使用適用於容器的 Defender 保護您的 Azure 容器
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產的安全性(Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等),以及多雲端和內部部署環境上的應用程式。
深入瞭解 適用於容器的 Microsoft Defender 概觀。
您可以在定價頁面上深入瞭解適用於容器的Defender定價。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
請確定已針對輸出存取設定必要的完整功能變數名稱(FQDN)/應用程式端點,讓Defender感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性數據和事件。
注意
根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。
啟用適用於容器的 Defender 方案
根據預設,透過 Azure 入口網站 啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝必要的元件,以提供方案所提供的保護,包括指派預設工作區。
如果您想要指派自定義工作區,可以透過 Azure 原則 指派工作區。
若要在您的訂用帳戶上啟用適用於容器的Defender方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 Azure 訂用帳戶。
在 [Defender 方案] 頁面上,將 [容器計劃] 切換為 [ 開啟]。
![[Defender 方案] 頁面的螢幕快照,其中顯示將容器方案切換至的所在位置。](media/tutorial-enable-containers-azure/containers-enabled-aks.png)
選取 [儲存]。
![[Defender 方案] 頁面的螢幕快照,其中顯示將容器方案切換至的所在位置。](media/tutorial-enable-containers-azure/containers-enabled-aks.png#lightbox)
在 Azure 中部署 Defender 感測器
注意
若要啟用或停用適用於容器的個別 Defender 功能,請全域或針對特定資源啟用,請參閱 如何啟用適用於容器的 Microsoft Defender 元件。
您可以啟用適用於容器的 Defender 方案,並以不同的方式部署所有相關元件。 我們會逐步引導您使用 Azure 入口網站 來完成此作業的步驟。 瞭解如何 使用 REST API、Azure CLI 或 Resource Manager 範本來部署 Defender 感測器 。
若要在 Azure 中部署 Defender 感測器:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
流覽至 [建議] 頁面。
搜尋並選取
Azure Kubernetes Service clusters should have Defender profile enabled建議。![[建議] 頁面的螢幕快照,其中顯示要搜尋和尋找 Azure Kubernetes 服務叢集建議的位置。](media/tutorial-enable-containers-azure/recommendation-search.png)
選取所有相關受影響的資源。
選取 [ 修正]。
![建議的螢幕快照,其中已選取受影響的資源,其中顯示如何選取 [修正] 按鈕。](media/tutorial-enable-containers-azure/affected-fix.png)
![[建議] 頁面的螢幕快照,其中顯示要搜尋和尋找 Azure Kubernetes 服務叢集建議的位置。](media/tutorial-enable-containers-azure/recommendation-search.png#lightbox)
![建議的螢幕快照,其中已選取受影響的資源,其中顯示如何選取 [修正] 按鈕。](media/tutorial-enable-containers-azure/affected-fix.png#lightbox)