Настройка компонентов Microsoft Defender для контейнеров

Microsoft Defender для контейнеров — это решение для защиты контейнеров, ориентированное на облако.

Defender для контейнеров защищает кластеры независимо от того, запущены ли они в:

• Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.

• Служба Amazon Elastic Kubernetes (EKS) в подключенной учетной записи Amazon Web Services (AWS) — это управляемая служба Amazon для запуска Kubernetes на AWS без установки, обработки и обслуживания собственного уровня управления и узлов Kubernetes.

• Google Kubernetes Engine (GKE) в подключенном проекте Google Cloud Platform (GCP) — это управляемая среда Google для развертывания, администрирования и масштабирования приложений с помощью инфраструктуры GCP.

• Другие распределения Kubernetes (с использованием Kubernetes с поддержкой Azure Arc) — это сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF), которые размещены в локальной среде или в IaaS. Дополнительные сведения см. в разделе Локальное или IaaS (ARC) статьи Поддерживаемые функции в разных средах.

Дополнительные сведения об этом плане см. в статье Обзор Microsoft Defender для контейнеров.

Сначала вы можете узнать, как подключить и защитить контейнеры в следующих статьях:

• Защита контейнеров Azure с помощью Defender для контейнеров
• Защита локальных кластеров Kubernetes с помощью Defender для контейнеров
• Защита контейнеров учетных записей Amazon Web Service (AWS) с помощью Defender для контейнеров
• Защита контейнеров проектов Google Cloud Platform (GCP) с помощью Defender для контейнеров

Вы также можете узнать больше, просмотрев эти видео из Defender для облака в серии видео field:

• Microsoft Defender для контейнеров в многооблачной среде
• Защита контейнеров в GCP с помощью Defender для контейнеров

Примечание.

Поддержка Defender для контейнеров кластеров Kubernetes с поддержкой Arc — это предварительная версия функции. Предварительная версия функции доступна на основе самостоятельного согласия.

Предварительные версии предоставляются "как есть" и "как доступны" и исключаются из соглашений об уровне обслуживания и ограниченной гарантии.

Дополнительные сведения о поддерживаемых операционных системах, доступности компонентов, исходящем прокси-сервере и многое другое см. в разделе "Доступность функций Defender для контейнеров".

Требования к сети

Убедитесь, что следующие конечные точки настроены для исходящего доступа, чтобы датчик Defender смог подключиться к Microsoft Defender для облака для отправки данных и событий безопасности:

См. необходимые правила полного доменного имени или приложения для Microsoft Defender для контейнеров.

По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету.

Требования к сети

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

Убедитесь, что следующие конечные точки настроены для исходящего доступа, чтобы датчик Defender смог подключиться к Microsoft Defender для облака для отправки данных и событий безопасности:

Для развертываний общедоступного облака:

Домен Azure	Домен Azure для государственных организаций	Microsoft Azure, управляемый доменом 21Vianet	Порт
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Следующие домены необходимы, только если вы используете соответствующую ОС. Например, если у вас есть кластеры EKS, работающие в AWS, необходимо применить только домен Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*".

Домен	Порт	Операционные системы сервера виртуальных машин
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
Репозитории по умолчанию yum	-	RHEL / Centos
Репозитории по умолчанию apt	-	Debian

Кроме того, вам потребуется проверить требования к сети для Kubernetes с поддержкой Azure Arc.

Включение плана

Включение плана:

1. В меню Defender для облака откройте страницу Параметры и выберите соответствующую подписку.

2. На странице планов Defender выберите Defender для контейнеров и выберите Параметры.

   

   Совет

   Если в подписке уже есть Defender для Kubernetes и (или) включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.

   

3. Включите соответствующий компонент, чтобы включить его.

   

   Примечание.

   • Защитники для контейнеров, которые присоединились к августу 2023 г. и не имеют безагентного обнаружения для Kubernetes в рамках CSPM Defender при включении плана, должны вручную включить расширение Kubernetes без агента в плане "Защитник для контейнеров".
   • При отключении Defender для контейнеров компоненты будут отключены и не развертываются в большей части контейнеров, но они не удаляются из контейнеров, на которых они уже установлены.

Метод включения для каждой возможности

По умолчанию при включении плана через портал Azure microsoft Defender для контейнеров настроена автоматическая включение всех возможностей и установка всех необходимых компонентов для обеспечения защиты, предоставляемой планом, включая назначение рабочей области по умолчанию.

Если вы не хотите включить все возможности планов, можно вручную выбрать определенные возможности для включения, нажав кнопку "Изменить конфигурацию дляплана контейнеров ". Затем на странице Параметры и мониторинга выберите возможности, которые вы хотите включить. Кроме того, эту конфигурацию можно изменить на странице планов Defender после начальной настройки плана.

Подробные сведения о методе включения для каждого из этих возможностей см. в матрице поддержки.

Роли и разрешения

Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.

Назначение пользовательской рабочей области для датчика Defender

Вы можете назначить рабочую область с помощью Политики Azure.

Ручное развертывание датчика Defender или агента политики Azure без автоматической подготовки с помощью рекомендаций

Возможности, требующие установки датчика, также можно развернуть в одном или нескольких кластерах Kubernetes, используя соответствующую рекомендацию:

Sensor	Рекомендация
Датчик Defender для Kubernetes	В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
Датчик Defender для Kubernetes с поддержкой Arc	В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender
Агент политики Azure для Kubernetes	Служба Azure Kubernetes кластерам должна быть установлена надстройка Политика Azure для Kubernetes.
Агент политики Azure для Kubernetes с поддержкой Arc	В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Политики Azure

Выполните следующие действия, чтобы выполнить развертывание датчика Defender в определенных кластерах:

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью или выполните поиск непосредственно для одной из приведенных выше рекомендаций (или воспользуйтесь приведенными выше ссылками, чтобы открыть рекомендацию напрямую).

2. Просмотр всех кластеров без датчика с помощью неработоспособной вкладки.

3. Выберите кластеры для развертывания требуемого датчика и нажмите кнопку "Исправить".

4. Выберите Исправить [X] ресурсы.

Развертывание датчика Defender — все параметры

Вы можете включить Defender для контейнеров и развернуть все соответствующие компоненты из портала Azure, REST API или с помощью шаблона Resource Manager. Для получения подробных инструкций выберите соответствующую вкладку.

После развертывания датчика Defender рабочая область по умолчанию автоматически назначается. Вы можете назначить настраиваемую рабочую область вместо рабочей области по умолчанию с помощью Политики Azure.

Примечание.

Датчик Defender развертывается на каждом узле для обеспечения защиты среды выполнения и сбора сигналов от этих узлов с помощью технологии eBPF.

Портал Azure

Использование кнопки "Исправить" в рекомендации Defender для облака

Упрощенный, слаженный процесс позволяет использовать страницы портала Azure, чтобы включить план Defender для облака и настроить автоматическую подготовку всех необходимых компонентов для защиты кластеров Kubernetes в масштабе.

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость того, какой из кластеров развернут датчик Defender
• Кнопка "Исправить ", чтобы развернуть ее в этих кластерах без датчика

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.

2. Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Службы Azure Kubernetes должен быть включен профиль Defender.

   Совет

   Обратите внимание на значок Исправление в столбце действий

3. Выберите кластеры, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с датчиком и без нее.

4. В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с подтверждением исправления.

5. Выберите Исправить [X] ресурсы.

REST API

Развертывание датчика Defender с помощью REST API

Чтобы установить 'SecurityProfile' в существующем кластере с REST API, выполните следующую команду PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI запроса: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Параметры запроса:

Имя	Описание	Обязательно
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Номер версии API должен быть >= 2022-06-01	Да

Запрос текста.

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Параметры текста запроса:

Имя	Описание	Обязательно
расположение	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Идентификатор ресурса Azure рабочей области Log Analytics	Да

Azure CLI

Развертывание датчика Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Внимание

   Убедитесь, что вы используете тот же идентификатор подписки для <your-subscription-id>, что и идентификатор, связанный с вашим кластером AKS.

2. Включите датчик Defender в контейнерах:

   • Выполните следующую команду, чтобы создать кластер с включенным датчиком Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Выполните следующую команду, чтобы включить датчик Defender в существующем кластере:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Ниже приведено описание всех поддерживаемых параметров конфигурации в типе датчика Defender:

   Свойство

   Description

   logAnalyticsWorkspaceResourceId

   Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если этот параметр не указан, будет использоваться рабочая область по умолчанию для региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис. /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Узнайте о рабочих областях Log Analytics

   Эти параметры можно включить в JSON-файл и указать JSON-файл в az aks createaz aks update команде с помощью этого параметра:--defender-config <path-to-JSON-file> Формат JSON-файла должен быть:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Дополнительные сведения о командах ИНТЕРФЕЙСА командной строки AKS см. в az aks.

3. Чтобы убедиться, что датчик был успешно добавлен, выполните следующую команду на компьютере с файлом, указывающим kubeconfig на кластер:

   kubectl get pods -n kube-system
   

   При добавлении датчика должно появиться модуль pod, вызываемый microsoft-defender-XXXXX в Running состоянии. Добавление модулей может занять несколько минут.

Resource Manager

Развертывание датчика Defender с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

Чтобы установить 'SecurityProfile' в существующем кластере с использованием Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Включение плана

Включение плана:

1. В меню Defender для облака откройте страницу Параметры и выберите соответствующую подписку.

2. На странице планов Defender выберите Defender для контейнеров и выберите Параметры.

   Совет

   Если в подписке уже есть Defender для Kubernetes или включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.

   

3. Включите соответствующий компонент, чтобы включить его.

   

   Примечание.

   При отключении Defender для контейнеров компоненты будут отключены и не развертываются в большей части контейнеров, но они не удаляются из контейнеров, на которых они уже установлены.

По умолчанию при включении плана с помощью портал Azure Microsoft Defender для контейнеров настроена автоматическая установка необходимых компонентов для обеспечения защиты, предлагаемых планом, включая назначение рабочей области по умолчанию.

Если вы хотите отключить автоматическую установку компонентов во время подключения, выберите "Изменить конфигурацию " для плана "Контейнеры ". Будут отображаться дополнительные параметры и вы можете отключить автоматическую установку для каждого компонента.

Кроме того, эту конфигурацию можно изменить на странице планов Defender.

Примечание.

Если вы решили отключить план после его включения на портале, как показано выше, вам потребуется вручную удалить компоненты Defender для контейнеров, развернутые в ваших кластерах.

Вы можете назначить рабочую область с помощью Политики Azure.

Если отключить автоматическую установку любого компонента, можно легко развернуть компонент в одном или нескольких кластерах с помощью соответствующей рекомендации:

• Надстройка для Kubernetes — В кластерах Службы Azure Kubernetes должна быть установлена надстройка "Политика Azure" для Kubernetes
• Профиль Службы Azure Kubernetes — В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
• Расширение Kubernetes с поддержкой Azure Arc — В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender
• Расширение политики Kubernetes с поддержкой Azure Arc. Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure

Дополнительные сведения о ролях , используемых для подготовки расширений Defender для контейнеров.

Необходимые компоненты

Перед развертыванием датчика убедитесь, что вы:

• Подключили кластер Kubernetes к Azure Arc
• Вы выполнили предварительные требования, перечисленные в обобщенной документации по расширениям кластеров.

Развертывание датчика Defender

Датчик Defender можно развернуть с помощью ряда методов. Для получения подробных инструкций выберите соответствующую вкладку.

Портал Azure

Использование кнопки "Исправить" в рекомендации Defender для облака

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость того, какой из кластеров развернут датчик Defender
• Кнопка "Исправить ", чтобы развернуть ее в этих кластерах без датчика

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.

2. Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.

   

   Совет

   Обратите внимание на значок Исправление в столбце действий

3. Выберите датчик, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с датчиком и без нее.

4. В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с параметрами исправления.

5. Выберите соответствующую рабочую область Log Analytics и выберите Исправить ресурс Х.

   

Azure CLI

Развертывание датчика Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Внимание

   Убедитесь, что для <your-subscription-id> используется тот же идентификатор подписки, что и при подключении кластера к службе Azure Arc.

2. Выполните следующую команду, чтобы развернуть датчик на вершине кластера Kubernetes с поддержкой Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Ниже приведено описание всех поддерживаемых параметров конфигурации в типе датчика Defender:

   Свойство	Description
   logAnalyticsWorkspaceResourceID	Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если этот параметр не указан, будет использоваться рабочая область по умолчанию для региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис. /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Узнайте о рабочих областях Log Analytics
   auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Если этот параметр не указан, будет использоваться путь по умолчанию /var/log/kube-apiserver/audit.log. Для ядра AKS стандартный путь /var/log/kubeaudit/audit.log

   Приведенная ниже команда показывает пример использования всех необязательных полей.

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Развертывание датчика Defender с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Можно использовать шаблон Resource Manager azure-defender-extension-arm-template.json из примеров установки Defender для облака.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

REST API

Развертывание датчика Defender с помощью REST API

Чтобы использовать REST API для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Самый простой способ использования API для развертывания датчика Defender — это предоставленный пример JSON коллекции Postman из примеров установки Defender для облака.

• Чтобы изменить JSON коллекции Postman или вручную развернуть датчик с помощью REST API, выполните следующую команду PUT:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Где:

  Имя.	In	Обязательное поле	Type	Описание
  ИД подписки	Путь	Истина	Строка	Идентификатор вашей подписки ресурса Kubernetes с поддержкой Azure Arc
  Группа ресурсов	Путь	Истина	Строка	Имя группы ресурсов, содержащей ваш ресурс Kubernetes с поддержкой Azure Arc
  Имя кластера	Путь	Истина	Строка	Имя вашего ресурса Kubernetes с поддержкой Azure Arc

  Для проверки подлинности заголовок должен иметь токен носителя (как и для других API-интерфейсах Azure). Чтобы получить токен носителя, выполните следующую команду.

  az account get-access-token --subscription <your-subscription-id> Используйте следующую структуру для текста сообщения.

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Ниже приведено описание свойств.

  Свойство	Description
  logAnalytics.workspaceId	Идентификатор рабочего пространства ресурса Log Analytics
  logAnalytics.key	Ключ ресурса Log Analytics
  auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Значение по умолчанию — /var/log/kube-apiserver/audit.log.

Проверка развертывания

Чтобы убедиться, что в кластере установлен датчик Defender, выполните действия, описанные на одной из следующих вкладок:

Портал Azure — Defender для облака

Используйте Defender для облака рекомендацию для проверки состояния датчика

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите Microsoft Defender для облака.

2. Выберите рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.

   

3. Убедитесь, что кластер, на котором развернут датчик, указан как "Работоспособный".

Портал Azure — Azure Arc

Использование страниц Azure Arc для проверки состояния датчика

1. На портале Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes, а затем конкретный кластер.

3. Откройте страницу расширений. В списке перечислены расширения кластера. Чтобы убедиться, что датчик Defender установлен правильно, проверка столбец состояния установки.

   

4. Для получения дополнительных сведений выберите расширение.

   

Azure CLI

Проверка развертывания датчика с помощью Azure CLI

1. Выполните следующую команду в Azure CLI.

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. В ответе найдите "extensionType": "microsoft.azuredefender.kubernetes" и "installState": "Installed".

   Примечание.

   В течение первых нескольких минут может отображаться "installState": "Pending".

3. Если состояние отображается "Установлено", выполните следующую команду на компьютере с файломkubeconfig, указывающим на кластер, чтобы проверка, что все модули pod в пространстве имен mdc находятся в состоянии "Выполнение".

   kubectl get pods -n mdc
   

REST API

Использование REST API для проверки развертывания датчика

Чтобы подтвердить успешное развертывание или проверить состояние датчика в любое время:

1. Выполните следующую команду GET.

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. В ответе найдите в "extensionType": "microsoft.azuredefender.kubernetes" фразу "installState": "Installed".

   Совет

   В течение первых нескольких минут может отображаться "installState": "Pending".

3. Если состояние отображается "Установлено", выполните следующую команду на компьютере с файломkubeconfig, указывающим на кластер, чтобы проверка, что все модули pod в пространстве имен mdc находятся в состоянии "Выполнение".

   kubectl get pods -n mdc
   

Включение плана

Внимание

• Подключите свои учетные записи AWS к Microsoft Defender для облака, если вы этого еще не сделали.
• Если вы уже включили план в соединителе и хотите изменить необязательные конфигурации или включить новые возможности, перейдите непосредственно к шагу 4.

Чтобы защитить кластеры EKS, включите план контейнеров в соответствующем соединителе учетной записи:

1. В меню Defender for Cloud выберите Параметры среды.

2. Выберите соединитель AWS.

   

3. Убедитесь, что переключатель для плана "Контейнеры " имеет значение "Вкл.".

   

4. Чтобы изменить необязательные конфигурации для плана, выберите Параметры.

   

   • Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.". Чтобы изменить срок хранения журналов аудита, введите необходимый интервал времени.

     Примечание.

     Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

   • Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".

   • Оценка уязвимостей контейнеров без агента предоставляет управление уязвимостями для образов, хранящихся в ECR и выполняющих образы в кластерах EKS. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.

5. Перейдите к оставшимся страницам мастера соединителя.

6. Если вы включаете функцию обнаружения без агента для Kubernetes , необходимо предоставить разрешения уровня управления в кластере. Это можно сделать одним из следующих способов:

   • Запустите этот скрипт Python, чтобы предоставить разрешения. Сценарий добавляет роль Defender для облака MDCContainersAgentlessDiscoveryK8sRole в aws-auth ConfigMap кластеров EKS, которые требуется подключить.

   • Предоставьте каждому кластеру Amazon EKS роль MDCContainersAgentlessDiscoveryK8sRole с возможностью взаимодействия с кластером. Войдите во все существующие и недавно созданные кластеры с помощью eksctl и выполните следующий скрипт:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Дополнительные сведения см. в разделе "Включение доступа субъекта IAM к кластеру".

7. Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes должны быть установлены и запущены в кластерах EKS. Существуют специальные рекомендации Defender для облака по установке этих расширений (а при необходимости и Azure Arc):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Для каждой из рекомендаций выполните следующие действия, чтобы установить необходимые расширения.

   Чтобы установить необходимые расширения:

   1. На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.

   2. Выберите неработоспособный кластер.

      Внимание

      Необходимо выбирать кластеры по одному за раз.

      Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

   3. Выберите элемент Исправить.

   4. Defender для облака создает скрипт на выбранном вами языке: выберите Bash (для Linux) или PowerShell (для Windows).

   5. Выберите элемент Download remediation logic (Скачать логику исправления).

   6. Запустите созданный скрипт в кластере.

   7. Повторите шаги "a" до "f" для второй рекомендации.

   

Просмотр рекомендаций и оповещений для кластеров EKS

Совет

Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.

Чтобы просмотреть оповещения и рекомендации для кластеров EKS, используйте фильтры на страницах оповещений, рекомендаций и инвентаризации для фильтрации по типу ресурса AWS EKS cluster (Кластер AWS EKS).

Развертывание датчика Defender

Чтобы развернуть датчик Defender в кластерах AWS, выполните следующие действия.

1. Перейдите к разделу Microsoft Defender для облака -Environment settings ->Add environment ->Amazon Web Services.>

   

2. Заполните сведения об учетной записи.

   

3. Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что включен датчик Защитника автоматической подготовки для Azure Arc .

   

4. Перейдите к разделу "Настройка доступа" и выполните указанные там действия.

   

5. После успешного развертывания шаблона "Формирование облака" нажмите кнопку "Создать".

Примечание.

Вы можете исключить определенный кластер AWS из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents тег к ресурсу со значением true. Для развертывания без агента примените ms_defender_container_exclude_agentless тег к ресурсу со значением true.

Включение плана

Внимание

Подключите свои проекты GCP к Microsoft Defender для облака, если вы этого еще не сделали.

Чтобы защитить кластеры GKE, необходимо включить план контейнеров в соответствующем проекте GCP.

Примечание.

Убедитесь, что у вас нет политик Azure, которые препятствуют установке Arc.

Чтобы защитить кластеры Google Kubernetes Engine (GKE):

1. Войдите на портал Azure.

2. Перейдите к разделу Microsoft Defender для облака>Параметры среды.

3. Выберите соответствующий соединитель GCP

   

4. Нажмите кнопку Next: Select Plans > (Далее: выбор планов).

5. Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).

   

6. Чтобы изменить необязательные конфигурации для плана, выберите Параметры.

   

   • Журналы аудита Kubernetes для Defender для облака: включен по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет бессерверную коллекцию данных журнала аудита через GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа. Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, переключите параметр " Вкл.".

     Примечание.

     Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

   • Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:

     • Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
     • Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
     • Вручную установите Kubernetes и расширения с поддержкой Arc.

   • Обнаружение без агента для Kubernetes обеспечивает обнаружение кластеров Kubernetes на основе API. Чтобы включить функцию обнаружения без агента для Kubernetes , переключите параметр " Вкл.".

   • Оценка уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в реестрах Google (GAR и GCR) и выполняющих образы в кластерах GKE. Чтобы включить функцию оценки уязвимостей без агента, переключите параметр "Вкл.

7. Нажмите кнопку Copy (Копировать).

   

8. Нажмите кнопку GCP Cloud Shell >.

9. Вставьте сценарий в терминал Cloud Shell и выполните его.

Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.

Развертывание решения в определенных кластерах

Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Вам потребуется вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes для каждого кластера GKE, чтобы получить полное значение безопасности из Defender для контейнеров.

Далее приведены 2 специальные рекомендации Defender для облака для установки этих расширений (а при необходимости — Arc):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Примечание.

При установке расширений Arc необходимо убедиться, что проект GCP идентичен одному из них в соответствующем соединителе.

Чтобы развернуть решение в определенных кластерах:

1. Войдите на портал Azure.

2. Перейдите в Microsoft Defender для облака>Рекомендации.

3. На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.

   

4. Выберите неработоспособный кластер GKE.

   Внимание

   Необходимо выбирать кластеры по одному за раз.

   Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

5. Выберите имя неработоспособного ресурса.

6. Выберите элемент Исправить.

   

7. Defender для облака создаст сценарий на языке по вашему выбору:

   • Для Linux выберите Bash.
   • Для Windows выберите PowerShell.

8. Выберите элемент Download remediation logic (Скачать логику исправления).

9. Запустите созданный скрипт в кластере.

10. Повторите шаги "3" до "8" для второй рекомендации.

Просмотр оповещений кластера GKE

1. Войдите на портал Azure.

2. Перейдите Microsoft Defender для облака>Оповещения системы безопасности.

3. Выберите кнопку .

4. В раскрывающемся меню "Фильтр" выберите Тип ресурса.

5. В раскрывающемся меню "Значение" выберите Кластер GCP GKE.

6. Щелкните ОК.

Развертывание датчика Defender

Чтобы развернуть датчик Defender в кластерах GCP, выполните следующие действия.

1. Перейдите к разделу Microsoft Defender для облака -Environment settings ->Add environment ->Google Cloud Platform.>

   

2. Заполните сведения об учетной записи.

   

3. Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что для azure Arc установлен датчик автоматической подготовки Защитника.

   

4. Перейдите к разделу "Настройка доступа" и выполните указанные там действия.

   

5. После успешного запуска скрипта gcloud нажмите кнопку "Создать".

Примечание.

Можно исключить определенный кластер GCP из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents метку к ресурсу со значением true. Для развертывания без агента примените ms_defender_container_exclude_agentless метку к ресурсу со значением true.

Моделирование оповещений системы безопасности из Microsoft Defender для контейнеров

Полный список поддерживаемых оповещений доступен в справочной таблице всех оповещений системы безопасности Defender для облака.

1. Чтобы смоделировать оповещение системы безопасности, выполните следующую команду в кластере:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Ожидаемый ответ .No resource found

   В течение 30 минут Defender для облака обнаруживает это действие и активирует оповещение системы безопасности.

   Примечание.

   Для имитации оповещений без агента для контейнеров Defender для контейнеров Azure Arc не является обязательным условием.

2. На портале Azure откройте страницу оповещений системы безопасности Microsoft Defender для облака и найдите оповещение о соответствующем ресурсе:

   

Удаление датчика Defender

Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.

Примечание.

Чтобы полностью отключить план Defender для контейнеров, перейдите к параметрам среды и отключите план Microsoft Defender для контейнеров .

Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.

Расширение можно удалить с помощью портала Azure, Azure CLI или REST API, как описано на приведенных ниже вкладках.

Портал Azure — Arc

Удаление расширения с помощью портала Azure

1. На портале Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes, а затем конкретный кластер.

3. Откройте страницу расширений. В списке перечислены расширения кластера.

4. Выберите кластер и нажмите кнопку Удалить.

   

Azure CLI

Удаление датчика Defender с помощью Azure CLI

1. Удалите расширение Microsoft Defender для Kubernetes Arc с помощью следующих команд:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Удаление расширения может занять несколько минут. Рекомендуется подождать, прежде чем пытаться проверить успешность их выполнения.

2. Чтобы убедиться, что расширение успешно удалено, выполните следующие команды.

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   После этого убедитесь, что в кластере нет модулей pod в пространстве имен mdc, выполнив следующую команду с файлом, указывающим kubeconfig на кластер:

   kubectl get pods -n mdc
   

   Удаление модулей может занять несколько минут.

REST API

Удаление датчика Defender с помощью REST API

Чтобы удалить расширение с помощью REST API, выполните следующую команду DELETE.

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Имя.	In	Обязательное поле	Type	Описание
ИД подписки	Путь	Истина	Строка	Идентификатор вашей подписки кластера Kubernetes с поддержкой Azure Arc
Группа ресурсов	Путь	Истина	Строка	Ваша группа ресурсов кластера Kubernetes с поддержкой Azure Arc
Имя кластера	Путь	Истина	Строка	Имя вашего кластера Kubernetes с поддержкой Azure Arc

Для проверки подлинности заголовок должен иметь токен носителя (как и для других API-интерфейсах Azure). Чтобы получить токен носителя, выполните следующую команду.

az account get-access-token --subscription <your-subscription-id>

Выполнение запроса может занять несколько минут.

Рабочая область Log Analytics для AKS по умолчанию

Рабочая область Log Analytics используется датчиком Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.

Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию создается на основе региона.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Выберите Настройка кластеров Службы Azure Kubernetes для активации профиля Defender.

6. Выберите Назначение.

   

7. Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.

Создание нового назначения с настраиваемой рабочей областью

Если политика не назначена, отображается Assignments (0).

Чтобы назначить пользовательскую рабочую область:

1. Выберите Назначить.

2. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

3. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление нового назначения с настраиваемой рабочей областью

Если политика уже назначена рабочей области, отображается Assignments (1).

Примечание.

Если у вас несколько подписок, возможно, будет больше.

Чтобы назначить пользовательскую рабочую область:

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

4. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

5. Выберите "Рецензирование и сохранение".

6. Выберите Сохранить.

Рабочая область Log Analytics для Arc по умолчанию

Рабочая область Log Analytics используется датчиком Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.

Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию создается на основе региона.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Выберите Настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Microsoft Defender для облака.

6. Выберите назначения.

   

7. Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.

Создание нового назначения с настраиваемой рабочей областью

Если политика не назначена, отображается Assignments (0).

Чтобы назначить пользовательскую рабочую область:

1. Выберите Назначить.

2. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

3. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление нового назначения с настраиваемой рабочей областью

Если политика уже назначена рабочей области, отображается Assignments (1).

Примечание.

Если у вас несколько подписок, возможно, будет больше. Если у вас есть номер 1 или более поздней версии, назначение может по-прежнему не находиться на соответствующем область. В этом случае потребуется выполнить инструкции по созданию нового назначения с настраиваемой рабочей областью.

Чтобы назначить пользовательскую рабочую область:

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

4. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

5. Выберите "Рецензирование и сохранение".

6. Выберите Сохранить.

Удаление датчика Defender

Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.

Примечание.

Чтобы полностью отключить план Defender для контейнеров, перейдите к параметрам среды и отключите план Microsoft Defender для контейнеров .

Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.

Расширение можно удалить с помощью REST API или шаблона Resource Manager, как описано на вкладках ниже.

REST API

Использование REST API для удаления датчика Defender из AKS

Чтобы удалить расширение с помощью REST API, выполните следующую команду PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Имя	Описание	Обязательно
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Номер версии API должен быть >= 2022-06-01	Да

Текст запроса:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Параметры текста запроса:

Имя	Описание	Обязательно
расположение	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да

Azure CLI

Удаление датчика Defender с помощью Azure CLI

1. Удалите расширение Microsoft Defender с помощью следующих команд:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Удаление расширения может занять несколько минут.

2. Чтобы убедиться, что расширение было успешно удалено, выполните следующую команду:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   При удалении расширения в команде get pods не возвращаются модули pod. Удаление модулей может занять несколько минут.

Resource Manager

Удаление датчика Defender из AKS с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для удаления датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

Соответствующие шаблон и параметры для удаления датчика Defender из AKS:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Подробнее

См. следующие блоги:

• Защитите рабочие нагрузки Google Cloud с помощью Microsoft Defender для облака
• Представляем Microsoft Defender для контейнеров
• Новое название системы безопасности для защиты многооблачной среды: Microsoft Defender для облака

Следующие шаги

Теперь, когда вы включили Defender для контейнеров, вы можете:

• Сканирование образов ACR для уязвимостей
• Сканирование образов AWS для уязвимостей с помощью Управление уязвимостями Microsoft Defender
• Сканирование образов GGP для уязвимостей с помощью Управление уязвимостями Microsoft Defender
• Ознакомьтесь с общими вопросами о Defender для контейнеров.