Konfigurowanie składników usługi Microsoft Defender for Containers

  • 3 min

Usługa Microsoft Defender for Containers to rozwiązanie natywne dla chmury do zabezpieczania kontenerów.

Usługa Defender dla Kontenerów chroni klastry niezależnie od tego, czy działają w:

  • Azure Kubernetes Service (AKS) — zarządzana usługa firmy Microsoft do tworzenia, wdrażania i zarządzania aplikacjami konteneryzowanymi.
  • Amazon Elastic Kubernetes Service (EKS) na połączonym koncie usług Amazon Web Services (AWS) — zarządzana usługa Amazon do uruchamiania rozwiązania Kubernetes na platformie AWS bez konieczności instalowania, obsługi i obsługi własnej płaszczyzny sterowania lub węzłów platformy Kubernetes.
  • Google Kubernetes Engine (GKE) w połączonym projekcie Google Cloud Platform (GCP) — zarządzane środowisko Google do wdrażania, zarządzania i skalowania aplikacji przy użyciu infrastruktury GCP.
  • Inne dystrybucje Platformy Kubernetes (przy użyciu platformy Kubernetes z obsługą usługi Azure Arc) — certyfikowane klastry Kubernetes (Cloud Native Computing Foundation, CNCF) hostowane lokalnie lub w usłudze IaaS.

Wymagania dotyczące sieci

Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby agent usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:

  • Zweryfikuj w pełni kwalifikowaną nazwę domeny (FQDN)/reguły aplikacji dla usługi Microsoft Defender for Containers.
  • Domyślnie klastry usługi AKS mają nieograniczony dostęp do Internetu dla ruchu wychodzącego.

Włączanie planu

Aby włączyć plan:

  1. W menu Defender dla Chmury otwórz stronę Ustawienia i wybierz odpowiednią subskrypcję.

  2. Na stronie Plany usługi Defender wybierz pozycję Defender for Containers i wybierz pozycję Ustawienia.

    Zrzut ekranu przedstawiający sposób włączania usługi Defender for Containers na stronie Ustawienia.

    Wskazówka

    Jeśli subskrypcja ma już włączoną usługę Defender dla platformy Kubernetes i/lub defender dla rejestrów kontenerów, zostanie wyświetlone powiadomienie o aktualizacji. W przeciwnym razie jedyną opcją będzie defender for Containers.

    Zrzut ekranu przedstawiający już włączoną usługę Defender dla platformy Kubernetes i usługę Defender dla rejestrów kontenerów.

  3. Włącz odpowiedni składnik, aby go włączyć.

    Zrzut ekranu przedstawiający sposób włączania odpowiedniego składnika.

Metoda włączania na możliwość

Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego włączania wszystkich funkcji i instalowania wszystkich wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.

Jeśli nie chcesz włączyć wszystkich możliwości planów, możesz ręcznie wybrać określone możliwości, które mają zostać włączone, wybierając pozycję Edytuj konfigurację dla planu Kontenery. Następnie na stronie Ustawienia i monitorowanie wybierz możliwości, które chcesz włączyć. Ponadto tę konfigurację można zmodyfikować na stronie plany usługi Defender po wstępnej konfiguracji planu.

Przypisywanie niestandardowego obszaru roboczego dla agenta usługi Defender

Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Ręczne wdrażanie agenta usługi Defender lub agenta usługi Azure Policy bez automatycznego aprowizowania przy użyciu zaleceń

Możliwości wymagające instalacji agenta można również wdrożyć w co najmniej jednym klastrze Kubernetes, korzystając z odpowiedniego zalecenia:

Agent Zalecenie
Agent usługi Defender dla platformy Kubernetes Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender
Agent usługi Defender dla platformy Kubernetes z obsługą usługi Arc Klastry Kubernetes z obsługą usługi Azure Arc powinny mieć zainstalowane rozszerzenie Defender
Agent usługi Azure Policy dla platformy Kubernetes Klastry usługi Azure Kubernetes Service powinny mieć zainstalowany dodatek usługi Azure Policy dla platformy Kubernetes
Agent usługi Azure Policy dla platformy Kubernetes z obsługą usługi Arc Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy

Wykonaj następujące kroki, aby wykonać wdrożenie agenta usługi Defender w określonych klastrach:

  1. Na stronie zaleceń Microsoft Defender dla Chmury otwórz stronę Włącz rozszerzoną kontrolę zabezpieczeń lub wyszukaj bezpośrednio jedną z powyższych rekomendacji (lub użyj powyższych linków, aby bezpośrednio otworzyć zalecenie)

  2. Wyświetl wszystkie klastry bez agenta za pośrednictwem karty w złej kondycji.

  3. Wybierz klastry, aby wdrożyć żądanego agenta, a następnie wybierz pozycję Napraw.

  4. Wybierz pozycję Napraw zasoby X.

    • Widoczność , która z klastrów ma wdrożonego agenta usługi Defender
    • Przycisk Napraw , aby wdrożyć go w tych klastrach bez agenta
    • Obszar roboczy: DefaultWorkspace-[subscription-ID]-[geo]
    • Grupa zasobów: DefaultResourceGroup-[geo]
    • Włączenie automatycznej aprowizacji może mieć wpływ na istniejące i przyszłe maszyny.
    • Wyłączenie automatycznej aprowizacji rozszerzenia ma wpływ tylko na przyszłe maszyny — nic nie zostanie odinstalowane przez wyłączenie automatycznej aprowizacji.

Wdrażanie agenta usługi Defender — wszystkie opcje

Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki z witryny Azure Portal, interfejsu API REST lub szablonu usługi Resource Manager. Aby uzyskać szczegółowe instrukcje, wybierz odpowiednią kartę.

Po wdrożeniu agenta usługi Defender domyślny obszar roboczy zostanie automatycznie przypisany. Niestandardowy obszar roboczy można przypisać zamiast domyślnego obszaru roboczego za pomocą usługi Azure Policy.

Użyj przycisku naprawy z zalecenia Defender dla Chmury

Usprawniony, bezproblemowy proces umożliwia korzystanie ze stron witryny Azure Portal w celu włączenia planu Defender dla Chmury i skonfigurowania automatycznego aprowizowania wszystkich niezbędnych składników do obrony klastrów Kubernetes na dużą skalę.

Dedykowane zalecenie Defender dla Chmury zawiera:

  1. Na stronie zaleceń Microsoft Defender dla Chmury otwórz pozycję Włącz rozszerzoną kontrolę zabezpieczeń.

  2. Użyj filtru, aby znaleźć zalecenie o nazwie Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender.

    Uwaga

    Zwróć uwagę na ikonę Napraw w kolumnie actions

  3. Wybierz klastry, aby wyświetlić szczegóły zasobów w dobrej kondycji i złej kondycji — klastry z agentem i bez tego agenta.

  4. Z listy zasobów w złej kondycji wybierz klaster i wybierz pozycję Koryguj , aby otworzyć okienko z potwierdzeniem korygowania.

  5. Wybierz pozycję Napraw zasoby X.

Symulowanie alertów zabezpieczeń z usługi Microsoft Defender for Containers

  1. Aby zasymulować alert zabezpieczeń, uruchom następujące polecenie z klastra: kubectl get pods --namespace=asc-alerttest-662jfi039n Oczekiwana odpowiedź to No resource found. W ciągu 30 minut Defender dla Chmury wykrywa to działanie i wyzwala alert zabezpieczeń.

    Uwaga

    Aby symulować alerty bez agenta dla usługi Defender for Containers, usługa Azure Arc nie jest wymaganiem wstępnym.

  2. W witrynie Azure Portal otwórz stronę alertów zabezpieczeń Microsoft Defender dla Chmury i wyszukaj alert dotyczący odpowiedniego zasobu:

    Zrzut ekranu przedstawiający stronę alertów zabezpieczeń Microsoft Defender dla Chmury.

Domyślny obszar roboczy usługi Log Analytics dla usługi AKS

Obszar roboczy usługi Log Analytics jest używany przez agenta usługi Defender jako potok danych do wysyłania danych z klastra do Defender dla Chmury bez przechowywania żadnych danych w samym obszarze roboczym usługi Log Analytics. W związku z tym użytkownicy nie będą rozliczani w tym przypadku użycia.

Agent usługi Defender używa domyślnego obszaru roboczego usługi Log Analytics. Jeśli nie masz jeszcze domyślnego obszaru roboczego usługi Log Analytics, Defender dla Chmury utworzy nową grupę zasobów i domyślny obszar roboczy po zainstalowaniu agenta usługi Defender. Domyślny obszar roboczy jest tworzony na podstawie regionu.

Konwencja nazewnictwa domyślnego obszaru roboczego usługi Log Analytics i grupy zasobów to:

Przypisywanie niestandardowego obszaru roboczego

Po włączeniu opcji automatycznej aprowizacji domyślny obszar roboczy zostanie automatycznie przypisany. Obszar roboczy niestandardowy można przypisać za pomocą usługi Azure Policy.

Aby sprawdzić, czy masz przypisany obszar roboczy:

  1. Zaloguj się do portalu Azure.

  2. Wyszukaj i wybierz pozycję Zasady.

    Zrzut ekranu przedstawiający sposób przypisywania niestandardowego obszaru roboczego za pomocą zasad platformy Azure.

  3. Wybierz pozycję Definicje.

  4. Wyszukaj identyfikator 64def556-fbad-4622-930e-72d1d5589bf5zasad .

    Zrzut ekranu przedstawiający przypisania skonfigurowane na stronie Definicja zasad.

  5. Postępuj zgodnie z instrukcjami w sekcji Tworzenie nowego przypisania z niestandardowym obszarem roboczym , jeśli zasady nie zostały jeszcze przypisane do odpowiedniego zakresu. Możesz też postępować zgodnie z przypisaniem aktualizacji z niestandardowym obszarem roboczym , jeśli zasady zostały już przypisane i chcesz zmienić je tak, aby korzystały z niestandardowego obszaru roboczego.

Tworzenie nowego przypisania z niestandardowym obszarem roboczym

Jeśli zasady nie zostały przypisane, zobaczysz wartość Assignments (0).

Zrzut ekranu przedstawiający sposób tworzenia nowego przypisania za pomocą niestandardowego obszaru roboczego.

Aby przypisać niestandardowy obszar roboczy:

  1. Wybierz Przypisz.

  2. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  3. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

    Zrzut ekranu przedstawiający sposób wybierania identyfikatora zasobu obszaru roboczego usługi Log Analytics.

  4. Wybierz opcję Recenzja i utwórz.

  5. Wybierz Utwórz.

Aktualizowanie przypisania za pomocą niestandardowego obszaru roboczego

Jeśli zasady zostały już przypisane do obszaru roboczego, zobaczyszAssignments (1).

Zrzut ekranu przedstawiający włączenie istniejącego przypisania na stronie Definicja zasad.

Uwaga

Jeśli masz więcej niż jedną subskrypcję, numer może być wyższy.

Aby przypisać niestandardowy obszar roboczy:

  1. Wybierz odpowiednie przypisanie.

    Zrzut ekranu przedstawiający sposób przypisywania niestandardowego przypisania obszaru roboczego ze strony Definicja zasad.

  2. Wybierz pozycję Edytuj przypisanie.

  3. Na karcie Parametry usuń zaznaczenie opcji Pokaż tylko parametry, które wymagają wprowadzenia lub przeglądu.

  4. Wybierz identyfikator LogAnalyticsWorkspaceResource z menu rozwijanego.

    Zrzut ekranu przedstawiający sposób konfigurowania parametrów obszaru roboczego usługi Log Analytics.

  5. Wybierz pozycję Przejrzyj i zapisz.

  6. Wybierz Zapisz.

Usuwanie czujnika usługi Defender

Aby usunąć to — lub dowolne — rozszerzenie Defender dla Chmury, nie wystarczy wyłączyć automatyczne aprowizowanie:

Aby całkowicie wyłączyć plan usługi Defender for Containers, przejdź do obszaru Ustawienia środowiska i wyłącz plan usługi Microsoft Defender for Containers.

Niemniej jednak w celu zapewnienia, że składniki usługi Defender for Containers nie są automatycznie aprowizowane do zasobów od teraz, wyłącz automatyczne aprowizowanie rozszerzeń zgodnie z opisem w temacie Konfigurowanie automatycznej aprowizacji agentów i rozszerzeń z Microsoft Defender dla Chmury.

Rozszerzenie można usunąć przy użyciu interfejsu API REST lub szablonu usługi Resource Manager, jak wyjaśniono na poniższych kartach.

Usuwanie czujnika usługi Defender przy użyciu interfejsu wiersza polecenia platformy Azure

  1. Usuń usługę Microsoft Defender dla programu z następującymi poleceniami:

    
az login az account set --subscription <subscription-id> az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>

    Usunięcie rozszerzenia może potrwać kilka minut.

  2. Aby sprawdzić, czy rozszerzenie zostało pomyślnie usunięte, uruchom następujące polecenie: kubectl get pods -n kube-system | grep microsoft-defender Po usunięciu rozszerzenia powinno zostać wyświetlone, że w poleceniu get zasobników nie są zwracane żadne zasobniki. Usunięcie zasobników może potrwać kilka minut.