Udostępnij za pośrednictwem


Konfigurowanie składników usługi Microsoft Defender for Containers

Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów. Pomaga chronić klastry niezależnie od tego, czy działają w:

  • Azure Kubernetes Service (AKS): zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.

  • Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS): zarządzana usługa Amazon do uruchamiania platformy Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.

  • Google Kubernetes Engine (GKE) w połączonym projekcie Google Cloud Platform (GCP): zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.

  • Inne dystrybucje Platformy Kubernetes (przy użyciu platformy Kubernetes z obsługą usługi Azure Arc): certyfikowane klastry Kubernetes (Cloud Native Computing Foundation, CNCF) hostowane lokalnie lub w infrastrukturze jako usługa (IaaS). Aby uzyskać więcej informacji, zobacz Macierz obsługi kontenerów w Defender dla Chmury.

Najpierw możesz dowiedzieć się, jak nawiązać połączenie i pomóc chronić kontenery w następujących artykułach:

Możesz również dowiedzieć się więcej, oglądając te filmy wideo z Defender dla Chmury w serii wideo pól:

Uwaga

Obsługa usługi Defender for Containers dla klastrów Kubernetes z obsługą usługi Azure Arc jest funkcją w wersji zapoznawczej. Funkcja w wersji zapoznawczej jest dostępna na zasadzie samoobsługi.

Wersje zapoznawcze są dostępne i dostępne. Są one wykluczone z umów dotyczących poziomu usług i ograniczonej gwarancji.

Aby dowiedzieć się więcej na temat obsługiwanych systemów operacyjnych, dostępności funkcji, serwera proxy ruchu wychodzącego i nie tylko, zobacz Macierz obsługi kontenerów w Defender dla Chmury.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.

Czujnik usługi Defender musi nawiązać połączenie ze skonfigurowanym obszarem roboczym usługi Azure Monitor Log Analytics. Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego. Jeśli ruch wychodzący z klastra zdarzeń wymaga użycia zakresu usługi Azure Monitor Private Link (AMPLS), musisz:

  • Zdefiniuj klaster za pomocą szczegółowych informacji o kontenerze i obszaru roboczego usługi Log Analytics.
  • Skonfiguruj protokół AMPLS z trybem dostępu do zapytań i trybem dostępu pozyskiwania ustawionym na Wartość Otwórz.
  • Zdefiniuj obszar roboczy usługi Log Analytics klastra jako zasób w usłudze AMPLS.
  • Utwórz w programie AMPLS prywatny punkt końcowy sieci wirtualnej między siecią wirtualną klastra a zasobem usługi Log Analytics. Prywatny punkt końcowy sieci wirtualnej integruje się z prywatną strefą DNS.

Aby uzyskać instrukcje, zobacz Tworzenie zakresu usługi Azure Monitor Private Link.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe dla wdrożeń chmury publicznej są skonfigurowane pod kątem dostępu wychodzącego. Skonfigurowanie ich pod kątem dostępu wychodzącego pomaga zapewnić, że czujnik usługi Defender może nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.

Domena platformy Azure Domena platformy Azure Government Platforma Azure obsługiwana przez domenę 21Vianet Port
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.

Włączanie planu

  1. W Defender dla Chmury wybierz pozycję Ustawienia, a następnie wybierz odpowiednią subskrypcję.

  2. Na stronie Plany usługi Defender wybierz pozycję Ustawienia kontenerów>.

    Zrzut ekranu przedstawiający stronę planów usługi Defender.

    Napiwek

    Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją jest kontenery.

    Zrzut ekranu przedstawiający plany rejestrów kontenerów w usłudze Defender for Kubernetes i Defender w stanie przestarzałym wraz z informacjami o uaktualnieniu.

  3. Włącz odpowiedni składnik.

    Zrzut ekranu przedstawiający włączanie składników.

    Uwaga

    • Klienci usługi Defender for Containers, którzy dołączyli przed sierpniem 2023 r. i nie mają odnajdywania bez agenta dla platformy Kubernetes włączonej w ramach zarządzania stanem zabezpieczeń w chmurze usługi Defender (CSPM), gdy włączyli plan, muszą ręcznie włączyć odnajdywanie bez agenta dla rozszerzenia Kubernetes w ramach planu defender for Containers.
    • Po wyłączeniu usługi Defender for Containers składniki są wyłączone. Nie są one wdrażane w więcej kontenerach, ale nie są usuwane z kontenerów, w których są już zainstalowane.

Metoda włączania na możliwość

Domyślnie po włączeniu planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego włączania wszystkich funkcji i instalowania wszystkich wymaganych składników w celu zapewnienia ochrony oferowanych przez plan. Ta konfiguracja obejmuje przypisanie domyślnego obszaru roboczego.

Jeśli nie chcesz włączyć wszystkich możliwości planów, możesz ręcznie wybrać określone możliwości, które mają zostać włączone, wybierając pozycję Edytuj konfigurację dla planu Kontenery . Następnie na stronie Ustawienia i monitorowanie wybierz możliwości, które chcesz włączyć. Tę konfigurację można również zmodyfikować na stronie plany usługi Defender po wstępnej konfiguracji planu.

Aby uzyskać szczegółowe informacje na temat metody włączania dla każdej możliwości, zobacz macierz obsługi.

Uprawnienia i role

Dowiedz się więcej o rolach dotyczących aprowizacji rozszerzeń usługi Defender for Containers.

Przypisywanie niestandardowego obszaru roboczego dla czujnika usługi Defender

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Ręczne wdrażanie czujnika usługi Defender lub agenta zasad platformy Azure bez automatycznej aprowizacji przy użyciu zaleceń

Możliwości wymagające instalacji czujnika można również wdrożyć w co najmniej jednym klastrze Kubernetes. Użyj odpowiedniego zalecenia:

Czujnik Zalecenie
Czujnik usługi Defender dla platformy Kubernetes Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
Czujnik usługi Defender dla platformy Kubernetes z obsługą usługi Azure Arc Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
Agent usługi Azure Policy dla platformy Kubernetes Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
Agent usługi Azure Policy dla platformy Kubernetes z obsługą usługi Azure Arc Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Aby wdrożyć czujnik usługi Defender w określonych klastrach:

  1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń lub wyszukaj jedną z powyższych rekomendacji. (Możesz również użyć powyższych linków, aby bezpośrednio otworzyć zalecenie).

  2. Wyświetl wszystkie klastry bez czujnika, otwierając kartę W złej kondycji .

  3. Wybierz klastry, w których chcesz wdrożyć czujnik, a następnie wybierz pozycję Napraw.

  4. Wybierz pozycję Napraw zasoby X.

Wdrażanie czujnika usługi Defender: wszystkie opcje

Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki przy użyciu witryny Azure Portal, interfejsu API REST lub szablonu usługi Azure Resource Manager. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Po wdrożeniu czujnika usługi Defender domyślny obszar roboczy zostanie automatycznie przypisany. Niestandardowy obszar roboczy można przypisać zamiast domyślnego obszaru roboczego za pomocą usługi Azure Policy.

Uwaga

Czujnik usługi Defender jest wdrażany w każdym węźle w celu zapewnienia ochrony środowiska uruchomieniowego i zbierania sygnałów z tych węzłów przy użyciu technologii eBPF.

Użyj przycisku Napraw z zalecenia Defender dla Chmury

Za pomocą stron witryny Azure Portal można włączyć plan Defender dla Chmury i skonfigurować automatyczną aprowizację wszystkich niezbędnych składników do obrony klastrów Kubernetes na dużą skalę. Proces jest usprawniony.

Dedykowane zalecenie Defender dla Chmury zawiera:

  • Wgląd w to, które z klastrów ma wdrożony czujnik usługi Defender.
  • Przycisk Napraw , aby wdrożyć czujnik w klastrach, które go nie mają.

Aby wdrożyć czujnik:

  1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

  2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender.

    Napiwek

    Zwróć uwagę na ikonę Napraw w kolumnie Akcje .

  3. Wybierz klastry, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji (klastry z czujnikiem i bez tego czujnika).

  4. Na liście zasobów w złej kondycji wybierz klaster. Następnie wybierz pozycję Koryguj , aby otworzyć okienko z potwierdzeniem korygowania.

  5. Wybierz pozycję Napraw zasoby X.

Włączanie planu

  1. W Defender dla Chmury wybierz pozycję Ustawienia, a następnie wybierz odpowiednią subskrypcję.

  2. Na stronie Plany usługi Defender wybierz pozycję Ustawienia kontenerów>.

    Zrzut ekranu przedstawiający stronę planów usługi Defender.

    Napiwek

    Jeśli subskrypcja ma już włączoną usługę Defender for Kubernetes lub Defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją jest kontenery.

    Zrzut ekranu przedstawiający plany rejestrów kontenerów w usłudze Defender for Kubernetes i Defender w stanie przestarzałym wraz z informacjami o uaktualnieniu.

  3. Włącz odpowiedni składnik.

    Zrzut ekranu przedstawiający włączanie składników.

    Uwaga

    Po wyłączeniu usługi Defender for Containers składniki są wyłączone. Nie są one wdrażane w więcej kontenerach, ale nie są usuwane z kontenerów, w których są już zainstalowane.

Domyślnie po włączeniu planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony, które oferuje plan. Ta konfiguracja obejmuje przypisanie domyślnego obszaru roboczego.

Jeśli chcesz wyłączyć automatyczną instalację składników podczas procesu dołączania, wybierz pozycję Edytuj konfigurację dla planu kontenerów . Pojawią się opcje zaawansowane i można wyłączyć automatyczną instalację dla każdego składnika.

Tę konfigurację można również zmodyfikować na stronie planów usługi Defender.

Uwaga

Jeśli zdecydujesz się wyłączyć plan w dowolnym momencie po włączeniu go za pośrednictwem portalu, musisz ręcznie usunąć składniki usługi Defender for Containers wdrożone w klastrach.

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Jeśli wyłączysz automatyczną instalację dowolnego składnika, możesz łatwo wdrożyć składnik w co najmniej jednym klastrze przy użyciu odpowiedniego zalecenia:

Dowiedz się więcej o rolach dotyczących aprowizacji rozszerzeń usługi Defender for Containers.

Wymagania wstępne

Przed wdrożeniem czujnika upewnij się, że:

Wdrażanie czujnika usługi Defender

Czujnik usługi Defender można wdrożyć przy użyciu szeregu metod. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Użyj przycisku Napraw z zalecenia Defender dla Chmury

Dedykowane zalecenie Defender dla Chmury zawiera:

  • Wgląd w to, które z klastrów ma wdrożony czujnik usługi Defender.
  • Przycisk Napraw , aby wdrożyć czujnik w klastrach, które go nie mają.

Aby wdrożyć czujnik:

  1. Na stronie Microsoft Defender dla Chmury Zalecenia otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

  2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc, powinny mieć włączone rozszerzenie usługi Microsoft Defender.

    Zrzut ekranu przedstawiający zalecenie Microsoft Defender dla Chmury dotyczące wdrażania czujnika usługi Defender dla klastrów Kubernetes z obsługą usługi Azure Arc.

    Napiwek

    Zwróć uwagę na ikonę Napraw w kolumnie Akcje .

  3. Wybierz czujnik, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji (klastry z czujnikiem i bez tego czujnika).

  4. Na liście zasobów w złej kondycji wybierz klaster. Następnie wybierz pozycję Koryguj , aby otworzyć okienko z opcjami korygowania.

  5. Wybierz odpowiedni obszar roboczy usługi Log Analytics, a następnie wybierz pozycję Koryguj x zasobu.

    Animowany zrzut ekranu przedstawiający wdrażanie czujnika usługi Defender dla usługi Azure Arc przy użyciu korygowania w Defender dla Chmury.

Weryfikowanie wdrożenia

Aby sprawdzić, czy klaster ma zainstalowany czujnik usługi Defender, wykonaj kroki na jednej z poniższych kart.

Użyj Defender dla Chmury rekomendacji, aby zweryfikować stan czujnika

  1. Na stronie zalecenia Microsoft Defender dla Chmury otwórz pozycję Włącz kontrolę zabezpieczeń Microsoft Defender dla Chmury.

  2. Wybierz zalecenie o nazwie Klastry Kubernetes z włączoną obsługą usługi Azure Arc powinno mieć włączone rozszerzenie usługi Microsoft Defender.

    Zrzut ekranu przedstawiający zalecenie Defender dla Chmury dotyczące wdrażania czujnika usługi Defender dla klastrów Kubernetes z obsługą usługi Azure Arc.

  3. Sprawdź, czy klaster, na którym wdrożono czujnik, jest wymieniony jako W dobrej kondycji.

Włączanie planu

Ważne

  • Jeśli nie nawiązaliśmy połączenia z kontem platformy AWS, połącz swoje konto platformy AWS z Microsoft Defender dla Chmury przed rozpoczęciem poniższych kroków.
  • Jeśli plan został już włączony w łączniku i chcesz zmienić opcjonalne konfiguracje lub włączyć nowe możliwości, przejdź bezpośrednio do kroku 4.

Aby ułatwić ochronę klastrów EKS, włącz plan usługi Defender for Containers w odpowiednim łączniku konta:

  1. W Defender dla Chmury otwórz pozycję Ustawienia środowiska.

  2. Wybierz łącznik AWS.

    Zrzut ekranu przedstawiający łącznik platformy AWS w ustawieniach środowiska Defender dla Chmury.

  3. Sprawdź, czy przełącznik dla planu kontenerów ma wartość Włączone.

    Zrzut ekranu przedstawiający włączanie usługi Defender for Containers dla łącznika platformy AWS.

  4. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający ustawienia planu kontenerów w ustawieniach środowiska Defender dla Chmury.

    • Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, ustaw przełącznik dla tej funkcji na wartość Włączone. Aby zmienić okres przechowywania dzienników inspekcji, wprowadź wymagany przedział czasu.

      Uwaga

      Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń (płaszczyzny sterowania) również zostanie wyłączona. Dowiedz się więcej o dostępności funkcji.

    • Funkcja Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

    • Funkcja oceny luk w zabezpieczeniach kontenerów bez agenta udostępnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w usłudze ECR i uruchamiania obrazów w klastrach EKS. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

  5. Przejdź do pozostałych stron kreatora łącznika.

  6. Jeśli włączasz funkcję Odnajdywanie bez agenta dla platformy Kubernetes , musisz udzielić uprawnień płaszczyzny sterowania w klastrze. Uprawnienia można przyznać w jeden z następujących sposobów:

    • Uruchom ten skrypt języka Python. Skrypt dodaje rolę MDCContainersAgentlessDiscoveryK8sRole Defender dla Chmury dla aws-auth ConfigMap klastrów EKS, do których chcesz dołączyć.

    • Przyznaj każdemu MDCContainersAgentlessDiscoveryK8sRole klastrowi Usługi Amazon EKS rolę z możliwością interakcji z klastrem. Zaloguj się do wszystkich istniejących i nowo utworzonych klastrów przy użyciu narzędzia eksctl i uruchom następujący skrypt:

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      Aby uzyskać więcej informacji, zobacz Grant IAM users access to Kubernetes with EKS access wpisów w podręczniku użytkownika usługi Amazon EKS.

  7. Platforma Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługa Azure Policy dla platformy Kubernetes powinna być zainstalowana i uruchomiona w klastrach EKS. Istnieje dedykowane zalecenie Defender dla Chmury dotyczące instalowania tych rozszerzeń (i usługi Azure Arc w razie potrzeby): klastry EKS powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc.

    Postępuj zgodnie z instrukcjami korygowania podanymi przez zalecenie:

    Zrzut ekranu przedstawiający sposób korygowania zaleceń dotyczących klastrów EKS przez zainstalowanie wymaganych składników usługi Defender for Containers.

Wyświetlanie zaleceń i alertów dla klastrów EKS

Napiwek

Alerty kontenerów można symulować, postępując zgodnie z instrukcjami w tym wpisie w blogu.

Aby wyświetlić alerty i zalecenia dotyczące klastrów EKS, użyj filtrów na stronach alertów, zaleceń i spisu, aby filtrować według typu zasobu klastra EKS platformy AWS.

Zrzut ekranu przedstawiający opcje używania filtrów na stronie Microsoft Defender dla Chmury alertów zabezpieczeń w celu wyświetlenia alertów związanych z klastrami EKS platformy AWS.

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach platformy AWS:

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Ustawieniaśrodowisko>Dodaj środowisko>Amazon Web Services.

    Zrzut ekranu przedstawiający opcje dodawania środowiska platformy AWS w Microsoft Defender dla Chmury.

  2. Podaj szczegóły konta.

    Zrzut ekranu przedstawiający formularz, aby wypełnić szczegóły konta dla środowiska platformy AWS w Microsoft Defender dla Chmury.

  3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc ma wartość Włączone.

    Zrzut ekranu przedstawiający opcje włączania czujnika usługi Defender dla usługi Azure Arc w Microsoft Defender dla Chmury.

  4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

    Zrzut ekranu przedstawiający stronę konfigurowania dostępu dla środowiska platformy AWS w Microsoft Defender dla Chmury.

  5. Po pomyślnym wdrożeniu szablonu tworzenia chmury wybierz pozycję Utwórz.

Uwaga

Możesz wykluczyć określony klaster AWS z automatycznej aprowizacji. W przypadku wdrożenia czujnika ms_defender_container_exclude_agents zastosuj tag w zasobie z wartością true. W przypadku wdrożenia bez agenta ms_defender_container_exclude_agentless zastosuj tag w zasobie z wartością true.

Włączanie planu

Ważne

Jeśli projekt GCP nie został połączony, połącz projekt GCP z Microsoft Defender dla Chmury.

Aby ułatwić ochronę klastrów GKE, wykonaj następujące kroki, aby włączyć plan usługi Defender for Containers w odpowiednim projekcie GCP.

Uwaga

Sprawdź, czy nie masz żadnych zasad platformy Azure, które uniemożliwiają instalację usługi Azure Arc.

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do Microsoft Defender dla Chmury> Ustawienia środowiska.

  3. Wybierz odpowiedni łącznik GCP.

    Zrzut ekranu przedstawiający przykładowy łącznik GCP.

  4. Wybierz przycisk Dalej: Wybierz plany>.

  5. Upewnij się, że przełącznik dla planu kontenerów jest włączony.

    Zrzut ekranu przedstawiający włączony plan kontenerów.

  6. Aby zmienić opcjonalne konfiguracje planu, wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający ustawienia planu kontenerów w ustawieniach środowiska Defender dla Chmury.

    • Dzienniki inspekcji platformy Kubernetes do Defender dla Chmury: włączone domyślnie. Ta konfiguracja jest dostępna tylko na poziomie projektu GCP. Udostępnia ona bez agenta zbieranie danych dziennika inspekcji za pośrednictwem rejestrowania chmury GCP do zaplecza Microsoft Defender dla Chmury na potrzeby dalszej analizy. Usługa Defender for Containers wymaga dzienników inspekcji płaszczyzny sterowania w celu zapewnienia ochrony środowiska uruchomieniowego przed zagrożeniami. Aby wysłać dzienniki inspekcji platformy Kubernetes do usługi Microsoft Defender, ustaw przełącznik na .

      Uwaga

      Jeśli wyłączysz tę konfigurację, funkcja wykrywania zagrożeń (płaszczyzny sterowania) również zostanie wyłączona. Dowiedz się więcej o dostępności funkcji.

    • Automatycznie aprowizacja czujnika usługi Defender dla usługi Azure Arc i automatycznego aprowizowania rozszerzenia usługi Azure Policy dla usługi Azure Arc: domyślnie włączona. Platforma Kubernetes z obsługą usługi Azure Arc i jej rozszerzenia można zainstalować w klastrach GKE na trzy sposoby:

      • Włącz automatyczną aprowizację usługi Defender for Containers na poziomie projektu, jak wyjaśniono w instrukcjach w tej sekcji. Zalecamy tę metodę.
      • Użyj Defender dla Chmury rekomendacji dotyczących instalacji poszczególnych klastrów. Są one wyświetlane na stronie zalecenia Microsoft Defender dla Chmury. Dowiedz się, jak wdrożyć rozwiązanie w określonych klastrach.
      • Ręcznie zainstaluj platformę Kubernetes z obsługą usługi Azure Arc i rozszerzenia.
    • Funkcja Odnajdywanie bez agenta dla platformy Kubernetes zapewnia oparte na interfejsie API odnajdywanie klastrów Kubernetes. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

    • Funkcja oceny luk w zabezpieczeniach kontenerów bez agenta udostępnia zarządzanie lukami w zabezpieczeniach obrazów przechowywanych w rejestrach Google (Google Artifact Registry i Google Container Registry) oraz uruchamianiu obrazów w klastrach GKE. Aby włączyć tę funkcję, ustaw jej przełącznik na Włączone.

  7. Wybierz przycisk Kopiuj.

    Zrzut ekranu przedstawiający lokalizację przycisku kopiowania.

  8. Wybierz przycisk GCP Cloud Shell>.

  9. Wklej skrypt do terminalu usługi Cloud Shell i uruchom go.

Łącznik zostanie zaktualizowany po uruchomieniu skryptu. Ukończenie tego procesu może potrwać do 8 godzin.

Wdrażanie rozwiązania w określonych klastrach

W przypadku ustawienia dowolnej z domyślnych konfiguracji automatycznej aprowizacji na Wyłączone podczas procesu dołączania łącznika GCP lub później należy ręcznie zainstalować platformę Kubernetes z włączoną usługą Azure Arc, czujnik usługi Defender i usługę Azure Policy dla platformy Kubernetes w każdym klastrze GKE. Zainstalowanie ich pomaga zagwarantować, że uzyskasz pełną wartość zabezpieczeń z usługi Defender for Containers.

Możesz użyć dwóch dedykowanych rekomendacji Defender dla Chmury do zainstalowania rozszerzeń (i usługi Azure Arc, jeśli to konieczne):

  • Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Microsoft Defender dla usługi Azure Arc
  • Klastry GKE powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Uwaga

Podczas instalowania rozszerzeń usługi Arc należy sprawdzić, czy podany projekt GCP jest identyczny z tym, który znajduje się w odpowiednim łączniku.

Aby wdrożyć rozwiązanie w określonych klastrach:

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury> Poleceń.

  3. Na stronie Defender dla Chmury Zalecenia wyszukaj jedną z rekomendacji według nazwy.

    Zrzut ekranu przedstawiający wyszukiwanie rekomendacji.

  4. Wybierz klaster GKE w złej kondycji.

    Ważne

    Należy wybrać klastry pojedynczo.

    Nie wybieraj klastrów według ich hiperlinków. Wybierz dowolne miejsce w odpowiednim wierszu.

  5. Wybierz nazwę zasobu w złej kondycji.

  6. Wybierz pozycję Napraw.

    Zrzut ekranu przedstawiający lokalizację przycisku Napraw.

  7. Defender dla Chmury generuje skrypt w wybranym języku:

    • W przypadku systemu Linux wybierz pozycję Bash.
    • W przypadku systemu Windows wybierz pozycję PowerShell.
  8. Wybierz pozycję Pobierz logikę korygowania.

  9. Uruchom wygenerowany skrypt w klastrze.

  10. Powtórz kroki od 3 do 8 dla innego zalecenia.

Wyświetlanie alertów klastra GKE

  1. Zaloguj się w witrynie Azure Portal.

  2. Przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń.

  3. Wybierz przycisk .

  4. W menu rozwijanym Filtr wybierz pozycję Typ zasobu.

  5. W menu rozwijanym Wartość wybierz pozycję Klaster GKE GCP.

  6. Wybierz OK

Wdrażanie czujnika usługi Defender

Aby wdrożyć czujnik usługi Defender w klastrach GCP:

  1. Przejdź do pozycji Microsoft Defender dla Chmury> Ustawienia>środowiska Dodaj środowisko>Google Cloud Platform.

    Zrzut ekranu przedstawiający opcje dodawania środowiska GCP w Microsoft Defender dla Chmury.

  2. Podaj szczegóły konta.

    Zrzut ekranu przedstawiający formularz, aby wypełnić szczegóły konta dla środowiska GCP w Microsoft Defender dla Chmury.

  3. Przejdź do pozycji Wybierz plany, otwórz plan Kontenery i upewnij się, że czujnik automatycznej aprowizacji usługi Defender dla usługi Azure Arc ma wartość Włączone.

    Zrzut ekranu przedstawiający opcje włączania czujnika usługi Defender dla usługi Azure Arc w Microsoft Defender dla Chmury.

  4. Przejdź do sekcji Konfigurowanie dostępu i wykonaj tam kroki.

    Zrzut ekranu przedstawiający stronę konfigurowania dostępu do środowiska GCP w Microsoft Defender dla Chmury.

  5. Po pomyślnym uruchomieniu skryptu gcloud wybierz pozycję Utwórz.

Uwaga

Z automatycznej aprowizacji można wykluczyć określony klaster GCP. W przypadku wdrożenia czujnika zastosuj etykietę ms_defender_container_exclude_agents na zasobie z wartością true. W przypadku wdrożenia bez agenta zastosuj etykietę ms_defender_container_exclude_agentless na zasobie z wartością true.

Symulowanie alertów zabezpieczeń z usługi Microsoft Defender for Containers

Pełna lista obsługiwanych alertów jest dostępna w tabeli referencyjnej wszystkich alertów zabezpieczeń Defender dla Chmury.

Aby zasymulować alert zabezpieczeń:

  1. Uruchom następujące polecenie z klastra:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Oczekiwana odpowiedź to No resource found.

    W ciągu 30 minut Defender dla Chmury wykrywa to działanie i wyzwala alert zabezpieczeń.

    Uwaga

    Usługa Azure Arc nie jest wymaganiem wstępnym do symulowania alertów bez agenta dla usługi Defender for Containers.

  2. W witrynie Azure Portal przejdź do pozycji Microsoft Defender dla Chmury> Alerty zabezpieczeń i poszukaj alertu dla odpowiedniego zasobu.

    Zrzut ekranu przedstawiający przykładowy alert z usługi Microsoft Defender for Kubernetes.

Usuwanie czujnika usługi Defender

Aby usunąć to (lub dowolne) rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczną aprowizację:

  • Włączenie automatycznej aprowizacji potencjalnie wpływa na istniejące i przyszłe maszyny.
  • Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny. Nic nie zostanie odinstalowane po wyłączeniu automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do pozycji Ustawienia środowiska i wyłącz usługę Microsoft Defender for Containers.

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są teraz automatycznie aprowidowane w zasobach, wyłącz automatyczną aprowizację rozszerzeń.

Rozszerzenie można usunąć z aktualnie uruchomionych maszyn przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub interfejsu API REST, zgodnie z opisem na poniższych kartach.

Usuwanie rozszerzenia za pomocą witryny Azure Portal

  1. W witrynie Azure Portal otwórz usługę Azure Arc.

  2. Na liście infrastruktury wybierz pozycję Klastry Kubernetes, a następnie wybierz określony klaster.

  3. Otwórz stronę Rozszerzenia, która zawiera listę rozszerzeń w klastrze.

  4. Wybierz rozszerzenie, a następnie wybierz pozycję Odinstaluj.

    Zrzut ekranu przedstawiający przycisk odinstalowywania rozszerzenia z klastra Kubernetes z obsługą usługi Azure Arc.

Ustawianie domyślnego obszaru roboczego usługi Log Analytics dla usługi AKS

Czujnik usługi Defender używa obszaru roboczego usługi Log Analytics jako potoku danych do wysyłania danych z klastra do Defender dla Chmury. Obszar roboczy nie zachowuje żadnych danych. W związku z tym użytkownicy nie są rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy podczas instalowania czujnika usługi Defender. Domyślny obszar roboczy jest oparty na Twoim regionie.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

  • Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający sposób lokalizowania strony Zasady.

  3. Wybierz pozycję Definicje.

  4. Wyszukaj identyfikator 64def556-fbad-4622-930e-72d1d5589bf5zasad .

    Zrzut ekranu przedstawiający miejsce wyszukiwania zasad według identyfikatora.

  5. Wybierz pozycję Konfiguruj klastry usługi Azure Kubernetes Service, aby włączyć profil usługi Defender.

  6. Wybierz pozycję Przypisania.

    Zrzut ekranu przedstawiający kartę Przypisania.

  7. Użyj jednej z następnych sekcji w tym artykule w następujący sposób:

Tworzenie nowego przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady nie zostały jeszcze przypisane, na karcie Przypisania zostanie wyświetlona liczba 0.

Zrzut ekranu przedstawiający brak przypisanego obszaru roboczego.

Aby przypisać niestandardowy obszar roboczy:

  1. Zaznacz Przypisz.

  2. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  3. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

    Zrzut ekranu przedstawiający menu rozwijane identyfikatora zasobu obszaru roboczego usługi Log Analytics.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady są przypisane do obszaru roboczego, na karcie Przypisania zostanie wyświetlona liczba 1.

Zrzut ekranu przedstawiający kartę z przypisanym obszarem roboczym.

Uwaga

Jeśli masz więcej niż jedną subskrypcję, liczba może być większa.

Aby przypisać niestandardowy obszar roboczy:

  1. Wybierz odpowiednie przypisanie.

    Zrzut ekranu przedstawiający wybór przypisania.

  2. Wybierz pozycję Edytuj przypisanie.

  3. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  4. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

    Zrzut ekranu przedstawiający menu rozwijane identyfikatora zasobu obszaru roboczego usługi Log Analytics.

  5. Wybierz pozycję Przejrzyj i zapisz.

  6. Wybierz pozycję Zapisz.

Domyślny obszar roboczy usługi Log Analytics dla usługi Azure Arc

Czujnik usługi Defender używa obszaru roboczego usługi Log Analytics jako potoku danych do wysyłania danych z klastra do Defender dla Chmury. Obszar roboczy nie zachowuje żadnych danych. W związku z tym użytkownicy nie są rozliczani w tym przypadku użycia.

Czujnik usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy podczas instalowania czujnika usługi Defender. Domyślny obszar roboczy jest oparty na Twoim regionie.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

  • Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupa zasobów: DefaultResourceGroup-[geo]

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający sposób lokalizowania strony zasad dla usługi Azure Arc.

  3. Wybierz pozycję Definicje.

  4. Wyszukaj identyfikator 708b60a6-d253-4fe0-9114-4be4c00f012czasad .

    Zrzut ekranu przedstawiający miejsce wyszukiwania zasad według identyfikatora dla usługi Azure Arc.

  5. Wybierz pozycję Konfiguruj klastry Kubernetes z włączoną usługą Azure Arc, aby zainstalować rozszerzenie Microsoft Defender dla Chmury.

  6. Wybierz pozycję Przypisania.

    Zrzut ekranu przedstawiający kartę Przypisania dla usługi Azure Arc.

  7. Użyj jednej z następnych sekcji w tym artykule w następujący sposób:

Tworzenie nowego przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady nie zostały jeszcze przypisane, na karcie Przypisania zostanie wyświetlona liczba 0.

Zrzut ekranu przedstawiający brak przypisanego obszaru roboczego dla usługi Azure Arc.

Aby przypisać niestandardowy obszar roboczy:

  1. Zaznacz Przypisz.

  2. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  3. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

    Zrzut ekranu przedstawiający menu rozwijane identyfikatora zasobu obszaru roboczego usługi Log Analytics powiązanego z usługą Azure Arc.

  4. Wybierz pozycję Przejrzyj i utwórz.

  5. Wybierz pozycję Utwórz.

Aktualizowanie przypisania przy użyciu niestandardowego obszaru roboczego

Jeśli zasady są przypisane do obszaru roboczego, na karcie Przypisania zostanie wyświetlona liczba 1.

Uwaga

Jeśli masz więcej niż jedną subskrypcję, liczba może być większa. Jeśli masz liczbę 1 lub większą, ale przypisanie nie znajduje się w odpowiednim zakresie, wykonaj kroki Tworzenie nowego przypisania z niestandardowym obszarem roboczym.

Zrzut ekranu przedstawiający kartę z przypisanym obszarem roboczym dla usługi Azure Arc.

Aby przypisać niestandardowy obszar roboczy:

  1. Wybierz odpowiednie przypisanie.

    Zrzut ekranu przedstawiający wybór przypisania dla usługi Azure Arc.

  2. Wybierz pozycję Edytuj przypisanie.

  3. Na karcie Parametry wyczyść opcję Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  4. Wybierz wartość LogAnalyticsWorkspaceResourceId z menu rozwijanego.

    Zrzut ekranu przedstawiający menu rozwijane identyfikatora zasobu obszaru roboczego usługi Log Analytics dla usługi Azure Arc.

  5. Wybierz pozycję Przejrzyj i zapisz.

  6. Wybierz pozycję Zapisz.

Usuwanie czujnika usługi Defender

Aby usunąć to (lub dowolne) rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczną aprowizację:

  • Włączenie automatycznej aprowizacji potencjalnie wpływa na istniejące i przyszłe maszyny.
  • Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny. Nic nie zostanie odinstalowane po wyłączeniu automatycznej aprowizacji.

Uwaga

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do pozycji Ustawienia środowiska i wyłącz usługę Microsoft Defender for Containers.

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są teraz automatycznie aprowidowane w zasobach, wyłącz automatyczną aprowizację rozszerzeń.

Rozszerzenie można usunąć z aktualnie uruchomionych maszyn przy użyciu interfejsu API REST, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Resource Manager, jak wyjaśniono na poniższych kartach.

Usuwanie czujnika usługi Defender z usługi AKS przy użyciu interfejsu API REST

Aby usunąć rozszerzenie przy użyciu interfejsu API REST, uruchom następujące PUT polecenie:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Polecenie zawiera następujące parametry:

Nazwa/nazwisko opis Obowiązkowy
SubscriptionId Identyfikator subskrypcji klastra Tak
ResourceGroup Grupa zasobów klastra Tak
ClusterName Nazwa klastra Tak
ApiVersion Wersja interfejsu API; musi mieć wartość 2022-06-01 lub nowszą Tak

Jest to treść żądania:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Treść żądania ma następujące parametry:

Nazwa/nazwisko opis Obowiązkowy
location Lokalizacja klastra Tak
properties.securityProfile.defender.securityMonitoring.enabled Określa, czy włączyć lub wyłączyć usługę Microsoft Defender for Containers w klastrze Tak

Po włączeniu usługi Defender for Containers możesz wykonywać następujące czynności:

Aby dowiedzieć się więcej na temat Defender dla Chmury i usługi Defender for Containers, zapoznaj się z następującymi blogami: