Configurez les composants de Microsoft Defender pour les conteneurs

Microsoft Defender pour les conteneurs est une solution cloud native dédiée à la sécurisation de vos conteneurs. Cela permet de protéger vos clusters s’ils sont en cours d’exécution :

  • Azure Kubernetes Service (AKS), service géré de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.

  • Amazon Elastic Kubernetes Service (EKS) dans un compte Amazon Web Services (AWS) connecté : Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.

  • Google Kubernetes Engine (GKE) dans un projet Google Cloud Platform (GCP) connecté : l’environnement géré de Google pour le déploiement, la gestion et la mise à l’échelle d’applications à l’aide de l’infrastructure GCP.

  • Autres distributions Kubernetes (à l’aide de Kubernetes avec Azure Arc) : Clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) hébergés localement ou sur IaaS (infrastructure as a service). Pour plus d’informations, consultez la matrice de prise en charge des conteneurs dans Defender pour le cloud.

Vous pouvez d’abord commencer par les articles suivants pour apprendre à vous connecter et à protéger vos conteneurs :

Pour en savoir plus, vous pouvez aussi regarder ces vidéos de la série de vidéos Defender pour le cloud sur le terrain :

Remarque

La prise en charge par Defender pour les conteneurs des clusters Kubernetes avec Azure Arc est une fonctionnalité en préversion. La fonction de prévisualisation est disponible en libre-service, sur la base d'un consentement préalable.

Les préversions sont fournies en l’état et en fonction des disponibilités. Elles sont exclues des contrats de niveau de service et de la garantie limitée.

Pour en savoir plus sur les systèmes d’exploitation pris en charge, la disponibilité des fonctionnalités, le proxy sortant et plus encore, consultez Matrice de prise en charge des conteneurs dans Defender pour le cloud.

Configuration requise pour le réseau

Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud et ainsi envoyer des données et des événements de sécurité.

Le capteur Defender doit se connecter à l’espace de travail Azure Monitor Log Analytics configuré. Par défaut, les clusters AKS ont un accès illimité sortant à Internet. Si le trafic de sortie du cluster nécessite l’utilisation d’une étendue Private Link Azure Monitor (AMPLS), vous devez :

  • Définissez le cluster avec Container Insights et un espace de travail Log Analytics.
  • Configurez l’AMPLS avec le mode d’accès aux requêtes et le mode d’accès aux ingestions définis sur Ouvert.
  • Définissez l’espace de travail Log Analytics du cluster comme ressource dans l’AMPLS.
  • Créer dans l’AMPLS un point de terminaison privé de réseau virtuel entre le réseau virtuel du cluster et la ressource Log Analytics. Le point de terminaison privé du réseau virtuel s’intègre à une zone DNS privée.

Pour obtenir des instructions, veuillez consulter la section Créer une étendue de liaison privée Azure Monitor.

Configuration requise pour le réseau

Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.

Domaine Azure Domaine Azure Government Domaine Azure exploité par 21Vianet Port
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us .chinacloudapi.cn 443

Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.

Activer le plan

  1. Dans Defender pour le cloud, sélectionnez Paramètres, puis l’abonnement approprié.

  2. Dans la page Plans de Defender, sélectionnez Conteneurs>Paramètres.

    Capture d’écran de la page des plans Defender.

    Conseil

    Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour apparaît. Sinon, la seule option est Conteneurs.

    Capture d’écran des plans Defender pour Kubernetes et Defender pour les registres de conteneurs dans un état déconseillé, avec des informations de mise à niveau.

  3. Activez le composant approprié.

    Capture d’écran montrant l’activation des composants.

    Remarque

    • Les clients Defender pour les conteneurs qui ont adhéré avant août 2023 et qui n’ont pas activé Découverte sans agent pour Kubernetes dans le cadre de Defender CSPM (gestion de la posture de sécurité cloud) lorsqu’ils ont activé le plan, doivent activer manuellement l’extension Découverte sans agent pour Kubernetes dans le plan Defender pour les conteneurs.
    • Lorsque vous désactivez Defender pour les conteneurs, les composants sont définis sur Désactivé. Ils ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs où ils sont déjà installés.

Méthode d’activation par fonctionnalité

Par défaut, lorsque vous activez le plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour activer automatiquement toutes les fonctionnalités et installer tous les composants requis pour fournir les protections offertes par le plan. Cette configuration inclut l’attribution d’un espace de travail par défaut.

Si vous ne souhaitez pas activer toutes les fonctionnalités des plans, vous pouvez sélectionner manuellement les fonctionnalités spécifiques à activer en sélectionnant Modifier la configuration pour le plan Conteneurs. Ensuite, dans la page Paramètres et surveillance, sélectionnez les fonctionnalités que vous souhaitez activer. Vous pouvez également modifier cette configuration à partir de la page Plans Defender après la configuration initiale du plan.

Pour plus d’informations sur la méthode d’activation pour chacune des fonctionnalités, consultez la matrice de prise en charge.

Rôles et autorisations

Découvrez-en davantage sur les rôles pour l’approvisionnement d’extensions Defender pour les conteneurs.

Attribution d’un espace de travail personnalisé pour le capteur Defender

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Déploiement manuel du capteur Defender ou de l’agent de stratégie Azure sans approvisionnement automatique à l’aide des recommandations

Les fonctionnalités qui nécessitent une installation du capteur peuvent également être déployées sur un ou plusieurs clusters Kubernetes. Utilisez la recommandation appropriée :

Capteur Recommandation
Capteur Defender pour Kubernetes Le profil Defender doit être activé sur les clusters Azure Kubernetes Service
Capteur Defender pour Kubernetes avec Azure Arc L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc
Agent de stratégie Azure pour Kubernetes Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
Agent de stratégie Azure pour Kubernetes avec Azure Arc L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Pour déployer le capteur Defender sur des clusters spécifiques :

  1. Dans la page des recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité améliorée ou recherchez l’une des recommandations précédentes. (Vous pouvez également utiliser les liens précédents pour ouvrir directement la recommandation.)

  2. Affichez tous les clusters sans capteur en ouvrant l’onglet Non sain.

  3. Sélectionnez les clusters dans lesquels vous souhaitez déployer le capteur, puis Corriger.

  4. Sélectionnez Corriger X ressources.

Déployer le capteur Defender : toutes les options

Vous pouvez activer le plan Defender pour les conteneurs et déployer tous les composants appropriés à l’aide du portail Azure, de l’API REST ou d’un modèle Azure Resource Manager. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Une fois le capteur Defender déployé, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé à la place de l’espace de travail par défaut via Azure Policy.

Remarque

Le capteur Defender est déployé sur chaque nœud pour fournir les protections au moment de l’exécution et collecter les signaux provenant des nœuds à l’aide de la technologie eBPF.

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Vous pouvez utiliser les pages du portail Azure pour activer le plan Defender pour le cloud et pour configurer l’approvisionnement automatique de l’ensemble des composants nécessaires à la protection de vos clusters Kubernetes à grande échelle. Le processus est simplifié.

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

  • Une visibilité sur lequel de vos clusters le capteur Defender est déployé.
  • Un bouton Corriger pour déployer le capteur sur des clusters qui ne l’ont pas.

Pour déployer le capteur :

  1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

  2. Utilisez le filtre pour trouver la recommandation nommée Le profil Defender doit être activé pour les clusters Azure Kubernetes Service.

    Conseil

    Remarquez l’icône Corriger dans la colonne Actions.

  3. Sélectionnez les clusters pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

  4. Dans la liste des ressources non saines, sélectionnez un cluster. Sélectionnez ensuite Corriger pour ouvrir le volet avec la confirmation de correction.

  5. Sélectionnez Corriger X ressources.

Activer le plan

  1. Dans Defender pour le cloud, sélectionnez Paramètres, puis l’abonnement approprié.

  2. Dans la page Plans de Defender, sélectionnez Conteneurs>Paramètres.

    Capture d’écran de la page des plans Defender.

    Conseil

    Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour apparaît. Sinon, la seule option est Conteneurs.

    Capture d’écran des plans Defender pour Kubernetes et Defender pour les registres de conteneurs dans un état déconseillé, avec des informations de mise à niveau.

  3. Activez le composant approprié.

    Capture d’écran montrant l’activation des composants.

    Remarque

    Lorsque vous désactivez Defender pour les conteneurs, les composants sont définis sur Désactivé. Ils ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs où ils sont déjà installés.

Par défaut, lorsque vous activez le plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour installer automatiquement tous les composants requis pour fournir les protections offertes par le plan. Cette configuration inclut l’attribution d’un espace de travail par défaut.

Si vous voulez désactiver l’installation automatique des composants pendant le processus d’intégration, sélectionnez Modifier la configuration pour le plan Conteneurs. Les options avancées s’affichent et vous permettent de désactiver l’installation automatique pour chaque composant.

Vous pouvez aussi modifier cette configuration à partir de la page Plans Defender.

Remarque

Si vous choisissez de désactiver le plan à tout moment après l’activation par le biais du portail, vous devez supprimer manuellement le déploiement des composants Defender pour les conteneurs sur vos clusters.

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Si vous désactivez l’installation automatique d’un composant, vous pouvez facilement déployer le composant sur un ou plusieurs clusters à l’aide de la recommandation appropriée :

Découvrez-en davantage sur les rôles pour l’approvisionnement d’extensions Defender pour les conteneurs.

Prérequis

Avant de déployer le capteur, vérifiez que vous :

Déployer le capteur Defender

Vous pouvez déployer le capteur Defender à l’aide de différentes méthodes. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

  • Une visibilité sur lequel de vos clusters le capteur Defender est déployé.
  • Un bouton Corriger pour déployer le capteur sur des clusters qui ne l’ont pas.

Pour déployer le capteur :

  1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

  2. Utilisez le filtre pour trouver la recommandation nommée L’extension Microsoft Defender doit être activée sur les clusters Kubernetes avec Azure Arc.

    Capture d’écran montrant les suggestions de Microsoft Defender pour le cloud pour le déploiement du capteur Defender pour les clusters Kubernetes avec Azure Arc.

    Conseil

    Remarquez l’icône Corriger dans la colonne Actions.

  3. Sélectionnez le capteur pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

  4. Dans la liste des ressources non saines, sélectionnez un cluster. Sélectionnez ensuite Corriger pour ouvrir le volet avec les options de correction.

  5. Sélectionnez l’espace de travail Log Analytics approprié, puis Corriger la ressource x.

    Capture d’écran animée montrant le déploiement d’un capteur Defender pour Azure Arc à l’aide de la correction dans Defender pour le cloud.

Vérifier le déploiement

Pour vérifier que le capteur Defender est installé sur votre cluster, suivez les étapes sous l’un des onglets ci-dessous.

Utiliser les recommandations Defender pour le cloud pour vérifier l’état de votre capteur

  1. Dans la page des recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer Microsoft Defender pour le cloud.

  2. Sélectionnez la recommandation nommée L’extension Microsoft Defender doit être installée pour les clusters Kubernetes avec Azure Arc.

    Capture d’écran montrant les suggestions de Defender pour le cloud pour le déploiement du capteur Defender pour les clusters Kubernetes avec Azure Arc.

  3. Vérifiez que le cluster sur lequel vous avez déployé le capteur est répertorié comme Sain.

Activer le plan

Important

  • Si vous n’avez pas connecté de compte AWS, connectez votre compte AWS à Microsoft Defender pour le cloud avant de commencer les étapes suivantes.
  • Si vous avez déjà activé le plan sur votre connecteur et que vous souhaitez modifier les configurations facultatives ou activer de nouvelles fonctionnalités, passez directement à l’étape 4.

Pour vous aider protéger vos clusters EKS, activez le plan Defender pour les conteneurs sur le connecteur de compte approprié :

  1. Dans Microsoft Defender pour le cloud, ouvrez Paramètres d’environnement.

  2. Sélectionnez le connecteur AWS.

    Capture d’écran d’un connecteur AWS dans les paramètres d’environnement Defender pour le cloud.

  3. Vérifiez que le bouton bascule du plan Conteneurs est défini sur Activé.

    Capture d’écran de l’activation de Defender pour les conteneurs pour un connecteur AWS.

  4. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

    Capture d’écran des paramètres du plan Conteneurs dans les paramètres d’environnement Defender pour le cloud.

    • Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, définissez le bouton bascule de cette fonctionnalité sur Activé. Pour modifier la période de rétention de vos journaux d’audit, entrez le délai d’exécution souhaité.

      Remarque

      Si vous désactivez cette configuration, la fonctionnalité Détection des menaces (plan de contrôle) est également désactivée. En savoir plus sur la disponibilité de la fonctionnalité.

    • La fonctionnalité Découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

    • La fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent assure la gestion de la vulnérabilité des images stockées dans ECR et des images en cours d’exécution sur vos clusters EKS. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

  5. Passez en revue les pages restantes de l’Assistant Connecteur.

  6. Si vous activez la fonctionnalité Découverte sans agent pour Kubernetes, vous devez accorder des autorisations de plan de contrôle sur le cluster. Vous pouvez accorder des autorisations de l’une des manières suivantes :

    • Exécutez ce script Python. Le script ajoute le rôle Defender pour le cloud MDCContainersAgentlessDiscoveryK8sRole à aws-auth ConfigMap pour les clusters EKS que vous souhaitez intégrer.

    • Accordez à chaque cluster Amazon EKS le rôle MDCContainersAgentlessDiscoveryK8sRole avec la possibilité d’interagir avec le cluster. Connectez-vous à tous les clusters existants et nouvellement créés à l’aide d’eksctl et exécutez le script suivant :

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      Pour plus d’informations, consultez Accorder aux utilisateurs IAM l’accès à Kubernetes avec des entrées d’accès EKS dans le guide de l’utilisateur Amazon EKS.

  7. Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes doivent être installés et en cours d’exécution sur vos clusters EKS. Il existe une recommandation Defender pour le cloud dédiée à l’installation de ces extensions (et Azure Arc, si nécessaire) : L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS.

    Pour installer les extensions nécessaires, procédez de la manière suivante :

    1. Dans la page Recommandations de Defender pour le cloud, recherchez et sélectionnez L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters EKS.

    2. Sélectionnez un cluster non sain.

      Important

      Vous devez sélectionner les clusters un par un.

      Ne sélectionnez pas les clusters selon leurs noms hypertexte. Sélectionnez n’importe où ailleurs dans la ligne appropriée.

    3. Sélectionnez Corriger.

    4. Defender pour le cloud génère un script dans le langage de votre choix : sélectionnez Bash (pour Linux) ou PowerShell (pour Windows).

    5. Sélectionnez Télécharger la logique de correction.

    6. Exécutez le script généré sur votre cluster.

    Capture d’écran animée expliquant comment utiliser la recommandation Defender pour le cloud afin de générer un script qui active l’extension Azure Arc pour les clusters EKS.

Afficher les recommandations et les alertes pour vos clusters EKS

Conseil

Vous pouvez simuler des alertes de conteneur en suivant les instructions données dans ce billet de blog.

Pour afficher les alertes et les recommandations pour vos clusters EKS, utilisez les filtres sur les pages d’alertes, de recommandations et d’inventaire pour filtrer par type de ressource Cluster AWS EKS.

Capture d’écran des sélections pour l’utilisation des filtres dans la page des alertes de sécurité Microsoft Defender pour le cloud pour afficher les alertes liées aux clusters AWS EKS.

Déployer le capteur Defender

Pour déployer le capteur Defender sur vos clusters AWS :

  1. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement>Ajouter un environnement>Amazon Web Services.

    Capture d’écran des sélections pour l’ajout d’un environnement AWS dans Microsoft Defender pour le cloud.

  2. Renseignez les détails du compte.

    Capture d’écran du formulaire permettant de renseigner les détails du compte pour un environnement AWS dans Microsoft Defender pour le cloud.

  3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

    Capture d’écran des sélections pour activer le capteur Defender pour Azure Arc dans Microsoft Defender pour le cloud.

  4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

    Capture d’écran de la page de configuration de l’accès pour un environnement AWS dans Microsoft Defender pour le cloud.

  5. Une fois le modèle Cloud Formation déployé avec succès, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster AWS spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Activer le plan

Important

Si vous n’avez pas connecté de projet GCP, connectez vos projets GCP à Microsoft Defender pour le cloud.

Pour protéger vos clusters GKE, activez le plan Defender pour les conteneurs sur le projet GCP approprié de la manière suivante.

Remarque

Vérifiez que vous n’avez aucune stratégie Azure qui empêche l’installation d’Azure Arc.

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

  3. Sélectionnez le connecteur GCP approprié.

    Capture d’écran d’un exemple de connecteur GCP.

  4. Sélectionnez le bouton Suivant : Sélectionner des plans>.

  5. Assurez-vous que le bouton bascule du plan Conteneurs est défini sur Activé.

    Capture d’écran du plan Conteneurs activé.

  6. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

    Capture d’écran des paramètres du plan Conteneurs dans les paramètres d’environnement Defender pour le cloud.

    • Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, définissez le bouton bascule sur Activé.

      Remarque

      Si vous désactivez cette configuration, la fonctionnalité Détection des menaces (plan de contrôle) est également désactivée. En savoir plus sur la disponibilité de la fonctionnalité.

    • Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :

    • La fonctionnalité Découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

    • La fonctionnalité Évaluation des vulnérabilités de conteneur sans agent fournit une gestion des vulnérabilités pour les images stockées dans les registres Google (Google Artifact Registry et Google Container Registry) et l’exécution d’images sur vos clusters GKE. Pour activer la fonctionnalité, définissez son bouton bascule sur Activé.

  7. Sélectionnez le bouton Copier.

    Capture d’écran montrant l’emplacement du bouton de copie.

  8. Sélectionnez le bouton GCP Cloud Shell >.

  9. Collez le script dans le terminal Cloud Shell et exécutez-le.

Le connecteur est mis à jour après l’exécution du script. Ce processus peut prendre jusqu’à 8 heures avant d’être complété.

Déployer la solution sur des clusters spécifiques

Si vous définissez l’une des configurations d’approvisionnement automatique par défaut sur Désactivé pendant le processus d’intégration du connecteur GCP ou après, vous devez installer manuellement Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes dans chacun de vos clusters GKE. L’installation de ces éléments vous permet de vous assurer que vous obtenez la valeur de sécurité complète de Defender pour les conteneurs.

Vous pouvez utiliser deux recommandations Defender pour le cloud dédiées à l’installation des extensions (et Azure Arc si nécessaire) :

  • L’extension Microsoft Defender pour Azure Arc doit être installée sur les clusters GKE
  • L’extension Azure Policy doit être installée sur les clusters GKE

Remarque

Lors de l’installation des extensions Arc, vous devez vérifier que le projet GCP fourni est identique à celui du connecteur concerné.

Pour déployer la solution sur des clusters spécifiques :

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Recommandations.

  3. Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations selon son nom.

    Capture d’écran de la recherche d’une recommandation.

  4. Sélectionnez un cluster GKE non sain.

    Important

    Vous devez sélectionner les clusters un par un.

    Ne sélectionnez pas les clusters selon leurs noms hypertexte. Sélectionnez n’importe où ailleurs dans la ligne appropriée.

  5. Sélectionnez le nom de la ressource non saine.

  6. Sélectionnez Corriger.

    Capture d’écran de l’emplacement du bouton Corriger.

  7. Defender pour le cloud génère un script dans le langage de votre choix :

    • Pour Linux, sélectionnez Bash.
    • Pour Windows, sélectionnez PowerShell.
  8. Sélectionnez Télécharger la logique de correction.

  9. Exécutez le script généré sur votre cluster.

  10. Répétez les étapes 3 à 8 pour l’autre recommandation.

Afficher les alertes de votre cluster GKE

  1. Connectez-vous au portail Azure.

  2. Accédez à Microsoft Defender pour le cloud>Alertes de sécurité.

  3. Sélectionnez le bouton .

  4. Dans le menu déroulant Filtre, sélectionnez Type de ressource.

  5. Dans le menu déroulant Valeur, sélectionnez Cluster GCP GKE.

  6. Sélectionnez OK.

Déployer le capteur Defender

Pour déployer le capteur Defender sur vos clusters GCP :

  1. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement>Ajouter un environnement>Google Cloud Platform.

    Capture d’écran des sélections pour l’ajout d’un environnement GCP dans Microsoft Defender pour le cloud.

  2. Renseignez les détails du compte.

    Capture d’écran du formulaire permettant de renseigner les détails du compte pour un environnement GCP dans Microsoft Defender pour le cloud.

  3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

    Capture d’écran des sélections pour activer le capteur Defender pour Azure Arc dans Microsoft Defender pour le cloud.

  4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

    Capture d’écran de la page de configuration de l’accès pour un environnement GCP dans Microsoft Defender pour le cloud.

  5. Une fois que le script gcloud s’exécute correctement, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster GCP spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Simuler des alertes de sécurité à partir de Microsoft Defender pour les conteneurs

La liste complète des alertes prises en charge est disponible dans le tableau de référence de toutes les alertes de sécurité Defender pour le cloud.

Pour simuler une alerte de sécurité :

  1. Exécutez la commande suivante à partir du cluster :

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    La réponse attendue est No resource found.

    Dans les 30 minutes, Defender pour le cloud détecte cette activité et déclenche une alerte de sécurité.

    Remarque

    Azure Arc n’est pas une condition préalable pour simuler des alertes sans agent pour Defender pour les conteneurs.

  2. Dans le portail Azure, accédez à Microsoft Defender pour le cloud>Alertes de sécurité et recherchez l’alerte sur la ressource concernée.

    Capture d’écran d’un exemple d’alerte de Microsoft Defender pour Kubernetes.

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud (ou une autre), désactiver l’approvisionnement automatique ne suffit pas :

  • Activer l’approvisionnement automatique affecte potentiellement les machines existantes et futures.
  • Désactiver l’approvisionnement automatique pour une extension affecte uniquement les futures machines. Rien n’est désinstallé lorsque vous désactivez l’approvisionnement automatique.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez Microsoft Defender pour les conteneurs.

Néanmoins, pour vous assurer que les composants Defender pour les conteneurs ne sont pas automatiquement approvisionnés sur vos ressources dès maintenant, désactivez l’approvisionnement automatique des extensions.

Vous pouvez supprimer l’extension des machines en cours d’exécution à l’aide du portail Azure, d’Azure CLI ou de l’API REST, comme expliqué dans les onglets suivants.

Utiliser le portail Azure pour supprimer l’extension

  1. Dans le portail Azure, ouvrez Azure Arc.

  2. Dans la liste d’infrastructures, sélectionnez Clusters Kubernetes, puis le cluster spécifique.

  3. Ouvrez la page Extensions, qui répertorie les extensions sur le cluster.

  4. Sélectionnez l’extension, puis Désinstaller.

    Capture d’écran du bouton permettant de désinstaller une extension à partir d’un cluster Kubernetes avec Azure Arc.

Définir un espace de travail Log Analytics par défaut pour AKS

Le capteur Defender utilise l’espace de travail Log Analytics en tant que pipeline de données pour envoyer des données du cluster à Defender pour le cloud. L’espace de travail ne conserve aucune des données. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’utilisation.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut lorsque vous installez le capteur Defender. L’espace de travail par défaut est basé sur votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

  • Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
  • Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Lorsque vous activez l’approvisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Stratégie.

    Capture d’écran montrant comment trouver la page Stratégie.

  3. Sélectionnez Définitions.

  4. Recherchez l’ID de stratégie 64def556-fbad-4622-930e-72d1d5589bf5.

    Capture d’écran qui montre où rechercher la stratégie par numéro d’ID.

  5. Sélectionnez Configurer les clusters Azure Kubernetes Service pour activer le profil Defender.

  6. Sélectionnez Affectations.

    Capture d’écran de l’onglet Attributions.

  7. Utilisez l’une des prochaines sections de cet article selon les conditions :

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’est pas encore attribuée, l’onglet Attributions affiche le nombre 0.

Capture d’écran montrant qu’aucun espace de travail n’est affecté.

Pour attribuer un espace de travail personnalisé :

  1. Sélectionnez Attribuer.

  2. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

  3. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

    Capture d’écran du menu déroulant de l’ID de ressource d’espace de travail Log Analytics.

  4. Sélectionnez Revoir + créer.

  5. Sélectionnez Créer.

Mettre à jour une attribution avec un espace de travail personnalisé

Si la stratégie est attribuée à un espace de travail, l’onglet Attributions affiche le nombre 1.

Capture d’écran de l’onglet montrant un espace de travail affecté.

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand.

Pour attribuer un espace de travail personnalisé :

  1. Sélectionnez l’assignation correspondante.

    Capture d’écran de la sélection d’une attribution.

  2. Sélectionnez Modifier l’attribution.

  3. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

  4. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

    Capture d’écran du menu déroulant d’un ID de ressource d’espace de travail Log Analytics.

  5. Sélectionnez Vérifier + enregistrer.

  6. Cliquez sur Enregistrer.

Espace de travail Log Analytics par défaut pour Azure Arc

Le capteur Defender utilise l’espace de travail Log Analytics en tant que pipeline de données pour envoyer des données du cluster à Defender pour le cloud. L’espace de travail ne conserve aucune des données. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’utilisation.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut lorsque vous installez le capteur Defender. L’espace de travail par défaut est basé sur votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

  • Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
  • Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Lorsque vous activez l’approvisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Stratégie.

    Capture d’écran montrant comment trouver la page Stratégie pour Azure Arc.

  3. Sélectionnez Définitions.

  4. Recherchez l’ID de stratégie 708b60a6-d253-4fe0-9114-4be4c00f012c.

    Capture d’écran qui montre où rechercher la stratégie par numéro d’ID pour Azure Arc.

  5. Sélectionnez Configurez les clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud.

  6. Sélectionnez Affectations.

    Capture d’écran de l’onglet Attributions pour Azure Arc.

  7. Utilisez l’une des prochaines sections de cet article selon les conditions :

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’est pas encore attribuée, l’onglet Attributions affiche le nombre 0.

Capture d’écran montrant qu’aucun espace de travail n’est affecté pour Azure Arc.

Pour attribuer un espace de travail personnalisé :

  1. Sélectionnez Attribuer.

  2. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

  3. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

    Capture d’écran du menu déroulant d’un ID de ressource d’espace de travail Log Analytics lié à Azure Arc.

  4. Sélectionnez Revoir + créer.

  5. Sélectionnez Créer.

Mettre à jour une attribution avec un espace de travail personnalisé

Si la stratégie est attribuée à un espace de travail, l’onglet Attributions affiche le nombre 1.

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand. Si vous avez un nombre 1 ou supérieur, mais que l’attribution n’est pas sur l’étendue appropriée, suivez les instructions de Créer une affectation avec un espace de travail personnalisé.

Capture d’écran de l’onglet montrant un espace de travail affecté pour Azure Arc.

Pour attribuer un espace de travail personnalisé :

  1. Sélectionnez l’assignation correspondante.

    Capture d’écran de la sélection d’une attribution pour Azure Arc.

  2. Sélectionnez Modifier l’attribution.

  3. Sous l’onglet Paramètres, effacez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

  4. Sélectionnez une valeur LogAnalyticsWorkspaceResourceId dans le menu déroulant.

    Capture d’écran du menu déroulant d’un ID de ressource d’espace de travail Log Analytics pour Azure Arc.

  5. Sélectionnez Vérifier + enregistrer.

  6. Sélectionnez Enregistrer.

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud (ou une autre), désactiver l’approvisionnement automatique ne suffit pas :

  • Activer l’approvisionnement automatique affecte potentiellement les machines existantes et futures.
  • Désactiver l’approvisionnement automatique pour une extension affecte uniquement les futures machines. Rien n’est désinstallé lorsque vous désactivez l’approvisionnement automatique.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez Microsoft Defender pour les conteneurs.

Néanmoins, pour vous assurer que les composants Defender pour les conteneurs ne sont pas automatiquement approvisionnés sur vos ressources dès maintenant, désactivez l’approvisionnement automatique des extensions.

Vous pouvez supprimer l’extension des machines en cours d’exécution à l’aide de l’API REST, de l’interface de ligne de commande Azure ou d’un modèle Resource Manager, comme expliqué dans les onglets suivants.

Utiliser l’API REST pour supprimer le capteur Defender d’AKS

Pour supprimer l’agent à l’aide de l’API REST, exécutez la commande PUT suivante :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

La commande inclut ces paramètres :

Nom Description Obligatoire
SubscriptionId ID de l’abonnement du cluster Oui
ResourceGroup Groupe de ressources du cluster Oui
ClusterName Nom du cluster Oui
ApiVersion Version de l’API – doit être 2022-06-01 ou version ultérieure Oui

Voici le corps de la demande :

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Le corps de la requête présente ces paramètres :

Nom Description Obligatoire
location Emplacement du cluster Oui
properties.securityProfile.defender.securityMonitoring.enabled Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster Oui

Maintenant que vous avez activé Defender pour les conteneurs, vous pouvez :

Pour en savoir plus sur Defender pour le cloud et Defender pour les conteneurs, consultez les publications suivantes :