使用適用於容器的 Defender 保護您的 Azure 容器

適用於容器的 Microsoft Defender 是一種雲端原生解決方案，可改善、監視和維護容器化資產 (Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等) 的安全性，以及其跨多雲端和內部部署環境之應用程式的安全性。

深入了解適用於容器的 Microsoft Defender 概觀。

您可以在價格頁面深入了解適用於容器的 Defender 價格。 您也可以 使用適用於雲端的 Defender 成本計算機來預估成本。

先決條件

• 您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶，您可以註冊免費訂用帳戶。

• 您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。

• 請確定針對輸出存取設定必要的完整網域名稱 (FQDN)/應用程式端點，讓 Defender 感應器可以連線到適用於雲端的 Microsoft Defender，以傳送安全性資料和事件。

  備註

  根據預設，AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

啟用適用於容器的 Defender 方案

依預設，透過 Azure 入口網站啟用方案時，適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝所有必要元件，以提供方案所提供的保護，包括預設工作區的指派。

如果您想要指派自訂工作區，則可以透過 Azure 原則加以指派。

若要在訂用帳戶上啟用適用於容器的 Defender 方案：

1. 登入 Azure 入口網站。

2. 搜尋並選取 Microsoft Defender for Cloud。

3. 在適用於雲端的 Microsoft Defender 功能表，選取 [環境設定]。

4. 選取相關的 Azure 訂用帳戶。

5. 在 [Defender 方案] 頁面上，將容器方案切換為 [開啟]。

   

6. 選取 [儲存]。

在 Azure 中部署 Defender 感應器

備註

若要啟用或停用適用於容器的 Defender 個別功能，不論是全域或針對特定資源進行，都請參閱如何啟用適用於容器的 Microsoft Defender 元件。

您可以啟用適用於容器的 Defender 方案，並以不同的方式部署所有相關元件。 我們會逐步引導您使用 Azure 入口網站完成此作業。 了解如何使用 REST API、Azure CLI 或 Resource Manager 範本，以部署 Defender 感應器。

這很重要

使用 Helm 部署 Defender 感測器：與自動布建和更新的其他選項不同，Helm 可讓您彈性部署 Defender 感測器。 此方法在DevOps和基礎結構即程式代碼案例中特別有用。 透過 Helm，您可以將部署整合到 CI/CD 管線中，並控制所有感測器更新。 您也可以選擇接收預覽和 GA 版本。 如需使用 Helm 安裝 Defender 感測器的指示，請參閱 使用 Helm 安裝適用於容器的 Defender 感測器。

在 Azure 中部署 Defender 感應器：

1. 登入 Azure 入口網站。

2. 搜尋並選取 Microsoft Defender for Cloud。

3. 瀏覽至 [建議] 頁面。

4. 搜尋並選取 Azure Kubernetes Service clusters should have Defender profile enabled 建議。

   

5. 選取所有相關受影響的資源。

6. 選取 [修正]。

   

後續步驟

• 如需適用於容器的 Defender 進階啟用功能，請參閱啟用適用於容器的 Microsoft Defender 頁面。

• 適用於容器的 Microsoft Defender 概觀。