado

Se a política não tiver sido atribuída, você verá Assignments (0).

Para atribuir espaço de trabalho personalizado:

1. Selecione Atribuir.

2. Na guia Parâmetros, desmarque a opção Mostrar apenas parâmetros que precisam de entrada ou revisão.

3. Selecione um ID LogAnalyticsWorkspaceResource no menu suspenso.

   

4. Selecione Rever + criar.

5. Selecione Criar.

Atualizar atribuição com espaço de trabalho personalizado

Se a política já tiver sido atribuída a um espaço de trabalho, você verá Assignments (1).

Nota

Se tiver mais do que uma subscrição, o número poderá ser superior.

Para atribuir espaço de trabalho personalizado:

1. Selecione o trabalho relevante.

   

2. Selecione Editar atribuição.

3. Na guia Parâmetros, desmarque a opção Mostrar apenas parâmetros que precisam de entrada ou revisão.

4. Selecione um ID LogAnalyticsWorkspaceResource no menu suspenso.

   

5. Selecione Rever + guardar.

6. Selecione Guardar.

Espaço de trabalho padrão do Log Analytics para Arc

O espaço de trabalho do Log Analytics é usado pelo sensor do Defender como um pipeline de dados para enviar dados do cluster para o Defender for Cloud sem reter dados no próprio espaço de trabalho do Log Analytics. Como resultado, os usuários não serão cobrados neste caso de uso.

O sensor do Defender usa um espaço de trabalho padrão do Log Analytics. Se você ainda não tiver um espaço de trabalho padrão do Log Analytics, o Defender for Cloud criará um novo grupo de recursos e um espaço de trabalho padrão quando o sensor do Defender for instalado. O espaço de trabalho padrão é criado com base na sua região.

A convenção de nomenclatura para o espaço de trabalho e o grupo de recursos padrão do Log Analytics é:

• Espaço de trabalho: DefaultWorkspace-[subscription-ID]-[geo]
• Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um espaço de trabalho personalizado

Quando você habilita a opção de provisionamento automático, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um espaço de trabalho personalizado por meio da Política do Azure.

Para verificar se você tem um espaço de trabalho atribuído:

1. Inicie sessão no portal do Azure.

2. Pesquise e selecione Política.

   

3. Selecione Definições.

4. Procure o ID 708b60a6-d253-4fe0-9114-4be4c00f012cda política .

   

5. Selecione Configurar clusters Kubernetes habilitados para Azure Arc para instalar a extensão Microsoft Defender for Cloud..

6. Selecione Tarefas.

   

7. Siga as etapas Criar uma nova atribuição com espaço de trabalho personalizado se a política ainda não tiver sido atribuída ao escopo relevante. Ou siga as etapas Atualizar atribuição com espaço de trabalho personalizado se a política já estiver atribuída e você quiser alterá-la para usar um espaço de trabalho personalizado.

Criar uma nova atribuição com espaço de trabalho personalizado

Se a política não tiver sido atribuída, você verá Assignments (0).

Para atribuir espaço de trabalho personalizado:

1. Selecione Atribuir.

2. Na guia Parâmetros, desmarque a opção Mostrar apenas parâmetros que precisam de entrada ou revisão.

3. Selecione um ID LogAnalyticsWorkspaceResource no menu suspenso.

   

4. Selecione Rever + criar.

5. Selecione Criar.

Atualizar atribuição com espaço de trabalho personalizado

Se a política já tiver sido atribuída a um espaço de trabalho, você verá Assignments (1).

Nota

Se tiver mais do que uma subscrição, o número poderá ser superior. Se você tiver um número 1 ou superior, a atribuição ainda pode não estar no escopo relevante. Se esse for o caso, você desejará seguir as etapas Criar uma nova atribuição com espaço de trabalho personalizado.

Para atribuir espaço de trabalho personalizado:

1. Selecione o trabalho relevante.

   

2. Selecione Editar atribuição.

3. Na guia Parâmetros, desmarque a opção Mostrar apenas parâmetros que precisam de entrada ou revisão.

4. Selecione um ID LogAnalyticsWorkspaceResource no menu suspenso.

   

5. Selecione Rever + guardar.

6. Selecione Guardar.

Remova o sensor Defender

Para remover esta - ou qualquer extensão - do Defender for Cloud, não basta desativar o provisionamento automático:

• A habilitação do provisionamento automático afeta potencialmente as máquinas existentes e futuras .
• A desativação do provisionamento automático para uma extensão afeta apenas as máquinas futuras - nada é desinstalado desativando o provisionamento automático.

Nota

Para desativar totalmente o plano do Defender for Containers, vá para Configurações do ambiente e desative o plano do Microsoft Defender for Containers .

No entanto, para garantir que os componentes do Defender for Containers não sejam provisionados automaticamente para seus recursos a partir de agora, desative o provisionamento automático das extensões, conforme explicado em Configurar provisionamento automático para agentes e extensões do Microsoft Defender for Cloud.

Você pode remover a extensão usando a API REST ou um modelo do Gerenciador de Recursos, conforme explicado nas guias abaixo.

API REST

Use a API REST para remover o sensor Defender do AKS

Para remover a extensão usando a API REST, execute o seguinte comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nome	Descrição	Obrigatório
SubscriptionId	ID de subscrição do cluster	Sim
ResourceGroup	Grupo de recursos do cluster	Sim
ClusterName	Nome do cluster	Sim
ApiVersion	Versão da API, deve ser >= 2022-06-01	Sim

Corpo do pedido:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parâmetros do corpo da solicitação:

Nome	Descrição	Obrigatório
localização	Localização do cluster	Sim
propriedades.securityProfile.defender.securityMonitoring.enabled	Determina se o Microsoft Defender for Containers deve ser habilitado ou desabilitado no cluster	Sim

CLI do Azure

Usar a CLI do Azure para remover o sensor do Defender

1. Remova o Microsoft Defender for com os seguintes comandos:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   A remoção da extensão pode levar alguns minutos.

2. Para verificar se a extensão foi removida com êxito, execute o seguinte comando:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Quando a extensão é removida, você deve ver que nenhum pods é retornado no get pods comando. Pode levar alguns minutos para que os pods sejam excluídos.

Resource Manager

Usar o Azure Resource Manager para remover o sensor Defender do AKS

Para usar o Azure Resource Manager para remover o sensor do Defender, você precisará de um espaço de trabalho do Log Analytics em sua assinatura. Saiba mais em Espaços de trabalho do Log Analytics.

Gorjeta

Se você é novo nos modelos do Resource Manager, comece aqui: O que são modelos do Azure Resource Manager?

O modelo e os parâmetros relevantes para remover o sensor Defender do AKS são:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Mais informações

Você pode conferir os seguintes blogs:

• Proteja suas cargas de trabalho do Google Cloud com o Microsoft Defender for Cloud
• Apresentando o Microsoft Defender for Containers
• Um novo nome para segurança multicloud: Microsoft Defender for Cloud

Próximos passos

Agora que você ativou o Defender for Containers, você pode:

• Analise suas imagens ACR em busca de vulnerabilidades
• Analise suas imagens da AWS em busca de vulnerabilidades com o Microsoft Defender Vulnerability Management
• Analise suas imagens GGP em busca de vulnerabilidades com o Gerenciamento de Vulnerabilidades do Microsoft Defender
• Confira perguntas comuns sobre o Defender for Containers.