Konfigurace komponent Microsoft Defenderu pro kontejnery

Článek
10/30/2024

Microsoft Defender for Containers je cloudové nativní řešení pro zabezpečení kontejnerů. Pomáhá chránit clustery bez ohledu na to, jestli jsou spuštěné:

Azure Kubernetes Service (AKS): Spravovaná služba Microsoftu pro vývoj, nasazování a správu kontejnerizovaných aplikací.
Amazon Elastic Kubernetes Service (EKS) v připojeném účtu Amazon Web Services (AWS): Spravovaná služba Amazonu pro spouštění Kubernetes na AWS bez nutnosti instalovat, provozovat a udržovat vlastní řídicí rovinu nebo uzly Kubernetes.
Google Kubernetes Engine (GKE) v připojeném projektu Google Cloud Platform (GCP): Spravované prostředí Google pro nasazování, správu a škálování aplikací pomocí infrastruktury GCP.
Další distribuce Kubernetes (využívající Kubernetes s podporou Azure Arc): Clustery Kubernetes s certifikací CNCF (Cloud Native Computing Foundation) hostované místně nebo v infrastruktuře jako služba (IaaS). Další informace najdete v matici podpory kontejnerů v programu Defender for Cloud.

Nejdřív se dozvíte, jak se připojit a chránit kontejnery v těchto článcích:

Další informace získáte také tak, že se budete dívat na tato videa z Defenderu pro cloud v řadě videí polí :

Poznámka:

Podpora Defenderu pro kontejnery pro clustery Kubernetes s podporou Azure Arc je funkce Preview. Funkce Preview je dostupná na samoobslužné bázi s výslovným souhlasem.

Verze Preview jsou k dispozici tak, jak jsou k dispozici. Jsou vyloučené ze smluv o úrovni služeb a omezené záruky.

Další informace o podporovaných operačních systémech, dostupnosti funkcí, odchozím proxy serveru a dalších tématech najdete v tématu Matice podpory kontejnerů v Defenderu pro cloud.

Síťové požadavky

Ověřte, že jsou pro odchozí přístup nakonfigurované následující koncové body, aby se senzor Defenderu mohl připojit k Microsoft Defenderu for Cloud a odesílat data a události zabezpečení.

Senzor Defenderu se musí připojit ke nakonfigurovaným pracovnímu prostoru služby Azure Monitor Log Analytics. Ve výchozím nastavení mají clustery AKS neomezený odchozí (výchozí) internetový přístup. Pokud výchozí přenos událostí z clusteru vyžaduje použití oboru služby Azure Monitor Private Link (AMPLS), musíte:

Definujte cluster pomocí přehledů kontejnerů a pracovního prostoru služby Log Analytics.
Nakonfigurujte ampls s režimem přístupu k dotazům a režimem příjmu dat nastaveným na Možnost Otevřít.
Definujte pracovní prostor služby Log Analytics clusteru jako prostředek ve službě AMPLS.
Vytvořte ve službě AMPLS privátní koncový bod virtuální sítě mezi virtuální sítí clusteru a prostředkem Log Analytics. Privátní koncový bod virtuální sítě se integruje s privátní zónou DNS.

Pokyny najdete v tématu Vytvoření oboru služby Private Link služby Azure Monitor.

Síťové požadavky

Ověřte, že pro nasazení veřejného cloudu jsou nakonfigurované následující koncové body pro odchozí přístup. Konfigurace pro odchozí přístup pomáhá zajistit, aby se senzor Defenderu mohl připojit k Microsoft Defenderu pro cloud a odesílat data a události zabezpečení.

Doména Azure	Doména Azure Government	Azure provozovaný doménou 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Musíte také ověřit požadavky na síť Kubernetes s podporou Azure Arc.

Povolení plánu

V defenderu pro cloud vyberte Nastavení a pak vyberte příslušné předplatné.
Na stránce Plány Defenderu vyberte Nastavení kontejnerů>.

Tip

Pokud už předplatné obsahuje Defender pro Kubernetes nebo Defender pro registry kontejnerů povolené, zobrazí se oznámení o aktualizaci. V opačném případě jedinou možností je Kontejnery.
Zapněte příslušnou komponentu.
Poznámka:
- Zákazníci programu Defender for Containers, kteří se připojili před srpnem 2023 a nemají zapnuté zjišťování bez agentů pro Kubernetes jako součást správy stavu zabezpečení cloudu v programu Defender (CSPM), když plán povolili, musí ručně povolit zjišťování bez agentů pro rozšíření Kubernetes v rámci plánu Defender for Containers.
- Když vypnete Defender for Containers, komponenty se nastaví na Vypnuto. Nejsou nasazené do žádného dalšího kontejneru, ale neodeberou se z kontejnerů, kde jsou už nainstalované.

Metoda povolení podle schopností

Když plán povolíte prostřednictvím webu Azure Portal, nakonfiguruje se program Microsoft Defender for Containers tak, aby automaticky povoloval všechny funkce a nainstaloval všechny požadované komponenty, aby poskytoval ochranu, kterou plán nabízí. Tato konfigurace zahrnuje přiřazení výchozího pracovního prostoru.

Pokud nechcete povolit všechny možnosti plánů, můžete ručně vybrat konkrétní možnosti, které chcete povolit, výběrem možnosti Upravit konfiguraci pro plán Kontejnery . Potom na stránce Nastavení a monitorování vyberte možnosti, které chcete povolit. Tuto konfiguraci můžete také upravit ze stránky plánů Defenderu po počáteční konfiguraci plánu.

Podrobné informace o metodě povolení jednotlivých funkcí najdete v matici podpory.

Role a oprávnění

Přečtěte si další informace o rolích pro zřizování rozšíření Defender for Containers.

Přiřazení vlastního pracovního prostoru pro senzor Defenderu

Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Ruční nasazení senzoru Defenderu nebo agenta zásad Azure bez automatického zřizování s využitím doporučení

Možnosti, které vyžadují instalaci senzoru, je možné nasadit také na jeden nebo více clusterů Kubernetes. Použijte vhodné doporučení:

Senzor	Doporučení
Senzor Defenderu pro Kubernetes	Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.
Senzor Defenderu pro Kubernetes s podporou Služby Azure Arc	Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.
Agent Azure Policy pro Kubernetes	Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.
Agent Azure Policy pro Kubernetes s podporou Služby Azure Arc	Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.

Nasazení senzoru Defenderu na konkrétní clustery:

Na stránce Doporučení pro cloud v programu Microsoft Defender otevřete ovládací prvek Povolit rozšířené zabezpečení nebo vyhledejte jedno z předchozích doporučení. (K přímému otevření doporučení můžete použít také předchozí odkazy.)
Pokud chcete zobrazit všechny clustery bez senzoru, otevřete kartu Není v pořádku .
Vyberte clustery, do kterých chcete senzor nasadit, a pak vyberte Opravit.
Vyberte Opravit prostředky X.

Nasazení senzoru Defenderu: Všechny možnosti

Plán Defender for Containers můžete povolit a nasadit všechny relevantní komponenty pomocí webu Azure Portal, rozhraní REST API nebo šablony Azure Resource Manageru. Podrobný postup zobrazíte tak, že vyberete příslušnou kartu.

Po nasazení senzoru Defenderu se automaticky přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit místo výchozího pracovního prostoru prostřednictvím služby Azure Policy.

Poznámka:

Senzor Defenderu se nasadí do každého uzlu, aby poskytoval ochranu za běhu a shromažďuje signály z těchto uzlů pomocí technologie eBPF.

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Pomocí stránek webu Azure Portal můžete povolit plán Defenderu pro cloud a nastavit automatické zřizování všech nezbytných komponent pro ochranu clusterů Kubernetes ve velkém měřítku. Proces je zjednodušený.

Doporučení vyhrazeného defenderu pro cloud poskytuje:

Přehled o tom, který z vašich clusterů má nasazený senzor Defenderu.
Tlačítko Opravit pro nasazení senzoru do clusterů, které ho nemají.

Nasazení senzoru:

Na stránce Doporučení pro Cloud v programu Microsoft Defender otevřete ovládací prvek Povolit rozšířené zabezpečení zabezpečení.
Pomocí filtru vyhledejte doporučení pojmenované clustery Azure Kubernetes Service, které by měly mít povolený profil Defenderu.

Tip

Všimněte si ikony Opravit ve sloupci Akce.
Výběrem clusterů zobrazíte podrobnosti o prostředcích, které jsou v pořádku a nejsou v pořádku (clustery s senzorem a bez senzoru).
V seznamu prostředků, které nejsou v pořádku, vyberte cluster. Pak výběrem možnosti Opravit otevřete podokno s potvrzením nápravy.
Vyberte Opravit prostředky X.

Použití rozhraní REST API k nasazení senzoru Defenderu

Pokud chcete nainstalovat securityProfile do existujícího clusteru pomocí rozhraní REST API, spusťte následující PUT příkaz:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Tady je identifikátor URI požadavku:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Dotaz požadavku má tyto parametry:

Název	Popis	Povinné
`SubscriptionId`	ID předplatného clusteru	Ano
`ResourceGroup`	Skupina prostředků clusteru	Ano
`ClusterName`	Název clusteru	Ano
`ApiVersion`	Verze rozhraní API; musí být 2022-06-01 nebo novější	Ano

Toto je text požadavku:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Tělo požadavku má tyto parametry:

Název	Popis	Povinné
`location`	Umístění clusteru	Ano
`properties.securityProfile.defender.securityMonitoring.enabled`	Určuje, jestli se má v clusteru povolit nebo zakázat Microsoft Defender for Containers.	Ano
`properties.securityProfile.defender.logAnalyticsWorkspaceResourceId`	ID prostředku Azure pro pracovní prostor služby Log Analytics	Ano

Použití Azure CLI k nasazení senzoru Defenderu

Přihlaste se do Azure:
```
az login
az account set --subscription <your-subscription-id>
```
Důležité

Ujistěte se, že používáte stejné ID předplatného jako ID <your-subscription-id> předplatného, které je přidružené k vašemu clusteru AKS.

Povolte senzor Defenderu ve vašich kontejnerech:

Spuštěním následujícího příkazu vytvořte nový cluster s povoleným senzorem Defenderu:

az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>

Spuštěním následujícího příkazu povolte senzor Defenderu v existujícím clusteru:

az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>

Tady jsou podporovaná nastavení konfigurace pro typ senzoru Defenderu:

Vlastnost Popis

logAnalyticsWorkspaceResourceId Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics
Pokud ho nezadáte, použije se výchozí pracovní prostor oblasti.

Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON:
az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json

ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi:
/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}
Další informace najdete v pracovních prostorech služby Log Analytics.

Vlastnost	Popis
`logAnalyticsWorkspaceResourceId`	Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics Pokud ho nezadáte, použije se výchozí pracovní prostor oblasti. Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON: `az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json` ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi: `/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}` Další informace najdete v pracovních prostorech služby Log Analytics.

Tato nastavení můžete zahrnout do souboru JSON a v příkazech zadat soubor az aks create az aks update JSON pomocí tohoto parametru: --defender-config <path-to-JSON-file>. Formát souboru JSON musí být následující:

{"logAnalyticsWorkspaceResourceId": "<workspace-id>"}

Další informace o příkazech AKS CLI najdete v az aks.

Pokud chcete ověřit, že se senzor úspěšně přidal, spusťte na počítači následující příkaz se souborem kubeconfig , který ukazuje na váš cluster:
```
kubectl get pods -n kube-system
```
Po přidání senzoru by se měl zobrazit pod volaný microsoft-defender-XXXXX ve Running stavu. Přidání podů může trvat několik minut.

Použití Azure Resource Manageru k nasazení senzoru Defenderu

Pokud chcete k nasazení senzoru Defenderu použít Azure Resource Manager, potřebujete ve svém předplatném pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Tip

Pokud s šablonami Resource Manageru začínáte, začněte tady: Co jsou šablony Azure Resource Manageru?

securityProfile Instalace do existujícího clusteru pomocí Resource Manageru:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Povolení plánu

V defenderu pro cloud vyberte Nastavení a pak vyberte příslušné předplatné.
Na stránce Plány Defenderu vyberte Nastavení kontejnerů>.

Tip

Pokud už předplatné obsahuje Defender pro Kubernetes nebo Defender pro registry kontejnerů povolené, zobrazí se oznámení o aktualizaci. V opačném případě jedinou možností je Kontejnery.
Zapněte příslušnou komponentu.

Poznámka:

Když vypnete Defender for Containers, komponenty se nastaví na Vypnuto. Nejsou nasazené do žádného dalšího kontejneru, ale neodeberou se z kontejnerů, kde jsou už nainstalované.

Když plán povolíte prostřednictvím webu Azure Portal, nakonfiguruje se program Microsoft Defender for Containers tak, aby automaticky nainstaloval požadované součásti, aby poskytovaly ochranu, kterou plán nabízí. Tato konfigurace zahrnuje přiřazení výchozího pracovního prostoru.

Pokud chcete během procesu onboardingu zakázat automatickou instalaci komponent, vyberte Upravit konfiguraci pro plán Kontejnery . Zobrazí se rozšířené možnosti a můžete zakázat automatickou instalaci pro každou komponentu.

Tuto konfiguraci můžete také upravit ze stránky plánů Defenderu.

Poznámka:

Pokud se rozhodnete plán kdykoli zakázat, jakmile ho povolíte prostřednictvím portálu, budete muset ručně odebrat komponenty Defenderu for Containers nasazené ve vašich clusterech.

Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud automatickou instalaci jakékoli komponenty zakážete, můžete ji snadno nasadit do jednoho nebo více clusterů pomocí vhodného doporučení:

Doplněk Azure Policy pro Kubernetes: Clustery Azure Kubernetes Service by měly mít nainstalovaný doplněk Azure Policy pro Kubernetes.
Profil služby Azure Kubernetes Service: Clustery Azure Kubernetes Service by měly mít povolený profil Defenderu.
Rozšíření Defender pro Kubernetes s podporou Azure Arc: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Defender.
Rozšíření Azure Policy pro Kubernetes s podporou Azure Arc: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Azure Policy.

Přečtěte si další informace o rolích pro zřizování rozšíření Defender for Containers.

Požadavky

Před nasazením senzoru se ujistěte, že:

Nasazení senzoru Defenderu

Senzor Defenderu můžete nasadit pomocí řady metod. Podrobný postup zobrazíte tak, že vyberete příslušnou kartu.

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Doporučení vyhrazeného defenderu pro cloud poskytuje:

Přehled o tom, který z vašich clusterů má nasazený senzor Defenderu.
Tlačítko Opravit pro nasazení senzoru do clusterů, které ho nemají.

Nasazení senzoru:

Na stránce Doporučení pro Cloud v programu Microsoft Defender otevřete ovládací prvek Povolit rozšířené zabezpečení zabezpečení.
Pomocí filtru vyhledejte doporučení s názvem Clustery Kubernetes s podporou Služby Azure Arc, které by měly mít povolené rozšíření Microsoft Defenderu.

Tip

Všimněte si ikony Opravit ve sloupci Akce.
Výběrem senzoru zobrazíte podrobnosti o prostředcích, které jsou v pořádku a nejsou v pořádku (clustery se senzorem i bez).
V seznamu prostředků, které nejsou v pořádku, vyberte cluster. Pak výběrem možnosti Opravit otevřete podokno s možnostmi nápravy.
Vyberte příslušný pracovní prostor služby Log Analytics a pak vyberte Opravit prostředek x.

Použití Azure CLI k nasazení senzoru Defenderu

Přihlaste se do Azure:
```
az login
az account set --subscription <your-subscription-id>
```
Důležité

Ujistěte se, že používáte stejné ID předplatného jako ID <your-subscription-id> předplatného, které jste použili při připojování clusteru ke službě Azure Arc.

Spuštěním následujícího příkazu nasaďte senzor nad cluster Kubernetes s podporou Azure Arc:

az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes

Tady jsou podporovaná nastavení konfigurace pro typ senzoru Defenderu:

Vlastnost Popis

logAnalyticsWorkspaceResourceID Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics
Pokud ho nezadáte, použije se výchozí pracovní prostor oblasti.

Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON:
az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json

ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi:
/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}
Další informace najdete v pracovních prostorech služby Log Analytics.

auditLogPath Volitelné. Úplná cesta k souborům protokolu auditu.
Pokud ho nezadáte, použije se výchozí cesta /var/log/kube-apiserver/audit.log .
Pro modul AKS je /var/log/kubeaudit/audit.logstandardní cesta .

Vlastnost	Popis
`logAnalyticsWorkspaceResourceID`	Volitelné. Úplné ID prostředku vašeho vlastního pracovního prostoru služby Log Analytics Pokud ho nezadáte, použije se výchozí pracovní prostor oblasti. Pokud chcete získat úplné ID prostředku, spuštěním následujícího příkazu zobrazte seznam pracovních prostorů ve vašich předplatných ve výchozím formátu JSON: `az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json` ID prostředku pracovního prostoru služby Log Analytics má následující syntaxi: `/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}` Další informace najdete v pracovních prostorech služby Log Analytics.
`auditLogPath`	Volitelné. Úplná cesta k souborům protokolu auditu. Pokud ho nezadáte, použije se výchozí cesta `/var/log/kube-apiserver/audit.log` . Pro modul AKS je `/var/log/kubeaudit/audit.log`standardní cesta .

Následující příkaz ukazuje příklad použití všech volitelných polí:

az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>

Použití rozhraní REST API k nasazení senzoru Defenderu

Pokud chcete k nasazení senzoru Defenderu použít rozhraní REST API, potřebujete ve svém předplatném pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Pokud chcete senzor nasadit ručně pomocí rozhraní REST API, spusťte následující PUT příkaz:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Příkaz obsahuje tyto parametry:

Název	V	Požaduje se	Type	Popis
`Subscription ID`	Cesta	True	String	ID předplatného prostředku Kubernetes s podporou Služby Azure Arc
`Resource Group`	Cesta	True	String	Název skupiny prostředků, která obsahuje váš prostředek Kubernetes s podporou Služby Azure Arc
`Cluster Name`	Cesta	True	String	Název prostředku Kubernetes s podporou Služby Azure Arc

Pro ověřování musí mít hlavička nosný token (stejně jako u jiných rozhraní API Azure). Pokud chcete získat nosný token, spusťte následující příkaz:

az account get-access-token --subscription <your-subscription-id>

Pro text zprávy použijte následující strukturu:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
}

Text zprávy obsahuje tyto vlastnosti:

Vlastnost	Popis
`logAnalytics.workspaceId`	ID pracovního prostoru prostředku Log Analytics
`logAnalytics.key`	Klíč prostředku Log Analytics
`auditLogPath`	Volitelné. Úplná cesta k souborům protokolu auditu. Výchozí hodnota je `/var/log/kube-apiserver/audit.log`.

Ověření nasazení

Pokud chcete ověřit, že je v clusteru nainstalovaný senzor Defenderu, postupujte podle pokynů na jedné z následujících karet.

Použití doporučení defenderu pro cloud k ověření stavu senzoru

Na stránce Doporučení pro Cloud v programu Microsoft Defender otevřete ovládací prvek Povolit Microsoft Defender pro zabezpečení cloudu.
Vyberte doporučení s názvem Clustery Kubernetes s podporou Služby Azure Arc, které by měly mít povolené rozšíření Microsoft Defenderu.
Zkontrolujte, jestli je cluster, na kterém jste nasadili senzor, uvedený jako V pořádku.

Pomocí Azure CLI ověřte, že je senzor nasazený.

V rozhraní příkazového řádku Azure spusťte následující příkaz:

az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes

V odpovědi vyhledejte "extensionType": "microsoft.azuredefender.kubernetes" a "installState": "Installed".

Poznámka:

Odpověď se může zobrazit "installState": "Pending" během prvních několika minut.
Pokud se zobrazí Installedstav, spusťte na počítači následující příkaz se souborem kubeconfig , který ukazuje na váš cluster. Pak zkontrolujte, jestli jsou všechny pody v mdc oboru názvů ve Running stavu.
```
kubectl get pods -n mdc
```

Pomocí rozhraní REST API ověřte, že je senzor nasazený.

Pokud chcete potvrdit úspěšné nasazení nebo kdykoli ověřit stav senzoru:

Spusťte následující příkaz GET:

GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

V odpovědi vyhledejte "extensionType": "microsoft.azuredefender.kubernetes" "installState": "Installed".

Tip

Odpověď se může zobrazit "installState": "Pending" během prvních několika minut.
Pokud se zobrazí Installedstav, spusťte na počítači následující příkaz se souborem kubeconfig , který ukazuje na váš cluster. Pak zkontrolujte, jestli jsou všechny pody v mdc oboru názvů ve Running stavu.
```
kubectl get pods -n mdc
```

Povolení plánu

Důležité

Pokud jste nepřipojili účet AWS, připojte svůj účet AWS ke službě Microsoft Defender for Cloud předtím, než začnete s následujícími kroky.
Pokud jste plán na konektoru už povolili a chcete změnit volitelné konfigurace nebo povolit nové funkce, přejděte přímo ke kroku 4.

Pokud chcete pomoct s ochranou clusterů EKS, povolte plán Defenderu for Containers na příslušném konektoru účtu:

V programu Defender for Cloud otevřete nastavení prostředí.
Vyberte konektor AWS.
Ověřte, že je přepínač pro plán Kontejnery nastavený na Zapnuto.
Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.
- Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, nastavte přepínač této funkce na Zapnuto. Pokud chcete změnit dobu uchovávání protokolů auditu, zadejte požadovaný časový rámec.
  
  Poznámka:
  
  Pokud tuto konfiguraci zakážete, funkce Detekce hrozeb (rovina řízení) je také zakázaná. Přečtěte si další informace o dostupnosti funkcí.
- Funkce zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete tuto funkci povolit, nastavte její přepínač na Zapnuto.
- Funkce posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v ECR a pro spouštění imagí v clusterech EKS. Pokud chcete tuto funkci povolit, nastavte její přepínač na Zapnuto.
Pokračujte zbývajícími stránkami průvodce konektorem.
Pokud povolíte funkci Zjišťování bez agentů pro Kubernetes , musíte udělit oprávnění řídicí roviny v clusteru. Oprávnění můžete udělit jedním z následujících způsobů:
- Spusťte tento skript Pythonu. Skript přidá roli MDCContainersAgentlessDiscoveryK8sRole Defender for Cloud do aws-auth ConfigMap clusterů EKS, které chcete připojit.
- Udělte každému MDCContainersAgentlessDiscoveryK8sRole clusteru Amazon EKS roli schopností pracovat s clusterem. Přihlaste se ke všem existujícím a nově vytvořeným clusterům pomocí nástroje eksctl a spusťte následující skript:
```
    eksctl create iamidentitymapping \ 
    --cluster my-cluster \ 
    --region region-code \ 
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
    --group system:masters\ 
    --no-duplicate-arns
```
  Další informace najdete v tématu Udělení přístupu uživatelůM IAM k Kubernetes pomocí položek přístupu EKS v uživatelské příručce Amazon EKS.
Na clusterech EKS by se měl nainstalovat a spustit Kubernetes s podporou Azure Arc, senzor Defenderu a Azure Policy pro Kubernetes. K instalaci těchto rozšíření (a Azure Arc v případě potřeby) existuje vyhrazené doporučení Defenderu pro cloud: Clustery EKS by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.

K instalaci požadovaných rozšíření použijte následující postup:
1. Na stránce Doporučení pro cloud v Defenderu vyhledejte a vyberte clustery EKS, které by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
2. Vyberte cluster, který není v pořádku.
  
  Důležité
  
  Clustery musíte vybrat po jednom.
  
  Nevybírejte clustery podle jejich názvů hypertextových odkazů. Vyberte kdekoli jinde v příslušném řádku.
3. Vyberte možnost Opravit.
4. Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru: vyberte Bash (pro Linux) nebo PowerShell (pro Windows).
5. Vyberte Možnost Stáhnout logiku nápravy.
6. Spusťte vygenerovaný skript v clusteru.

Zobrazení doporučení a upozornění pro clustery EKS

Tip

Výstrahy kontejnerů můžete simulovat podle pokynů v tomto blogovém příspěvku.

Pokud chcete zobrazit výstrahy a doporučení pro vaše clustery EKS, použijte filtry na stránkách výstrah, doporučení a inventáře k filtrování podle typu prostředku clusteru AWS EKS.

Nasazení senzoru Defenderu

Nasazení senzoru Defenderu do clusterů AWS:

Přejděte do Microsoft Defenderu pro nastavení>cloudového>prostředí Přidat prostředí>Amazon Web Services.
Vyplňte podrobnosti o účtu.
Přejděte na Výběr plánů, otevřete plán Kontejnery a ujistěte se, že je senzor automatického zřizování Defenderu pro Azure Arc nastavený na Zapnuto.
Přejděte na Konfigurovat přístup a postupujte podle pokynů v něm.
Po úspěšném nasazení šablony vytváření cloudu vyberte Vytvořit.

Poznámka:

Z automatického zřizování můžete vyloučit konkrétní cluster AWS. Pro nasazení snímačů ms_defender_container_exclude_agents použijte značku u prostředku s hodnotou true. Pro nasazení bez agentů použijte ms_defender_container_exclude_agentless značku u prostředku s hodnotou true.

Povolení plánu

Důležité

Pokud jste nepřipojili projekt GCP, připojte projekt GCP k Programu Microsoft Defender for Cloud.

Pokud chcete pomoct s ochranou clusterů GKE, pomocí následujícího postupu povolte plán Defenderu for Containers v příslušném projektu GCP.

Poznámka:

Ověřte, že nemáte žádné zásady Azure, které brání instalaci Služby Azure Arc.

Přihlaste se k portálu Azure.
Přejděte do Microsoft Defenderu pro nastavení cloudového>prostředí.
Vyberte příslušný konektor GCP.
Vyberte tlačítko Další: Vyberte plány>.
Ujistěte se, že je přepínač pro plán Kontejnery zapnutý.
Pokud chcete změnit volitelné konfigurace plánu, vyberte Nastavení.
- Protokoly auditu Kubernetes do Defenderu pro cloud: Ve výchozím nastavení je povoleno. Tato konfigurace je dostupná pouze na úrovni projektu GCP. Poskytuje kolekci dat protokolu auditu bez agentů prostřednictvím protokolování cloudu GCP do back-endu Microsoft Defenderu for Cloud pro účely další analýzy. Defender for Containers vyžaduje protokoly auditu řídicí roviny pro zajištění ochrany před hrozbami za běhu. Pokud chcete odesílat protokoly auditu Kubernetes do Microsoft Defenderu, nastavte přepínač na Zapnuto.
  
  Poznámka:
  
  Pokud tuto konfiguraci zakážete, funkce Detekce hrozeb (rovina řízení) je také zakázaná. Přečtěte si další informace o dostupnosti funkcí.
- Senzor automatického zřizování Defenderu pro rozšíření Azure Arc a Automatické zřizování azure Policy pro Azure Arc: Ve výchozím nastavení je povoleno. Kubernetes s podporou Azure Arc a jeho rozšíření můžete do clusterů GKE nainstalovat třemi způsoby:
  - Povolení automatického zřizování Defenderu pro kontejnery na úrovni projektu, jak je vysvětleno v pokynech v této části. Tuto metodu doporučujeme.
  - Pro instalaci jednotlivých clusterů použijte Defender pro cloudová doporučení. Zobrazí se na stránce Doporučení microsoftu pro cloud v programu Microsoft Defender. Zjistěte, jak nasadit řešení do konkrétních clusterů.
  - Ručně nainstalujte Kubernetes a rozšíření s podporou Azure Arc.
- Funkce zjišťování bez agentů pro Kubernetes poskytuje zjišťování clusterů Kubernetes založené na rozhraní API. Pokud chcete tuto funkci povolit, nastavte její přepínač na Zapnuto.
- Funkce posouzení ohrožení zabezpečení kontejneru bez agentů poskytuje správa ohrožení zabezpečení pro image uložené v registrech Google (Google Artifact Registry a Google Container Registry) a spouštění imagí v clusterech GKE. Pokud chcete tuto funkci povolit, nastavte její přepínač na Zapnuto.
Vyberte tlačítko Kopírovat.
Vyberte tlačítko GCP Cloud Shell>.
Vložte skript do terminálu Cloud Shell a spusťte ho.

Konektor se po spuštění skriptu aktualizuje. Dokončení tohoto procesu může trvat až 8 hodin.

Nasazení řešení do konkrétních clusterů

Pokud během procesu onboardingu konektoru GCP nastavíte některou z výchozích konfigurací automatického zřizování na vypnutou, musíte v každém clusteru GKE ručně nainstalovat Kubernetes s podporou Azure Arc, senzor Defenderu a Azure Policy pro Kubernetes. Jejich instalace pomáhá zajistit, abyste získali plnou hodnotu zabezpečení z Defenderu pro kontejnery.

K instalaci rozšíření (a v případě potřeby azure Arc) můžete použít dvě vyhrazená doporučení defenderu pro cloud:

Clustery GKE by měly mít nainstalované rozšíření Microsoft Defenderu pro Azure Arc.
Clustery GKE by měly mít nainstalované rozšíření Azure Policy.

Poznámka:

Při instalaci rozšíření Arc musíte ověřit, že zadaný projekt GCP je stejný jako ten v příslušném konektoru.

Nasazení řešení do konkrétních clusterů:

Přihlaste se k portálu Azure.
Přejděte do Microsoft Defenderu pro cloudová>doporučení.
Na stránce Doporučení pro cloud v Defenderu vyhledejte jedno z doporučení podle názvu.
Vyberte cluster GKE, který není v pořádku.

Důležité

Clustery musíte vybrat po jednom.

Nevybírejte clustery podle jejich názvů hypertextových odkazů. Vyberte kdekoli jinde v příslušném řádku.
Vyberte název prostředku, který není v pořádku.
Vyberte možnost Opravit.
Defender for Cloud vygeneruje skript v jazyce podle vašeho výběru:
- V případě Linuxu vyberte Bash.
- Pro Windows vyberte PowerShell.
Vyberte Možnost Stáhnout logiku nápravy.
Spusťte vygenerovaný skript v clusteru.
Opakujte kroky 3 až 8 pro další doporučení.

Zobrazení upozornění clusteru GKE

Přihlaste se k portálu Azure.
Přejděte do programu Microsoft Defender pro výstrahy zabezpečení cloudu>.
Vyberte tlačítko .
V rozevírací nabídce Filtr vyberte Typ prostředku.
V rozevírací nabídce Hodnota vyberte Cluster GCP GKE.
Vyberte OK.

Nasazení senzoru Defenderu

Nasazení senzoru Defenderu do clusterů GCP:

Přejděte do Microsoft Defenderu pro nastavení>cloudového>prostředí Přidat prostředí>Google Cloud Platform.
Vyplňte podrobnosti o účtu.
Přejděte na Výběr plánů, otevřete plán Kontejnery a ujistěte se, že je senzor automatického zřizování Defenderu pro Azure Arc nastavený na Zapnuto.
Přejděte na Konfigurovat přístup a postupujte podle pokynů v něm.
gcloud Po úspěšném spuštění skriptu vyberte Vytvořit.

Poznámka:

Z automatického zřizování můžete vyloučit konkrétní cluster GCP. Pro nasazení senzoru ms_defender_container_exclude_agents použijte popisek u prostředku s hodnotou true. Pro nasazení bez agentů použijte ms_defender_container_exclude_agentless popisek u prostředku s hodnotou true.

Simulace výstrah zabezpečení z Microsoft Defenderu pro kontejnery

Úplný seznam podporovaných výstrah je k dispozici v referenční tabulce všech výstrah zabezpečení Defenderu pro cloud.

Simulace výstrahy zabezpečení:

Z clusteru spusťte následující příkaz:
```
kubectl get pods --namespace=asc-alerttest-662jfi039n
```
Očekávaná odpověď je No resource found.

Během 30 minut program Defender for Cloud tuto aktivitu detekuje a aktivuje výstrahu zabezpečení.

Poznámka:

Azure Arc není předpokladem pro simulaci upozornění bez agentů pro Defender for Containers.
Na webu Azure Portal přejděte do programu Microsoft Defender for Cloud>Security a vyhledejte upozornění na příslušném prostředku.

Odebrání senzoru Defenderu

Pokud chcete toto (nebo jakékoli) rozšíření Defender for Cloud odebrat, nestačí vypnout automatické zřizování:

Povolení automatického zřizování může mít vliv na stávající a budoucí počítače.
Zakázání automatického zřizování rozšíření ovlivní pouze budoucí počítače. Když zakážete automatické zřizování, nic se neodinstaluje.

Poznámka:

Pokud chcete plán Defender for Containers úplně zakázat, přejděte do nastavení prostředí a vypněte Microsoft Defender for Containers.

Pokud ale chcete zajistit, aby se komponenty Defenderu pro kontejnery automaticky nezřídily pro vaše prostředky, zakažte automatické zřizování rozšíření.

Rozšíření můžete odebrat z aktuálně spuštěných počítačů pomocí webu Azure Portal, Azure CLI nebo rozhraní REST API, jak je vysvětleno na následujících kartách.

Odebrání rozšíření pomocí webu Azure Portal

Na webu Azure Portal otevřete Azure Arc.
V seznamu infrastruktury vyberte clustery Kubernetes a pak vyberte konkrétní cluster.
Otevřete stránku Rozšíření, která obsahuje seznam rozšíření v clusteru.
Vyberte rozšíření a pak vyberte Odinstalovat.

Odebrání senzoru Defenderu pomocí Azure CLI

Pomocí následujících příkazů odeberte rozšíření Azure Arc pro Microsoft Defender pro Kubernetes:

az login
az account set --subscription <subscription-id>
az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes

Odebrání rozšíření může trvat několik minut. Doporučujeme počkat, než se pokusíte ověřit, jestli byl úspěšný.

Pokud chcete ověřit, že jste rozšíření úspěšně odebrali, spusťte následující příkazy:

az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes

Ověřte, že v clusteru mdc nejsou pody podů. Spusťte následující příkaz se souborem kubeconfig , který ukazuje na váš cluster:
```
kubectl get pods -n mdc
```
Odstranění podů může trvat několik minut.

Odebrání senzoru Defenderu pomocí rozhraní REST API

Pokud chcete rozšíření odebrat pomocí rozhraní REST API, spusťte následující DELETE příkaz:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Příkaz obsahuje tyto parametry:

Název	V	Požaduje se	Type	Popis
`Subscription ID`	Cesta	True	String	ID předplatného clusteru Kubernetes s podporou Služby Azure Arc
`Resource Group`	Cesta	True	String	Skupina prostředků clusteru Kubernetes s podporou Azure Arc
`Cluster Name`	Cesta	True	String	Název clusteru Kubernetes s podporou Služby Azure Arc

Pro ověřování musí mít hlavička nosný token (stejně jako u jiných rozhraní API Azure). Pokud chcete získat nosný token, spusťte následující příkaz:

az account get-access-token --subscription <your-subscription-id>

Dokončení požadavku může trvat několik minut.

Nastavení výchozího pracovního prostoru služby Log Analytics pro AKS

Senzor Defenderu používá pracovní prostor služby Log Analytics jako datový kanál k odesílání dat z clusteru do Defenderu pro cloud. Pracovní prostor neuchovává žádná data. V důsledku toho se uživatelům v tomto případě použití neúčtuje.

Senzor Defenderu používá výchozí pracovní prostor služby Log Analytics. Pokud nemáte výchozí pracovní prostor služby Log Analytics, Defender for Cloud vytvoří při instalaci senzoru Defenderu novou skupinu prostředků a výchozí pracovní prostor. Výchozí pracovní prostor je založený na vaší oblasti.

Zásady vytváření názvů výchozího pracovního prostoru a skupiny prostředků služby Log Analytics jsou následující:

Pracovní prostor: DefaultWorkspace-[subscription-ID]-[geo]
Skupina prostředků: DefaultResourceGroup-[geo]

Přiřazení vlastního pracovního prostoru

Když povolíte automatické zřizování, automaticky se přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud chcete zkontrolovat, jestli máte přiřazený pracovní prostor:

Přihlaste se k portálu Azure.
Vyhledejte a vyberte Zásady.
Vyberte definice.
Vyhledejte ID 64def556-fbad-4622-930e-72d1d5589bf5zásad .
Výběrem možnosti Konfigurovat clustery Azure Kubernetes Service povolte profil Defenderu.
Vyberte zadání.
Použijte jeden z dalších částí tohoto článku následujícím způsobem:
- Pokud zásady ještě nejsou přiřazené k příslušnému oboru, postupujte podle pokynů k vytvoření nového přiřazení pomocí vlastních kroků pracovního prostoru .
- Pokud už je zásada přiřazená a chcete ji změnit tak, aby používala vlastní pracovní prostor, postupujte podle pokynů k aktualizaci přiřazení vlastními kroky pracovního prostoru .

Vytvoření nového přiřazení s vlastním pracovním prostorem

Pokud zásady ještě nejsou přiřazené, zobrazí se na kartě Zadání číslo 0.

Přiřazení vlastního pracovního prostoru:

Vyberte Přiřadit.
Na kartě Parametry zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat možnost.
V rozevírací nabídce vyberte hodnotu LogAnalyticsWorkspaceResourceId.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Pokud je zásada přiřazená k pracovnímu prostoru, zobrazí se na kartě Přiřazení číslo 1.

Poznámka:

Pokud máte více než jedno předplatné, může být číslo vyšší.

Přiřazení vlastního pracovního prostoru:

Vyberte příslušné zadání.
Vyberte Upravit zadání.
Na kartě Parametry zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat možnost.
V rozevírací nabídce vyberte hodnotu LogAnalyticsWorkspaceResourceId.
Vyberte Zkontrolovat a uložit.
Zvolte Uložit.

Výchozí pracovní prostor služby Log Analytics pro Azure Arc

Zásady vytváření názvů výchozího pracovního prostoru a skupiny prostředků služby Log Analytics jsou následující:

Pracovní prostor: DefaultWorkspace-[subscription-ID]-[geo]
Skupina prostředků: DefaultResourceGroup-[geo]

Přiřazení vlastního pracovního prostoru

Když povolíte automatické zřizování, automaticky se přiřadí výchozí pracovní prostor. Vlastní pracovní prostor můžete přiřadit prostřednictvím služby Azure Policy.

Pokud chcete zkontrolovat, jestli máte přiřazený pracovní prostor:

Přihlaste se k portálu Azure.
Vyhledejte a vyberte Zásady.
Vyberte definice.
Vyhledejte ID 708b60a6-d253-4fe0-9114-4be4c00f012czásad .
Výběrem možnosti Konfigurovat clustery Kubernetes s podporou Azure Arc nainstalujte rozšíření Microsoft Defender for Cloud.
Vyberte zadání.
Použijte jeden z dalších částí tohoto článku následujícím způsobem:
- Pokud zásady ještě nejsou přiřazené k příslušnému oboru, postupujte podle pokynů k vytvoření nového přiřazení pomocí vlastních kroků pracovního prostoru .
- Pokud už je zásada přiřazená a chcete ji změnit tak, aby používala vlastní pracovní prostor, postupujte podle pokynů k aktualizaci přiřazení vlastními kroky pracovního prostoru .

Vytvoření nového přiřazení s vlastním pracovním prostorem

Pokud zásady ještě nejsou přiřazené, zobrazí se na kartě Zadání číslo 0.

Přiřazení vlastního pracovního prostoru:

Vyberte Přiřadit.
Na kartě Parametry zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat možnost.
V rozevírací nabídce vyberte hodnotu LogAnalyticsWorkspaceResourceId.
Vyberte Zkontrolovat a vytvořit.
Vyberte Vytvořit.

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Pokud je zásada přiřazená k pracovnímu prostoru, zobrazí se na kartě Přiřazení číslo 1.

Poznámka:

Pokud máte více než jedno předplatné, může být číslo vyšší. Pokud máte číslo 1 nebo vyšší, ale přiřazení není v příslušném oboru, postupujte podle pokynů k vytvoření nového přiřazení s vlastním postupem pracovního prostoru .

Přiřazení vlastního pracovního prostoru:

Vyberte příslušné zadání.
Vyberte Upravit zadání.
Na kartě Parametry zrušte zaškrtnutí políčka Zobrazit pouze parametry, které potřebují zadat nebo zkontrolovat možnost.
V rozevírací nabídce vyberte hodnotu LogAnalyticsWorkspaceResourceId.
Vyberte Zkontrolovat a uložit.
Zvolte Uložit.

Odebrání senzoru Defenderu

Pokud chcete toto (nebo jakékoli) rozšíření Defender for Cloud odebrat, nestačí vypnout automatické zřizování:

Povolení automatického zřizování může mít vliv na stávající a budoucí počítače.
Zakázání automatického zřizování rozšíření ovlivní pouze budoucí počítače. Když zakážete automatické zřizování, nic se neodinstaluje.

Poznámka:

Pokud chcete plán Defender for Containers úplně zakázat, přejděte do nastavení prostředí a vypněte Microsoft Defender for Containers.

Pokud ale chcete zajistit, aby se komponenty Defenderu pro kontejnery automaticky nezřídily pro vaše prostředky, zakažte automatické zřizování rozšíření.

Rozšíření můžete odebrat z aktuálně spuštěných počítačů pomocí rozhraní REST API, Azure CLI nebo šablony Resource Manageru, jak je vysvětleno na následujících kartách.

Odebrání senzoru Defenderu z AKS pomocí rozhraní REST API

Pokud chcete rozšíření odebrat pomocí rozhraní REST API, spusťte následující PUT příkaz:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Příkaz obsahuje tyto parametry:

Název	Popis	Povinné
`SubscriptionId`	ID předplatného clusteru	Ano
`ResourceGroup`	Skupina prostředků clusteru	Ano
`ClusterName`	Název clusteru	Ano
`ApiVersion`	Verze rozhraní API; musí být 2022-06-01 nebo novější	Ano

Toto je text požadavku:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Tělo požadavku má tyto parametry:

Název	Popis	Povinné
`location`	Umístění clusteru	Ano
`properties.securityProfile.defender.securityMonitoring.enabled`	Určuje, jestli se má v clusteru povolit nebo zakázat Microsoft Defender for Containers.	Ano

Odebrání senzoru Defenderu pomocí Azure CLI

Spusťte následující příkazy:

az login
az account set --subscription <subscription-id>
az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>

Odebrání rozšíření může trvat několik minut.

Pokud chcete ověřit, že jste rozšíření úspěšně odebrali, spusťte následující příkaz:
```
kubectl get pods -n kube-system | grep microsoft-defender
```
Po odebrání get pods rozšíření příkaz nevrací žádné pody. Odstranění podů může trvat několik minut.

Odebrání senzoru Defenderu z AKS pomocí Azure Resource Manageru

Pokud chcete použít Azure Resource Manager k odebrání senzoru Defenderu, potřebujete ve svém předplatném pracovní prostor služby Log Analytics. Další informace najdete v pracovních prostorech služby Log Analytics.

Tip

Pokud s šablonami Resource Manageru začínáte, začněte tady: Co jsou šablony Azure Resource Manageru?

Relevantní šablona a parametry pro odebrání senzoru Defenderu z AKS jsou:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Teď, když jste povolili Defender for Containers, můžete:

Kontrola ohrožení zabezpečení imagí služby Azure Container Registry
Kontrola ohrožení zabezpečení imagí AWS pomocí Microsoft Defender Správa zranitelností
Kontrola ohrožení zabezpečení imagí GCP pomocí Microsoft Defender Správa zranitelností
Podívejte se na běžné dotazy týkající se Defenderu for Containers.

Další informace o Defenderu for Cloud a Defenderu pro kontejnery najdete v následujících blogech:

Sdílet prostřednictvím

Konfigurace komponent Microsoft Defenderu pro kontejnery

Síťové požadavky

Síťové požadavky

Povolení plánu

Metoda povolení podle schopností

Role a oprávnění

Přiřazení vlastního pracovního prostoru pro senzor Defenderu

Ruční nasazení senzoru Defenderu nebo agenta zásad Azure bez automatického zřizování s využitím doporučení

Nasazení senzoru Defenderu: Všechny možnosti

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Povolení plánu

Požadavky

Nasazení senzoru Defenderu

Použití tlačítka Opravit z doporučení Defenderu pro cloud

Ověření nasazení

Použití doporučení defenderu pro cloud k ověření stavu senzoru

Povolení plánu

Zobrazení doporučení a upozornění pro clustery EKS

Nasazení senzoru Defenderu

Povolení plánu

Nasazení řešení do konkrétních clusterů

Zobrazení upozornění clusteru GKE

Nasazení senzoru Defenderu

Simulace výstrah zabezpečení z Microsoft Defenderu pro kontejnery

Odebrání senzoru Defenderu

Odebrání rozšíření pomocí webu Azure Portal

Nastavení výchozího pracovního prostoru služby Log Analytics pro AKS

Přiřazení vlastního pracovního prostoru

Vytvoření nového přiřazení s vlastním pracovním prostorem

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Výchozí pracovní prostor služby Log Analytics pro Azure Arc

Přiřazení vlastního pracovního prostoru

Vytvoření nového přiřazení s vlastním pracovním prostorem

Aktualizace přiřazení pomocí vlastního pracovního prostoru

Odebrání senzoru Defenderu

Odebrání senzoru Defenderu z AKS pomocí rozhraní REST API

Související obsah

Váš názor

Další materiály