使用適用於容器的 Defender 保護您的 Azure 容器
適用於容器的 Microsoft Defender 是一種雲端原生解決方案,可改善、監視和維護容器化資產 (Kubernetes 叢集、Kubernetes 節點、Kubernetes 工作負載、容器登錄、容器映像等等) 的安全性,以及其跨多雲端和內部部署環境之應用程式的安全性。
深入了解適用於容器的 Microsoft Defender 概觀。
您可以在價格頁面深入了解適用於容器的 Defender 價格。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
請確定針對輸出存取設定必要的完整網域名稱 (FQDN)/應用程式端點,讓 Defender 感應器可以連線到適用於雲端的 Microsoft Defender,以傳送安全性資料和事件。
注意
根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。
啟用適用於容器的 Defender 方案
依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝所有必要元件,以提供方案所提供的保護,包括預設工作區的指派。
如果您想要指派自訂工作區,則可以透過 Azure 原則加以指派。
若要在訂用帳戶上啟用適用於容器的 Defender 方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的 Azure 訂用帳戶。
在 [Defender 方案] 頁面上,將容器方案切換為 [開啟]。
![[Defender 方案] 頁面的螢幕擷取畫面,顯示將容器方案切換為開啟的切換開關所在位置。](media/tutorial-enable-containers-azure/containers-enabled-aks.png)
選取 [儲存]。
![[Defender 方案] 頁面的螢幕擷取畫面,顯示將容器方案切換為開啟的切換開關所在位置。](media/tutorial-enable-containers-azure/containers-enabled-aks.png#lightbox)
在 Azure 中部署 Defender 感應器
注意
若要啟用或停用適用於容器的 Defender 個別功能,不論是全域或針對特定資源進行,都請參閱如何啟用適用於容器的 Microsoft Defender 元件。
您可以啟用適用於容器的 Defender 方案,並以不同的方式部署所有相關元件。 我們會逐步引導您使用 Azure 入口網站完成此作業。 了解如何使用 REST API、Azure CLI 或 Resource Manager 範本,以部署 Defender 感應器。
在 Azure 中部署 Defender 感應器:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
瀏覽至 [建議] 頁面。
搜尋並選取
Azure Kubernetes Service clusters should have Defender profile enabled建議。![[建議] 頁面的螢幕擷取畫面,顯示要搜尋和尋找 Azure Kubernetes Service 叢集建議的位置。](media/tutorial-enable-containers-azure/recommendation-search.png)
選取所有相關受影響的資源。
選取 [修正]。
![建議的螢幕擷取畫面,已選取受影響的資源,並顯示如何選取 [修正] 按鈕。](media/tutorial-enable-containers-azure/affected-fix.png)
![[建議] 頁面的螢幕擷取畫面,顯示要搜尋和尋找 Azure Kubernetes Service 叢集建議的位置。](media/tutorial-enable-containers-azure/recommendation-search.png#lightbox)
![建議的螢幕擷取畫面,已選取受影響的資源,並顯示如何選取 [修正] 按鈕。](media/tutorial-enable-containers-azure/affected-fix.png#lightbox)
下一步
如需適用於容器的 Defender 進階啟用功能,請參閱啟用適用於容器的 Microsoft Defender 頁面。