設定適用於容器的 Microsoft Defender 元件

  • 3 分鐘

適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。

適用於容器的 Defender 可保護您的叢集,無論叢集是在下列哪些服務上執行:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。
  • 連結的 Amazon Web Services (AWS) 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 在 AWS 上執行 Kubernetes 的受管理的服務,不須安裝、操作和維護您自己的 Kubernetes 控制平面或節點。
  • 已連線 Google Cloud Platform (GCP) 專案的 Google Kubernetes Engine (GKE):Google 使用 GCP 基礎結構部署、管理和調整應用程式的受控環境。
  • 其他 Kubernetes 發行版 (使用已啟用 Azure Arc 的 Kubernetes) - 裝載於內部部署或 IaaS 上的雲端原生計算基金會 (CNCF) 認證 Kubernetes 叢集。

網路需求

驗證已針對輸出存取設定下列端點,讓 Defender 代理程式可以連線到適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

  • 驗證適用於容器的 Microsoft Defender 的完整網域名稱 (FQDN)/應用程式規則。
  • 根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

啟用方案

若要啟用方案

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 分頁,然後選取相關訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender],然後選取 [設定]

    顯示如何在 [設定] 頁面中啟用適用於容器的 Defender 的螢幕擷取畫面。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 和/或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項會是適用於容器的 Defender。

    顯示訂用帳戶已啟用適用於 Kubernetes 的 Defender 和已啟用適用於容器登錄的 Defender 的螢幕擷取畫面。

  3. 開啟相關的元件以啟用它。

    顯示如何開啟相關元件的螢幕擷取畫面。

每個功能的啟用方法

依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝所有必要元件,以提供方案所提供的保護,包括預設工作區的指派。

如果您不想啟用方案的所有功能,則可以透過選取 [容器] 方案的 [編輯組態] 來手動選取要啟用的特定功能。 然後,在 [設定與監視] 頁面中,選取您想要啟用的功能。 此外,您可以在方案初始設定之後,從 Defender 方案頁面 修改此設定。

為 Defender 代理程式指派自訂工作區

您可以透過 Azure 原則指派自訂工作區。

使用建議手動部署 Defender 代理程式或 Azure 原則代理程式,而不進行自動佈建

您也可以使用適當的建議,在一或多個 Kubernetes 叢集上部署需要安裝代理程式的功能:

專員 建議
適用於 Kubernetes 的 Defender 代理程式 Azure Kubernetes Service 叢集應已啟用 Defender 設定檔
適用於已啟用 Arc 的 Kubernetes 的 Defender 代理程式 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 延伸模組
適用於 Kubernetes 的 Azure 原則代理程式 Azure Kubernetes Service 叢集應安裝適用於 Kubernetes 的 Azure 原則附加元件
適用於已啟用 Arc 的 Kubernetes 的 Azure 原則代理程式 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

執行下列步驟,以在特定叢集上執行 Defender 代理程式的部署:

  1. 從適用於雲端的 Microsoft Defender 建議頁面中,開啟 [啟用增強式安全性] 控制項,或直接搜尋上述其中一項建議 (或使用上述連結直接開啟建議)

  2. 透過狀況不良的索引標籤檢視沒有代理程式的所有叢集。

  3. 選取要部署所需代理程式的叢集,然後選取 [修正]。

  4. 選取 [修正 X 資源]

    • 關於哪些叢集已部署 Defender 代理程式的可見性
    • 用來將其部署至這些沒有代理程式之叢集的修正按鈕
    • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
    • 資源群組:DefaultResourceGroup-[geo]
    • 啟用自動佈建,可能會影響現有未來的機器。
    • 停用延伸模組的自動佈建,只會影響未來的機器 - 停用自動佈建不會解除安裝任何項目。

部署 Defender 代理程式 - 所有選項

您可以啟用適用於容器的 Defender 方案,並從 Azure 入口網站、REST API 或使用 Resource Manager 範本部署所有相關元件。 如需詳細步驟,請選取相關的索引標籤。

Defender 代理程式部署好之後,系統會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區來取代預設工作區。

使用適用於雲端的 Defender 建議中的修正按鈕

簡化、流暢的流程可讓您使用 Azure 入口網站頁面啟用適用於於端的 Defender 方案,並設定自動佈建所有必要元件以大規模防禦 Kubernetes 叢集。

專用適用於雲端的 Defender 建議提供下列項目:

  1. 從適用於雲端的 Microsoft Defender 建議頁面中,開啟 [啟用增強式安全性] 控制項。

  2. 使用篩選條件來尋找名為 Azure Kubernetes Service clusters should have Defender profile enabled 的建議。

    注意

    請注意動作資料行中的修正圖示

  3. 選取叢集以查看狀況良好和狀況不良資源的詳細資料 - 具有和沒有代理程式的叢集。

  4. 從狀況不良的資源清單中,選取叢集然後選取 [補救] 以開啟具有補救確認的窗格。

  5. 選取 [修正 X 資源]

模擬適用於容器的 Microsoft Defender 中的安全性警示

  1. 若要模擬安全性警示,請從叢集執行下列命令:kubectl get pods --namespace=asc-alerttest-662jfi039n 預期的回應是 No resource found。 在 30 分鐘內,適用於雲端的 Defender 會偵測此活動並觸發安全性警示。

    注意

    若要模擬適用於容器的 Defender 的無代理程式警示,Azure Arc 並非必要條件。

  2. Azure 入口網站中,開啟適用於雲端的 Microsoft Defender 安全性警示頁面,並尋找相關資源的警示:

    顯示適用於雲端的 Microsoft Defender 安全性警示頁面的螢幕擷取畫面。

AKS 的預設 Log Analytics 工作區

Defender 代理程式會將 Log Analytics 工作區當成資料管線,以將資料從叢集傳送至適用於雲端的 Defender,而且 Log Analytics 工作區本身不會保留任何資料。 因此,在這樣的使用案例中,不會對使用者計費。

Defender 代理程式會使用預設的 Log Analytics 工作區。 如果您還沒有預設 Log Analytics 工作區,則安裝 Defender 代理程式時,適用於雲端的 Defender 會建立新的資源群組和預設工作區。 預設工作區會根據您的區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例如下:

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    顯示如何透過 Azure 原則指派自訂工作區的螢幕擷取畫面。

  3. 選取 [定義]。

  4. 搜尋原則識別碼 1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5

    顯示 [原則定義] 頁面中所設定的指派的螢幕擷取畫面。

  5. 如果尚未將原則指派給相關的範圍,請遵循使用自訂工作區建立新的指派。 或者,如果已指派原則,而且您想要將其變更為使用自訂工作區,請遵循使用自訂工作區更新指派

建立自訂工作區的新指派

如果尚未指派原則,您會看到 Assignments (0)

顯示如何使用自訂工作區建立新的指派的螢幕擷取畫面。

若要指派自訂工作區

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示如何選取 Log Analytics 工作區資源識別碼的螢幕擷取畫面。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

使用自訂工作區更新指派

如果原則已指派給工作區,您會看到Assignments (1)

顯示 [原則定義] 頁面中已啟用現有指派的螢幕擷取畫面。

注意

如果您有一個以上的訂用帳戶,則數目可能會更高。

若要指派自訂工作區

  1. 選取相關的指派。

    顯示如何從 [原則定義] 頁面指派自訂工作區指派的螢幕擷取畫面。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示如何設定 Log Analytics 工作區參數的螢幕擷取畫面。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

移除 Defender 感應器

若移除此專案或任何適用於雲端的 Defender 延伸模組,這樣不足以關閉自動佈建:

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定] 並停用適用於容器的 Microsoft Defender 方案。

不過,若要確保目前不會將適用於容器的 Defender 元件佈建到您的資源上,請停用延伸模組自動佈建功能,如透過適用於雲端的 Microsoft Defender 設定代理程式和延伸模組的自動佈建

您可以使用 REST API 或 Resource Manager 範本來移除代理程式,如下列索引標籤中所述。

使用 Azure CLI 移除 Defender 感應器

  1. 使用下列命令移除 Microsoft Defender:

    
az login az account set --subscription <subscription-id> az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>

    移除延伸模組可能需要幾分鐘的時間。

  2. 若要確認延伸模組已成功移除,請執行下列命令:kubectl get pods -n kube-system | grep microsoft-defender移除延伸模組後,您應該會看到在 get pods 命令中未傳回任何 Pod。 可能需要幾分鐘的時間才能刪除 Pod。