Настройка компонентов Microsoft Defender для контейнеров

Microsoft Defender для контейнеров — это решение для защиты контейнеров, ориентированное на облако. Это помогает защитить кластеры независимо от того, работают ли они в:

• Служба Azure Kubernetes (AKS): управляемая служба Майкрософт для разработки, развертывания и управления контейнерными приложениями.

• Amazon Elastic Kubernetes Service (EKS) в подключенной учетной записи Amazon Web Services (AWS) — управляемая служба Amazon для запуска Kubernetes в AWS без необходимости устанавливать, работать и поддерживать собственный уровень управления Kubernetes или узлы.

• Google Kubernetes Engine (GKE) в подключенном проекте Google Cloud Platform (GCP): управляемая среда Google для развертывания, управления и масштабирования приложений с помощью инфраструктуры GCP.

• Другие дистрибутивы Kubernetes (с поддержкой Azure Arc Kubernetes): Cloud Native Computing Foundation (CNCF) сертифицированные кластеры Kubernetes, размещенные локально или в инфраструктуре как услуга (IaaS). Дополнительные сведения см. в таблице поддержки контейнеров в Defender для облака.

Сначала вы можете узнать, как подключиться и помочь защитить контейнеры в следующих статьях:

• Защита контейнеров Azure с помощью Defender для контейнеров
• Защита локальных кластеров Kubernetes с помощью Defender для контейнеров
• Защита контейнеров Amazon Web Services (AWS) с помощью Defender для контейнеров
• Защита контейнеров Google Cloud Platform (GCP) с помощью Defender для контейнеров

Вы также можете узнать больше, просмотрев эти видео из Defender для облака в серии видео по полю:

• Microsoft Defender для контейнеров в многооблачной среде
• Защита контейнеров в GCP с помощью Defender для контейнеров

Примечание.

Поддержка Защитника контейнеров для кластеров Kubernetes с поддержкой Azure Arc — это предварительная версия. Предварительная версия функции доступна на основе самостоятельного согласия.

Предварительные версии предоставляются как доступные. Они исключены из соглашений об уровне обслуживания и ограниченной гарантии.

Дополнительные сведения о поддерживаемых операционных системах, доступности компонентов, исходящем прокси-сервере и многое другое см. в таблице поддержки контейнеров в Defender для облака.

Требования к сети

Убедитесь, что следующие конечные точки настроены для исходящего доступа, чтобы датчик Defender смог подключиться к Microsoft Defender для облака для отправки данных и событий безопасности.

Датчик Defender должен подключиться к настроенной рабочей области Azure Monitor Log Analytics. По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету. Если для исходящего события из кластера требуется использование области Приватный канал Azure Monitor (AMPLS), необходимо:

• Определите кластер с помощью аналитики контейнеров и рабочей области Log Analytics.
• Настройте AMPLS с режимом доступа к запросу и режимом доступа приема, равным Open.
• Определите рабочую область Log Analytics кластера в качестве ресурса в AMPLS.
• Создайте в AMPLS частную конечную точку виртуальной сети между виртуальной сетью кластера и ресурсом Log Analytics. Частная конечная точка виртуальной сети интегрируется с частной зоной DNS.

Инструкции см. в статье "Создание области Приватный канал Azure Monitor".

Требования к сети

Убедитесь, что для общедоступных облачных развертываний настроены следующие конечные точки для исходящего доступа. Настройка для исходящего доступа помогает убедиться, что датчик Defender может подключаться к Microsoft Defender для облака для отправки данных и событий безопасности.

Домен Azure	домен Azure для государственных организаций	Azure, управляемый доменом 21Vianet	Порт
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Кроме того, необходимо проверить требования к сети Kubernetes с поддержкой Azure Arc.

Включение плана

1. В Defender для облака выберите "Параметры" и выберите соответствующую подписку.

2. На странице планов Defender выберите "Параметры контейнеров>".

   

   Совет

   Если подписка уже включена в Defender для Kubernetes или Defender для реестров контейнеров, появится уведомление об обновлении. В противном случае единственным вариантом является контейнеры.

   

3. Включите соответствующий компонент.

   

   Примечание.

   • Клиенты Defender для контейнеров, присоединенные до августа 2023 г. и не имеющие обнаружения без агента для Kubernetes, включены в рамках управления облачной безопасностью Defender (CSPM), когда они включили план, необходимо вручную включить расширение Agentless для Kubernetes в рамках плана Defender для контейнеров.
   • Если отключить Defender для контейнеров, компоненты будут отключены. Они больше не развертываются в контейнерах, но они не удаляются из контейнеров, где они уже установлены.

Метод включения для каждой возможности

По умолчанию при включении плана через портал Azure Microsoft Defender для контейнеров настроена автоматическая включение всех возможностей и установка всех необходимых компонентов для обеспечения защиты, предоставляемых планом. Эта конфигурация включает назначение рабочей области по умолчанию.

Если вы не хотите включить все возможности планов, можно вручную выбрать определенные возможности для включения, нажав кнопку "Изменить конфигурацию для плана контейнеров ". Затем на странице "Параметры" и "Мониторинг " выберите возможности, которые требуется включить. Вы также можете изменить эту конфигурацию на странице планов Defender после начальной настройки плана.

Подробные сведения о методе включения для каждой возможности см. в матрице поддержки.

Роли и разрешения

Дополнительные сведения о ролях для подготовки расширений Defender для контейнеров.

Назначение настраиваемой рабочей области для датчика Defender

Вы можете назначить рабочую область с помощью Политики Azure.

Ручное развертывание датчика Defender или агента политики Azure без автоматической подготовки с помощью рекомендаций

Возможности, требующие установки датчика, также можно развернуть в одном или нескольких кластерах Kubernetes. Используйте соответствующую рекомендацию:

Sensor	Рекомендация
Датчик Defender для Kubernetes	В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
Датчик Defender для Kubernetes с поддержкой Azure Arc	В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender
агент Политика Azure для Kubernetes	Служба Azure Kubernetes кластерам должна быть установлена надстройка Политика Azure для Kubernetes.
агент Политика Azure для Kubernetes с поддержкой Azure Arc	В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Политики Azure

Чтобы развернуть датчик Defender в определенных кластерах, выполните следующие действия.

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью повышенной безопасности или выполните поиск одной из предыдущих рекомендаций. (Вы также можете использовать предыдущие ссылки, чтобы открыть рекомендацию напрямую.)

2. Просмотрите все кластеры без датчика, открыв вкладку "Неработоспособная ".

3. Выберите кластеры, в которых требуется развернуть датчик, а затем нажмите кнопку "Исправить".

4. Выберите Исправить [X] ресурсы.

Развертывание датчика Defender: все параметры

Вы можете включить план Defender для контейнеров и развернуть все соответствующие компоненты с помощью портал Azure, REST API или шаблона Azure Resource Manager. Для получения подробных инструкций выберите соответствующую вкладку.

После развертывания датчика Defender рабочая область по умолчанию автоматически назначается. Вы можете назначить настраиваемую рабочую область вместо рабочей области по умолчанию с помощью Политики Azure.

Примечание.

Датчик Defender развертывается на каждом узле для обеспечения защиты среды выполнения и сбора сигналов от этих узлов с помощью технологии eBPF.

Портал Azure

Использование кнопки "Исправление" из рекомендации Defender для облака

Вы можете использовать страницы портал Azure для включения плана Defender для облака и настройки автоматической подготовки всех необходимых компонентов для защиты кластеров Kubernetes в масштабе. Процесс упрощается.

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость того, какой из кластеров развернут датчик Defender.
• Кнопка "Исправление", чтобы развернуть датчик в кластерах, у которых его нет.

Чтобы развернуть датчик, выполните следующие действия.

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления повышенной безопасностью.

2. Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Службы Azure Kubernetes должен быть включен профиль Defender.

   Совет

   Обратите внимание на значок "Исправление" в столбце "Действия".

3. Выберите кластеры, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах (кластерах с датчиком и без нее).

4. В списке неработоспособных ресурсов выберите кластер. Затем выберите "Исправление" , чтобы открыть область с подтверждением исправления.

5. Выберите Исправить [X] ресурсы.

REST API

Развертывание датчика Defender с помощью REST API

Чтобы установить securityProfile существующий кластер с помощью REST API, выполните следующую PUT команду:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Ниже приведен универсальный код ресурса (URI) запроса:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Запрос запроса имеет следующие параметры:

Имя	Описание	Обязательно
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Версия API; должно быть 2022-06-01 или более поздней версии	Да

Это текст запроса:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Текст запроса имеет следующие параметры:

Имя	Описание	Обязательно
location	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Идентификатор ресурса Azure для рабочей области Log Analytics	Да

Azure CLI

Развертывание датчика Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Внимание

   Убедитесь, что вы используете тот же идентификатор подписки, что <your-subscription-id> и связанный с кластером AKS.

2. Включите датчик Defender в контейнерах:

   • Выполните следующую команду, чтобы создать кластер с включенным датчиком Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Выполните следующую команду, чтобы включить датчик Defender в существующем кластере:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Ниже приведены поддерживаемые параметры конфигурации для типа датчика Defender:

   Свойство

   Description

   logAnalyticsWorkspaceResourceId

   Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если он не указан, используется рабочая область по умолчанию региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Узнайте о рабочих областях Log Analytics.

   Эти параметры можно включить в JSON-файл и указать JSON-файл в az aks createaz aks update команде с помощью этого параметра:--defender-config <path-to-JSON-file> Формат JSON-файла должен быть:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Дополнительные сведения о командах ИНТЕРФЕЙСА командной строки AKS см. в az aks.

3. Чтобы убедиться, что датчик был успешно добавлен, выполните следующую команду на компьютере с файлом, указывающим kubeconfig на кластер:

   kubectl get pods -n kube-system
   

   При добавлении датчика в состоянии должен появиться модуль microsoft-defender-XXXXX Running pod. Добавление модулей может занять несколько минут.

Resource Manager

Развертывание датчика Defender с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, запустите здесь: что такое шаблоны Azure Resource Manager?.

Чтобы установить securityProfile существующий кластер с помощью Resource Manager, выполните следующее:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Включение плана

1. В Defender для облака выберите "Параметры" и выберите соответствующую подписку.

2. На странице планов Defender выберите "Параметры контейнеров>".

   

   Совет

   Если подписка уже включена в Defender для Kubernetes или Defender для реестров контейнеров, появится уведомление об обновлении. В противном случае единственным вариантом является контейнеры.

   

3. Включите соответствующий компонент.

   

   Примечание.

   Если отключить Defender для контейнеров, компоненты будут отключены. Они больше не развертываются в контейнерах, но они не удаляются из контейнеров, где они уже установлены.

По умолчанию при включении плана с помощью портал Azure Microsoft Defender для контейнеров настроена автоматическая установка необходимых компонентов для обеспечения защиты, предоставляемых планом. Эта конфигурация включает назначение рабочей области по умолчанию.

Если вы хотите отключить автоматическую установку компонентов во время подключения, выберите "Изменить конфигурацию " для плана "Контейнеры ". Отображаются дополнительные параметры и вы можете отключить автоматическую установку для каждого компонента.

Вы также можете изменить эту конфигурацию на странице планов Defender.

Примечание.

Если вы решили отключить план в любое время после включения на портале, необходимо вручную удалить компоненты Defender для контейнеров, развернутые в кластерах.

Вы можете назначить рабочую область с помощью Политики Azure.

Если отключить автоматическую установку любого компонента, можно легко развернуть компонент в одном или нескольких кластерах с помощью соответствующей рекомендации:

• надстройка Политика Azure для Kubernetes: Служба Azure Kubernetes кластерам должна быть установлена надстройка Политика Azure для Kubernetes.
• профиль Служба Azure Kubernetes: в кластерах Служба Azure Kubernetes должен быть включен профиль Defender
• Расширение Defender для Kubernetes с поддержкой Azure Arc: кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Defender
• расширение Политика Azure для Kubernetes с поддержкой Azure Arc: Кластеры Kubernetes с поддержкой Azure Arc должны иметь расширение Политика Azure

Дополнительные сведения о ролях для подготовки расширений Defender для контейнеров.

Необходимые компоненты

Перед развертыванием датчика убедитесь, что вы:

• Подключите кластер Kubernetes к Azure Arc.
• Выполните необходимые условия, перечисленные в документации по универсальным расширениям кластера.

Развертывание датчика Defender

Датчик Defender можно развернуть с помощью ряда методов. Для получения подробных инструкций выберите соответствующую вкладку.

Портал Azure

Использование кнопки "Исправление" из рекомендации Defender для облака

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость того, какой из кластеров развернут датчик Defender.
• Кнопка "Исправление", чтобы развернуть датчик в кластерах, у которых его нет.

Чтобы развернуть датчик, выполните следующие действия.

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления повышенной безопасностью.

2. Используйте фильтр, чтобы найти рекомендацию с именем Кластеры Kubernetes с поддержкой Azure Arc, должны иметь расширение Microsoft Defender.

   

   Совет

   Обратите внимание на значок "Исправление" в столбце "Действия".

3. Выберите датчик, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах (кластерах с датчиком и без нее).

4. В списке неработоспособных ресурсов выберите кластер. Затем выберите "Исправить" , чтобы открыть область с параметрами исправления.

5. Выберите соответствующую рабочую область Log Analytics и выберите команду "Исправить x ресурс".

   

Azure CLI

Развертывание датчика Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Внимание

   Убедитесь, что вы используете тот же идентификатор подписки, <your-subscription-id> что и тот, который использовался при подключении кластера к Azure Arc.

2. Выполните следующую команду, чтобы развернуть датчик на вершине кластера Kubernetes с поддержкой Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Ниже приведены поддерживаемые параметры конфигурации для типа датчика Defender:

   Свойство	Description
   logAnalyticsWorkspaceResourceID	Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если он не указан, используется рабочая область по умолчанию региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис. /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name} Узнайте о рабочих областях Log Analytics.
   auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Если он не указан, используется путь /var/log/kube-apiserver/audit.log по умолчанию. Для подсистемы AKS стандартный путь ./var/log/kubeaudit/audit.log

   Следующая команда показывает пример использования всех необязательных полей:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Развертывание датчика Defender с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Вы можете использовать шаблон azure-defender-extension-arm-template.json Resource Manager из примеров установки Defender для облака.

Совет

Если вы не знакомы с шаблонами Resource Manager, запустите здесь: что такое шаблоны Azure Resource Manager?.

REST API

Развертывание датчика Defender с помощью REST API

Чтобы использовать REST API для развертывания датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Чтобы вручную развернуть датчик с помощью REST API, выполните следующую PUT команду:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Команда включает следующие параметры:

Имя.	In	Обязательное поле	Type	Описание
Subscription ID	Путь	Истина	Строка	Идентификатор вашей подписки ресурса Kubernetes с поддержкой Azure Arc
Resource Group	Путь	Истина	Строка	Имя группы ресурсов, содержащей ресурс Kubernetes с поддержкой Azure Arc
Cluster Name	Путь	Истина	Строка	Имя вашего ресурса Kubernetes с поддержкой Azure Arc

Для проверки подлинности заголовок должен иметь маркер носителя (как и другие API Azure). Чтобы получить токен носителя, выполните следующую команду.

az account get-access-token --subscription <your-subscription-id>

Используйте следующую структуру для текста сообщения:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

Текст сообщения содержит следующие свойства:

Свойство	Description
logAnalytics.workspaceId	Идентификатор рабочей области ресурса Log Analytics.
logAnalytics.key	Ключ ресурса Log Analytics.
auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Значение по умолчанию — /var/log/kube-apiserver/audit.log.

Проверка развертывания

Чтобы убедиться, что в кластере установлен датчик Defender, выполните действия на одной из следующих вкладок.

Портал Azure — Defender для облака

Используйте Defender для облака рекомендации для проверки состояния датчика

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью "Включить Microsoft Defender для облака".

2. Выберите рекомендацию с именем кластеры Kubernetes с поддержкой Azure Arc, должны иметь расширение Microsoft Defender.

   

3. Убедитесь, что кластер, на котором развернут датчик, указан как "Работоспособный".

Портал Azure — Azure Arc

Использование страниц Azure Arc для проверки состояния датчика

1. В портал Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes и выберите конкретный кластер.

3. Откройте страницу расширений . На странице перечислены расширения кластера. Чтобы проверить правильность установки датчика Defender, проверьте столбец состояния установки.

   

4. Для получения дополнительных сведений выберите расширение.

   

Azure CLI

Использование Azure CLI для проверки развертывания датчика

1. Выполните указанную ниже команду в Azure CLI.

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. В ответе найдите "extensionType": "microsoft.azuredefender.kubernetes" и "installState": "Installed".

   Примечание.

   Ответ может отображаться "installState": "Pending" в течение первых нескольких минут.

3. Если отображается состояние Installed, выполните следующую команду на компьютере с файлом, указывающим kubeconfig на кластер. Затем убедитесь, что все модули pod в mdc пространстве имен находятся в Running состоянии.

   kubectl get pods -n mdc
   

REST API

Использование REST API для проверки развертывания датчика

Чтобы подтвердить успешное развертывание или проверить состояние датчика в любое время:

1. Выполните следующую команду GET.

   GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. В ответе найдите "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed".

   Совет

   Ответ может отображаться "installState": "Pending" в течение первых нескольких минут.

3. Если отображается состояние Installed, выполните следующую команду на компьютере с файлом, указывающим kubeconfig на кластер. Затем убедитесь, что все модули pod в mdc пространстве имен находятся в Running состоянии.

   kubectl get pods -n mdc
   

Включение плана

Внимание

• Если вы не подключили учетную запись AWS, подключите учетную запись AWS к Microsoft Defender для облака, прежде чем начать следующие действия.
• Если вы уже включили план в соединителе и хотите изменить необязательные конфигурации или включить новые возможности, перейдите непосредственно к шагу 4.

Чтобы защитить кластеры EKS, включите план Defender для контейнеров в соответствующем соединителе учетной записи:

1. В Defender для облака откройте параметры среды.

2. Выберите соединитель AWS.

   

3. Убедитесь, что переключатель для плана "Контейнеры " имеет значение "Вкл.".

   

4. Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".

   

   • Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, установите переключатель для этой функции включено. Чтобы изменить срок хранения журналов аудита, введите необходимый интервал времени.

     Примечание.

     Если отключить эту конфигурацию, функция обнаружения угроз (плоскости управления) также отключена. См. дополнительные сведения о доступности функций.

   • Функция обнаружения без агента для Kubernetes предоставляет обнаружение кластеров Kubernetes на основе API. Чтобы включить эту функцию, установите для нее переключатель вкл.

   • Функция оценки уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в ECR, и для запуска образов в кластерах EKS. Чтобы включить эту функцию, установите для нее переключатель вкл.

5. Перейдите к оставшимся страницам мастера соединителя.

6. Если вы включаете функцию обнаружения без агента для Kubernetes , необходимо предоставить разрешения уровня управления в кластере. Вы можете предоставить разрешения одним из следующих способов:

   • Запустите этот скрипт Python. Сценарий добавляет роль MDCContainersAgentlessDiscoveryK8sRole aws-auth ConfigMap Defender для облака для кластеров EKS, которые требуется подключить.

   • Предоставьте каждому кластеру MDCContainersAgentlessDiscoveryK8sRole Amazon EKS роль с возможностью взаимодействия с кластером. Войдите во все существующие и недавно созданные кластеры с помощью eksctl и выполните следующий скрипт:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Дополнительные сведения см. в разделе "Предоставление пользователям IAM доступа к Kubernetes" с записями доступа EKS в руководстве пользователя Amazon EKS.

7. Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes должны быть установлены и запущены в кластерах EKS. Существует выделенная Defender для облака рекомендация по установке этих расширений (и Azure Arc, при необходимости): кластеры EKS должны иметь расширение Microsoft Defender для Azure Arc.

   Чтобы установить необходимые расширения, выполните следующие действия.

   1. На странице рекомендаций Defender для облака найдите и выберите кластеры EKS, которые должны иметь расширение Microsoft Defender для Azure Arc.

   2. Выберите неработоспособный кластер.

      Внимание

      Необходимо выбрать кластеры по одному за раз.

      Не выбирайте кластеры по их именам с гиперссылками. Выберите любое другое место в соответствующей строке.

   3. Выберите элемент Исправить.

   4. Defender для облака создает скрипт на выбранном языке: выберите Bash (для Linux) или PowerShell (для Windows).

   5. Выберите элемент Download remediation logic (Скачать логику исправления).

   6. Запустите созданный скрипт в кластере.

   

Просмотр рекомендаций и оповещений для кластеров EKS

Совет

Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.

Чтобы просмотреть оповещения и рекомендации для кластеров EKS, используйте фильтры для оповещений, рекомендаций и страниц инвентаризации для фильтрации по типу ресурса AWS EKS Cluster.

Развертывание датчика Defender

Чтобы развернуть датчик Defender в кластерах AWS, выполните следующие действия.

1. Перейдите к параметрам Microsoft Defender для облака> Environment>Add environment>Amazon Web Services.

   

2. Заполните сведения об учетной записи.

   

3. Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что для azure Arc установлен датчик автоматической подготовки Защитника.

   

4. Перейдите к разделу "Настройка доступа" и выполните указанные там действия.

   

5. После успешного развертывания шаблона "Формирование облака" нажмите кнопку "Создать".

Примечание.

Вы можете исключить определенный кластер AWS из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents тег к ресурсу со значением true. Для развертывания без агента примените ms_defender_container_exclude_agentless тег к ресурсу со значением true.

Включение плана

Внимание

Если вы не подключили проект GCP, подключите проект GCP к Microsoft Defender для облака.

Чтобы защитить кластеры GKE, выполните следующие действия, чтобы включить план Defender для контейнеров в соответствующем проекте GCP.

Примечание.

Убедитесь, что у вас нет политик Azure, которые препятствуют установке Azure Arc.

1. Войдите на портал Azure.

2. Перейдите к параметрам Microsoft Defender для облака> Environment.

3. Выберите соответствующий соединитель GCP.

   

4. Нажмите кнопку Next: Select Plans > (Далее: выбор планов).

5. Убедитесь, что переключатель для плана "Контейнеры" включен.

   

6. Чтобы изменить необязательные конфигурации для плана, выберите "Параметры".

   

   • Журналы аудита Kubernetes для Defender для облака: включен по умолчанию. Эта конфигурация доступна только на уровне проекта GCP. Он предоставляет бессерверную коллекцию данных журнала аудита через GCP Cloud Log в серверную часть Microsoft Defender для облака для дальнейшего анализа. Defender для контейнеров требует журналов аудита уровня управления для обеспечения защиты от угроз среды выполнения. Чтобы отправить журналы аудита Kubernetes в Microsoft Defender, установите переключатель вкл.

     Примечание.

     Если отключить эту конфигурацию, функция обнаружения угроз (плоскости управления) также отключена. Дополнительные сведения о доступности компонентов.

   • Датчик Автоматической подготовки Defender для Azure Arc и автоматической подготовки Политика Azure расширения для Azure Arc: включен по умолчанию. Kubernetes с поддержкой Azure Arc и его расширения можно установить в кластерах GKE тремя способами:

     • Включите автоматическую подготовку Defender для контейнеров на уровне проекта, как описано в инструкциях в этом разделе. Мы рекомендуем этот метод.
     • Используйте рекомендации Defender для облака для установки на кластер. Они отображаются на странице рекомендаций Microsoft Defender для облака. Узнайте, как развернуть решение в определенных кластерах.
     • Вручную установите Kubernetes и расширения с поддержкой Azure Arc.

   • Функция обнаружения без агента для Kubernetes предоставляет обнаружение кластеров Kubernetes на основе API. Чтобы включить эту функцию, установите для нее переключатель вкл.

   • Функция оценки уязвимостей без агента предоставляет управление уязвимостями для образов, хранящихся в реестрах Google (Реестр артефактов Google и Реестра контейнеров Google) и запуска образов в кластерах GKE. Чтобы включить эту функцию, установите для нее переключатель вкл.

7. Нажмите кнопку Copy (Копировать).

   

8. Нажмите кнопку GCP Cloud Shell >.

9. Вставьте скрипт в терминал Cloud Shell и запустите его.

Соединитель обновляется после выполнения скрипта. Этот процесс может занять до 8 часов.

Развертывание решения в определенных кластерах

Если в процессе подключения соединителя GCP задано любое из конфигураций автоматической подготовки по умолчанию, необходимо вручную установить Kubernetes с поддержкой Azure Arc, датчик Defender и Политика Azure для Kubernetes в каждом из кластеров GKE. Они помогают гарантировать, что вы получаете полное значение безопасности из Defender для контейнеров.

При необходимости можно использовать две выделенные Defender для облака рекомендации по установке расширений (и Azure Arc).

• Кластеры GKE должны иметь расширение Microsoft Defender для Azure Arc
• Кластеры GKE должны иметь расширение Политика Azure

Примечание.

При установке расширений Arc необходимо убедиться, что предоставленный проект GCP идентичен указанному в соответствующем соединителе.

Чтобы развернуть решение в определенных кластерах:

1. Войдите на портал Azure.

2. Перейдите к Microsoft Defender для облака> Recommendations.

3. На странице рекомендаций Defender для облака найдите одну из рекомендаций по имени.

   

4. Выберите неработоспособный кластер GKE.

   Внимание

   Необходимо выбрать кластеры по одному за раз.

   Не выбирайте кластеры по их именам с гиперссылками. Выберите любое другое место в соответствующей строке.

5. Выберите имя неработоспособного ресурса.

6. Выберите элемент Исправить.

   

7. Defender для облака создает скрипт на выбранном языке:

   • Для Linux выберите Bash.
   • Для Windows выберите PowerShell.

8. Выберите элемент Download remediation logic (Скачать логику исправления).

9. Запустите созданный скрипт в кластере.

10. Повторите шаги 3–8 для другой рекомендации.

Просмотр оповещений кластера GKE

1. Войдите на портал Azure.

2. Перейдите к оповещениям Microsoft Defender для облака> Security.

3. Выберите кнопку .

4. В раскрывающемся меню фильтра выберите тип ресурса.

5. В раскрывающемся меню "Значение" выберите кластер GCP GKE.

6. Нажмите OK.

Развертывание датчика Defender

Чтобы развернуть датчик Defender в кластерах GCP, выполните следующие действия.

1. Перейдите к параметрам Microsoft Defender для облака> Environment>Add environment>Google Cloud Platform.

   

2. Заполните сведения об учетной записи.

   

3. Перейдите к разделу "Выбор планов", откройте план "Контейнеры" и убедитесь, что для azure Arc установлен датчик автоматической подготовки Защитника.

   

4. Перейдите к разделу "Настройка доступа" и выполните указанные там действия.

   

5. После успешного выполнения скрипта gcloud нажмите кнопку "Создать".

Примечание.

Вы можете исключить определенный кластер GCP из автоматической подготовки. Для развертывания датчика примените ms_defender_container_exclude_agents метку к ресурсу со значением true. Для развертывания без агента примените ms_defender_container_exclude_agentless метку к ресурсу со значением true.

Моделирование оповещений системы безопасности из Microsoft Defender для контейнеров

Полный список поддерживаемых оповещений доступен в справочной таблице всех оповещений системы безопасности Defender для облака.

Чтобы имитировать оповещение системы безопасности:

1. Выполните следующую команду в кластере:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Ожидаемый ответ .No resource found

   В течение 30 минут Defender для облака обнаруживает это действие и запускает оповещение системы безопасности.

   Примечание.

   Azure Arc не является обязательным условием для имитации оповещений без агента для Defender для контейнеров.

2. В портал Azure перейдите к оповещениям Microsoft Defender для облака> Security и найдите оповещение соответствующего ресурса.

   

Удаление датчика Defender

Чтобы удалить это (или любое) расширение Defender для облака, недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры. При отключении автоматической подготовки ничего не удаляется.

Примечание.

Чтобы полностью отключить план Defender для контейнеров, перейдите в раздел "Параметры среды" и отключите Microsoft Defender для контейнеров.

Тем не менее, чтобы компоненты Defender для контейнеров не были автоматически подготовлены для ваших ресурсов, отключите автоматическую подготовку расширений.

Расширение можно удалить из запущенных компьютеров с помощью портал Azure, Azure CLI или REST API, как описано на следующих вкладках.

Портал Azure — Arc

Удаление расширения с помощью портал Azure

1. В портал Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes и выберите конкретный кластер.

3. Откройте страницу расширений , в которой перечислены расширения в кластере.

4. Выберите расширение и нажмите кнопку "Удалить".

   

Azure CLI

Удаление датчика Defender с помощью Azure CLI

1. Удалите расширение Azure Arc для Microsoft Defender для Kubernetes с помощью следующих команд:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Удаление расширения может занять несколько минут. Рекомендуется дождаться, прежде чем попытаться убедиться, что она была успешной.

2. Чтобы убедиться, что расширение успешно удалено, выполните следующие команды:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

3. Убедитесь, что в кластере mdc нет модулей pod в пространстве имен. Выполните следующую команду с файлом, указывающим kubeconfig на кластер:

   kubectl get pods -n mdc
   

   Удаление модулей pod может занять несколько минут.

REST API

Удаление датчика Defender с помощью REST API

Чтобы удалить расширение с помощью REST API, выполните следующую DELETE команду:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Команда включает следующие параметры:

Имя.	In	Обязательное поле	Type	Описание
Subscription ID	Путь	Истина	Строка	Идентификатор вашей подписки кластера Kubernetes с поддержкой Azure Arc
Resource Group	Путь	Истина	Строка	Ваша группа ресурсов кластера Kubernetes с поддержкой Azure Arc
Cluster Name	Путь	Истина	Строка	Имя вашего кластера Kubernetes с поддержкой Azure Arc

Для проверки подлинности заголовок должен иметь маркер носителя (как и другие API Azure). Чтобы получить токен носителя, выполните следующую команду.

az account get-access-token --subscription <your-subscription-id>

Выполнение запроса может занять несколько минут.

Настройка рабочей области Log Analytics по умолчанию для AKS

Датчик Defender использует рабочую область Log Analytics в качестве конвейера данных для отправки данных из кластера в Defender для облака. Рабочая область не сохраняет данные. В результате в этом случае плата за пользователей не взимается.

Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас нет рабочей области Log Analytics по умолчанию, Defender для облака создает новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию основана на регионе.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении автоматической подготовки рабочая область по умолчанию автоматически назначается. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Выберите Настройка кластеров Службы Azure Kubernetes для активации профиля Defender.

6. Выберите назначения.

   

7. Используйте один из следующих разделов в этой статье следующим образом:

   • Если политика еще не назначена соответствующей области, следуйте инструкциям по созданию нового назначения с помощью настраиваемых шагов рабочей области .
   • Если политика уже назначена и вы хотите изменить ее для использования настраиваемой рабочей области, выполните обновление назначения с помощью настраиваемых шагов рабочей области .

Создание нового назначения с помощью настраиваемой рабочей области

Если политика еще не назначена, на вкладке "Назначения " отображается число 0.

Чтобы назначить настраиваемую рабочую область, выполните следующие действия.

1. Выберите Назначить.

2. На вкладке "Параметры" снимите флажок "Только отображаемые параметры, необходимые для ввода или проверки".

3. Выберите значение LogAnalyticsWorkspaceResourceId в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление назначения с помощью настраиваемой рабочей области

Если политика назначена рабочей области, на вкладке "Назначения " отображается номер 1.

Примечание.

Если у вас несколько подписок, это число может быть выше.

Чтобы назначить настраиваемую рабочую область, выполните следующие действия.

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке "Параметры" снимите флажок "Только отображаемые параметры, необходимые для ввода или проверки".

4. Выберите значение LogAnalyticsWorkspaceResourceId в раскрывающемся меню.

   

5. Выберите "Рецензирование и сохранение".

6. Выберите Сохранить.

Рабочая область Log Analytics по умолчанию для Azure Arc

Датчик Defender использует рабочую область Log Analytics в качестве конвейера данных для отправки данных из кластера в Defender для облака. Рабочая область не сохраняет данные. В результате в этом случае плата за пользователей не взимается.

Датчик Defender использует рабочую область Log Analytics по умолчанию. Если у вас нет рабочей области Log Analytics по умолчанию, Defender для облака создает новую группу ресурсов и рабочую область по умолчанию при установке датчика Defender. Рабочая область по умолчанию основана на регионе.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении автоматической подготовки рабочая область по умолчанию автоматически назначается. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Выберите "Настройка кластеров Kubernetes с поддержкой Azure Arc", чтобы установить расширение Microsoft Defender для облака.

6. Выберите назначения.

   

7. Используйте один из следующих разделов в этой статье следующим образом:

   • Если политика еще не назначена соответствующей области, следуйте инструкциям по созданию нового назначения с помощью настраиваемых шагов рабочей области .
   • Если политика уже назначена и вы хотите изменить ее для использования настраиваемой рабочей области, выполните обновление назначения с помощью настраиваемых шагов рабочей области .

Создание нового назначения с помощью настраиваемой рабочей области

Если политика еще не назначена, на вкладке "Назначения " отображается число 0.

Чтобы назначить настраиваемую рабочую область, выполните следующие действия.

1. Выберите Назначить.

2. На вкладке "Параметры" снимите флажок "Только отображаемые параметры, необходимые для ввода или проверки".

3. Выберите значение LogAnalyticsWorkspaceResourceId в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление назначения с помощью настраиваемой рабочей области

Если политика назначена рабочей области, на вкладке "Назначения " отображается номер 1.

Примечание.

Если у вас несколько подписок, это число может быть выше. Если у вас есть номер 1 или более поздней версии, но назначение не относится к соответствующей области, следуйте инструкциям по созданию нового назначения с помощью пользовательских шагов рабочей области .

Чтобы назначить настраиваемую рабочую область, выполните следующие действия.

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке "Параметры" снимите флажок "Только отображаемые параметры, необходимые для ввода или проверки".

4. Выберите значение LogAnalyticsWorkspaceResourceId в раскрывающемся меню.

   

5. Выберите "Рецензирование и сохранение".

6. Выберите Сохранить.

Удаление датчика Defender

Чтобы удалить это (или любое) расширение Defender для облака, недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры. При отключении автоматической подготовки ничего не удаляется.

Примечание.

Чтобы полностью отключить план Defender для контейнеров, перейдите в раздел "Параметры среды" и отключите Microsoft Defender для контейнеров.

Тем не менее, чтобы компоненты Defender для контейнеров не были автоматически подготовлены для ваших ресурсов, отключите автоматическую подготовку расширений.

Расширение можно удалить из запущенных компьютеров с помощью REST API, Azure CLI или шаблона Resource Manager, как описано на следующих вкладках.

REST API

Использование REST API для удаления датчика Defender из AKS

Чтобы удалить расширение с помощью REST API, выполните следующую PUT команду:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Команда включает следующие параметры:

Имя	Описание	Обязательно
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Версия API; должно быть 2022-06-01 или более поздней версии	Да

Это текст запроса:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Текст запроса имеет следующие параметры:

Имя	Описание	Обязательно
location	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да

Azure CLI

Удаление датчика Defender с помощью Azure CLI

1. Выполните следующие команды:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Удаление расширения может занять несколько минут.

2. Чтобы убедиться, что расширение успешно удалено, выполните следующую команду:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   При удалении get pods расширения команда не возвращает модули pod. Удаление модулей pod может занять несколько минут.

Resource Manager

Удаление датчика Defender из AKS с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для удаления датчика Defender, вам потребуется рабочая область Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, запустите здесь: что такое шаблоны Azure Resource Manager?.

Соответствующие шаблон и параметры для удаления датчика Defender из AKS:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Связанный контент

Теперь, когда вы включили Defender для контейнеров, вы можете:

• Сканирование Реестр контейнеров Azure образов для уязвимостей
• Сканирование образов AWS для уязвимостей с помощью Управление уязвимостями Microsoft Defender
• Сканирование образов GCP для уязвимостей с помощью Управление уязвимостями Microsoft Defender
• Ознакомьтесь с общими вопросами о Defender для контейнеров.

Дополнительные сведения о Defender для облака и Defender для контейнеров см. в следующих блогах:

• Защитите рабочие нагрузки Google Cloud с помощью Microsoft Defender для облака
• Представляем Microsoft Defender для контейнеров
• Новое название системы безопасности для защиты многооблачной среды: Microsoft Defender для облака