你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

配置 Microsoft Defender for Containers 组件

适用于容器的 Microsoft Defender 是用于保护容器的云原生解决方案。 它有助于保护群集，无论它们在以下哪个环境中运行：

• Azure Kubernetes 服务 (AKS)：Microsoft 的托管服务，用于开发、部署和管理容器化应用程序。

• 在连接的 Amazon Web Services (AWS) 帐户中的 Amazon Elastic Kubernetes Service (EKS)：Amazon 的托管服务，用于在 AWS 上运行 Kubernetes，而无需安装、操作和维护自己的 Kubernetes 控制平面或节点。

• 在已连接的 Google Cloud Platform (GCP) 项目中的 Google Kubernetes Engine (GKE)： Google 的托管环境，通过 GCP 基础结构部署、管理和缩放应用程序。

• 其他 Kubernetes 发行版（使用启用了 Azure Arc 的 Kubernetes）：托管在本地或基础结构即服务 (IaaS) 上的经云原生计算基金会 (CNCF) 认证的 Kubernetes 群集。 有关详细信息，请参阅 Defender for Cloud 中的容器支持矩阵。

首先，可以通过以下文章了解如何连接和帮助保护容器：

• 使用 Defender for Containers 保护 Azure 容器
• 使用 Defender for Containers 保护本地 Kubernetes 群集
• 使用 Defender for Containers 保护 Amazon Web Services (AWS) 容器
• 使用 Defender for Containers 保护 Google Cloud Platform (GCP) 容器

还可以观看 Defender for Cloud in the field 视频系列中的这些视频以了解更多：

• 多云环境中的 Microsoft Defender for Containers
• 使用 Defender for Containers 保护 GCP 中的容器

注意

Defender for Containers 对启用了 Azure Arc 的 Kubernetes 群集的支持是一项预览版功能。 预览功能是可选择启用的自助功能。

预览版按原样、按可用性提供。 它们不在服务级别协议和有限担保范围内。

若要详细了解受支持的操作系统、功能可用性、出站代理等，请参阅 Defender for Cloud 中的 Containers 支持矩阵。

网络要求

验证以下终结点是否已配置为进行出站访问，以便 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。

Defender 传感器必须连接到已配置的 Azure Monitor Log Analytics 工作区。 默认情况下，AKS 群集具有不受限制的出站（出口）Internet 访问权限。 如果群集的出口需要使用 Azure Monitor 专用链接范围 (AMPLS)，则必须：

• 使用容器见解和 Log Analytics 工作区定义群集。
• 配置 AMPLS，将查询访问模式和引入访问模式设置为“打开”
• 将群集的 Log Analytics 工作区定义为 AMPLS 中的资源。
• 在 AMPLS 中创建群集虚拟网络与 Log Analytics 资源之间的虚拟网络专用终结点。 虚拟网络专用终结点与专用 DNS 区域集成。

如需说明，请参阅创建 Azure Monitor 专用链接范围。

网络要求

验证是否为公有云部署配置了以下终结点以进行出站访问。 配置它们以用于出站访问有助于确保 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。

Azure 域	Azure 政府域	由世纪互联运营的 Azure 域	端口
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

还需要验证启用了 Azure Arc 的 Kubernetes 网络要求。

启用计划

1. 在 Defender for Cloud 中，选择“设置”，然后选择相关订阅。

2. 在“Defender 计划”页上，选择“容器”>“设置”。

   

   提示

   如果订阅已启用 Defender for Kubernetes 或 Defender for Containers 注册表，则会出现一条更新通知。 否则，唯一的选项是“Containers”。

   

3. 打开相关组件。

   

   注意

   • 在 2023 年 8 月之前加入的 Defender for Containers 客户如果在启用该计划时未在 Defender 云安全态势管理 (CSPM) 中启用 Kubernetes 无代理发现，则必须在 Defender for Containers 计划中手动启用 Kubernetes 无代理发现扩展。
   • 关闭 Defender for Containers 时，组件将设置为“关”。 它们不会部署到任何其他容器，但它们不会从已安装的容器中移除。

每个功能的启用方法

默认情况下，通过 Azure 门户启用计划时，Microsoft Defender for Containers 配置为自动启用所有功能并安装所有必需的组件以提供该计划提供的保护。 此配置包括分配默认工作区。

如果不想启用计划的所有功能，则可以通过为“容器”计划选择“编辑配置”来手动选择要启用的特定功能。 然后，在“设置和监视”页中，选择要启用的功能。 在初始配置计划后，也可以从“Defender 计划”页修改此配置。

有关每个功能的启用方法的详细信息，请参阅支持矩阵。

角色和权限

详细了解预配 Defender for Containers 扩展的角色。

为 Defender 传感器分配自定义工作区

可以通过 Azure Policy 分配自定义工作区。

使用建议手动部署 Defender 传感器或 Azure Policy 代理，而不使用自动预配

此外，还可以在一个或多个 Kubernetes 群集上部署需要传感器安装的功能。 使用适当的建议：

传感器	建议
适用于 Kubernetes 的 Defender 传感器	Azure Kubernetes 服务群集应启用 Defender 配置文件
适用于已启用 Azure Arc 的 Kubernetes 的 Defender 传感器	已启用 Azure Arc 的 Kubernetes 群集应安装 Defender 扩展
适用于 Kubernetes 的 Azure Policy 代理	Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项
适用于已启用 Azure Arc 的 Kubernetes 的 Azure Policy 代理	已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展

若要在特定群集上部署 Defender 传感器，请执行以下操作：

1. 在 Microsoft Defender for Cloud 的“建议”页上，打开“启用增强的安全性”安全控制，或搜索前述的建议之一。 （还可以使用前面的链接直接打开建议。）

2. 通过打开“不正常”选项卡查看所有没有传感器的群集。

3. 选择要在其中部署传感器的群集，然后选择“修复”。

4. 选择“修复 X 资源”。

部署 Defender 传感器：所有选项

可以启用 Defender for Containers 计划，并使用 Azure 门户、REST API 或 Azure 资源管理器模板部署所有相关组件。 有关详细步骤，请选择相关的选项卡。

部署 Defender 传感器后，会自动分配默认工作区。 可以通过 Azure Policy 分配一个自定义工作区来代替默认工作区。

注意

Defender 传感器部署到每个节点，以提供运行时保护并使用 eBPF 技术从这些节点收集信号。

Azure 门户

使用 Defender for Cloud 建议中的“修复”按钮

可以使用 Azure 门户页面启用 Defender for Cloud 计划，并设置大规模保护 Kubernetes 群集所需的所有组件的自动预配。 该过程已简化。

专用 Defender for Cloud 建议提供：

• 有关你的哪些群集部署了 Defender 传感器的可见性信息。
• 用于将传感器部署到没有传感器的群集的“修复”按钮。

若要部署传感器，请执行以下操作：

1. 在 Microsoft Defender for Cloud 的“建议”页中，打开“启用增强的安全性”安全控制。

2. 使用筛选器找到名为“Azure Kubernetes 服务群集应启用 Defender 配置文件”的建议。

   提示

   请注意“操作”列中的“修复”图标。

3. 选择这些群集以查看正常和不正常资源的详细信息（有和没有传感器的群集）。

4. 在运行不正常的资源列表中，选择一个群集。 然后选择“修正”以打开包含修正确认的窗格。

5. 选择“修复 X 资源”。

REST API

使用 REST API 部署 Defender 传感器

若要使用 REST API 在现有群集上安装 securityProfile，请运行以下 PUT 命令：

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

下面是请求 URI：

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

请求查询具有以下参数：

名称	说明	必需
SubscriptionId	群集订阅 ID	是
ResourceGroup	群集资源组	是
ClusterName	群集名称	是
ApiVersion	API 版本；必须是 2022-06-01 或更高	是

这是请求正文：

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

请求正文包含以下参数：

名称	说明	必需
location	群集位置	是
properties.securityProfile.defender.securityMonitoring.enabled	确定是否在群集上启用或禁用适用于容器的 Microsoft Defender	是
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Log Analytics 工作区的 Azure 资源 ID	是

Azure CLI

使用 Azure CLI 部署 Defender 传感器

1. 登录 Azure：

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   确保为 <your-subscription-id> 使用的订阅 ID 与你的 AKS 群集关联的订阅 ID 相同。

2. 在容器上启用 Defender 传感器：

   • 运行以下命令以创建启用了 Defender 传感器的新群集：

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • 运行以下命令以在现有群集上启用 Defender 传感器：

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   下面是 Defender 传感器类型支持的配置设置：

   properties	说明
   logAnalyticsWorkspaceResourceId	可选。 你自己的 Log Analytics 工作区的完整资源 ID。 如果未提供，则会使用区域的默认工作区。 若要获取完整资源 ID，请运行以下命令，以默认 JSON 格式显示订阅中的工作区列表： az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics 工作区的资源 ID 采用以下语法： /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} 在 Log Analytics 工作区中了解详细信息。

   可将这些设置包含在 JSON 文件中，并在 az aks create 和 az aks update 命令中使用以下参数指定该 JSON 文件：--defender-config <path-to-JSON-file>。 该 JSON 文件的格式必须为：

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   在 az aks 中详细了解 AKS CLI 命令。

3. 若要验证传感器是否已成功添加，请在计算机上运行以下命令，并将 kubeconfig 文件指向群集：

   kubectl get pods -n kube-system
   

   添加传感器后，你应该会看到一个名为 microsoft-defender-XXXXX 且处于 Running 状态的 Pod。 添加 pod 可能需要几分钟时间。

资源管理器

使用 Azure 资源管理器部署 Defender 传感器

若要使用 Azure 资源管理器部署 Defender 传感器，你的订阅中需有一个 Log Analytics 工作区。 在 Log Analytics 工作区中了解详细信息。

提示

如果你不熟悉资源管理器模板，请先参阅以下文章：什么是 Azure 资源管理器模板？。

若要使用资源管理器在现有群集上安装 securityProfile，请执行以下操作：

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

启用计划

1. 在 Defender for Cloud 中，选择“设置”，然后选择相关订阅。

2. 在“Defender 计划”页上，选择“容器”>“设置”。

   

   提示

   如果订阅已启用 Defender for Kubernetes 或 Defender for Containers 注册表，则会出现一条更新通知。 否则，唯一的选项是“Containers”。

   

3. 打开相关组件。

   

   注意

   关闭 Defender for Containers 时，组件将设置为“关”。 它们不会部署到任何其他容器，但它们不会从已安装的容器中移除。

默认情况下，通过 Azure 门户启用计划时，Microsoft Defender for Containers 配置为自动安装所有必需的组件以提供该计划提供的保护。 此配置包括分配默认工作区。

若要在加入过程中禁用自动安装组件，请选择“容器”计划对应的“编辑配置”。 “高级”选项会随即显示，你可禁用每个组件的自动安装。

还可以从 Defender 计划页修改此配置。

注意

如果在通过门户启用后任意时间选择禁用计划，则需要手动移除群集上部署的 Defender for Containers 组件。

可以通过 Azure Policy 分配自定义工作区。

如果禁用任何组件的自动安装，可以使用相应的建议轻松地将组件部署到一个或多个群集：

• 适用于 Kubernetes 的 Azure Policy 加载项：Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项
• Azure Kubernetes 服务配置文件：Azure Kubernetes 服务群集应启用 Defender 配置文件
• 适用于已启用 Azure Arc 的 Kubernetes 的 Defender 扩展：已启用 Azure Arc 的 Kubernetes 群集应安装 Defender 扩展
• 适用于已启用 Azure Arc 的 Kubernetes 的 Azure Policy 扩展：已启用 Azure Arc 的 Kubernetes 群集应安装 Azure Policy 扩展

详细了解预配 Defender for Containers 扩展的角色。

先决条件

在部署传感器之前，请确保：

• 将 Kubernetes 群集连接到 Azure Arc。
• 完成通用群集扩展文档中列出的先决条件。

部署 Defender 传感器

可以使用各种方法部署 Defender 传感器。 有关详细步骤，请选择相关的选项卡。

Azure 门户

使用 Defender for Cloud 建议中的“修复”按钮

专用 Defender for Cloud 建议提供：

• 有关你的哪些群集部署了 Defender 传感器的可见性信息。
• 用于将传感器部署到没有传感器的群集的“修复”按钮。

若要部署传感器，请执行以下操作：

1. 在 Microsoft Defender for Cloud 的“建议”页中，打开“启用增强的安全性”安全控制。

2. 使用筛选器找到名为“已启用 Azure Arc 的 Kubernetes 群集应启用 Microsoft Defender 扩展”的建议。

   

   提示

   请注意“操作”列中的“修复”图标。

3. 选择该传感器以查看正常和不正常资源的详细信息（有和没有传感器的群集）。

4. 在运行不正常的资源列表中，选择一个群集。 然后选择“修正”以打开包含修正选项的窗格。

5. 选择相关的 Log Analytics 工作区，然后选择“修正 x 资源”。

   

Azure CLI

使用 Azure CLI 部署 Defender 传感器

1. 登录 Azure：

   az login
   az account set --subscription <your-subscription-id>
   

   重要

   确保为 <your-subscription-id> 使用的订阅 ID 与将群集连接到 Azure Arc 时所用的 ID 相同。

2. 运行以下命令，在已启用 Azure Arc 的 Kubernetes 群集上部署该传感器：

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   下面是 Defender 传感器类型支持的配置设置：

   properties	说明
   logAnalyticsWorkspaceResourceID	可选。 你自己的 Log Analytics 工作区的完整资源 ID。 如果未提供，则会使用区域的默认工作区。 若要获取完整资源 ID，请运行以下命令，以默认 JSON 格式显示订阅中的工作区列表： az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Log Analytics 工作区资源 ID 采用以下语法： /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} 在 Log Analytics 工作区中了解详细信息。
   auditLogPath	可选。 审核日志文件的完整路径。 如果未提供路径，则会使用默认路径 /var/log/kube-apiserver/audit.log。 对于 AKS 引擎，标准路径为 /var/log/kubeaudit/audit.log。

   以下命令显示所有可选字段的示例用法：

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

资源管理器

使用 Azure 资源管理器部署 Defender 传感器

若要使用 Azure 资源管理器部署 Defender 传感器，你的订阅中需有一个 Log Analytics 工作区。 在 Log Analytics 工作区中了解详细信息。

可以使用 Defender for Cloud 安装示例中的 azure-defender-extension-arm-template.json 资源管理器模板。

提示

如果你不熟悉资源管理器模板，请先参阅以下文章：什么是 Azure 资源管理器模板？。

REST API

使用 REST API 部署 Defender 传感器

若要使用 REST API 部署 Defender 传感器，你的订阅中需有一个 Log Analytics 工作区。 在 Log Analytics 工作区中了解详细信息。

若要使用 REST API 手动部署传感器，请运行以下 PUT 命令：

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

该命令包含以下参数：

名称	在	必需	类型​​	描述
Subscription ID	路径	正确	字符串	已启用 Azure Arc 的 Kubernetes 资源的订阅 ID
Resource Group	路径	正确	字符串	包含已启用 Azure Arc 的 Kubernetes 资源的资源组的名称
Cluster Name	路径	正确	字符串	已启用 Azure Arc 的 Kubernetes 资源的名称

对于 Authentication，头中必须包含一个持有者令牌（与使用其他 Azure API 时一样）。 若要获取持有者令牌，请运行以下命令：

az account get-access-token --subscription <your-subscription-id>

对消息正文使用以下结构：

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

消息正文包含以下属性：

properties	说明
logAnalytics.workspaceId	Log Analytics 资源的工作区 ID。
logAnalytics.key	Log Analytics 资源的密钥。
auditLogPath	可选。 审核日志文件的完整路径。 默认值为 /var/log/kube-apiserver/audit.log。

验证部署

若要验证群集上是否已安装 Defender 传感器，请执行下列其中一个选项卡中的步骤。

Azure 门户 - Defender for Cloud

使用 Defender for Cloud 建议来验证传感器的状态

1. 在 Microsoft Defender for Cloud 的“建议”页中，打开“启用 Microsoft Defender for Cloud”安全控制。

2. 选择名为“已启用 Azure Arc 的 Kubernetes 群集应启用 Microsoft Defender 扩展”的建议。

   

3. 检查在其上部署了该传感器的群集是否以“正常”状态列出。

Azure 门户 - Azure Arc

使用 Azure Arc 页验证传感器的状态

1. 在 Azure 门户中打开“Azure Arc”。

2. 在基础结构列表中选择“Kubernetes 群集”，然后选择特定的群集。

3. 打开“扩展”页。 该页列出了群集上的扩展。 若要确认 Defender 传感器是否已安装正确，请检查“安装状态”列。

   

4. 如需更多详细信息，请选择扩展。

   

Azure CLI

使用 Azure CLI 验证是否已部署传感器

1. 在 Azure CLI 中运行以下命令：

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. 在响应中，查找 "extensionType": "microsoft.azuredefender.kubernetes" 和 "installState": "Installed"。

   注意

   该响应可能会在前几分钟显示 "installState": "Pending"。

3. 如果状态显示 Installed，请在计算机上运行以下命令，让 kubeconfig 文件指向群集。 然后检查 mdc 命名空间下的所有 Pod 是否处于 Running 状态。

   kubectl get pods -n mdc
   

REST API

使用 REST API 验证是否已部署传感器

若要确认部署是否成功或随时验证传感器的状态，请执行以下操作：

1. 运行以下 GET 命令：

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. 在响应中，在 "extensionType": "microsoft.azuredefender.kubernetes" 中查找 "installState": "Installed"。

   提示

   该响应可能会在前几分钟显示 "installState": "Pending"。

3. 如果状态显示 Installed，请在计算机上运行以下命令，让 kubeconfig 文件指向群集。 然后检查 mdc 命名空间下的所有 Pod 是否处于 Running 状态。

   kubectl get pods -n mdc
   

启用计划

重要

• 如果尚未连接 AWS 帐户，请在开始以下步骤之前将 AWS 帐户连接到 Microsoft Defender for Cloud。
• 如果已在连接器上启用计划，并且想要更改可选配置或启用新功能，请直接转到步骤 4。

若要帮助保护 EKS 群集，请对相关的帐户连接器启用 Defender for Containers 计划：

1. 在 Defender for Cloud 中，打开“环境设置”。

2. 选择 AWS 连接器。

   

3. 验证“容器”计划的切换是否设置为“开”。

   

4. 若要更改计划的可选配置，请选择“设置”。

   

   • Defender for Containers 需要控制平面审核日志来提供运行时威胁防护。 若要将 Kubernetes 审核日志发送到 Microsoft Defender，请将该功能的切换开关设置为“开”。 若要更改审核日志的保持期，请输入所需的期限。

     注意

     如果禁用此配置，同时也会禁用“威胁检测（控制平面）”功能。 详细了解功能可用性。

   • Kubernetes 的无代理发现功能提供对 Kubernetes 群集基于 API 的发现。 若要启用该功能，请将其切换开关设置为“开”。

   • 无代理容器漏洞评估功能为存储在 ECR 中的映像和在 EKS 群集上运行的映像提供漏洞管理。 若要启用该功能，请将其切换开关设置为“开”。

5. 继续完成连接器向导的剩余页面。

6. 如果要启用 Agentless Discovery for Kubernetes 功能，则需要对群集授予控制平面权限。 可以通过以下方式之一授予权限：

   • 运行此 Python 脚本。 该脚本会将 Defender for Cloud 角色 MDCContainersAgentlessDiscoveryK8sRole 添加到你要加入的 EKS 群集的 aws-auth ConfigMap。

   • 向每个 Amazon EKS 群集授予 MDCContainersAgentlessDiscoveryK8sRole 角色，使其能够与群集交互。 使用 eksctl 登录到所有现有和新创建的群集，并运行以下脚本：

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     有关详细信息，请参阅 Amazon EKS 用户指南中的通过 EKS 访问条目授予 IAM 用户对 Kubernetes 的访问权限。

7. EKS 群集上应安装并运行已启用 Azure Arc 的 Kubernetes、Defender 传感器和适用于 Kubernetes 的 Azure Policy。 有一个专用的 Defender for Cloud 建议用于安装这些扩展（以及 Azure Arc，如有必要）：EKS 群集应安装适用于 Azure Arc 的 Microsoft Defender 扩展。

   使用以下步骤安装所需的扩展：

   1. 在 Defender for Cloud“建议”页上，搜索并选择“EKS 群集应安装适用于 Azure Arc 的 Microsoft Defender 扩展”建议。

   2. 选择不正常的群集。

      重要

      必须逐一选择群集。

      请勿按超链接名称选择群集。 选择相关行中的其他任何位置。

   3. 选择“修复”。

   4. Defender for Cloud 使用你所选的语言生成脚本：选择 Bash（适用于 Linux）或 PowerShell（适用于 Windows）。

   5. 选择“下载修正逻辑”。

   6. 在群集上运行生成的脚本。

   

查看针对 EKS 群集的建议和警报

提示

可以按照此博客文章中的说明来模拟容器警报。

若要查看针对 EKS 群集的警报和建议，请在警报、建议和清单页中使用筛选器，按资源类型“AWS EKS 群集”进行筛选。

部署 Defender 传感器

若要在 AWS 群集上部署 Defender 传感器，请执行以下操作：

1. 转到“Microsoft Defender for Cloud”>“环境设置”>“添加环境”>“Amazon Web Services”。

   

2. 填写帐户详细信息。

   

3. 转到“选择计划”，打开“Containers”计划，确保将“为 Azure Arc 自动预配 Defender 的传感器”设置为“开”。

   

4. 转到“配置访问权限”并按照其中的步骤操作。

   

5. 成功部署“Cloud Formation”模板后，选择“创建”。

注意

可以从自动预配中排除特定的 AWS 群集。 对于传感器部署，请在值为 true 的资源上应用 ms_defender_container_exclude_agents 标记。 对于无代理部署，请在值为 true 的资源上应用 ms_defender_container_exclude_agentless 标记。

启用计划

重要

如果尚未连接 GCP 项目，请将 GCP 项目连接到 Microsoft Defender for Cloud。

若要帮助保护 GKE 群集，请使用以下步骤在相关的 GCP 项目上启用 Defender for Containers 计划。

注意

验证是否没有任何阻止 Azure Arc 安装的 Azure 策略。

1. 登录到 Azure 门户。

2. 转至“Microsoft Defender for Cloud”>“环境设置”。

3. 选择相关的 GCP 连接器。

   

4. 选择“下一步: 选择计划 >”。

5. 确保“Containers”计划的切换开关处于“开”。

   

6. 若要更改计划的可选配置，请选择“设置”。

   

   • Defender for Cloud 的 Kubernetes 审核日志：默认启用。 此配置仅在 GCP 项目级别提供。 这会通过GCP 云日志记录将审核日志数据以无代理方式收集到 Microsoft Defender for Cloud 后端，供进一步分析。 Defender for Containers 需要控制平面审核日志来提供运行时威胁防护。 若要将 Kubernetes 审核日志发送到 Microsoft Defender，请将开关设置为“开”。

     注意

     如果禁用此配置，同时也会禁用“威胁检测（控制平面）”功能。 详细了解功能可用性。

   • 自动为 Azure Arc 预配 Defender 的传感器，自动为 Azure Arc 预配 Azure Policy 扩展：默认启用。 可以通过 3 种方式在 GKE 群集上安装已启用 Azure Arc 的 Kubernetes 及其扩展：

     • 在项目级别启用 Defender for Containers 自动预配，如此部分中的说明所述。 我们建议使用此方法。
     • 为每个群集安装使用 Defender for Cloud 建议。 它们显示在 Microsoft Defender for Cloud“建议”页面。 了解如何将解决方案部署到特定群集。
     • 手动安装“已启用 Azure Arc 的 Kubernetes”和“扩展”。

   • Kubernetes 的无代理发现功能提供对 Kubernetes 群集基于 API 的发现。 若要启用该功能，请将其切换开关设置为“开”。

   • 无代理容器漏洞评估功能为存储在 Google 注册表（Google Artifact Registry 和 Google Container Registry）中的映像提供漏洞管理，并在 GKE 群集上运行映像。 若要启用该功能，请将其切换开关设置为“开”。

7. 选择“复制”按钮。

   

8. 选择“GCP Cloud Shell >”按钮。

9. 将脚本粘贴到 Cloud Shell 终端并运行它。

运行脚本后，连接器会更新。 此过程最多可能需要 8 小时来完成。

将解决方案部署到特定群集

如果在 GCP 连接器加入过程期间或之后将任何默认的自动预配配置设为“关”，则需要在每个 GKE 群集中手动安装已启用 Azure Arc 的 Kubernetes、Defender 传感器和适用于 Kubernetes 的 Azure Policy。 安装它们有助于确保从 Defender for Containers 获取完整的安全值。

可以使用两条有针对性的 Defender for Cloud 建议来安装这些扩展（以及 Azure Arc，如有必要）：

• GKE 群集应已安装 Microsoft Defender 的 Azure Arc 扩展
• GKE 群集应已安装 Azure Policy 扩展

注意

安装 Arc 扩展时，必须验证所提供的 GCP 项目是否与相关连接器中的项目相同。

将解决方案部署到特定群集：

1. 登录到 Azure 门户。

2. 转到“Microsoft Defender for Cloud”>“建议”。

3. 在 Defender for Cloud 的“建议”页中，按名称搜索其中一条建议。

   

4. 选择不正常的 GKE 群集。

   重要

   必须逐一选择群集。

   请勿按超链接名称选择群集。 选择相关行中的其他任何位置。

5. 选择不正常资源的名称。

6. 选择“修复”。

   

7. Defender for Cloud 将使用所选语言生成脚本：

   • 对于 Linux，请选择“Bash”。
   • 对于 Windows，请选择“PowerShell”。

8. 选择“下载修正逻辑”。

9. 在群集上运行生成的脚本。

10. 针对其他建议重复步骤 3 到 8。

查看 GKE 群集警报

1. 登录到 Azure 门户。

2. 转到“Microsoft Defender for Cloud”>“安全警报”。

3. 选择 按钮。

4. 在“筛选器”下拉菜单中，选择“资源类型”。

5. 在“值”下拉菜单中，选择“GCP GKE 群集”。

6. 选择“确定”。

部署 Defender 传感器

若要在 GCP 群集上部署 Defender 传感器，请执行以下操作：

1. 转到“Microsoft Defender for Cloud”>“环境设置”>“添加环境”>“Google Cloud Platform”。

   

2. 填写帐户详细信息。

   

3. 转到“选择计划”，打开“Containers”计划，确保将“为 Azure Arc 自动预配 Defender 的传感器”设置为“开”。

   

4. 转到“配置访问权限”并按照其中的步骤操作。

   

5. gcloud 脚本成功运行后，选择“创建”。

注意

可以从自动预配中排除特定的 GCP 群集。 对于传感器部署，请在值为 true 的资源上应用 ms_defender_container_exclude_agents 标签。 对于无代理部署，请在值为 true 的资源上应用 ms_defender_container_exclude_agentless 标签。

模拟来自适用于容器的 Microsoft Defender 的安全警报

Microsoft Defender for Cloud 所有安全警报参考表中提供了受支持警报的完整列表。

若要模拟安全警报：

1. 从群集运行以下命令：

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   预期的响应为 No resource found。

   在 30 分钟内，Defender for Cloud 会检测到此活动并触发安全警报。

   注意

   若要模拟 Defender for Containers 的无代理警报，Azure Arc 不是必备项。

2. 在 Azure 门户中，转到“Microsoft Defender for Cloud”>“安全警报”，并查看针对相关资源的警报。

   

移除 Defender 传感器

若要移除这个（或任何）Defender for Cloud 扩展，关闭自动预配是不够的：

• 启用自动预配可能会影响现有和将来的计算机。
• 禁用扩展的自动预配仅影响将来的计算机。 禁用自动预配时，不会卸载任何内容。

注意

若要完全禁用 Defender for Containers 计划，请转到“环境设置”并禁用“Microsoft Defender for Containers”。

不过，为了确保 Defender for Containers 组件从现在起不会自动预配到资源，请禁用扩展的自动预配。

可以使用 Azure 门户、Azure CLI 或 REST API 从当前运行的计算机中移除扩展，如以下选项卡上所述。

Azure 门户 - Arc

使用 Azure 门户移除扩展

1. 在 Azure 门户中打开 Azure Arc。

2. 在基础结构列表中选择“Kubernetes 群集”，然后选择特定的群集。

3. 打开“扩展”页，其中列出了群集上的扩展。

4. 选择扩展，然后选择“卸载”。

   

Azure CLI

使用 Azure CLI 移除 Defender 传感器

1. 使用以下命令移除 Microsoft Defender for Kubernetes 的 Azure Arc 扩展：

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   删除扩展可能需要几分钟时间。 建议先等待一段时间，然后再尝试验证它是否成功。

2. 若要验证是否已成功移除扩展，请运行以下命令：

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. 验证群集上的 mdc 命名空间下是否没有任何 Pod。 使用指向群集的 kubeconfig 文件运行以下命令：

   kubectl get pods -n mdc
   

   删除 Pod 可能需要几分钟时间。

REST API

使用 REST API 移除 Defender 传感器

要使用 REST API 移除扩展，请运行以下 DELETE 命令：

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

该命令包含以下参数：

名称	在	必需	类型​​	描述
Subscription ID	路径	正确	字符串	已启用 Azure Arc 的 Kubernetes 群集的订阅 ID
Resource Group	路径	正确	字符串	已启用 Azure Arc 的 Kubernetes 群集的资源组
Cluster Name	路径	正确	字符串	已启用 Azure Arc 的 Kubernetes 群集的名称

对于 Authentication，头中必须包含一个持有者令牌（与使用其他 Azure API 时一样）。 若要获取持有者令牌，请运行以下命令：

az account get-access-token --subscription <your-subscription-id>

可能需要几分钟时间才能完成该请求。

为 AKS 设置默认的 Log Analytics 工作区

Defender 传感器使用 Log Analytics 工作区作为数据管道将数据从群集发送到 Defender for Cloud。 工作区不会保留任何数据。 因此，此用例中不会对用户计费。

Defender 传感器使用默认 Log Analytics 工作区。 如果你没有默认的 Log Analytics 工作区，那么在安装 Defender 传感器时，Defender for Cloud 将创建新的资源组和默认工作区。 默认工作区基于你的区域。

默认 Log Analytics 工作区和资源组的命名约定为：

• 工作区：DefaultWorkspace-[subscription-ID]-[geo]
• 资源组：DefaultResourceGroup-[geo]

分配自定义工作区

启用自动预配时，会自动分配默认工作区。 可以通过 Azure Policy 分配自定义工作区。

检查是否分配了工作区：

1. 登录 Azure 门户。

2. 搜索并选择“策略”。

   

3. 选择“定义”。

4. 搜索策略 ID 64def556-fbad-4622-930e-72d1d5589bf5。

   

5. 选择“将 Azure Kubernetes 服务群集配置为启用 Defender 配置文件”。

6. 选择“分配” 。

   

7. 使用本文中的后续各节之一，如下所示：

   • 如果尚未将策略分配到相关范围，请按照使用自定义工作区创建新分配步骤进行操作。
   • 或者，如果策略已分配并且你希望将其更改为使用自定义工作区，请按照使用自定义工作区更新分配步骤进行操作。

使用自定义工作区创建新分配

如果尚未分配策略，“分配”选项卡将显示数字 0。

若要分配自定义工作区：

1. 选择分配。

2. 在“参数”选项卡中，清除“仅显示需要输入或审核的参数”选项。

3. 从下拉菜单中选择 LogAnalyticsWorkspaceResourceId 值。

   

4. 选择“查看 + 创建”。

5. 选择“创建”。

使用自定义工作区更新分配

如果将策略分配给工作区，则“分配”选项卡会显示数字 1。

注意

如果有多个订阅，这一数字可能会更高。

若要分配自定义工作区：

1. 选择相关分配。

   

2. 选择“编辑分配”。

3. 在“参数”选项卡中，清除“仅显示需要输入或审核的参数”选项。

4. 从下拉菜单中选择 LogAnalyticsWorkspaceResourceId 值。

   

5. 选择“查看 + 保存”。

6. 选择“保存”。

适用于 Azure Arc 的默认 Log Analytics 工作区

Defender 传感器使用 Log Analytics 工作区作为数据管道将数据从群集发送到 Defender for Cloud。 工作区不会保留任何数据。 因此，此用例中不会对用户计费。

Defender 传感器使用默认 Log Analytics 工作区。 如果你没有默认的 Log Analytics 工作区，那么在安装 Defender 传感器时，Defender for Cloud 将创建新的资源组和默认工作区。 默认工作区基于你的区域。

默认 Log Analytics 工作区和资源组的命名约定为：

• 工作区：DefaultWorkspace-[subscription-ID]-[geo]
• 资源组：DefaultResourceGroup-[geo]

分配自定义工作区

启用自动预配时，会自动分配默认工作区。 可以通过 Azure Policy 分配自定义工作区。

检查是否分配了工作区：

1. 登录 Azure 门户。

2. 搜索并选择“策略”。

   

3. 选择“定义”。

4. 搜索策略 ID 708b60a6-d253-4fe0-9114-4be4c00f012c。

   

5. 选择“配置已启用 Azure Arc 的 Kubernetes 群集以安装 Microsoft Defender for Cloud 扩展”。

6. 选择“分配” 。

   

7. 使用本文中的后续各节之一，如下所示：

   • 如果尚未将策略分配到相关范围，请按照使用自定义工作区创建新分配步骤进行操作。
   • 或者，如果策略已分配并且你希望将其更改为使用自定义工作区，请按照使用自定义工作区更新分配步骤进行操作。

使用自定义工作区创建新分配

如果尚未分配策略，“分配”选项卡将显示数字 0。

若要分配自定义工作区：

1. 选择分配。

2. 在“参数”选项卡中，清除“仅显示需要输入或审核的参数”选项。

3. 从下拉菜单中选择 LogAnalyticsWorkspaceResourceId 值。

   

4. 选择“查看 + 创建”。

5. 选择“创建”。

使用自定义工作区更新分配

如果将策略分配给工作区，则“分配”选项卡会显示数字 1。

注意

如果有多个订阅，这一数字可能会更高。 如果你得到数字 1 或更高，但分配不在相关范围内，请按照“使用自定义工作区创建新分配”的步骤进行操作。

若要分配自定义工作区：

1. 选择相关分配。

   

2. 选择“编辑分配”。

3. 在“参数”选项卡中，清除“仅显示需要输入或审核的参数”选项。

4. 从下拉菜单中选择 LogAnalyticsWorkspaceResourceId 值。

   

5. 选择“查看 + 保存”。

6. 选择“保存”。

移除 Defender 传感器

若要移除这个（或任何）Defender for Cloud 扩展，关闭自动预配是不够的：

• 启用自动预配可能会影响现有和将来的计算机。
• 禁用扩展的自动预配仅影响将来的计算机。 禁用自动预配时，不会卸载任何内容。

注意

若要完全禁用 Defender for Containers 计划，请转到“环境设置”并禁用“Microsoft Defender for Containers”。

不过，为了确保 Defender for Containers 组件从现在起不会自动预配到资源，请禁用扩展的自动预配。

可以使用 REST API、Azure CLI 或资源管理器模板从当前运行的计算机中移除扩展，如以下选项卡上所述。

REST API

使用 REST API 从 AKS 移除 Defender 传感器

要使用 REST API 移除扩展，请运行以下 PUT 命令：

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

该命令包含以下参数：

名称	说明	必需
SubscriptionId	群集订阅 ID	是
ResourceGroup	群集资源组	是
ClusterName	群集名称	是
ApiVersion	API 版本；必须是 2022-06-01 或更高	是

这是请求正文：

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

请求正文包含以下参数：

名称	说明	必需
location	群集位置	是
properties.securityProfile.defender.securityMonitoring.enabled	确定是否在群集上启用或禁用适用于容器的 Microsoft Defender	是

Azure CLI

使用 Azure CLI 移除 Defender 传感器

1. 运行以下命令：

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   删除扩展可能需要几分钟时间。

2. 要验证是否已成功移除扩展，请运行以下命令：

   kubectl get pods -n kube-system | grep microsoft-defender
   

   移除扩展后，get pods 命令不会返回任何 Pod。 删除 Pod 可能需要几分钟时间。

资源管理器

使用 Azure 资源管理器从 AKS 移除 Defender 传感器

若要使用 Azure 资源管理器移除 Defender 传感器，你的订阅中需有一个 Log Analytics 工作区。 在 Log Analytics 工作区中了解详细信息。

提示

如果你不熟悉资源管理器模板，请先参阅以下文章：什么是 Azure 资源管理器模板？。

用于从 AKS 中移除 Defender 传感器的相关模板和参数为：

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

相关内容

启用 Defender for Containers 后，可以：

• 扫描 Azure 容器注册表映像是否存在漏洞
• 使用 Microsoft Defender 漏洞管理扫描 AWS 映像中是否存在漏洞
• 使用 Microsoft Defender 漏洞管理扫描 GCP 映像中是否存在漏洞
• 查看有关 Defender for Containers 的常见问题。

若要了解有关 Defender for Cloud 和 Defender for Containers 的详细信息，请查看以下博客：

• Protect your Google Cloud workloads with Microsoft Defender for Cloud（使用Microsoft Defender for Cloud 保护 Google Cloud 工作负载）
• Introducing Microsoft Defender for Containers（Microsoft Defender for Containers 简介）
• 多云安全性的新名称：Microsoft Defender for Cloud