Kapsayıcılar için Microsoft Defender bileşenlerini yapılandırma

Kapsayıcılar için Microsoft Defender, kapsayıcılarınızın güvenliğini sağlamaya yönelik bulutta yerel bir çözümdür. Kümelerinizin şu işlemlerde çalışıp çalışmadığını korumaya yardımcı olur:

• Azure Kubernetes Service (AKS):Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.

• Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS): Amazon'un kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemenize, çalıştırmanıza ve bakımını yapmanıza gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.

• Bağlı bir Google Cloud Platform (GCP) projesinde Google Kubernetes Engine (GKE): GCP altyapısını kullanarak uygulamaları dağıtmak, yönetmek ve ölçeklendirmek için Google'ın yönetilen ortamı.

• Diğer Kubernetes dağıtımları (Azure Arc özellikli Kubernetes kullanılarak): Şirket içinde veya hizmet olarak altyapıda (IaaS) barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri. Daha fazla bilgi için bkz. Bulut için Defender kapsayıcılar destek matrisi.

İlk olarak aşağıdaki makalelerde kapsayıcılarınıza bağlanmayı ve kapsayıcılarınızın korunmasına yardımcı olmayı öğrenebilirsiniz:

• Kapsayıcılar için Defender ile Azure kapsayıcılarınızı koruma
• Kapsayıcılar için Defender ile şirket içi Kubernetes kümelerinizi koruma
• Kapsayıcılar için Defender ile Amazon Web Services (AWS) kapsayıcılarınızı koruma
• Kapsayıcılar için Defender ile Google Cloud Platform (GCP) kapsayıcılarınızı koruma

Ayrıca, alan video serisindeki Bulut için Defender bu videoları izleyerek daha fazla bilgi edinebilirsiniz:

• Çok bulutlu bir ortamda Kapsayıcılar için Microsoft Defender
• Kapsayıcılar için Defender ile GCP'de kapsayıcıları koruma

Not

Azure Arc özellikli Kubernetes kümeleri için Kapsayıcılar için Defender desteği bir önizleme özelliğidir. Önizleme özelliği self servis ve kabul temelinde kullanılabilir.

Önizlemeler olduğu gibi ve kullanılabildiği şekilde sağlanır. Bunlar hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur.

Desteklenen işletim sistemleri, özellik kullanılabilirliği, giden ara sunucu ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Bulut için Defender kapsayıcılar destek matrisi.

Ağ gereksinimleri

Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek üzere Bulut için Microsoft Defender bağlanabilmesi için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın.

Defender algılayıcısının yapılandırılan Azure İzleyici Log Analytics çalışma alanına bağlanması gerekir. Varsayılan olarak AKS kümelerinin sınırsız giden (çıkış) İnternet erişimi vardır. Kümeden olay çıkışı bir Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) kullanılmasını gerektiriyorsa, şunları uygulamanız gerekir:

• Kapsayıcı içgörüleri ve Log Analytics çalışma alanı ile kümeyi tanımlayın.
• AMPLS'yi sorgu erişim modu ve alma erişim modu Açık olarak ayarlanmış şekilde yapılandırın.
• Kümenin Log Analytics çalışma alanını AMPLS'de kaynak olarak tanımlayın.
• AMPLS'de kümenin sanal ağı ile Log Analytics kaynağı arasında bir sanal ağ özel uç noktası oluşturun. Sanal ağ özel uç noktası, özel bir DNS bölgesiyle tümleşir.

Yönergeler için bkz. Azure İzleyici Özel Bağlantı Kapsamı Oluşturma.

Ağ gereksinimleri

Genel bulut dağıtımları için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın. Bunları giden erişim için yapılandırmak, Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek için Bulut için Microsoft Defender bağlanabilmesine yardımcı olur.

Azure etki alanı	Azure Kamu etki alanı	21Vianet etki alanı tarafından sağlanan Azure	Bağlantı noktası
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Ayrıca Azure Arc özellikli Kubernetes ağ gereksinimlerini de doğrulamanız gerekir.

Planı etkinleştirme

1. Bulut için Defender ayarlar'ı ve ardından ilgili aboneliği seçin.

2. Defender planları sayfasında Kapsayıcı>Ayarları'nı seçin.

   

   İpucu

   Abonelikte Kubernetes için Defender veya kapsayıcı kayıt defterleri için Defender zaten etkinse bir güncelleştirme bildirimi görüntülenir. Aksi takdirde tek seçenek Kapsayıcılar'dır.

   

3. İlgili bileşeni açın.

   

   Not

   • Ağustos 2023'den önce katılan ve Defender bulut güvenliği duruş yönetiminin (CSPM) bir parçası olarak Kubernetes için Aracısız bulma özelliği açık olmayan Kapsayıcılar için Defender müşterilerinin, kapsayıcılar için Defender planında Kubernetes için Aracısız bulma uzantısını el ile etkinleştirmeleri gerekir.
   • Kapsayıcılar için Defender'ı kapattığınızda bileşenler Kapalı olarak ayarlanır. Daha fazla kapsayıcıya dağıtılmazlar, ancak zaten yüklü oldukları kapsayıcılardan kaldırılmazlar.

Yetenek başına etkinleştirme yöntemi

Varsayılan olarak, Azure portalı aracılığıyla planı etkinleştirdiğinizde Kapsayıcılar için Microsoft Defender, planın sunduğu korumaları sağlamak için tüm özellikleri otomatik olarak etkinleştirecek ve tüm gerekli bileşenleri yükleyecek şekilde yapılandırılır. Bu yapılandırma, varsayılan çalışma alanının atamasını içerir.

Planların tüm özelliklerini etkinleştirmek istemiyorsanız, Kapsayıcılar planı için yapılandırmayı düzenle'yi seçerek etkinleştirebileceğiniz özellikleri el ile seçebilirsiniz. Ardından Ayarlar ve izleme sayfasında etkinleştirmek istediğiniz özellikleri seçin. Bu yapılandırmayı, planın ilk yapılandırmasından sonra Defender planları sayfasından da değiştirebilirsiniz.

Her bir özelliğin etkinleştirme yöntemi hakkında ayrıntılı bilgi için destek matrisini inceleyin.

Roller ve izinler

Kapsayıcılar için Defender uzantılarını sağlama rolleri hakkında daha fazla bilgi edinin.

Defender algılayıcısı için özel çalışma alanı atama

Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Önerileri kullanarak otomatik sağlama olmadan Defender algılayıcısının veya Azure ilke aracısının el ile dağıtımı

Algılayıcı yüklemesi gerektiren özellikler bir veya daha fazla Kubernetes kümesine de dağıtılabilir. Uygun öneriyi kullanın:

Algılayıcı	Öneri
Kubernetes için Defender algılayıcısı	Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir
Azure Arc özellikli Kubernetes için Defender algılayıcısı	Azure Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır
Kubernetes için Azure İlkesi aracısı	Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi Eklentisi yüklü olmalıdır
Azure Arc özellikli Kubernetes için Azure İlkesi aracısı	Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Defender algılayıcısını belirli kümelere dağıtmak için:

1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın veya önceki önerilerden birini arayın. (Öneriyi doğrudan açmak için önceki bağlantıları da kullanabilirsiniz.)

2. İyi durumda değil sekmesini açarak algılayıcı olmadan tüm kümeleri görüntüleyin.

3. Algılayıcıyı dağıtmak istediğiniz kümeleri seçin ve ardından Düzelt'i seçin.

4. X kaynaklarını düzelt'i seçin.

Defender algılayıcısını dağıtma: Tüm seçenekler

Kapsayıcılar için Defender planını etkinleştirebilir ve Azure portalını, REST API'sini veya bir Azure Resource Manager şablonunu kullanarak tüm ilgili bileşenleri dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Defender algılayıcısı dağıtıldıktan sonra, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla varsayılan çalışma alanının yerine özel bir çalışma alanı atayabilirsiniz.

Not

Defender algılayıcısı, çalışma zamanı korumaları sağlamak ve eBPF teknolojisi kullanılarak bu düğümlerden sinyal toplamak için her düğüme dağıtılır.

Azure portalı

Bulut için Defender önerisinin Düzelt düğmesini kullanma

Bulut için Defender planını etkinleştirmek ve Kubernetes kümelerinizi büyük ölçekte savunmak için gerekli tüm bileşenlerin otomatik olarak sağlanmasını ayarlamak için Azure portal sayfalarını kullanabilirsiniz. İşlem kolaylaştırılmıştır.

Ayrılmış bir Bulut için Defender önerisi sağlar:

• Hangi kümelerinizin Defender algılayıcısının dağıtıldığına ilişkin görünürlük.
• Algılayıcıyı sahip olmayan kümelere dağıtmak için bir Düzelt düğmesi.

Algılayıcıyı dağıtmak için:

1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

2. Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmiş olmalıdır adlı öneriyi bulmak için filtreyi kullanın.

   İpucu

   Eylemler sütunundaki Düzelt simgesine dikkat edin.

3. İyi durumda ve iyi durumda olmayan kaynakların (algılayıcılı ve algılayıcısız kümeler) ayrıntılarını görmek için kümeleri seçin.

4. İyi durumda olmayan kaynaklar listesinde bir küme seçin. Ardından düzeltme onayı içeren bölmeyi açmak için Düzelt'i seçin.

5. X kaynaklarını düzelt'i seçin.

REST API

Defender algılayıcısını dağıtmak için REST API'yi kullanma

REST API kullanarak mevcut bir kümeye yüklemek securityProfile için aşağıdaki PUT komutu çalıştırın:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

İstek URI'sini aşağıda bulabilirsiniz:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

İstek sorgusu şu parametrelere sahiptir:

Veri Akışı Adı	Açıklama	Zorunlu
SubscriptionId	Kümenin abonelik kimliği	Yes
ResourceGroup	Kümenin kaynak grubu	Yes
ClusterName	Kümenin adı	Yes
ApiVersion	API sürümü; 2022-06-01 veya üzeri olmalıdır	Yes

bu istek gövdesidir:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

İstek gövdesi şu parametrelere sahiptir:

Veri Akışı Adı	Açıklama	Zorunlu
location	Kümenin konumu	Yes
properties.securityProfile.defender.securityMonitoring.enabled	Kümede Kapsayıcılar için Microsoft Defender'ın etkinleştirilip etkinleştirilmeyeceğini veya devre dışı bırakılıp bırakılmayacağını belirler	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Log Analytics çalışma alanı için Azure kaynak kimliği	Yes

Azure CLI

Defender algılayıcısını dağıtmak için Azure CLI'yi kullanma

1. Azure'da Oturum Açın:

   az login
   az account set --subscription <your-subscription-id>
   

   Önemli

   AKS kümenizle ilişkilendirilmiş olanla aynı abonelik kimliğini <your-subscription-id> kullandığınızdan emin olun.

2. Kapsayıcılarınızda Defender algılayıcısını etkinleştirin:

   • Defender algılayıcısının etkinleştirildiği yeni bir küme oluşturmak için aşağıdaki komutu çalıştırın:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Defender algılayıcısını mevcut bir kümede etkinleştirmek için aşağıdaki komutu çalıştırın:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Defender algılayıcı türündeki desteklenen yapılandırma ayarları şunlardır:

   Özellik

   Açıklama

   logAnalyticsWorkspaceResourceId

   İsteğe bağlı. Kendi Log Analytics çalışma alanınızın tam kaynak kimliği. Sağlamazsanız, bölgenin varsayılan çalışma alanı kullanılır. Kaynak kimliğinin tamamını almak için aşağıdaki komutu çalıştırarak aboneliklerinizdeki çalışma alanlarının listesini varsayılan JSON biçiminde görüntüleyin: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics çalışma alanının kaynak kimliği aşağıdaki söz dizimine sahiptir: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Log Analytics çalışma alanlarında daha fazla bilgi edinin.

   Bu ayarları bir JSON dosyasına ekleyebilir ve şu parametreye sahip ve az aks update komutlarında az aks create JSON dosyasını belirtebilirsiniz: --defender-config <path-to-JSON-file>. JSON dosyasının biçimi şu şekilde olmalıdır:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   az aks içindeki AKS CLI komutları hakkında daha fazla bilgi edinin.

3. Algılayıcının başarıyla eklendiğini doğrulamak için makinenizde kubeconfig aşağıdaki komutu çalıştırın ve dosya kümenize işaret etti:

   kubectl get pods -n kube-system
   

   Algılayıcı eklendiğinde durumunda adlı microsoft-defender-XXXXX Running bir pod görmeniz gerekir. Podların eklenmesi birkaç dakika sürebilir.

Resource Manager

Defender algılayıcısını dağıtmak için Azure Resource Manager'ı kullanma

Azure Resource Manager'ı kullanarak Defender algılayıcısını dağıtmak için aboneliğinizde bir Log Analytics çalışma alanınızın olması gerekir. Log Analytics çalışma alanlarında daha fazla bilgi edinin.

İpucu

Resource Manager şablonlarını kullanmaya yeni başladıysanız buradan başlayın: Azure Resource Manager şablonları nedir?.

Resource Manager kullanarak mevcut bir kümeye yüklemek securityProfile için:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Planı etkinleştirme

1. Bulut için Defender ayarlar'ı ve ardından ilgili aboneliği seçin.

2. Defender planları sayfasında Kapsayıcı>Ayarları'nı seçin.

   

   İpucu

   Abonelikte Kubernetes için Defender veya kapsayıcı kayıt defterleri için Defender zaten etkinse bir güncelleştirme bildirimi görüntülenir. Aksi takdirde tek seçenek Kapsayıcılar'dır.

   

3. İlgili bileşeni açın.

   

   Not

   Kapsayıcılar için Defender'ı kapattığınızda bileşenler Kapalı olarak ayarlanır. Daha fazla kapsayıcıya dağıtılmazlar, ancak zaten yüklü oldukları kapsayıcılardan kaldırılmazlar.

Varsayılan olarak, Azure portalı aracılığıyla planı etkinleştirdiğinizde Kapsayıcılar için Microsoft Defender, planın sunduğu korumaları sağlamak için gerekli bileşenleri otomatik olarak yükleyecek şekilde yapılandırılır. Bu yapılandırma, varsayılan çalışma alanının atamasını içerir.

Ekleme işlemi sırasında bileşenlerin otomatik yüklemesini devre dışı bırakmak istiyorsanız Kapsayıcılar planı için Yapılandırmayı düzenle'yi seçin. Gelişmiş seçenekler görüntülenir ve her bileşen için otomatik yüklemeyi devre dışı bırakabilirsiniz.

Bu yapılandırmayı Defender planları sayfasından da değiştirebilirsiniz.

Not

Portal aracılığıyla etkinleştirdikten sonra planı istediğiniz zaman devre dışı bırakmayı seçerseniz, kümelerinizde dağıtılan Kapsayıcılar için Defender bileşenlerini el ile kaldırmanız gerekir.

Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Herhangi bir bileşenin otomatik yüklemesini devre dışı bırakırsanız, uygun öneriyi kullanarak bileşeni bir veya daha fazla kümeye kolayca dağıtabilirsiniz:

• Kubernetes için Azure İlkesi eklentisi: Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi eklentisi yüklü olmalıdır
• Azure Kubernetes Service profili: Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir
• Azure Arc özellikli Kubernetes için Defender uzantısı: Azure Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır
• Azure Arc özellikli Kubernetes için Azure İlkesi uzantısı: Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Kapsayıcılar için Defender uzantılarını sağlama rolleri hakkında daha fazla bilgi edinin.

Önkoşullar

Algılayıcıyı dağıtmadan önce şunları yaptığınızdan emin olun:

• Kubernetes kümesini Azure Arc'a bağlayın.
• Genel küme uzantıları için belgelerde listelenen önkoşulları tamamlayın.

Defender algılayıcısını dağıtma

Defender algılayıcısını çeşitli yöntemler kullanarak dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Azure portalı

Bulut için Defender önerisinin Düzelt düğmesini kullanma

Ayrılmış bir Bulut için Defender önerisi sağlar:

• Hangi kümelerinizin Defender algılayıcısının dağıtıldığına ilişkin görünürlük.
• Algılayıcıyı sahip olmayan kümelere dağıtmak için bir Düzelt düğmesi.

Algılayıcıyı dağıtmak için:

1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

2. Azure Arc özellikli Kubernetes kümelerinde Microsoft Defender uzantısının etkinleştirilmiş olması gerektiği adlı öneriyi bulmak için filtreyi kullanın.

   

   İpucu

   Eylemler sütunundaki Düzelt simgesine dikkat edin.

3. İyi durumda ve iyi durumda olmayan kaynakların (algılayıcılı ve algılayıcısız kümeler) ayrıntılarını görmek için algılayıcıyı seçin.

4. İyi durumda olmayan kaynaklar listesinde bir küme seçin. Ardından düzeltme seçeneklerini içeren bölmeyi açmak için Düzelt'i seçin.

5. İlgili Log Analytics çalışma alanını ve ardından X kaynağını düzelt'i seçin.

   

Azure CLI

Defender algılayıcısını dağıtmak için Azure CLI'yi kullanma

1. Azure'da Oturum Açın:

   az login
   az account set --subscription <your-subscription-id>
   

   Önemli

   Kümenizi Azure Arc'a bağlarken kullandığınız abonelik kimliğini <your-subscription-id> kullandığınızdan emin olun.

2. Algılayıcıyı Azure Arc özellikli Kubernetes kümenizin üzerine dağıtmak için aşağıdaki komutu çalıştırın:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Defender algılayıcı türündeki desteklenen yapılandırma ayarları şunlardır:

   Özellik	Açıklama
   logAnalyticsWorkspaceResourceID	İsteğe bağlı. Kendi Log Analytics çalışma alanınızın tam kaynak kimliği. Sağlamazsanız, bölgenin varsayılan çalışma alanı kullanılır. Kaynak kimliğinin tamamını almak için aşağıdaki komutu çalıştırarak aboneliklerinizdeki çalışma alanlarının listesini varsayılan JSON biçiminde görüntüleyin: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics çalışma alanı kaynak kimliği aşağıdaki söz dizimine sahiptir: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Log Analytics çalışma alanlarında daha fazla bilgi edinin.
   auditLogPath	İsteğe bağlı. Denetim günlüğü dosyalarının tam yolu. Sağlamazsanız, varsayılan yol /var/log/kube-apiserver/audit.log kullanılır. AKS Altyapısı için standart yol şeklindedir /var/log/kubeaudit/audit.log.

   Aşağıdaki komut, tüm isteğe bağlı alanların örnek kullanımını gösterir:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Defender algılayıcısını dağıtmak için Azure Resource Manager'ı kullanma

Azure Resource Manager'ı kullanarak Defender algılayıcısını dağıtmak için aboneliğinizde bir Log Analytics çalışma alanınızın olması gerekir. Log Analytics çalışma alanlarında daha fazla bilgi edinin.

Bulut için Defender yükleme örneklerinden azure-defender-extension-arm-template.json Resource Manager şablonunu kullanabilirsiniz.

İpucu

Resource Manager şablonlarını kullanmaya yeni başladıysanız buradan başlayın: Azure Resource Manager şablonları nedir?.

REST API

Defender algılayıcısını dağıtmak için REST API'yi kullanma

Rest API'yi kullanarak Defender algılayıcısını dağıtmak için aboneliğinizde bir Log Analytics çalışma alanınızın olması gerekir. Log Analytics çalışma alanlarında daha fazla bilgi edinin.

REST API kullanarak algılayıcıyı el ile dağıtmak için aşağıdaki PUT komutu çalıştırın:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Komutu şu parametreleri içerir:

Veri Akışı Adı	İçinde	Zorunlu	Türü	Açıklama
Subscription ID	Yol	Doğru	String	Azure Arc özellikli Kubernetes kaynağınızın abonelik kimliği
Resource Group	Yol	Doğru	String	Azure Arc özellikli Kubernetes kaynağınızı içeren kaynak grubunun adı
Cluster Name	Yol	Doğru	String	Azure Arc özellikli Kubernetes kaynağınızın adı

Kimlik Doğrulaması için üst bilginizin taşıyıcı belirteci olmalıdır (diğer Azure API'leri gibi). Taşıyıcı belirteci almak için aşağıdaki komutu çalıştırın:

az account get-access-token --subscription <your-subscription-id>

İletinizin gövdesi için aşağıdaki yapıyı kullanın:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

İleti gövdesi şu özellikleri içerir:

Özellik	Açıklama
logAnalytics.workspaceId	Log Analytics kaynağının çalışma alanı kimliği.
logAnalytics.key	Log Analytics kaynağının anahtarı.
auditLogPath	İsteğe bağlı. Denetim günlüğü dosyalarının tam yolu. Varsayılan değer şudur: /var/log/kube-apiserver/audit.log.

Dağıtımı doğrulama

Kümenizde Defender algılayıcısının yüklü olduğunu doğrulamak için aşağıdaki sekmelerden birinde yer alan adımları izleyin.

Azure portalı - Bulut için Defender

Algılayıcınızın durumunu doğrulamak için Bulut için Defender önerileri kullanın

1. Bulut için Microsoft Defender Öneriler sayfasında, Bulut için Microsoft Defender güvenlik denetimini etkinleştir'i açın.

2. Azure Arc özellikli Kubernetes kümelerinde Microsoft Defender uzantısının etkinleştirilmiş olması gerekir adlı öneriyi seçin.

   

3. Algılayıcıyı dağıttığınız kümenin Sağlıklı olarak listelendiğini denetleyin.

Azure portalı - Azure Arc

Algılayıcınızın durumunu doğrulamak için Azure Arc sayfalarını kullanın

1. Azure portalında Azure Arc'ı açın.

2. Altyapı listesinde Kubernetes kümeleri'ni ve ardından belirli bir kümeyi seçin.

3. Uzantılar sayfasını açın. Sayfada kümedeki uzantılar listelenir. Defender algılayıcısının doğru yüklenip yüklenmediğini onaylamak için Yükleme durumu sütununa bakın.

   

4. Daha fazla ayrıntı için uzantıyı seçin.

   

Azure CLI

Algılayıcının dağıtıldığını doğrulamak için Azure CLI'yı kullanın

1. Azure CLI’da aşağıdaki komutu çalıştırın:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Yanıtta ve "installState": "Installed"öğesini arayın"extensionType": "microsoft.azuredefender.kubernetes".

   Not

   Yanıt ilk birkaç dakika için görünebilir "installState": "Pending" .

3. durumu gösterildiyse Installed, dosya kümenize işaret edilmiş şekilde kubeconfig makinenizde aşağıdaki komutu çalıştırın. Ardından ad alanı altındaki mdc tüm podların durumunda olup olmadığını Running denetleyin.

   kubectl get pods -n mdc
   

REST API

Algılayıcının dağıtıldığını doğrulamak için REST API'yi kullanın

Başarılı bir dağıtımı onaylamak veya algılayıcınızın durumunu istediğiniz zaman doğrulamak için:

1. Aşağıdaki GET komutunu çalıştırın:

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Yanıtta öğesini arayın "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed".

   İpucu

   Yanıt ilk birkaç dakika için görünebilir "installState": "Pending" .

3. durumu gösterildiyse Installed, dosya kümenize işaret edilmiş şekilde kubeconfig makinenizde aşağıdaki komutu çalıştırın. Ardından ad alanı altındaki mdc tüm podların durumunda olup olmadığını Running denetleyin.

   kubectl get pods -n mdc
   

Planı etkinleştirme

Önemli

• Aws hesabına bağlanmadıysanız aşağıdaki adımlara başlamadan önce AWS hesabınızı Bulut için Microsoft Defender bağlayın.
• Bağlayıcınızda planı zaten etkinleştirdiyseniz ve isteğe bağlı yapılandırmaları değiştirmek veya yeni özellikleri etkinleştirmek istiyorsanız doğrudan 4. adıma gidin.

EKS kümelerinizin korunmasına yardımcı olmak için ilgili hesap bağlayıcısı üzerinde Kapsayıcılar için Defender planını etkinleştirin:

1. Bulut için Defender'da Ortam ayarları'nı açın.

2. AWS bağlayıcısını seçin.

   

3. Kapsayıcılar planı iki durumlu düğmesinin Açık olarak ayarlandığını doğrulayın.

   

4. Planın isteğe bağlı yapılandırmalarını değiştirmek için Ayarlar'ı seçin.

   

   • Kapsayıcılar için Defender, çalışma zamanı tehdit koruması sağlamak için denetim düzlemi denetim günlüklerini gerektirir. Kubernetes denetim günlüklerini Microsoft Defender'a göndermek için bu özelliğin iki durumlu düğmesini Açık olarak ayarlayın. Denetim günlüklerinizin saklama süresini değiştirmek için gerekli zaman dilimini girin.

     Not

     Bu yapılandırmayı devre dışı bırakırsanız Tehdit algılama (denetim düzlemi) özelliği de devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.

   • Kubernetes için Aracısız bulma özelliği, Kubernetes kümelerinizin API tabanlı keşfini sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

   • Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi özelliği, ECR'de depolanan görüntüler ve EKS kümelerinizde görüntüleri çalıştırmak için güvenlik açığı yönetimi sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

5. Bağlayıcı sihirbazının kalan sayfalarında devam edin.

6. Kubernetes için Aracısız Bulma özelliğini etkinleştiriyorsanız, küme üzerinde denetim düzlemi izinleri vermeniz gerekir. İzinleri aşağıdaki yollardan biriyle vekleyebilirsiniz:

   • Bu Python betiğini çalıştırın. Betik, eklemek istediğiniz EKS kümeleri için Bulut için Defender rolünü MDCContainersAgentlessDiscoveryK8sRole aws-auth ConfigMap ekler.

   • Her Amazon EKS kümesine MDCContainersAgentlessDiscoveryK8sRole , kümeyle etkileşim kurabilme özelliğine sahip rolü verin. eksctl kullanarak mevcut ve yeni oluşturulan tüm kümelerde oturum açın ve aşağıdaki betiği çalıştırın:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Daha fazla bilgi için Amazon EKS kullanıcı kılavuzunda IAM kullanıcılarına EKS erişim girişleri ile Kubernetes erişimi verme bölümüne bakın.

7. Azure Arc özellikli Kubernetes, Defender algılayıcısı ve Kubernetes için Azure İlkesi EKS kümelerinize yüklenip çalıştırılmalıdır. Bu uzantıları (ve gerekirse Azure Arc'ı) yüklemek için ayrılmış bir Bulut için Defender önerisi vardır: EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır.

   Gerekli uzantıları yüklemek için aşağıdaki adımları kullanın:

   1. Bulut için Defender Önerileri sayfasında EKS kümelerinde Microsoft Defender'ın Azure Arc uzantısının yüklü olması önerisini arayın ve seçin.

   2. İyi durumda olmayan bir küme seçin.

      Önemli

      Kümeleri birer birer seçmelisiniz.

      Kümeleri köprülenmiş adlarına göre seçmeyin. İlgili satırda başka bir yer seçin.

   3. Düzelt'i seçin.

   4. Bulut için Defender istediğiniz dilde bir betik oluşturur:Bash (Linux için) veya PowerShell (Windows için).

   5. Düzeltme mantığını indir'i seçin.

   6. Oluşturulan betiği kümenizde çalıştırın.

   

EKS kümeleriniz için önerileri ve uyarıları görüntüleme

İpucu

Bu blog gönderisindeki yönergeleri izleyerek kapsayıcı uyarılarının simülasyonunu yapabilirsiniz.

EKS kümelerinizin uyarılarını ve önerilerini görüntülemek için uyarı, öneri ve envanter sayfalarında bulunan filtreleri kullanarak AWS EKS Kümesi kaynak türüne göre filtreleyin.

Defender algılayıcısını dağıtma

Defender algılayıcısını AWS kümelerinize dağıtmak için:

1. Bulut için Microsoft Defender> Environment settings>Add environment>Amazon Web Services bölümüne gidin.

   

2. Hesap ayrıntılarını doldurun.

   

3. Planları seçin'e gidin, Kapsayıcılar planını açın ve Azure Arc için Defender'ın algılayıcısını otomatik olarak sağlayın ayarının Açık olduğundan emin olun.

   

4. Erişimi yapılandır'a gidin ve buradaki adımları izleyin.

   

5. Bulut Oluşumu şablonu başarıyla dağıtıldıktan sonra Oluştur'u seçin.

Not

Belirli bir AWS kümesini otomatik sağlamanın dışında tutabilirsiniz. Algılayıcı dağıtımı için ms_defender_container_exclude_agents , değerine truesahip kaynağa etiketini uygulayın. Aracısız dağıtım için, değerine truesahip kaynağa etiketini uygulayınms_defender_container_exclude_agentless.

Planı etkinleştirme

Önemli

GcP projesine bağlanmadıysanız GCP projenizi Bulut için Microsoft Defender bağlayın.

GKE kümelerinizi korumaya yardımcı olmak için aşağıdaki adımları kullanarak ilgili GCP projesinde Kapsayıcılar için Defender planını etkinleştirin.

Not

Azure Arc yüklemesini engelleyen azure ilkelerine sahip olmadığınızı doğrulayın.

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender> Environment ayarları'na gidin.

3. İlgili GCP bağlayıcısını seçin.

   

4. İleri: Planları > seç düğmesini seçin.

5. Kapsayıcılar planı için geçiş düğmesinin Açık olduğundan emin olun.

   

6. Planın isteğe bağlı yapılandırmalarını değiştirmek için Ayarlar'ı seçin.

   

   • Kubernetes denetim günlüklerini Bulut için Defender: Varsayılan olarak etkindir. Bu yapılandırma yalnızca GCP proje düzeyinde kullanılabilir. Daha fazla analiz için GCP Bulut Günlüğü aracılığıyla Bulut için Microsoft Defender arka uca denetim günlüğü verilerinin aracısız bir şekilde toplanmasına olanak sağlar. Kapsayıcılar için Defender, çalışma zamanı tehdit koruması sağlamak için denetim düzlemi denetim günlüklerini gerektirir. Kubernetes denetim günlüklerini Microsoft Defender'a göndermek için iki durumlu düğmeyi Açık olarak ayarlayın.

     Not

     Bu yapılandırmayı devre dışı bırakırsanız Tehdit algılama (denetim düzlemi) özelliği de devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.

   • Azure Arc için Defender algılayıcısını otomatik sağlama ve Azure Arc için otomatik sağlama Azure İlkesi uzantısı: Varsayılan olarak etkindir. Azure Arc özellikli Kubernetes'i ve uzantılarını GKE kümelerinize üç şekilde yükleyebilirsiniz:

     • Bu bölümdeki yönergelerde açıklandığı gibi, Kapsayıcılar için Defender otomatik sağlamayı proje düzeyinde etkinleştirin. Bu yöntemi öneririz.
     • Küme başına yükleme için Bulut için Defender önerileri kullanın. Bunlar Bulut için Microsoft Defender Öneriler sayfasında görünür. Çözümü belirli kümelere dağıtmayı öğrenin.
     • Azure Arc özellikli Kubernetes'i ve uzantıları el ile yükleyin.

   • Kubernetes için Aracısız bulma özelliği, Kubernetes kümelerinizin API tabanlı keşfini sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

   • Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi özelliği, Google kayıt defterlerinde (Google Artifact Registry ve Google Container Registry) depolanan görüntüler ve GKE kümelerinizde çalışan görüntüler için güvenlik açığı yönetimi sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

7. Kopyala düğmesini seçin.

   

8. GCP Cloud Shell > düğmesini seçin.

9. Betiği Cloud Shell terminaline yapıştırın ve çalıştırın.

Bağlayıcı, betik çalıştırıldıktan sonra güncelleştirilir. Bu işlemin tamamlanması 8 saate kadar sürebilir.

Çözümü belirli kümelere dağıtma

GCP bağlayıcısı ekleme işlemi sırasında veya sonrasında varsayılan otomatik sağlama yapılandırmalarından herhangi birini Kapalı olarak ayarlarsanız, GKE kümelerinizin her birine Azure Arc özellikli Kubernetes, Defender algılayıcısı ve Kubernetes için Azure İlkesi el ile yüklemeniz gerekir. Bunları yüklemek, Kapsayıcılar için Defender'ın tüm güvenlik değerini aldığınızdan emin olmanıza yardımcı olur.

Uzantıları (ve gerekirse Azure Arc'ı) yüklemek için iki ayrılmış Bulut için Defender önerisi kullanabilirsiniz:

• GKE kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır
• GKE kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Not

Arc uzantılarını yüklerken, sağlanan GCP projesinin ilgili bağlayıcıdaki projeyle aynı olduğunu doğrulamanız gerekir.

Çözümü belirli kümelere dağıtmak için:

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender> Recommendations'a gidin.

3. Bulut için Defender Öneriler sayfasında, önerilerden birini ada göre arayın.

   

4. İyi durumda olmayan bir GKE kümesi seçin.

   Önemli

   Kümeleri birer birer seçmelisiniz.

   Kümeleri köprülenmiş adlarına göre seçmeyin. İlgili satırda başka bir yer seçin.

5. İyi durumda olmayan kaynağın adını seçin.

6. Düzelt'i seçin.

   

7. Bulut için Defender, seçtiğiniz dilde bir betik oluşturur:

   • Linux için Bash'i seçin.
   • Windows için PowerShell'i seçin.

8. Düzeltme mantığını indir'i seçin.

9. Oluşturulan betiği kümenizde çalıştırın.

10. Diğer öneri için 3 ile 8 arasındaki adımları yineleyin.

GKE küme uyarılarınızı görüntüleme

1. Azure Portal’ında oturum açın.

2. Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin.

3. düğmesini seçin.

4. Filtre açılan menüsünde Kaynak türü'nü seçin.

5. Değer açılan menüsünde GCP GKE Kümesi'ni seçin.

6. Tamam'ı seçin.

Defender algılayıcısını dağıtma

GCP kümelerinizde Defender algılayıcısını dağıtmak için:

1. Bulut için Microsoft Defender> Environment ayarları>Ortam>ekle Google Cloud Platform'a gidin.

   

2. Hesap ayrıntılarını doldurun.

   

3. Planları seçin'e gidin, Kapsayıcılar planını açın ve Azure Arc için Defender'ın algılayıcısını otomatik olarak sağlayın ayarının Açık olduğundan emin olun.

   

4. Erişimi yapılandır'a gidin ve buradaki adımları izleyin.

   

5. gcloud Betik başarıyla çalıştırıldıktan sonra Oluştur'u seçin.

Not

Belirli bir GCP kümesini otomatik sağlamanın dışında tutabilirsiniz. Algılayıcı dağıtımı için ms_defender_container_exclude_agents , etiketi truedeğerine sahip kaynağa uygulayın. Aracısız dağıtım için, etiketi truedeğerine sahip kaynağa uygulayınms_defender_container_exclude_agentless.

Kapsayıcılar için Microsoft Defender'dan güvenlik uyarılarının simülasyonunu oluşturun

Desteklenen uyarıların tam listesi, tüm Bulut için Defender güvenlik uyarılarının başvuru tablosunda bulunur.

Güvenlik uyarısı simülasyonu yapmak için:

1. Kümeden aşağıdaki komutu çalıştırın:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Beklenen yanıt şeklindedir No resource found.

   30 dakika içinde Bulut için Defender bu etkinliği algılar ve bir güvenlik uyarısı tetikler.

   Not

   Azure Arc, Kapsayıcılar için Defender için aracısız uyarıların simülasyonu için önkoşul değildir.

2. Azure portalında Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin ve ilgili kaynakta uyarıyı arayın.

   

Defender algılayıcısını kaldırma

Bu (veya herhangi bir) uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

• Otomatik sağlamanın etkinleştirilmesi, mevcut ve gelecekteki makineleri etkileyebilir.
• Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlamayı devre dışı bırakdığınızda hiçbir şey kaldırılamaz.

Not

Kapsayıcılar için Defender planını tamamen devre dışı bırakmak için Ortam ayarları'na gidin ve Kapsayıcılar için Microsoft Defender'ı kapatın.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmadığından emin olmak için uzantıların otomatik olarak sağlanmasını devre dışı bırakın.

Uzantıyı, aşağıdaki sekmelerde açıklandığı gibi Azure portalını, Azure CLI'yı veya REST API'yi kullanarak şu anda çalışan makinelerden kaldırabilirsiniz.

Azure portalı - Arc

Uzantıyı kaldırmak için Azure portalını kullanma

1. Azure portalında Azure Arc'ı açın.

2. Altyapı listesinde Kubernetes kümeleri'ni ve ardından belirli bir kümeyi seçin.

3. Kümedeki uzantıların listelendiği Uzantılar sayfasını açın.

4. Uzantıyı ve ardından Kaldır'ı seçin.

   

Azure CLI

Defender algılayıcısını kaldırmak için Azure CLI'yi kullanma

1. Aşağıdaki komutları kullanarak Kubernetes için Microsoft Defender için Azure Arc uzantısını kaldırın:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Uzantının kaldırılması birkaç dakika sürebilir. Başarılı olduğunu doğrulamayı denemeden önce beklemenizi öneririz.

2. Uzantıyı başarıyla kaldırdığınızdan emin olmak için aşağıdaki komutları çalıştırın:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Kümedeki ad alanı altında mdc pod olmadığını doğrulayın. Aşağıdaki komutu kümenize işaret eden dosyayla kubeconfig çalıştırın:

   kubectl get pods -n mdc
   

   Podların silinmesi birkaç dakika sürebilir.

REST API

Defender algılayıcısını kaldırmak için REST API'yi kullanma

REST API kullanarak uzantıyı kaldırmak için aşağıdaki DELETE komutu çalıştırın:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Komutu şu parametreleri içerir:

Veri Akışı Adı	İçinde	Zorunlu	Türü	Açıklama
Subscription ID	Yol	Doğru	String	Azure Arc özellikli Kubernetes kümenizin abonelik kimliği
Resource Group	Yol	Doğru	String	Azure Arc özellikli Kubernetes kümenizin kaynak grubu
Cluster Name	Yol	Doğru	String	Azure Arc özellikli Kubernetes kümenizin adı

Kimlik Doğrulaması için üst bilginizin taşıyıcı belirteci olmalıdır (diğer Azure API'leri gibi). Taşıyıcı belirteci almak için aşağıdaki komutu çalıştırın:

az account get-access-token --subscription <your-subscription-id>

İsteğin tamamlanması birkaç dakika sürebilir.

AKS için varsayılan Log Analytics çalışma alanını ayarlama

Defender algılayıcısı, veri işlem hattı olarak Log Analytics çalışma alanını kullanarak kümeden Bulut için Defender veri gönderir. Çalışma alanı verilerin hiçbirini tutmaz. Sonuç olarak, bu kullanım örneğinde kullanıcılar faturalandırılamaz.

Defender algılayıcısı varsayılan log analytics çalışma alanını kullanır. Varsayılan Log Analytics çalışma alanınız yoksa Bulut için Defender Defender algılayıcısını yüklediğinizde yeni bir kaynak grubu ve varsayılan çalışma alanı oluşturur. Varsayılan çalışma alanı bölgenizi temel alır.

Varsayılan Log Analytics çalışma alanı ve kaynak grubu için adlandırma kuralı:

• Çalışma Alanı: DefaultWorkspace-[subscription-ID]-[geo]
• Kaynak grubu: DefaultResourceGroup-[geo]

Özel çalışma alanı atama

Otomatik sağlamayı etkinleştirdiğinizde, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Atanmış bir çalışma alanınız olup olmadığını denetlemek için:

1. Azure Portal’ında oturum açın.

2. İlke'yi arayın ve seçin.

   

3. Tanımlar'ı seçin.

4. İlke kimliğini 64def556-fbad-4622-930e-72d1d5589bf5arayın.

   

5. Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandır'ı seçin.

6. Atamalar'ı seçin.

   

7. Bu makaledeki sonraki bölümlerden birini aşağıdaki gibi kullanın:

   • İlke henüz ilgili kapsama atanmamışsa Özel çalışma alanıyla yeni atama oluşturma adımlarını izleyin.
   • İlke zaten atanmışsa ve bunu özel çalışma alanı kullanacak şekilde değiştirmek istiyorsanız, Atamayı özel çalışma alanıyla güncelleştirme adımlarını izleyin.

Özel çalışma alanıyla yeni atama oluşturma

İlke henüz atanmamışsa, Atamalar sekmesinde 0 sayısı gösterilir.

Özel çalışma alanı atamak için:

1. Ata'yı seçin.

2. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

3. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

   

4. Gözden geçir ve oluştur’u seçin.

5. Oluştur'u belirleyin.

Atamayı özel çalışma alanıyla güncelleştirme

İlke bir çalışma alanına atanmışsa, Atamalar sekmesinde 1 sayısı gösterilir.

Not

Birden fazla aboneliğiniz varsa, sayı daha yüksek olabilir.

Özel çalışma alanı atamak için:

1. İlgili ödevi seçin.

   

2. Ödevi düzenle'yi seçin.

3. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

4. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

   

5. Gözden geçir ve kaydet'i seçin.

6. Kaydet'i seçin.

Azure Arc için varsayılan Log Analytics çalışma alanı

Defender algılayıcısı, veri işlem hattı olarak Log Analytics çalışma alanını kullanarak kümeden Bulut için Defender veri gönderir. Çalışma alanı verilerin hiçbirini tutmaz. Sonuç olarak, bu kullanım örneğinde kullanıcılar faturalandırılamaz.

Defender algılayıcısı varsayılan log analytics çalışma alanını kullanır. Varsayılan Log Analytics çalışma alanınız yoksa Bulut için Defender Defender algılayıcısını yüklediğinizde yeni bir kaynak grubu ve varsayılan çalışma alanı oluşturur. Varsayılan çalışma alanı bölgenizi temel alır.

Varsayılan Log Analytics çalışma alanı ve kaynak grubu için adlandırma kuralı:

• Çalışma Alanı: DefaultWorkspace-[subscription-ID]-[geo]
• Kaynak grubu: DefaultResourceGroup-[geo]

Özel çalışma alanı atama

Otomatik sağlamayı etkinleştirdiğinizde, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Atanmış bir çalışma alanınız olup olmadığını denetlemek için:

1. Azure Portal’ında oturum açın.

2. İlke'yi arayın ve seçin.

   

3. Tanımlar'ı seçin.

4. İlke kimliğini 708b60a6-d253-4fe0-9114-4be4c00f012carayın.

   

5. Bulut için Microsoft Defender uzantısını yüklemek için Azure Arc özellikli Kubernetes kümelerini yapılandır'ı seçin.

6. Atamalar'ı seçin.

   

7. Bu makaledeki sonraki bölümlerden birini aşağıdaki gibi kullanın:

   • İlke henüz ilgili kapsama atanmamışsa Özel çalışma alanıyla yeni atama oluşturma adımlarını izleyin.
   • İlke zaten atanmışsa ve bunu özel çalışma alanı kullanacak şekilde değiştirmek istiyorsanız, Atamayı özel çalışma alanıyla güncelleştirme adımlarını izleyin.

Özel çalışma alanıyla yeni atama oluşturma

İlke henüz atanmamışsa, Atamalar sekmesinde 0 sayısı gösterilir.

Özel çalışma alanı atamak için:

1. Ata'yı seçin.

2. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

3. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

   

4. Gözden geçir ve oluştur’u seçin.

5. Oluştur'u belirleyin.

Atamayı özel çalışma alanıyla güncelleştirme

İlke bir çalışma alanına atanmışsa, Atamalar sekmesinde 1 sayısı gösterilir.

Not

Birden fazla aboneliğiniz varsa, sayı daha yüksek olabilir. 1 veya daha yüksek bir sayıya sahipseniz ancak atama ilgili kapsamda değilse, Özel çalışma alanıyla yeni atama oluşturma adımlarını izleyin.

Özel çalışma alanı atamak için:

1. İlgili ödevi seçin.

   

2. Ödevi düzenle'yi seçin.

3. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

4. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

   

5. Gözden geçir ve kaydet'i seçin.

6. Kaydet'i seçin.

Defender algılayıcısını kaldırma

Bu (veya herhangi bir) uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

• Otomatik sağlamanın etkinleştirilmesi, mevcut ve gelecekteki makineleri etkileyebilir.
• Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlamayı devre dışı bırakdığınızda hiçbir şey kaldırılamaz.

Not

Kapsayıcılar için Defender planını tamamen devre dışı bırakmak için Ortam ayarları'na gidin ve Kapsayıcılar için Microsoft Defender'ı kapatın.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmadığından emin olmak için uzantıların otomatik olarak sağlanmasını devre dışı bırakın.

Uzantıyı, aşağıdaki sekmelerde açıklandığı gibi REST API, Azure CLI veya Resource Manager şablonu kullanarak şu anda çalışan makinelerden kaldırabilirsiniz.

REST API

DEFENDER algılayıcısını AKS'den kaldırmak için REST API'yi kullanma

REST API kullanarak uzantıyı kaldırmak için aşağıdaki PUT komutu çalıştırın:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Komutu şu parametreleri içerir:

Veri Akışı Adı	Açıklama	Zorunlu
SubscriptionId	Kümenin abonelik kimliği	Yes
ResourceGroup	Kümenin kaynak grubu	Yes
ClusterName	Kümenin adı	Yes
ApiVersion	API sürümü; 2022-06-01 veya üzeri olmalıdır	Yes

bu istek gövdesidir:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

İstek gövdesi şu parametrelere sahiptir:

Veri Akışı Adı	Açıklama	Zorunlu
location	Kümenin konumu	Yes
properties.securityProfile.defender.securityMonitoring.enabled	Kümede Kapsayıcılar için Microsoft Defender'ın etkinleştirilip etkinleştirilmeyeceğini veya devre dışı bırakılıp bırakılmayacağını belirler	Yes

Azure CLI

Defender algılayıcısını kaldırmak için Azure CLI'yi kullanma

1. Aşağıdaki komutları çalıştırın:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Uzantının kaldırılması birkaç dakika sürebilir.

2. Uzantıyı başarıyla kaldırdığınızdan emin olmak için aşağıdaki komutu çalıştırın:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Uzantı kaldırıldığında, get pods komut herhangi bir pod döndürmez. Podların silinmesi birkaç dakika sürebilir.

Resource Manager

Azure Resource Manager'ı kullanarak Defender algılayıcısını AKS'den kaldırma

Azure Resource Manager'ı kullanarak Defender algılayıcısını kaldırmak için aboneliğinizde bir Log Analytics çalışma alanınızın olması gerekir. Log Analytics çalışma alanlarında daha fazla bilgi edinin.

İpucu

Resource Manager şablonlarını kullanmaya yeni başladıysanız buradan başlayın: Azure Resource Manager şablonları nedir?.

Defender algılayıcısını AKS'den kaldırmaya yönelik ilgili şablon ve parametreler şunlardır:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

İlgili içerik

Kapsayıcılar için Defender'ı etkinleştirdiğinize göre şunları yapabilirsiniz:

• Azure Container Registry görüntülerinizi güvenlik açıklarına karşı tarama
• Microsoft Defender Güvenlik Açığı Yönetimi ile AWS görüntülerinizi güvenlik açıklarına karşı tarayın
• Microsoft Defender Güvenlik Açığı Yönetimi ile GCP görüntülerinizi güvenlik açıklarına karşı tarama
• Kapsayıcılar için Defender hakkında sık sorulan sorulara göz atın.

Bulut için Defender ve Kapsayıcılar için Defender hakkında daha fazla bilgi edinmek için aşağıdaki bloglara göz atın:

• Bulut için Microsoft Defender ile Google Cloud iş yüklerinizi koruma
• Kapsayıcılar için Microsoft Defender'a giriş
• Çoklu bulut güvenliği için yeni bir ad: Bulut için Microsoft Defender