共用方式為

設定適用於容器的 Microsoft Defender 元件

  • 發行項

適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。

適用於容器的 Defender 可保護您的叢集,無論叢集是在下列哪些服務上執行:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。

  • 連結的 Amazon Web Services (AWS) 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 在 AWS 上執行 Kubernetes 的受管理的服務,不須安裝、操作和維護您自己的 Kubernetes 控制平面或節點。

  • 已連線 Google Cloud Platform (GCP) 專案的 Google Kubernetes Engine (GKE):Google 使用 GCP 基礎結構部署、管理和調整應用程式的受控環境。

  • 其他 Kubernetes 散發套件 (使用已啟用 Azure Arc 的 Kubernetes) - 雲端原生運算基礎 (CNCF) 所認證的 Kubernetes 叢集所裝載於內部部署或 IaaS 上。 如需詳細資訊,請參閱環境所支援功能內部部署/Iaas (Arc)章節。

適用於容器的 Microsoft Defender 概觀中了解此計畫。

您可以先在下列文章中了解如何連線及保護容器:

您也可以觀看現場影片系列中這些適用於雲端的 Defender 影片來深入了解:

注意

適用於容器的 Defender 對已啟用 Arc 的 Kubernetes 叢集的支援為預覽功能。 預覽功能可透過自助服務,以加入方式使用。

預覽版會以「現狀」和「可供使用時」提供,不受服務等級協定和有限瑕疵擔保所保護。

若要深入了解支援的作業系統、功能可用性、輸出 Proxy 等等,請參閱適用於容器的 Defender 功能可用性

網路需求

驗證已對輸出存取設定下列端點,讓 Defender 感應器可以連線到適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

請參閱適用於容器的 Microsoft Defender 所需的 FQDN/應用程式規則

根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

網路需求

驗證已對輸出存取設定下列端點,讓 Defender 感應器可以連線到適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

針對公用雲端部署:

Azure 網域 Azure Government 網域 由 21Vianet 營運的 Microsoft Azure 網域 連接埠
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

您也必須驗證已啟用 Azure Arc 的 Kubernetes 網路需求

啟用方案

若要啟用方案

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 分頁,然後選取相關訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender] ,然後選取 [設定]

    螢幕擷取畫面:[Defender 方案] 頁面。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 和/或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項將是 [適用於容器的 Defender]

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案顯示「已淘汰」和升級資訊。

  3. 開啟相關元件以加以啟用。

    螢幕擷取畫面:開啟元件。

    注意

    • 在 2023 年 8 月前加入,且在啟用方案時未於 Defender CSPM 中啟用「Kubernetes 的無代理程式探索」的適用於容器的 Defender 客戶,必須在適用於容器的 Defender 方案內手動啟用「Kubernetes 的無代理程式探索」延伸模組。
    • 當您關閉適用於容器的 Defender 時,元件會設定為 [關閉],而且不會部署到任何其他容器,但不會從已安裝的容器中移除這些容器。

每個功能的啟用方法

依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝所有必要元件,以提供方案所提供的保護,包括預設工作區的指派。

如果您不想啟用方案的所有功能,則可以透過選取 [容器] 方案的 [編輯組態] 來手動選取要啟用的特定功能。 然後,在 [設定與監視] 頁面中,選取您想要啟用的功能。 此外,您還可以在設定方案的初始組態後,從 Defender 方案頁面修改此組態。

如需每個功能的啟用方法詳細資訊,請參閱支援矩陣

角色和權限

深入了解用來佈建適用於容器的 Defender 延伸模組的角色

指派 Defender 感應器的自訂工作區

您可以透過 Azure 原則指派自訂工作區

使用建議手動部署 Defender 感應器或 Azure 原則代理程式,而不進行自動佈建

您也可以使用適當的建議,在一或多個 Kubernetes 叢集上部署需要安裝感應器的功能:

Sensor 建議
適用於 Kubernetes 的 Defender 感應器 Azure Kubernetes Service 叢集應已啟用 Defender 設定檔
適用於已啟用 Arc 的 Kubernetes 的 Defender 感應器 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 延伸模組
適用於 Kubernetes 的 Azure 原則代理程式 Azure Kubernetes Service 叢集應安裝適用於 Kubernetes 的 Azure 原則附加元件
適用於已啟用 Arc 的 Kubernetes 的 Azure 原則代理程式 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

請執行下列步驟,以在特定叢集上部署 Defender 感應器:

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強式安全性] 安全性控制,或直接搜尋上述其中一項建議 (或使用上述連結直接開啟建議)

  2. 透過 [狀況不良] 索引標籤檢視沒有感應器的所有叢集。

  3. 選取要部署所需感應器的叢集,然後選取 [修正]

  4. 選取 [修正 X 資源]

部署 Defender 感應器:所有選項

您可以啟用適用於容器的 Defender 方案,並從 Azure 入口網站、REST API 或使用 Resource Manager 範本部署所有相關元件。 如需詳細步驟,請選取相關的索引標籤。

Defender 感應器部署好之後,系統會自動指派預設工作區。 您可以透過 Azure 原則,指派自訂工作區來取代預設工作區。

注意

部署到每個節點的 Defender 感應器提供執行階段的保護,並使用 eBPF 技術 (英文) 從這些節點收集訊號。

使用適用於雲端的 Defender 建議修正按鈕

簡化、流暢的流程可讓您使用 Azure 入口網站頁面啟用適用於於端的 Defender 方案,並設定自動佈建所有必要元件以大規模防禦 Kubernetes 叢集。

專用適用於雲端的 Defender 建議提供下列項目:

  • 關於哪些叢集已部署 Defender 感應器的可見度
  • [修正] 按鈕,用來將其部署至這些沒有感應器的叢集

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強型安全性] 安全性控制。

  2. 使用篩選來尋找名為 Azure Kubernetes Service 叢集的建議,應該已啟用 Defender 設定檔

    提示

    請注意動作資料行中的 [修正] 圖示

  3. 選取叢集以查看狀況良好和狀況不良資源的詳細資料:具有和沒有感應器的叢集。

  4. 從狀況不良的資源清單中,選取叢集然後選取 [補救] 以開啟具有補救確認的窗格。

  5. 選取 [修正 X 資源]

啟用方案

若要啟用方案

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 分頁,然後選取相關訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender] ,然後選取 [設定] 螢幕擷取畫面:[Defender 方案] 頁面。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項將是 [適用於容器的 Defender]

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案顯示「已淘汰」和升級資訊。

  3. 開啟相關元件以加以啟用。

    螢幕擷取畫面:開啟元件。

    注意

    當您關閉適用於容器的 Defender 時,元件會設定為 [關閉],而且不會部署到任何其他容器,但不會從已安裝的容器中移除這些容器。

依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動安裝必要元件以提供方案所提供的保護,包括指派預設工作區。

如果您想要在上線程序期間停用自動安裝,請選取 [容器] 方案的 [編輯設定] 。 這會顯示 [進階] 選項,您可以在其中停用每個元件的自動安裝。

此外,您可以從 [Defender 方案] 分頁修改此設定。

注意

透過入口網站啟用方案 (如上所示) 之後,如果您選擇隨時「停用方案」,則您必須手動停用已部署在叢集上適用於容器的 Defender 元件。

您可以透過 Azure 原則指派自訂工作區

如果您停用任何元件的自動安裝,可以使用適當的建議,輕鬆地將元件部署至一或多個叢集:

深入了解用來佈建適用於容器的 Defender 延伸模組的角色

必要條件

部署感應器之前,請確定您已:

部署 Defender 感應器

您可以使用各種方法來部署 Defender 感應器。 如需詳細步驟,請選取相關的索引標籤。

使用適用於雲端的 Defender 建議修正按鈕

專用適用於雲端的 Defender 建議提供下列項目:

  • 關於哪些叢集已部署 Defender 感應器的可見度
  • [修正] 按鈕,用來將其部署至這些沒有感應器的叢集

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強型安全性] 安全性控制。

  2. 使用篩選來尋找名為已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Defender 延伸模組的建議。

    適用於雲端的 Microsoft Defender 建議,可用於為已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感應器。

    提示

    請注意動作資料行中的 [修正] 圖示

  3. 選取感應器以查看狀況良好和狀況不良資源的詳細資料:具有和沒有感應器的叢集。

  4. 從狀況不良的資源清單中,選取叢集然後選取 [補救] 以開啟具有補救選項的窗格。

  5. 選取相關的 Log Analytics 工作區,然後選取 [補救 x 資源]

    使用適用於雲端的 Defender 的 [修正] 選項來部署 Azure Arc 的 Defender 感應器。

檢查部署

若要確認叢集已安裝 Defender 感應器,請遵循下列其中一個索引標籤中的步驟:

使用適用於雲端的 Defender 建議來驗證感應器的狀態

  1. 從適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用適用於雲端的 Microsoft Defender] 安全性控制。

  2. 選取名為已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組的建議。

    適用於雲端的 Microsoft Defender 建議,可用於為已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感應器。

  3. 檢查已部署感應器的叢集是否列為狀況良好

啟用方案

重要

若要保護您的 EKS 叢集,請在相關的帳戶連接器上啟用容器方案:

  1. 從適用於雲端的 Defender 功能表中,開啟 [環境設定]

  2. 選取 AWS 連接器。

    螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示 AWS 連接器。

  3. 確認 [容器] 方案的切換開關已設定為 [開啟]

    螢幕擷取畫面:為 AWS 連接器啟用容器適用的 Defender。

  4. 若要變更方案的選擇性組態,請選取 [設定]

    螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。

    • 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。若要變更稽核記錄的保留期間,請輸入所需的時間範圍。

      注意

      如果您停用此設定,則將會停用 Threat detection (control plane) 功能。 深入了解功能可用性

    • Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]

    • 無代理程式容器弱點評量會針對儲存在 ECR 中的映像以及 EKS 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評估] 功能,請將設定切換為 [開啟]

  5. 繼續進行連接器精靈的剩餘頁面。

  6. 如果您要啟用 [Kubernetes 的無代理程式探索] 功能,則必須授與叢集上的控制平面權限。 您可以利用下列其中一種方式來執行此作業:

    • 請執行此 Python 指令碼來授與權限。 此指令碼會將適用於雲端的 Defender 角色 MDCContainersAgentlessDiscoveryK8sRole 新增至您想要上線之 EKS 叢集的 aws-auth ConfigMap

    • 向每個 Amazon EKS 叢集授與能與叢集互動的 MDCContainersAgentlessDiscoveryK8sRole 角色。 使用 eksctl 登入所有現有和新建的叢集,然後執行下列指令碼:

          eksctl create iamidentitymapping \ 
    --cluster my-cluster \ 
    --region region-code \ 
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
    --group system:masters\ 
    --no-duplicate-arns

      如需詳細資訊,請參閱為 IAM 主體啟用叢集存取權

  7. EKS 叢集上應該已安裝並且正在執行已啟用 Azure Arc 的 Kubernetes、Defender 感應器和適用於 Kubernetes 的 Azure 原則。 有適用於雲端的 Defender 專用建議,用於安裝延伸模組 (如有需要也可安裝 Azure Arc):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    針對每個建議,請遵循下列步驟來安裝必要的延伸模組。

    若要安裝必要的延伸模組

    1. 從適用於雲端的 Defender [建議]頁面中,依名稱搜尋其中一項建議。

    2. 選取狀況不良的叢集。

      重要

      您必須一次選取一個叢集。

      請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。

    3. 選取 [修正]

    4. 適用於雲端的 Defender 會以您所選語言產生指令碼:(針對 Linux) 選取 Bash,或 (針對 Windows 則) 選取 PowerShell。

    5. 選取 [下載補救邏輯]

    6. 在叢集上執行產生的指令碼。

    7. 重複步驟 "a" 到 "f" 來取得第二個建議。

    影片:示範如何使用適用於雲端的 Defender 建議,為您的 EKS 叢集產生可啟用 Azure Arc 延伸模組的指令碼。

檢視 EKS 叢集的建議和警示

提示

您可以依照此部落格文章中的指示來模擬容器警示。

若要檢視 EKS 叢集的警示和建議,請使用警示、建議和清查頁面,依資源類型 AWS EKS 叢集進行篩選。

螢幕擷取畫面:顯示如何在適用於雲端的 Microsoft Defender [安全性警示] 頁面上使用篩選,以檢視與 AWS EKS 叢集相關的警示。

部署 Defender 感應器

若要在 AWS 叢集上部署 Defender 感應器,請遵循下列步驟:

  1. 移至 [適用於雲端的 Microsoft Defender] -> [環境設定] -> [新增環境] -> [Amazon Web Services]

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中新增 AWS 環境。

  2. 填寫帳戶詳細資料。

    螢幕擷取畫面:適用於雲端的 Microsoft Defender 中要填寫 AWS 環境帳戶詳細資料的表單。

  3. 移至 [選取方案],開啟 [容器] 方案,並確定 [自動佈建適用於 Azure Arc 的 Defender 感應器] 設定為 [開啟]。

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感應器。

  4. 移至 [設定存取權],然後遵循該處的步驟。

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中設定 AWS 環境的存取權。

  5. 成功部署雲端形成範本之後,請選取 [建立]

注意

您可以從自動佈建中排除特定的 AWS 叢集。 如果是感應器部署,請在值為 true 的資源上套用 ms_defender_container_exclude_agents 標記。 如果是無代理程式部署,請在值為 true 的資源上套用 ms_defender_container_exclude_agentless 標記。

啟用方案

重要

如果您尚未連線 GCP 專案,請將 GCP 專案連線至適用於雲端的 Microsoft Defender

若要保護您的 GKE 叢集,您必須在相關的 GCP 專案上啟用容器方案。

注意

確認您沒有任何會防止 Arc 安裝的 Azure 原則。

保護 Google Kubernetes Engine (GKE) 叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]

  3. 選取相關的 GCP 連接器

    螢幕擷取畫面:顯示 GCP 連接器範例。

  4. 選取 [下一步:選取方案 >] 按鈕。

  5. 確定 [容器] 方案已切換為 [開啟]

    螢幕擷取畫面:顯示 [容器] 方案切換為 [開啟]。

  6. 若要變更方案的選擇性組態,請選取 [設定]

    螢幕擷取畫面:適用於雲端的 Defender [環境設定] 頁面顯示容器方案的設定。

    • Kubernetes 稽核記錄至適用於雲端的 Defender:預設為啟用。 此組態僅適用於 GCP 專案層級。 其會透過 GCP 雲端記錄對適用於雲端的 Microsoft Defender 後端提供稽核記錄資料的無代理程式收集,以進行進一步的分析。 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]

      注意

      如果您停用此設定,則將會停用 Threat detection (control plane) 功能。 深入了解功能可用性

    • 自動佈建適用於 Azure Arc 的 Defender 感應器自動佈建適用於 Azure Arc 的 Azure 原則延伸模組:預設為啟用。 您可以透過三種方式在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其延伸模組:

    • Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]

    • 無代理程式容器弱點評估會針對儲存在 Google Registries (GAR 和 GCR) 中的映像以及 GKE 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評估] 功能,請將設定切換為 [開啟]

  7. 選取 [複製] 按鈕。

    螢幕擷取畫面:顯示 [複製] 按鈕的位置。

  8. 選取 [GCP Cloud Shell >]按鈕。

  9. 將指令碼貼上至 Cloud Shell 終端機,然後執行此項目。

在指令碼執行後,連接器將會更新。 此流程最多可能需要 6-8 小時才能完成。

將解決方案部署至特定叢集

如果您已將任何預設的自動佈建組態設定為 [關閉],請在 GCP 連接器上執行緒序期間或之後停用。 您必須將已啟用 Azure Arc 的 Kubernetes、Defender 感應器和適用於 Kubernetes 的 Azure 原則手動安裝至每個 GKE 叢集,才能充分利用適用於容器的 Defender 的安全價值。

有 2 個專用的適用於雲端的 Defender 建議,您可將此用於安裝延伸模組 (如有需要也可安裝 Arc):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

注意

在安裝 Arc 延伸模組時,必須確認所提供的 GCP 專案與相關連接器中的專案相同。

要將解決方案部署至特定叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 從適用於雲端的 Defender [建議]頁面中,依名稱搜尋其中一項建議。

    螢幕擷取畫面:顯示如何搜尋建議。

  4. 選取狀況不良的 GKE 叢集。

    重要

    您必須一次選取一個叢集。

    請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。

  5. 選取狀況不良資源的名稱。

  6. 選取 [修正]

    螢幕擷取畫面:顯示 [修正] 按鈕的位置。

  7. 適用於雲端的 Defender 會以您所選語言產生指令碼:

    • 針對 Linux,選取 [Bash]
    • 針對 Windows,選取 [PowerShell]

  8. 選取 [下載補救邏輯]

  9. 在叢集上執行產生的指令碼。

  10. 重複步驟 3 到 8 來取得第二個建議。

檢視 GKE 叢集警示

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]

  3. 選取 按鈕。

  4. 在 [篩選] 下拉式功能表中,選取 [資源類型]

  5. 在 [值] 下拉式功能表中,選取 [GCP GKE 叢集]

  6. 選取 [確定]

部署 Defender 感應器

若要在 GCP 叢集上部署 Defender 感應器,請遵循下列步驟:

  1. 移至 [適用於雲端的 Microsoft Defender] -> [環境設定] -> [新增環境] -> [Google Cloud Platform]

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中新增 GCP 環境。

  2. 填寫帳戶詳細資料。

    螢幕擷取畫面:適用於雲端的 Microsoft Defender 中要填寫 GCP 環境帳戶詳細資料的表單。

  3. 移至 [選取方案],開啟 [容器] 方案,並確定 [自動佈建適用於 Azure Arc 的 Defender 感應器] 設定為 [開啟]。

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感應器。

  4. 移至 [設定存取權],然後遵循該處的步驟。

    螢幕擷取畫面:如何在適用於雲端的 Microsoft Defender 中設定 GCP 環境的存取權。

  5. 成功執行 gcloud 指令碼之後,選取 [建立]

注意

您可以從自動佈建中排除特定的 GCP 叢集。 如果是感應器部署,請在值為 true 的資源上套用 ms_defender_container_exclude_agents 標籤。 如果是無代理程式部署,請在值為 true 的資源上套用 ms_defender_container_exclude_agentless 標籤。

模擬適用於容器的 Microsoft Defender 安全性警示

所有適用於雲端的 Defender 安全性警示的參考資料表中均有支援警示的完整清單。

  1. 若要模擬安全性警示,請透過叢集執行下列命令:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    預期的回應為 No resource found

    在 30 分鐘內,適用於雲端的 Defender 會偵測此活動並觸發安全性警示。

    注意

    若要模擬適用於容器的 Defender 的無代理程式警示,Azure Arc 並非必要條件。

  2. 在 Azure 入口網站中,開啟適用於雲端的 Microsoft Defender 安全性警示頁面,並尋找相關資源的警示:

    來自適用於 Kubernetes 的 Microsoft Defender 的警示範例。

移除 Defender 感應器

若移除此專案或任何適用於雲端的 Defender 延伸模組,這樣不足以關閉自動佈建:

  • 啟用自動佈建,可能會影響現有未來的機器。
  • 停用延伸模組的自動佈建,僅會影響未來機器,停用自動佈建不會解除安裝任何項目。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定],並停用 [適用於容器的 Microsoft Defender] 方案。

不過,若要確保目前不會將適用於容器的 Defender 元件佈建到您的資源上,請停用延伸模組自動佈建功能,如透過適用於雲端的 Microsoft Defender 設定代理程式和延伸模組的自動佈建

您可以使用 Azure 入口網站、Azure CLI 或 REST API 來移除延伸模組,如下列索引標籤所述。

使用 Azure 入口網站移除延伸模組

  1. 從 Azure 入口網站,開啟 [Azure Arc]。

  2. 從基礎結構清單中,選取 [Kubernetes 叢集],然後選取特定叢集。

  3. 開啟延伸模組頁面。 叢集上的延伸模組會列出。

  4. 選取叢集,然後選取 [解除安裝]

    從已啟用 Arc 的 Kubernetes 叢集移除延伸模組。

AKS 的預設 Log Analytics 工作區

Defender 感應器將 Log Analytics 工作區當成資料管線,將資料從叢集傳送至適用於雲端的 Defender,Log Analytics 工作區本身不保留任何資料。 因此,在這樣的使用案例中,不會對使用者計費。

Defender 感應器使用預設的 Log Analytics 工作區。 如果您還沒有預設 Log Analytics 工作區,則安裝 Defender 感應器時,適用於雲端的 Defender 會建立新的資源群組和預設工作區。 預設工作區會根據您的區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例如下:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    螢幕擷取畫面:顯示如何尋找 [原則] 頁面。

  3. 選取 [定義]

  4. 搜尋原則識別碼 64def556-fbad-4622-930e-72d1d5589bf5

    螢幕擷取畫面:顯示何處可依識別碼搜尋原則。

  5. 選取 [設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔]

  6. 選取 [指派]

    螢幕擷取畫面:顯示何處可以找到 [指派] 索引標籤。

  7. 如果尚未將原則指派給相關範圍,請遵循建立自訂工作區的新指派中的步驟。 或者,如果已指派原則,而您想要變更以使用自定工作區,則請遵循更新自訂工作區的指派中的步驟。

建立自訂工作區的新指派

如果尚未指派原則,您會看到 Assignments (0)

螢幕擷取畫面:顯示未指派任何工作區。

若要指派自訂工作區

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    螢幕擷取畫面:顯示下拉式功能表位於何處。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

更新自訂工作區的指派

如果已將原則指派給工作區,您會看到 Assignments (1)

螢幕擷取畫面:顯示 [指派 (1)] 代表已指派一個工作區。

注意

如果您有一個以上的訂用帳戶,則數目可能會更高。

若要指派自訂工作區

  1. 請選取相關指派。

    螢幕擷取畫面:顯示何處可選取相關指派。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    螢幕擷取畫面:顯示下拉式功能表位於何處。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

Arc 的預設 Log Analytics 工作區

Defender 感應器將 Log Analytics 工作區當成資料管線,將資料從叢集傳送至適用於雲端的 Defender,Log Analytics 工作區本身不保留任何資料。 因此,在這樣的使用案例中,不會對使用者計費。

Defender 感應器使用預設的 Log Analytics 工作區。 如果您還沒有預設 Log Analytics 工作區,則安裝 Defender 感應器時,適用於雲端的 Defender 會建立新的資源群組和預設工作區。 預設工作區會根據您的區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例如下:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    螢幕擷取畫面:顯示如何尋找 ARC 的 [原則] 頁面。

  3. 選取 [定義]

  4. 搜尋原則識別碼 708b60a6-d253-4fe0-9114-4be4c00f012c

    螢幕擷取畫面:顯示何處可依 ARC 的識別碼搜尋原則。

  5. 選取 [設定啟用 Azure Arc 的 Kubernetes 叢集以安裝適用於雲端延伸模組的 Microsoft Defender]

  6. 選取 [指派]

    螢幕擷取畫面:顯示 ARC 的 [指派] 索引標籤位於何處。

  7. 如果尚未將原則指派給相關範圍,請遵循建立自訂工作區的新指派中的步驟。 或者,如果已指派原則,而您想要變更以使用自定工作區,則請遵循更新自訂工作區的指派中的步驟。

建立自訂工作區的新指派

如果尚未指派原則,您會看到 Assignments (0)

螢幕擷取畫面:顯示未對 ARC 指派任何工作區。

若要指派自訂工作區

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    螢幕擷取畫面:顯示 ARC 的下拉式功能表位於何處。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

更新自訂工作區的指派

如果已將原則指派給工作區,您會看到 Assignments (1)

注意

如果您有一個以上的訂用帳戶,則數目可能會更高。 如果您有數目 1 或更高數目,指派可能仍未在相關範圍內。 如果是這種情況,您可能會想要遵循建立自訂工作區的新指派中的步驟。

螢幕擷取畫面:顯示 [指派 (1)] 代表已指派一個工作區給 ARC。

若要指派自訂工作區

  1. 請選取相關指派。

    螢幕擷取畫面:顯示何處可選取 ARC 的相關指派。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    螢幕擷取畫面:顯示 ARC 的下拉式功能表位於何處。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

移除 Defender 感應器

若移除此專案或任何適用於雲端的 Defender 延伸模組,這樣不足以關閉自動佈建:

  • 啟用自動佈建,可能會影響現有未來的機器。
  • 停用延伸模組的自動佈建,僅會影響未來機器,停用自動佈建不會解除安裝任何項目。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定],並停用 [適用於容器的 Microsoft Defender] 方案。

不過,若要確保目前不會將適用於容器的 Defender 元件佈建到您的資源上,請停用延伸模組自動佈建功能,如透過適用於雲端的 Microsoft Defender 設定代理程式和延伸模組的自動佈建

您可以使用 REST API 或 Resource Manager 範本來移除代理程式,如下列索引標籤中所述。

使用 REST API 從 AKS 移除 Defender 感應器

若要使用 REST API 移除延伸模組,請執行下列 PUT 命令:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
名稱 描述 必要
SubscriptionId 叢集的訂用帳戶識別碼 Yes
ResourceGroup 叢集的資源群組 Yes
ClusterName 叢集的名稱 Yes
ApiVersion API 版本,必須是 >= 2022-06-01 版 Yes

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文參數:

名稱 描述 必要
location 叢集的位置 Yes
properties.securityProfile.defender.securityMonitoring.enabled 決定是否要在叢集上啟用或停用適用於容器的 Microsoft Defender Yes

深入了解

您可以查看下列部落格:

下一步

現在您已啟用適用於容器的 Defender,您可以: