Включите Защитник для контейнеров в Microsoft Defender для облака

В этой статье объясняется, как включить план Microsoft Defender для контейнеров в Microsoft Defender для облака.

Служба Azure Kubernetes (AKS)

Prerequisites

Перед тем как начать, убедитесь в следующем.

• У вас есть кластер AKS. См. матрицу поддержки.

• Вы ознакомились с шаблонами доступа функции Defender for Containers.

• Вы изучили необходимый сетевой доступ и разрешения.

Включите план Defender для контейнеров

1. Войдите на портал Azure.

2. Перейдите в раздел Параметры среды Microsoft Defender для облака>.

3. Выберите подписку, в которой находятся кластеры AKS.

4. На странице планов Defender найдите строку "Контейнеры " и переключите состояние " Вкл.".

5. Выберите "Параметры" в строке плана "Контейнеры".

6. Переключите On или Off компоненты Defender для контейнеров.

   • Сканирование без агента для компьютеров
     Выполняет безагентную проверку уязвимостей и секретов на узлах Kubernetes.

     • Чтобы исключить компьютеры из проверки без агента, добавьте имя и значение тега исключения.

   • Датчик Defender
     Развертывает датчик Defender на узлах кластера для сбора данных телеметрии безопасности среды выполнения, используемой для обнаружения угроз.

     • Включить ограничение доступа Defender: Добавляет слой контроля допуска, который проверяет развертывания по политикам безопасности перед запуском рабочих нагрузок в кластере.
     • Включить защиту Defender от вредоносных программ среды выполнения: Включает обнаружение вредоносных программ в процессе выполнения для узлов и контейнеров Kubernetes и может блокировать выполнение вредоносных файлов в реальном времени.

   • Политика Azure
     Развертывает надстройку Политика Azure для Kubernetes, чтобы включить оценку состояния безопасности Kubernetes и связанные с ними рекомендации по безопасности.

   • Доступ к API Kubernetes
     Позволяет Defender для облака получить доступ к API Kubernetes для инвентаризации кластера, анализа конфигурации и возможностей, использующих метаданные Kubernetes.

   • Доступ к реестру
     Включает оценку уязвимостей без агента для образов контейнеров, хранящихся в подключенных реестрах.

     • Выводы по безопасности: Создает результаты и связывает их с образами контейнеров при отправке новых образов или обновлении существующих образов.

   

7. Нажмите Продолжить.

8. Нажмите кнопку "Сохранить".

Amazon Elastic Kubernetes Service (EKS)

Prerequisites

Перед тем как начать, убедитесь в следующем.

• У вас есть проект AWS, подключенный к Microsoft Defender для облака.

• У вас есть один или несколько кластеров Amazon EKS с поддерживаемой версией Kubernetes. См. матрицу поддержки.

• Вы ознакомились с шаблонами доступа функции Defender for Containers.

• Вы изучили необходимый сетевой доступ и разрешения.

• Вы ознакомились с необходимыми разрешениями IAM облака.

Включите план Defender для контейнеров

1. Войдите на портал Azure.

2. Перейдите в раздел Параметры среды Microsoft Defender для облака>.

3. Выберите соответствующий соединитель AWS.

4. На странице планов Defender найдите строку "Контейнеры " и переключите состояние " Вкл.".

5. Выберите "Параметры" в строке плана "Контейнеры".

6. Переключите Включено соответствующие компоненты Defender для контейнеров.

   • Защита от угроз без агента
     Собирает журналы аудита плоскости управления Kubernetes и анализирует их для обнаружения угроз уровня управления. Журналы направляются через службы AWS (например, CloudWatch, S3, Kinesis и SQS).

     • Если этот параметр включен, задайте период хранения журнала аудита (в днях), чтобы контролировать, сколько времени хранятся журналы аудита плоскости управления.

   • Автоматическая настройка сенсора программы защиты Defender для Azure Arc
     Развертывает датчик Defender в качестве расширения Azure Arc Kubernetes. Датчик работает в качестве DaemonSet на узлах кластера и обеспечивает обнаружение угроз в реальном времени на основе телеметрии узлов и рабочей нагрузки.

     Note

     Если включено автоматическое развертывание, датчик Defender устанавливается после обнаружения кластера, что может занять несколько часов.

   • Автоматическое развертывание расширения Политика Azure для Azure Arc
     Развертывает расширение Политика Azure в кластере для оценки состояния безопасности Kubernetes и предоставления связанных рекомендаций по безопасности.

   • Доступ к API Kubernetes
     Позволяет Defender для облака получить доступ к серверу API Kubernetes для инвентаризации кластера, анализа конфигурации и возможностей, использующих метаданные и состояние Kubernetes.

   • Доступ к реестру Включает оценку уязвимостей без агента для образов контейнеров в Amazon ECR. Изображения, отправленные в ECR, сканируются автоматически (обычно в течение 24 часов).

     • Выводы по безопасности: Создает результаты и связывает их с образами контейнеров при отправке новых образов или обновлении существующих образов.

   

7. Нажмите кнопку "Сохранить".

8. Нажмите кнопку "Далее" — настройка доступа >.

9. Повторно создайте и обновите шаблон AWS CloudFormation, чтобы применить необходимые разрешения для включенных компонентов.

   

10. Нажмите кнопку "Далее": проверка и создание >.

11. Нажмите кнопку Обновить.

Google Kubernetes Engine (GKE)

Prerequisites

Перед тем как начать, убедитесь в следующем.

• У вас есть проект GCP, подключенный к Microsoft Defender для облака.

• У вас есть один или несколько кластеров Google Kubernetes Engine (GKE) с поддерживаемой версией Kubernetes. См. матрицу поддержки.

• Вы изучили шаблоны доступа функции Defender для контейнеров.

• Вы изучили необходимый сетевой доступ и разрешения.

• Вы ознакомились с необходимыми разрешениями IAM облака.

Включить план Defender для контейнеров

1. Войдите на портал Azure.

2. Перейдите в раздел Параметры среды Microsoft Defender для облака>.

3. Выберите соответствующий соединитель GCP.

4. На странице планов Defender найдите строку "Контейнеры " и переключите состояние " Вкл.".

5. Выберите "Параметры" в строке плана "Контейнеры".

6. Переключите Включить соответствующие компоненты Defender для контейнеров.

   • Защита от угроз без агента
     Собирает журналы аудита плоскости управления Kubernetes и анализирует их для обнаружения угроз уровня управления. Журналы экспортируются из GKE в проект Google Cloud.

   • Автоматическая настройка сенсора программы защиты Defender для Azure Arc
     Развертывает датчик Defender в качестве расширения Azure Arc Kubernetes. Датчик работает в качестве DaemonSet на узлах кластера и обеспечивает обнаружение угроз в реальном времени на основе телеметрии узлов и рабочей нагрузки.

     • Включить защитные барьеры безопасности Defender
       Добавляет слой управления доступом, который оценивает развертывания в соответствии с политиками безопасности перед запуском рабочих нагрузок в кластере.

     Note

     Если включено автоматическое развертывание, датчик Defender устанавливается после обнаружения кластера, что может занять несколько часов.

   • Автоматическое развертывание расширения Политика Azure для Azure Arc
     Развертывает расширение Политика Azure в кластере для оценки состояния безопасности Kubernetes и предоставления связанных рекомендаций по безопасности.

   • Доступ к API Kubernetes
     Позволяет Defender для облака получить доступ к серверу API Kubernetes для инвентаризации кластера, анализа конфигурации и возможностей, использующих метаданные Kubernetes и состояние кластера.

   • Доступ к реестру
     Включает оценку уязвимостей без агента для образов контейнеров, хранящихся в реестре контейнеров Google (GCR) и реестре артефактов.

     • Выводы по безопасности: Создает результаты и связывает их с образами контейнеров при отправке новых образов или обновлении существующих образов.

   

7. Нажмите кнопку "Сохранить".

8. Нажмите кнопку "Далее" — настройка доступа >.

9. Повторно создайте и повторно разверните скрипт подключения в проекте GCP, чтобы применить необходимые разрешения для включенных компонентов.

   

10. Нажмите кнопку "Далее": проверка и создание >.

11. Нажмите кнопку Обновить.

Kubernetes с поддержкой Azure Arc

Prerequisites

Перед тем как начать, убедитесь в следующем.

• Ваш кластер:

  • Подключено к Azure Arc.
  • Поддерживается «Defender for Containers». См. матрицу поддержки.

• Вы ознакомились с шаблонами доступа функции Defender for Containers.

• Вы изучили необходимый сетевой доступ и разрешения.

Включите план Defender для контейнеров

1. Войдите на портал Azure.

2. Перейдите в раздел Параметры среды Microsoft Defender для облака>.

3. Выберите подписку Azure, содержащую ресурс кластера Kubernetes с поддержкой Azure Arc.

4. На странице планов Defender найдите строку "Контейнеры " и переключите состояние " Вкл.".

5. Выберите "Параметры" в строке плана "Контейнеры".

6. Переключите Включено соответствующие компоненты Defender для контейнеров.

   • Сканирование без агента для компьютеров
     Выполняет безагентную проверку уязвимостей и секретов на узлах Kubernetes.

   • Датчик Defender
     Развертывает датчик Defender на узлах кластера для сбора данных телеметрии безопасности среды выполнения, используемой для обнаружения угроз.

   • Политика Azure
     Развертывает надстройку Политика Azure для Kubernetes, чтобы включить оценку состояния безопасности Kubernetes и связанные с ними рекомендации по безопасности.

   • Доступ к API Kubernetes
     Позволяет Defender для облака получить доступ к API Kubernetes для инвентаризации кластера, анализа конфигурации и возможностей, использующих метаданные Kubernetes.

   • Доступ к реестру
     Включает оценку уязвимостей без агента для образов контейнеров, хранящихся в подключенных реестрах.

   

7. Нажмите кнопку "Сохранить".

Убедитесь, что план включен

1. Войдите на портал Azure.

2. Перейдите в раздел Параметры среды Microsoft Defender для облака>.

3. Выберите подписку.

4. Убедитесь, что для контейнеров задано значение "Вкл.".

5. Выберите "Параметры" рядом с контейнерами и убедитесь, что необходимые компоненты включены.

Связанный контент

• обзор развертывания Defender для контейнеров

• Разверните компоненты Defender для контейнеров с помощью Azure CLI

• Устранение неполадок Defender для контейнеров