設定適用於容器的 Microsoft Defender 元件

  • 發行項

適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。

適用於容器的 Defender 可保護您的叢集,無論叢集是在下列哪些服務上執行:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。

  • 連結的 Amazon Web Services (AWS) 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 在 AWS 上執行 Kubernetes 的受管理的服務,不須安裝、操作和維護您自己的 Kubernetes 控制平面或節點。

  • 連線的 Google Cloud Platform (GCP) 專案中的 Google Kubernetes Engine (GKE) - Google 的受控環境,用於使用 GCP 基礎結構部署、管理和調整應用程式。

  • 其他 Kubernetes 發行版 (使用已啟用 Azure Arc 的 Kubernetes) - 裝載於內部部署或 IaaS 上的雲端原生計算基金會 (CNCF) 認證 Kubernetes 叢集。 如需詳細資訊,請參閱依環境支援的功能的 On-prem/IaaS (Arc) 一節

在適用於容器的 Microsoft Defender 概觀中瞭解此方案。

您可以先瞭解如何在下列文章中連線及保護容器:

您也可以從欄位影片系列中的 適用於雲端的 Defender 觀看這些影片,以深入瞭解:

注意

適用於容器的Defender支援已啟用Arc的 Kubernetes 叢集是預覽功能。 預覽功能可在自助選擇的基礎上使用。

預覽會提供「依目前」和「可用」,並排除在服務等級協定和有限保固之外。

若要深入了解支援的操作系統、功能可用性、輸出 Proxy 等等,請參閱適用於容器的 Defender功能可用性

網路需求

驗證下列端點已設定為輸出存取,讓 Defender 感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

請參閱適用於容器的 Microsoft Defender 所需的 FQDN/應用程式規則。

根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

網路需求

警告

本文參考 CentOS,亦即接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導

驗證下列端點已設定為輸出存取,讓 Defender 感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

針對公用雲端部署:

Azure 網域 Azure Government 網域 由 21Vianet 網域營運的 Microsoft Azure 連接埠
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

只有在您使用相關的OS時,才需要下列網域。 例如,如果您有在 AWS 中執行的 EKS 叢集,則只需要套用 Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" 網域。

網域 連接埠 主機作業系統
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
yum 預設存放庫 - RHEL / Centos
apt 預設存放庫 - Debian

您也需要驗證 已啟用 Azure Arc 的 Kubernetes 網路需求

啟用方案

若要啟用方案:

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 頁面,然後選取相關的訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender],然後選取 [設定]。

    Defender 方案頁面的螢幕快照。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 和/或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項會是 適用於容器的 Defender。

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案,其中顯示「已淘汰」和升級資訊。

  3. 開啟相關的元件以啟用它。

    開啟元件的螢幕快照。

    注意

    • 對於 2023 年 8 月之前加入的適用於容器的 Defender 客戶,如果在啟用方案時沒有作為 Defender CSPM 的一部分啟用 Kubernetes 的無代理程式探索,則必須在適用於容器的 Defender 方案中手動啟用 Kubernetes 的無代理程式探索延伸模組。
    • 當您關閉適用於容器的 Defender 時,元件會設定為關閉,且不會部署到任何其他容器,但它們不會從已安裝的容器中移除。

每個功能的啟用方法

根據預設,透過 Azure 入口網站 啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能,並安裝所有必要的元件以提供方案所提供的保護,包括指派預設工作區。

如果您不想啟用方案的所有功能,您可以選取 [容器] 方案的 [編輯組態] 來手動選取要啟用的特定功能。 然後,在 [設定 和監視] 頁面中,選取您想要啟用的功能。 此外,您可以在初始設定方案之後,從 Defender 方案頁面 修改此設定。

如需每個功能之啟用方法的詳細資訊,請參閱 支援矩陣

角色和權限

深入了解 用來布建適用於容器的Defender擴充功能的角色。

指派 Defender 感測器的自定義工作區

您可以透過 Azure 原則 指派自定義工作區

手動部署Defender感測器或 Azure 原則代理程式,而不需使用建議自動布建

您也可以使用適當的建議,在一或多個 Kubernetes 叢集上部署需要感測器安裝的功能:

Sensor 建議
適用於 Kubernetes 的 Defender 感測器 Azure Kubernetes Service 叢集應已啟用 Defender 設定檔
已啟用 Arc 的 Defender 感測器 Kubernetes 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 擴充功能
適用於 Kubernetes 的 Azure 原則代理程式 Azure Kubernetes Service 叢集應該已安裝 kubernetes 的 Azure 原則 附加元件
已啟用 Arc 的 Kubernetes 的 Azure 原則代理程式 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

執行下列步驟,以在特定叢集上執行Defender感測器的部署:

  1. 從 適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用增強式安全性控制],或直接搜尋上述其中一個建議(或使用上述連結直接開啟建議)

  2. 透過狀況不良索引標籤視沒有感測器的所有叢集。

  3. 選取要部署所需感測器的叢集,然後選取 [ 修正]。

  4. 選取 [修正 X 資源]

部署 Defender 感測器 - 所有選項

您可以啟用適用於容器的 Defender 方案,並從 Azure 入口網站、REST API 或使用 Resource Manager 範本來部署所有相關的元件。 如需詳細的步驟,請選取相關的索引標籤。

部署Defender感測器之後,系統會自動指派預設工作區。 您可以透過 Azure 原則 指派自定義工作區來取代預設工作區

注意

Defender 感測器會部署到每個節點,以提供運行時間保護,並使用 eBPF 技術從這些節點收集訊號。

使用適用於雲端的 Defender 建議中的修正按鈕

透過簡化且無摩擦的流程,您可以使用 Azure 入口網頁來啟用適用於雲端的 Defender 方案,並設定自動佈建所有必要的元件,以大規模保護您的 Kubernetes 叢集。

適用於雲端的專用 Defender 建議可提供:

  • 哪些叢集已部署Defender感測器的可見度
  • 修正 按鈕以將它部署到沒有感測器的叢集

  1. 從 適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用增強的安全性安全性控制]。

  2. 使用篩選條件來尋找名為 Azure Kubernetes Service clusters should have Defender profile enabled 的建議。

    提示

    請注意動作數據列中的修正圖示

  3. 選取叢集以查看狀況良好且狀況不良資源的詳細數據 - 具有和沒有感測器的叢集。

  4. 從狀況不良的資源清單中,選取一個叢集,然後選取 [補救],以開啟包含補救確認的窗格。

  5. 選取 [修正 X 資源]

啟用方案

若要啟用方案:

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 頁面,然後選取相關的訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender],然後選取 [設定]。 Defender 方案頁面的螢幕快照。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 或已啟用適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項會是 適用於容器的 Defender。

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案,其中顯示「已淘汰」和升級資訊。

  3. 開啟相關的元件以啟用它。

    開啟元件的螢幕快照。

    注意

    當您關閉適用於容器的 Defender 時,元件會設定為關閉,且不會部署到任何其他容器,但它們不會從已安裝的容器中移除。

根據預設,透過 Azure 入口網站 啟用方案時,適用於容器的 Microsoft Defender 會設定為自動安裝必要的元件,以提供方案所提供的保護,包括指派預設工作區。

如果您想要在上線程式期間停用元件的自動安裝,請選取 [容器] 方案的 [編輯組]。 [進階] 選項隨即出現,您可以停用每個元件的自動安裝。

此外,您可以從 [Defender 方案] 頁面修改此設定。

注意

如果您選擇 在透過入口網站啟用方案之後隨時停用方案 ,如上所示,您必須手動移除叢集上部署的適用於容器的 Defender 元件。

您可以透過 Azure 原則 指派自定義工作區

如果您停用任何元件的自動安裝,您可以使用適當的建議,輕鬆地將元件部署到一或多個叢集:

深入了解 用來布建適用於容器的Defender擴充功能的角色。

必要條件

部署感測器之前,請確定您:

部署Defender感測器

您可以使用各種方法來部署Defender感測器。 如需詳細的步驟,請選取相關的索引標籤。

使用適用於雲端的 Defender 建議中的修正按鈕

適用於雲端的專用 Defender 建議可提供:

  • 哪些叢集已部署Defender感測器的可見度
  • 修正 按鈕以將它部署到沒有感測器的叢集

  1. 從 適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用增強的安全性安全性控制]。

  2. 使用篩選來尋找已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 適用於雲端的 Defender 擴充功能的建議。

    適用於雲端的 Microsoft Defender 針對已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感測器的建議。

    提示

    請注意動作數據列中的修正圖示

  3. 選取感測器以查看狀況良好且狀況不良資源的詳細數據 - 具有和沒有感測器的叢集。

  4. 從狀況不良的資源清單中,選取叢集,然後選取 [補救 ] 以使用補救選項開啟窗格。

  5. 選取相關的Log Analytics工作區,然後選取 [ 補救 x 資源]。

    使用 適用於雲端的 Defender 的 [修正] 選項部署適用於 Azure Arc 的 Defender 感測器。

檢查部署

若要確認叢集已安裝Defender感測器,請遵循下列其中一個索引標籤中的步驟:

使用 適用於雲端的 Defender 建議來驗證感測器的狀態

  1. 從 適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用 適用於雲端的 Microsoft Defender 安全性控制]。

  2. 選取名為已啟用 Azure Arc 的 Kubernetes 叢集的建議,應該已安裝 適用於雲端的 Microsoft Defender 的擴充功能。

    適用於雲端的 Microsoft Defender 針對已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感測器的建議。

  3. 檢查您部署感測器所在的叢集是否列為 狀況良好

啟用方案

重要

若要保護您的 EKS 叢集,請在相關的帳戶連接器上啟用容器計劃:

  1. 從適用於雲端的 Defender 功能表中,開啟 [環境設定]

  2. 選取 AWS 連接器。

    顯示 AWS 連接器 適用於雲端的 Defender 環境設定頁面的螢幕快照。

  3. 確認 [容器] 方案的切換已設定為 [開啟]。

    為 AWS 連接器啟用適用於容器的 Defender 螢幕快照。

  4. 若要變更方案的選擇性設定,請選取 [設定]。

    適用於雲端的 Defender 環境設定頁面的螢幕快照,其中顯示容器方案的設定。

    • 適用於容器的Defender需要控制平面稽核記錄,以提供 運行時間威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。 若要變更稽核記錄的保留期間,請輸入所需的時間範圍。

      注意

      如果您停用此設定, Threat detection (control plane) 則會停用此功能。 深入瞭解 功能可用性

    • Kubernetes 的無代理程式探索提供 Kubernetes 叢集的 API 型探索。 若要啟用 Kubernetes 功能的無代理程式探索,請將設定切換為 [開啟]。

    • 無代理程式容器弱點評估會針對儲存在 ECR 中的映像,並在 EKS 叢集上執行映像提供 弱點管理。 若要啟用 無代理程式容器弱點評估 功能,請將設定切換為 [開啟]。

  5. 繼續執行連接器精靈的其餘頁面。

  6. 如果您要啟用 Kubernetes 的無代理程式探索功能,您必須授與叢集的控制平面許可權。 您可以利用下列其中一種方式來執行此作業:

    • 執行 此 Python 腳本 來授與許可權。 腳本會將 適用於雲端的 Defender 角色 MDCContainersAgentlessDiscoveryK8sRole 新增至您想要上線之 EKS 叢集的 aws-auth ConfigMap

    • 授與每個 Amazon EKS 叢集 MDCContainersAgentlessDiscoveryK8sRole 角色,並能夠與叢集互動。 使用 eksctl 登入所有現有和新建立的叢集,並執行下列腳本:

          eksctl create iamidentitymapping \ 
    --cluster my-cluster \ 
    --region region-code \ 
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
    --group system:masters\ 
    --no-duplicate-arns

      如需詳細資訊,請參閱 啟用對叢集的 IAM 主體存取。

  7. 已啟用 Azure Arc 的 Kubernetes、Defender 感測器和適用於 Kubernetes 的 Azure 原則 應該安裝在 EKS 叢集上並執行。 有一個專用的 適用於雲端的 Defender 建議來安裝這些延伸模組(如有必要,請使用 Azure Arc):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    針對每個建議,請遵循下列步驟來安裝必要的擴充功能。

    若要安裝必要的擴充功能

    1. 從 適用於雲端的 Defender 的 [建議] 頁面中,依名稱搜尋其中一個建議。

    2. 選取狀況不良的叢集。

      重要

      您必須一次選取一個叢集。

      請勿依其超連結名稱選取叢集:選取相關數據列中的任何其他位置。

    3. 選取 [ 修正]。

    4. 適用於雲端的 Defender 以您選擇的語言產生腳本:選取Bash(適用於Linux)或PowerShell(適用於 Windows)。

    5. 選取 [ 下載補救邏輯]。

    6. 在您的叢集上執行產生的腳本。

    7. 針對第二個建議重複步驟 「a」 到 「f」。。

    影片說明如何使用 適用於雲端的 Defender 建議為您的 EKS 叢集產生腳本,以啟用 Azure Arc 擴充功能。

檢視 EKS 叢集的建議和警示

提示

您可以遵循此部落格文章中的指示來模擬容器警示。

若要檢視 EKS 叢集的警示和建議,請使用警示、建議和清查頁面上的篩選,依資源類型 AWS EKS 叢集進行篩選。

如何在 適用於雲端的 Microsoft Defender 的安全性警示頁面上使用篩選的螢幕快照,以檢視與 AWS EKS 叢集相關的警示。

部署Defender感測器

若要在 AWS 叢集上部署 Defender 感測器,請遵循下列步驟:

  1. 移至 適用於雲端的 Microsoft Defender -Environment settings ->Add environment ->Amazon Web Services。>

    如何在 適用於雲端的 Microsoft Defender 中新增 AWS 環境的螢幕快照。

  2. 填寫帳戶詳細數據。

    在 適用於雲端的 Microsoft Defender 中填入 AWS 環境的帳戶詳細數據的表單螢幕快照。

  3. 移至 [ 選取方案],開啟 [容器] 方案,並確定 [自動布建適用於 Azure Arc 的 Defender 感測器] 設定為 [開啟]。

    如何在 適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感測器螢幕快照。

  4. 移至 [ 設定存取 權],然後遵循該處的步驟。

    如何在 適用於雲端的 Microsoft Defender 中設定 AWS 環境的存取權螢幕快照。

  5. 成功部署雲端形成範本之後,請選取 [ 建立]。

注意

您可以將特定 AWS 叢集從自動布建中排除。 針對感測器部署,請使用 ms_defender_container_exclude_agentstrue在資源上套用標記。 針對無代理程式部署,請使用 ms_defender_container_exclude_agentlesstrue在資源上套用標記。

啟用方案

重要

如果您尚未連線 GCP 專案,請將 GCP 專案連線到 適用於雲端的 Microsoft Defender

若要保護您的 GKE 叢集,您必須在相關的 GCP 專案上啟用容器計畫。

注意

確認您沒有任何 Azure 原則會防止 Arc 安裝。

若要保護Google Kubernetes Engine (GKE) 叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]

  3. 選取相關的 GCP 連接器

    顯示範例 GCP 連接器的螢幕快照。

  4. 選取 [ 下一步:選取計劃] > 按鈕。

  5. 確定 [容器] 方案已切換為 [開啟]。

    顯示容器計劃的螢幕快照已切換為開啟。

  6. 若要變更方案的選擇性設定,請選取 [設定]。

    適用於雲端的 Defender 環境設定頁面的螢幕快照,其中顯示容器方案的設定。

    • Kubernetes 稽核記錄至 適用於雲端的 Defender:預設為啟用。 此設定僅適用於 GCP 專案層級。 它會透過 GCP 雲端記錄提供稽核記錄資料的無代理程式收集到 適用於雲端的 Microsoft Defender 後端,以進行進一步分析。 適用於容器的Defender需要控制平面稽核記錄,以提供 運行時間威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。

      注意

      如果您停用此設定, Threat detection (control plane) 則會停用此功能。 深入瞭解 功能可用性

    • 自動布建適用於 Azure Arc 的 Defender 感測器,以及 Azure Arc 的自動布建 Azure 原則 延伸模組:預設為啟用。 您可以透過三種方式,在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其擴充功能:

    • Kubernetes 的無代理程式探索提供 Kubernetes 叢集的 API 型探索。 若要啟用 Kubernetes 功能的無代理程式探索,請將設定切換為 [開啟]。

    • 無代理程式容器弱點評估會針對儲存在Google登錄 (GAR和 GCR) 中的影像提供 弱點管理,並在 GKE 叢集上執行映像。 若要啟用 無代理程式容器弱點評估 功能,請將設定切換為 [開啟]。

  7. 選取 [ 複製] 按鈕。

    顯示複製按鈕位置的螢幕快照。

  8. 選取 [GCP Cloud Shell>] 按鈕。

  9. 將腳本貼到 Cloud Shell 終端機中,然後執行。

連接器會在腳本執行之後更新。 此程式最多可能需要 6-8 小時才能完成。

將解決方案部署至特定叢集

如果您已將任何預設自動布建組態停用為 [關閉],請在 GCP 連接器上線程式期間,或之後停用。 您必須將已啟用 Azure Arc 的 Kubernetes、Defender 感測器和適用於 Kubernetes 的 Azure 原則 手動安裝到每個 GKE 叢集,以取得適用於容器的 Defender 的完整安全性值。

有 2 個專用 適用於雲端的 Defender 建議可用來安裝擴充功能(如有必要則為 Arc):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

注意

安裝 Arc 延伸模組時,您必須確認提供的 GCP 專案與相關連接器中的專案相同。

若要將解決方案部署到特定叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 從 適用於雲端的 Defender 的 [建議] 頁面中,依名稱搜尋其中一個建議。

    顯示如何搜尋建議的螢幕快照。

  4. 選取狀況不良的 GKE 叢集。

    重要

    您必須一次選取一個叢集。

    請勿依其超連結名稱選取叢集:選取相關數據列中的任何其他位置。

  5. 選取狀況不良資源的名稱。

  6. 選取 [ 修正]。

    顯示修正按鈕位置的螢幕快照。

  7. 適用於雲端的 Defender 會以您選擇的語言產生文稿:

    • 針對 Linux,選取 [Bash]。
    • 針對 [Windows],選取 [PowerShell]。

  8. 選取 [ 下載補救邏輯]。

  9. 在您的叢集上執行產生的腳本。

  10. 針對第二個建議重複步驟 3 到 8

檢視 GKE 叢集警示

  1. 登入 Azure 入口網站

  2. 流覽至 [適用於雲端的 Microsoft Defender> 安全性警示]。

  3. 選取 按鈕。

  4. 在 [篩選] 下拉功能表中,選取 [資源類型]。

  5. 在 [值] 下拉功能表中,選取 [GCP GKE 叢集]。

  6. 選取 [確定]

部署Defender感測器

若要在 GCP 叢集上部署 Defender 感測器,請遵循下列步驟:

  1. 移至 適用於雲端的 Microsoft Defender -Environment settings ->Add environment ->Google Cloud Platform。>

    如何在 適用於雲端的 Microsoft Defender 中新增 GCP 環境的螢幕快照。

  2. 填寫帳戶詳細數據。

    在 適用於雲端的 Microsoft Defender 中填入 GCP 環境的帳戶詳細數據的表單螢幕快照。

  3. 移至 [ 選取方案],開啟 [容器] 方案,並確定 [自動布建適用於 Azure Arc 的 Defender 感測器] 設定為 [開啟]。

    如何在 適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感測器螢幕快照。

  4. 移至 [ 設定存取 權],然後遵循該處的步驟。

    如何在 適用於雲端的 Microsoft Defender 中設定 GCP 環境的存取權螢幕快照。

  5. 成功執行 gcloud 腳本之後,選取 [ 建立]。

注意

您可以從自動布建中排除特定的 GCP 叢集。 針對感測器部署,請使用 ms_defender_container_exclude_agentstrue在資源上套用標籤。 針對無代理程式部署,請使用 ms_defender_container_exclude_agentlesstrue在資源上套用標籤。

模擬適用於容器的 Microsoft Defender 中的安全性警示

所有 適用於雲端的 Defender 安全性警示的參考數據表都提供支援警示的完整清單。

  1. 若要模擬安全性警示,請從叢集執行下列命令:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    預期的回應為 No resource found

    在 30 分鐘內,適用於雲端的 Defender 會偵測到此活動並觸發安全性警示。

    注意

    若要模擬適用於容器的 Defender 的無代理程式警示,Azure Arc 並非先決條件。

  2. 在 Azure 入口網站中,開啟適用於雲端的 Microsoft Defender 安全性警示頁面,並尋找相關資源的警示:

    適用於 Kubernetes 的 Microsoft Defender 範例警示。

拿掉Defender感測器

若要移除此 - 或任何 - 適用於雲端的 Defender 延伸模組,僅關閉自動佈建是不夠的:

  • 啟用 自動布建,可能會影響 現有未來的 計算機。
  • 停用 延伸模組的自動布建只會影響 未來的 計算機 - 停用自動布建不會卸載任何專案。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定] 並停用適用於容器Microsoft Defender 方案。

不過,若要確保適用於容器的 Defender 元件從現在起不會自動布建到您的資源,請停用延伸模組的自動布建,如從 適用於雲端的 Microsoft Defender 設定代理程式和擴充功能的自動布建中所述

您可以使用 Azure 入口網站、Azure CLI 或 REST API 來移除擴充功能,如下列索引標籤所述。

使用 Azure 入口網站 移除擴充功能

  1. 從 Azure 入口網站 開啟 Azure Arc。

  2. 從基礎結構清單中,選取 [Kubernetes 叢集 ],然後選取特定的叢集。

  3. 開啟延伸模組頁面。 叢集上的延伸模組會列出。

  4. 選取叢集,然後選取 [ 卸載]。

    從已啟用Arc的 Kubernetes 叢集移除延伸模組。

AKS 的預設 Log Analytics 工作區

Defender 感測器會使用Log Analytics工作區作為資料管線,將數據從叢集傳送至 適用於雲端的 Defender,而不需要保留Log Analytics工作區本身的任何數據。 因此,在此使用案例中不會向使用者計費。

Defender 感測器會使用預設的Log Analytics工作區。 如果您還沒有預設的Log Analytics工作區,適用於雲端的 Defender會在安裝Defender感測器時建立新的資源群組和預設工作區。 默認工作區會根據您的 區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例為:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區:

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    顯示如何尋找原則頁面的螢幕快照。

  3. 選取 [定義]

  4. 搜尋原則識別碼 64def556-fbad-4622-930e-72d1d5589bf5

    顯示依標識子搜尋原則的位置螢幕快照。

  5. 選取 [ 設定 Azure Kubernetes Service 叢集] 以啟用 Defender 配置檔

  6. 選取 [ 指派]。

    顯示 [指派] 索引標籤位置的螢幕快照。

  7. 如果尚未將原則指派給相關範圍,請遵循使用自定義工作區步驟建立新的指派。 或者,如果已指派原則,而且您想要將它變更為使用自定義工作區,請遵循 使用自定義工作區 的更新指派步驟。

使用自訂工作區建立新的指派

如果尚未指派原則,您會看到 Assignments (0)

顯示未指派工作區的螢幕快照。

若要指派自訂工作區:

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [僅顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示下拉功能表所在位置的螢幕快照。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

使用自訂工作區更新指派

如果原則已指派給工作區,您會看到Assignments (1)

顯示 [指派] (1) 的螢幕快照,表示已指派工作區。

注意

如果您有一個以上的訂用帳戶,則數字可能會更高。

若要指派自訂工作區:

  1. 選取相關的指派。

    顯示從何處選取相關指派的螢幕快照。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [僅顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示下拉功能表所在位置的螢幕快照。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

Arc 的預設 Log Analytics 工作區

Defender 感測器會使用Log Analytics工作區作為資料管線,將數據從叢集傳送至 適用於雲端的 Defender,而不需要保留Log Analytics工作區本身的任何數據。 因此,在此使用案例中不會向使用者計費。

Defender 感測器會使用預設的Log Analytics工作區。 如果您還沒有預設的Log Analytics工作區,適用於雲端的 Defender會在安裝Defender感測器時建立新的資源群組和預設工作區。 默認工作區會根據您的 區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例為:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區:

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [ 原則]。

    顯示如何尋找Arc原則頁面的螢幕快照。

  3. 選取 [定義]

  4. 搜尋原則識別碼 708b60a6-d253-4fe0-9114-4be4c00f012c

    顯示依Arc標識符搜尋原則的位置螢幕快照。

  5. 選取 [設定已啟用 Azure Arc 的 Kubernetes 叢集] 以安裝 適用於雲端的 Microsoft Defender 擴充功能。

  6. 選取 [指派]

    顯示 Arc 指派索引標籤所在位置的螢幕快照。

  7. 如果尚未將原則指派給相關範圍,請遵循使用自定義工作區步驟建立新的指派。 或者,如果已指派原則,而且您想要將它變更為使用自定義工作區,請遵循 使用自定義工作區 的更新指派步驟。

使用自訂工作區建立新的指派

如果尚未指派原則,您會看到 Assignments (0)

顯示 Arc 未指派工作區的螢幕快照。

若要指派自訂工作區:

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [僅顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示 Arc 下拉功能表所在位置的螢幕快照。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

使用自訂工作區更新指派

如果原則已指派給工作區,您會看到Assignments (1)

注意

如果您有一個以上的訂用帳戶,則數字可能會更高。 如果您有數位 1 或更高,指派可能仍然不在相關範圍中。 如果是這種情況,您會想要遵循 使用自定義工作區 步驟建立新的指派。

顯示工作分派 (1) 的螢幕快照,表示已為 Arc 指派工作區。

若要指派自訂工作區:

  1. 選取相關的指派。

    顯示從何處選取Arc相關指派的螢幕快照。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [僅顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示 Arc 下拉功能表所在位置的螢幕快照。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

拿掉Defender感測器

若要移除此 - 或任何 - 適用於雲端的 Defender 延伸模組,僅關閉自動佈建是不夠的:

  • 啟用 自動布建,可能會影響 現有未來的 計算機。
  • 停用 延伸模組的自動布建只會影響 未來的 計算機 - 停用自動布建不會卸載任何專案。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定] 並停用適用於容器Microsoft Defender 方案。

不過,若要確保適用於容器的 Defender 元件從現在起不會自動布建到您的資源,請停用延伸模組的自動布建,如從 適用於雲端的 Microsoft Defender 設定代理程式和擴充功能的自動布建中所述

您可以使用 REST API 或 Resource Manager 範本來移除延伸模組,如下列索引標籤中所述。

使用 REST API 從 AKS 移除 Defender 感測器

若要使用 REST API 移除擴充功能,請執行下列 PUT 命令:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
名稱 描述 必要
SubscriptionId 叢集的訂用帳戶標識碼 Yes
ResourceGroup 叢集的資源群組 Yes
ClusterName 叢集的名稱 Yes
ApiVersion API 版本,必須是 >= 2022-06-01 Yes

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文參數:

名稱 描述 必要
location 叢集的位置 Yes
properties.securityProfile.defender.securityMonitoring.enabled 決定是否要在叢集上啟用或停用適用於容器的 Microsoft Defender Yes

深入了解

您可以查看下列部落格:

下一步

現在您已啟用適用於容器的 Defender,您可以: