Configurar componentes do Microsoft Defender para contêineres

Artigo
11/01/2024

O Microsoft Defender para contêineres é a solução nativa de nuvem para proteger contêineres. Ele ajuda a proteger os clusters, independentemente de eles estarem em execução no:

AKS (Serviço de Kubernetes do Azure): o serviço gerenciado da Microsoft para desenvolver, implantar e gerenciar aplicativos conteinerizados.
Amazon Elastic Kubernetes Service (EKS) em uma conta conectada do Amazon Web Services (AWS): serviço gerenciado do Amazon para execução de Kubernetes no AWS sem precisar instalar, operar e manter um painel de controle ou nós de Kubernetes.
GKE (Google Kubernetes Engine) em um projeto GCP (Google Cloud Platform) conectado – o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.
Outras distribuições de Kubernetes (usando Kubernetes habilitado para Azure Arc): clusters de Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou na IaaS (infraestrutura como serviço). Para obter mais informações, consulte Matriz de suporte a contêineres no Defender para Nuvem.

Primeiro, saiba como conectar e ajudar a proteger seus contêineres nestes artigos:

Você também pode saber mais assistindo a estes vídeos da série de vídeos do Defender para Nuvem em campo:

Observação

O suporte do Defender para Contêineres para clusters de Kubernetes habilitados para Azure Arc é uma versão prévia do recurso. A versão prévia do recurso está disponível no modo autoatendimento e aceitação.

As versões prévias são fornecidas como estão e conforme são disponibilizadas. Elas são excluídas dos contratos de nível de serviço e da garantia limitada.

Para saber mais sobre os sistemas operacionais com suporte, disponibilidade de recurso, proxy de saída e mais, confira Matriz de suporte a contêineres no Defender para Nuvem.

Requisitos de rede

Valide se os pontos de extremidade a seguir estão configurados para acesso de saída para que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem e enviar dados de segurança e eventos.

O sensor do Defender precisa se conectar com o workspace do Log Analytics do Azure Monitor configurado. Por padrão, os clusters do AKS têm acesso irrestrito de internet de saída. Caso a saída do cluster exija o uso de um AMPLS (Escopo de Link Privado) do Azure Monitor, você precisará:

Definir o cluster com o Container Insights e um workspace do Log Analytics.
Configurar o AMPLS com o modo de acesso de consulta e o modo de acesso de ingestão definidos como Aberto.
Definir o workspace do Log Analytics do cluster como um recurso no AMPLS.
Criar no AMPLS um ponto de extremidade privado de rede virtual entre a rede virtual do cluster e o recurso do Log Analytics. O ponto de extremidade privado da rede virtual se integra a uma zona DNS privada.

Para obter instruções, consulte Criar um escopo de link privado do Azure Monitor.

Requisitos de rede

Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.

Domínio do Azure	Domínio do Azure Governamental	Domínio do Azure operado pelo 21Vianet	Porta
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.

Habilitar o plano

No Defender para Nuvem, selecione Configurações e selecione a assinatura relevante.
Na página Planos do Defender, selecione Contêineres>Configurações.

Dica

Se a assinatura já incluir registros do Defender para Kubernetes ou do Defender para Contêiner habilitados, um aviso de atualização será mostrado. Caso contrário, a única opção é Contêineres.
Ative o componente relevante.
Observação
- Os clientes do Defenders para Contêineres que ingressaram antes de agosto de 2023 e não têm a Descoberta sem agente para Kubernetes habilitada como parte do GPSN (gerenciamento da postura de segurança na nuvem) quando habilitaram o plano precisam habilitar manualmente a extensão Descoberta sem agente para Kubernetes no plano do Defender para Contêineres.
- Quando você desativa o Defender para Contêineres, os componentes são definidos como Desativados. Eles não são implantados em mais contêineres, mas não são removidos dos contêineres em que já estão instalados.

Método de habilitação por capacidade

Por padrão, quando você habilita o plano por meio do portal do Azure, o Microsoft Defender para Contêineres é configurado para habilitar automaticamente todas as funcionalidades e instalar todos os componentes necessários para fornecer as proteções oferecidas pelo plano. Essa configuração inclui a atribuição de um workspace padrão.

Se você não quiser habilitar todos os recursos dos planos, poderá selecionar manualmente quais recursos específicos habilitar selecionando Editar configuração para o plano Contêineres plano. Em seguida, na página de Monitoramento e configurações, selecione as funcionalidades que você deseja habilitar. Você também pode modificar essa configuração na página planos do Defender após a configuração inicial do plano.

Para obter informações detalhadas sobre o método de habilitação para cada uma das funcionalidades, confira a matriz de suporte.

Funções e permissões

Saiba mais sobre as funções para provisionar extensões do Defender para contêineres.

Atribuindo um espaço de trabalho personalizado para o sensor do Defender

Você pode atribuir um workspace personalizado por meio da Azure Policy.

Implantação manual do sensor do Defender ou do agente de política do Azure sem provisionamento automático usando recomendações

As funcionalidades que exigem a instalação do sensor também podem ser implantadas em um ou mais clusters do Kubernetes. Use a recomendação apropriada:

Sensor	Recomendação
Sensor do Defender para Kubernetes	Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado
Sensor do Defender para Kubernetes habilitado para Azure Arc	Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada
Agente de do Azure Policy para Kubernetes	Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
Agente do Azure Policy para Kubernetes habilitado para Azure Arc	Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Para implantar o sensor do Defender em clusters específicos:

Na página Recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada ou pesquise uma das recomendações anteriores. (Você também pode usar os links anteriores para abrir a recomendação diretamente.)
Exiba todos os clusters sem um sensor, abrindo a guia Não íntegro.
Selecione os clusters nos quais você deseja implantar o sensor e selecione Corrigir.
Selecione Corrigir recursos X.

Implantar o sensor do Defender: todas as opções

Você pode habilitar o plano do Defender para Contêineres e implantar todos os componentes relevantes usando o portal do Azure, a API REST ou um modelo do Azure Resource Manager. Para obter etapas detalhadas, selecione a guia relevante.

Depois que o sensor do Defender for implantado, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado, no lugar do workspace, padrão por meio da Azure Policy.

Observação

O sensor do Defender é implantado em cada nó para fornecer as proteções de runtime e coletar sinais desses nós usando a tecnologia eBPF.

Use o botão Corrigir da recomendação do Defender para Nuvem

Você pode usar as páginas do portal do Azure para habilitar o plano do Defender para Nuvem e configurar o provisionamento automático de todos os componentes necessários para defender seus clusters de Kubernetes em escala. O processo é simplificado.

Uma recomendação dedicada do Defender para Nuvem fornece:

Visibilidade sobre qual dos clusters tem o sensor do Defender implantado.
Um botão Corrigir para implantar o sensor em clusters que não o têm.

Para implantar o sensor:

Na página de Recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada.
Use o filtro para localizar a recomendação chamada Clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado.

Dica

Observe o botão Corrigir na coluna Ações.
Selecione os clusters para ver os detalhes dos recursos íntegros e não íntegros (clusters com e sem o sensor).
Na lista de recursos não íntegros, selecione um cluster. Em seguida, selecione Corrigir para abrir o painel com a confirmação de correção.
Selecione Corrigir recursos X.

Usar a API REST para implantar o sensor do Defender

Para instalar securityProfile em um cluster existente usando a API REST, execute o seguinte comando PUT:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Aqui está o URI da solicitação:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

A consulta de solicitação tem estes parâmetros:

Nome	Descrição	Obrigatório
`SubscriptionId`	ID da assinatura do cluster	Sim
`ResourceGroup`	Grupo de recursos do cluster	Sim
`ClusterName`	Nome do cluster	Sim
`ApiVersion`	Versão da API; precisa ser 2022-06-01 ou posterior	Sim

Este é o corpo da solicitação:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

O corpo da solicitação tem estes parâmetros:

Nome	Descrição	Obrigatório
`location`	Local do cluster	Sim
`properties.securityProfile.defender.securityMonitoring.enabled`	Determina se é para habilitar ou desabilitar o Microsoft Defender para contêineres no cluster	Sim
`properties.securityProfile.defender.logAnalyticsWorkspaceResourceId`	Define a ID de recurso do ARM para o workspace do Log Analytics	Sim

Usar a CLI do Azure para implantar o sensor do Defender

Entrar no Azure:
```
az login
az account set --subscription <your-subscription-id>
```
Importante

Procure usar a mesma ID de assinatura para <your-subscription-id> que a associada ao cluster do AKS.

Habilite o sensor do Defender em seus contêineres:

Execute o seguinte comando para criar um cluster com o sensor do Defender habilitado:

az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>

Execute o seguinte comando para habilitar o sensor do Defender em um cluster existente:

az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>

Aqui estão as configurações com suporte no tipo de sensor do Defender:

Propriedade Descrição

logAnalyticsWorkspaceResourceId Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics.
Se você não fornecer um workspace, o padrão da região será usado.

Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão:
az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json

A ID de recurso do workspace do Log Analytics tem a seguinte sintaxe:
/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}
Saiba mais em espaços de trabalhos do Log Analytics.

Propriedade	Descrição
`logAnalyticsWorkspaceResourceId`	Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics. Se você não fornecer um workspace, o padrão da região será usado. Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: `az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json` A ID de recurso do workspace do Log Analytics tem a seguinte sintaxe: `/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}` Saiba mais em espaços de trabalhos do Log Analytics.

Você pode incluir essas configurações em um arquivo JSON e especificá-lo nos comandos az aks create e az aks update com este parâmetro: --defender-config <path-to-JSON-file>. O formato do arquivo JSON deve ser:

{"logAnalyticsWorkspaceResourceId": "<workspace-id>"}

Saiba mais sobre comandos da CLI do AKS em az aks.

Para verificar se o sensor foi adicionado, execute o seguinte comando no computador com o arquivo kubeconfig apontado para o cluster:
```
kubectl get pods -n kube-system
```
Quando o sensor é adicionado, você encontra um pod chamado microsoft-defender-XXXXX no estado Running. Pode demorar alguns minutos para os pods serem adicionados.

Usar Azure Resource Manager para implantar o sensor do Defender

Para usar o Azure Resource Manager para implantar o sensor do Defender, você precisa de um workspace do Log Analytics na assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Dica

Se você não tiver familiaridade com os modelos do Resource Manager, comece aqui: Quais são os modelos do Azure Resource Manager?.

Para instalar securityProfile em um cluster existente usando o Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Habilitar o plano

No Defender para Nuvem, selecione Configurações e selecione a assinatura relevante.
Na página Planos do Defender, selecione Contêineres>Configurações.

Dica

Se a assinatura já incluir registros do Defender para Kubernetes ou do Defender para Contêiner habilitados, um aviso de atualização será mostrado. Caso contrário, a única opção é Contêineres.
Ative o componente relevante.

Observação

Quando você desativa o Defender para Contêineres, os componentes são definidos como Desativados. Eles não são implantados em mais contêineres, mas não são removidos dos contêineres em que já estão instalados.

Por padrão, ao habilitar o plano por meio do Portal do Azure, o Microsoft Defender para contêineres é configurado para instalar automaticamente os componentes necessários para fornecer as proteções oferecidas pelo plano. Essa configuração inclui a atribuição de um workspace padrão.

Para desabilitar a instalação automática de componentes durante o processo de integração, selecione Editar configuração para o plano de Contêineres. As opções avançadas aparecerão, e você poderá desabilitar a instalação automática de cada componente.

Você também pode modificar essa configuração na página Planos do Defender.

Observação

Se você optar por desabilitar o plano a qualquer momento após habilitá-lo por meio do portal, será necessário remover manualmente os componentes do Defender para contêineres implantado em seus clusters.

Você pode atribuir um workspace personalizado por meio da Azure Policy.

Se você desabilitar o provisionamento automático de qualquer componente, poderá implantar facilmente o componente em um ou mais clusters usando a recomendação apropriada:

Complemento Azure Policy para Kubernetes: os clusters do Serviço de Kubernetes do Azure devem ter o complemento para Kubernetes do Azure Policy instalado
Perfil do Serviço de Kubernetes do Azure: os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado
Extensão do Defender para Kubernetes habilitado para Azure Arc: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Defender instalada
Extensão do Azure Policy do Kubernetes habilitado para Azure Arc: os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão do Azure Policy instalada

Saiba mais sobre as funções para provisionar extensões do Defender para contêineres.

Pré-requisitos

Antes de implantar o sensor, verifique se você:

Implantar o sensor do Defender

É possível implantar o sensor do Defender usando uma variedade de métodos. Para obter etapas detalhadas, selecione a guia relevante.

Use o botão Corrigir da recomendação do Defender para Nuvem

Uma recomendação dedicada do Defender para Nuvem fornece:

Visibilidade sobre qual dos clusters tem o sensor do Defender implantado.
Um botão Corrigir para implantar o sensor em clusters que não o têm.

Para implantar o sensor:

Na página de Recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar segurança aprimorada.
Use o filtro para localizar a recomendação chamada clusters Kubernetes habilitados para o Azure Arc devem ter a extensão do Microsoft Defender habilitada.

Dica

Observe o botão Corrigir na coluna Ações.
Selecione o sensor para visualizar os detalhes dos recursos íntegros e não íntegros (clusters com e sem o sensor).
Na lista de recursos não íntegros, selecione um cluster. Em seguida, selecione Corrigir para abrir o painel com as opções de correção.
Selecione o workspace do Log Analytics relevante e selecione Corrigir recurso x.

Usar a CLI do Azure para implantar o sensor do Defender

Entrar no Azure:
```
az login
az account set --subscription <your-subscription-id>
```
Importante

Certifique-se de usar a mesma ID de assinatura para <your-subscription-id> que aquela usada ao conectar seu cluster ao Azure Arc.

Execute o comando a seguir para implantar o sensor na parte superior do seu cluster do Kubernetes habilitado para Azure Arc:

az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes

Aqui estão as configurações com suporte no tipo de sensor do Defender:

Propriedade Descrição

logAnalyticsWorkspaceResourceID Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics.
Se você não fornecer um workspace, o padrão da região será usado.

Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão:
az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json

A ID de recurso do espaço de trabalho Log Analytics tem a seguinte sintaxe:
/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}
Saiba mais em espaços de trabalhos do Log Analytics.

auditLogPath Opcional. O caminho completo para os arquivos de log de auditoria.
Se você não fornecer um, o caminho padrão /var/log/kube-apiserver/audit.log será usado.
Para o mecanismo AKS, o caminho padrão é /var/log/kubeaudit/audit.log.

Propriedade	Descrição
`logAnalyticsWorkspaceResourceID`	Opcional. ID de recurso completo do seu próprio espaço de trabalho Log Analytics. Se você não fornecer um workspace, o padrão da região será usado. Para obter a ID do recurso completo, execute o seguinte comando para exibir a lista de espaços de trabalho em suas assinaturas no formato JSON padrão: `az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json` A ID de recurso do espaço de trabalho Log Analytics tem a seguinte sintaxe: `/subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}` Saiba mais em espaços de trabalhos do Log Analytics.
`auditLogPath`	Opcional. O caminho completo para os arquivos de log de auditoria. Se você não fornecer um, o caminho padrão `/var/log/kube-apiserver/audit.log` será usado. Para o mecanismo AKS, o caminho padrão é `/var/log/kubeaudit/audit.log`.

O seguinte comando mostra um exemplo de uso de todos os campos opcionais:

az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>

Usar a API REST para implantar o sensor do Defender

Para usar API REST para implantar o sensor do Defender, você precisa de um workspace do Log Analytics em sua assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Para implantar manualmente o sensor usando a API REST, execute o seguinte comando PUT:

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

O comando inclui estes parâmetros:

Nome	Em	Obrigatório	Type	Descrição
`Subscription ID`	Caminho	True	String	Sua ID de assinatura do recurso do Kubernetes habilitados para o Azure Arc
`Resource Group`	Caminho	True	String	Nome do grupo de recursos que contém o recurso do Kubernetes habilitados para o Azure Arc
`Cluster Name`	Caminho	True	String	Nome do recurso do Kubernetes habilitados para Azure Arc

Para Autenticação, seu cabeçalho precisa ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

az account get-access-token --subscription <your-subscription-id>

Use a seguinte estrutura para o corpo da sua mensagem:

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
}

O corpo da mensagem inclui estas propriedades:

Propriedade	Descrição
`logAnalytics.workspaceId`	ID do workspace do recurso do Log Analytics.
`logAnalytics.key`	Chave de um recurso do Log Analytics.
`auditLogPath`	Opcional. O caminho completo para os arquivos de log de auditoria. O valor padrão é `/var/log/kube-apiserver/audit.log`.

Verificar a implantação

Para verificar se o cluster tem o sensor do Defender instalado, siga as etapas em uma das guias a seguir.

Usar as recomendações do Defender para Nuvem para verificar o status do sensor

Na página Recomendações do Microsoft Defender para Nuvem, abra o controle de segurança Habilitar Microsoft Defender para Nuvem.
Selecione uma recomendação chamada clusters Kubernetes habilitados para o Azure Arc devem ter a extensão do Microsoft Defender habilitada.
Verifique se o cluster no qual você implantou o sensor está listado como Íntegro.

Usar CLI do Azure para verificar se o sensor está implantado

Execute o seguinte comando na CLI do Azure:

az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes

Na resposta, procure "extensionType": "microsoft.azuredefender.kubernetes" e "installState": "Installed".

Observação

A resposta pode mostrar "installState": "Pending" nos primeiros minutos.
Se o estado mostrar Installed, execute o comando a seguir em seu computador com o arquivo kubeconfig apontado para o cluster. Em seguida, verifique se todos os pods no namespace mdc estão no estado Running.
```
kubectl get pods -n mdc
```

Usar API REST para verificar se o sensor está implantado

Para confirmar uma implantação bem-sucedida ou para validar o status do sensor a qualquer momento:

Execute o seguinte comando GET:

GET https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Na resposta, procure "installState": "Installed" em "extensionType": "microsoft.azuredefender.kubernetes".

Dica

A resposta pode mostrar "installState": "Pending" nos primeiros minutos.
Se o estado mostrar Installed, execute o comando a seguir em seu computador com o arquivo kubeconfig apontado para o cluster. Em seguida, verifique se todos os pods no namespace mdc estão no estado Running.
```
kubectl get pods -n mdc
```

Habilitar o plano

Importante

Se você não tiver conectado uma conta do AWS, conecte sua conta do AWS ao Microsoft Defender para Nuvem antes de iniciar as etapas a seguir.
Se você já tiver habilitado o plano em seu conector e quiser alterar as configurações opcionais ou habilitar novos recursos, vá diretamente para a etapa 4.

Para ajudar a proteger seus clusters do EKS, habilite o plano Defender para contêineres no conector de conta relevante:

No Defender para Nuvem, abra Configurações de ambiente.
Selecione o conector do AWS.
Verifique se a alternância do plano Contêineres está definida como Ativada.
Para alterar as configurações opcionais do plano, selecione Configurações.
- O Defender para Contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, defina o controle de alternância desse recurso para Ativado. Para alterar o período de retenção dos logs de auditoria, insira o período de tempo necessário.
  
  Observação
  
  Se você optar por desativar essa configuração, o recurso Detecção de ameaças (plano de controle) também será desabilitado. Saiba mais sobre a disponibilidade de recursos.
- O recurso Descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar o recurso, defina o controle de alternância dele como Ativado.
- O recurso Avaliação de Vulnerabilidade de Contêiner sem Agente fornece gerenciamento de vulnerabilidades para imagens armazenadas no ECR e para execução de imagens em seus clusters do EKS. Para habilitar o recurso, defina o controle de alternância dele como Ativado.
Continue nas páginas restantes do assistente do conector.
Se você estiver habilitando o recursoDescoberta sem Agente para Kubernetes, será necessário conceder permissões de plano de controle no cluster. Você pode conceder permissões das seguintes maneiras:
- Execute este script Python. O script adiciona a função MDCContainersAgentlessDiscoveryK8sRole do Defender para Nuvem a aws-auth ConfigMap para os clusters EKS que você deseja integrar.
- Conceda a cada cluster do Amazon EKS a função MDCContainersAgentlessDiscoveryK8sRole com a capacidade de interagir com o cluster. Entre em todos os clusters existentes e recém-criados usando eksctl e execute o seguinte script:
```
    eksctl create iamidentitymapping \ 
    --cluster my-cluster \ 
    --region region-code \ 
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
    --group system:masters\ 
    --no-duplicate-arns
```
  Para obter mais informações, consulte Conceder aos usuários do IAM acesso ao Kubernetes com entradas de acesso do EKS no guia do usuário do Amazon EKS.
O Kubernetes habilitado para o Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes devem estar instalados e em execução em seus clusters do EKS. Há uma recomendação dedicada do Defender para Nuvem para instalar essas extensões (e o Azure Arc, se necessário): os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada.

Use as seguintes etapas para instalar as extensões necessárias:
1. Na página Recomendações do Defender para Nuvem, pesquise e selecione a recomendação Os clusters EKS devem ter a extensão do Microsoft Defender para Azure Arc instalada.
2. Selecione um cluster não íntegro.
  
  Importante
  
  Você precisa selecionar um cluster por vez.
  
  Não selecione os clusters pelos nomes com hiperlinks deles. Selecione em qualquer outro lugar na linha relevante.
3. Selecione Corrigir.
4. O Defender para Nuvem gera um script na linguagem da sua escolha: selecione Bash (para Linux) ou PowerShell (para Windows).
5. Selecione Baixar lógica de correção.
6. Execute o script gerado no cluster.

Exibir recomendações e alertas para clusters do EKS

Dica

Você pode simular alertas de contêiner seguindo as instruções nesta postagem de blog.

Para exibir alertas e recomendações dos clusters do EKS, use os filtros nas páginas de alertas, recomendações e inventário para filtrar pelo tipo de recurso cluster EKS do AWS.

Implantar o sensor do Defender

Para implantar o sensor do Defender nos clusters da AWS:

Acesse o Microsoft Defender para Nuvem>Configurações de ambiente>Adicionar ambiente>Amazon Web Services.
Preencha os detalhes da conta.
Acesse Selecionar planos, abra o plano de Contêineres e verifique se o Provisionamento automático do sensor do Defender para Azure Arc está definido como Ativado.
Acesse Configurar o acesso e siga as etapas lá.
Depois que o modelo de Formação de Nuvem tiver sido implantado com êxito, selecione Criar.

Observação

Você pode excluir um cluster AWS específico do provisionamento automático. Para implantação do sensor, aplique a marca ms_defender_container_exclude_agents no recurso com o valor true. Para implantação sem agente, aplique a marca ms_defender_container_exclude_agentless no recurso com o valor true.

Habilitar o plano

Importante

Se você não conectou um projeto do GCP, conecte seu projeto do GCP ao Microsoft Defender para Nuvem.

Para ajudar a proteger seus clusters GKE, use as etapas a seguir para habilitar o plano do Defender para Contêineres no projeto GCP relevante.

Observação

Verifique se você não tem políticas do Azure que impeçam a instalação do Azure Arc.

Entre no portal do Azure.
Navegue até Microsoft Defender para Nuvem>Configurações de ambiente.
Selecione o conector GCP relevante.
Selecione o botão Próximo: selecionar planos >.
Verifique se a alternância do plano Contêineres está Ativada.
Para alterar as configurações opcionais do plano, selecione Configurações.
- Logs de auditoria do Kubernetes para o Defender para Nuvem: habilitado por padrão. Essa configuração está disponível apenas no nível de projeto do GCP. Ela fornece a coleta sem agente dos dados do log de auditoria por meio do registrar em log na nuvem do GCP para o back-back do Microsoft Defender para Nuvem para análise posterior. O Defender para contêineres requer logs de auditoria do painel de controle para fornecer proteção contra ameaças em tempo de execução. Para enviar logs de auditoria do Kubernetes para o Microsoft Defender, alterne a o controle de alternância para Ativado.
  
  Observação
  
  Se você optar por desativar essa configuração, o recurso Detecção de ameaças (plano de controle) também será desabilitado. Saiba mais sobre a disponibilidade de recursos.
- Provisionar automaticamente o sensor do Defender para o Azure Arc e Provisionar automaticamente a extensão do Azure Policy para o Azure Arc: habilitado por padrão. Você pode instalar o Kubernetes habilitado para Azure Arc e suas extensões em seus clusters do GKE de três maneiras:
  - Habilite o provisionamento automático do Microsoft Defender para contêineres no nível do projeto, conforme explicado nas instruções desta seção. Este método é recomendável.
  - Use as recomendações do Defender para Nuvem para instalação por cluster. Elas aparecem na página Recomendações do Microsoft Defender para Nuvem. Saiba como implantar a solução em clusters específicos.
  - Instale manualmente o Kubernetes habilitado para Azure Arc e extensões.
- O recurso Descoberta sem agente para Kubernetes fornece a descoberta baseada em API de seus clusters do Kubernetes. Para habilitar o recurso, defina o controle de alternância dele como Ativado.
- O recurso de Avaliação de vulnerabilidade de contêiner sem agente fornece gerenciamento de vulnerabilidades para imagens armazenadas em registros do Google, GCR (Registro de Contêiner do Google) e GAR (Registro de Artefatos do Google), e imagens em execução em seus clusters do GKE. Para habilitar o recurso, defina o controle de alternância dele como Ativado.
Selecione o botão Copiar.
Selecione o botão Cloud Shell do GCP >.
Cole o script no Cloud Shell terminal e execute-o.

O conector é atualizado após a execução do script. Esse processo pode levar até oito horas para ser concluído.

Implantar a solução em clusters específicos

Se você definir qualquer uma das configurações de provisionamento automático padrão como Desativada durante o processo de integração do conector GCP ou posteriormente, será necessário instalar manualmente o Kubernetes habilitado para Azure Arc, o sensor do Defender e o Azure Policy para Kubernetes em cada um dos clusters GKE. Instalá-los ajuda a garantir que você obtenha o valor de segurança total do Defender para Contêineres.

Você pode usar duas recomendações dedicadas do Defender para Nuvem para instalar essas extensões (e o Azure Arc se necessário):

Os clusters do GKE devem ter a extensão do Microsoft Defender para Azure Arc instalada
Os clusters do GKE devem ter a extensão Azure Policy instalada

Observação

Ao instalar as extensões do Arc, você precisa verificar se o projeto GCP fornecido é idêntico ao do conector relevante.

Para implantar a solução em clusters específicos:

Entre no portal do Azure.
Acesse Microsoft Defender para Nuvem>Recomendações.
Na página Recomendações do Defender para Nuvem, procure uma das recomendações por nome.
Selecione um cluster do GKE não íntegro.

Importante

Você precisa selecionar um cluster por vez.

Não selecione os clusters pelos nomes com hiperlinks deles. Selecione em qualquer outro lugar na linha relevante.
Selecione o nome do recurso não íntegro.
Selecione Corrigir.
O Defender para Nuvem vai gerar um script no idioma de sua escolha:
- No Linux, selecione Bash.
- No Windows, selecione PowerShell.
Selecione Baixar lógica de correção.
Execute o script gerado no cluster.
Repita as etapas 3 a 8 para a outra recomendação.

Exibir os alertas do cluster do GKE

Entre no portal do Azure.
Acesse Microsoft Defender para Nuvem>Alertas de segurança.
Selecione o botão .
No menu suspenso Filtrar, selecione Tipo de recurso.
No menu suspenso Valor, selecione Cluster GKE do GCP.
Selecione Ok.

Implantar o sensor do Defender

Para implantar o sensor do Defender em seus clusters do GCP:

Acesse o Microsoft Defender para Nuvem>Configurações de ambiente>Adicionar ambiente>Google Cloud Platform.
Preencha os detalhes da conta.
Acesse Selecionar planos, abra o plano de Contêineres e verifique se o Provisionamento automático do sensor do Defender para Azure Arc está definido como Ativado.
Acesse Configurar o acesso e siga as etapas lá.
Depois que o script gcloud for executado com êxito, selecione Criar.

Observação

Você pode excluir um cluster GCP específico do provisionamento automático. Para implantação do sensor, aplique o rótulo ms_defender_container_exclude_agents no recurso com o valor true. Para implantação sem agente, aplique o rótulo ms_defender_container_exclude_agentless no recurso com o valor true.

Simular alertas de segurança do Microsoft Defender para contêineres

Uma lista completa de alertas com suporte está disponível na tabela de referência de todos os alertas de segurança do Defender para Nuvem.

Para simular um alerta de segurança:

Execute o seguinte comando no cluster:
```
kubectl get pods --namespace=asc-alerttest-662jfi039n
```
A resposta esperada é No resource found.

Dentro de 30 minutos, o Defender para Nuvem vai detectar essa atividade e disparar um alerta de segurança.

Observação

Para simular alertas sem agente para o Defender para contêineres, o Azure Arc não é um pré-requisito.
No portal do Azure, acesse Microsoft Defender para Nuvem>Alertas de segurança e procure o alerta no recurso relevante.

Remover o sensor do Defender

Para remover essa extensão – ou qualquer uma – do Defender para Nuvem, não é suficiente desativar o provisionamento automático:

Habilitar o provisionamento automático potencialmente afeta computadores existentes e futuros.
Desabilitar o provisionamento automático para uma extensão afeta apenas os computadores futuros. Nada é desinstalado quando você desabilita o provisionamento automático.

Observação

Para desabilitar totalmente o plano do Defender para Contêineres, acesse as Configurações de Ambiente e desabilite o Microsoft Defender para Contêineres.

No entanto, para garantir que os componentes do Defender para Contêineres não sejam provisionados automaticamente para seus recursos a partir de agora, desabilite o provisionamento automático das extensões.

Você pode remover a extensão de computadores em execução no momento usando o portal do Azure, a CLI do Azure ou a API REST, conforme explicado nas guias a seguir.

Usar o portal do Azure para remover a extensão

No portal do Azure, abra o Azure Arc.
Na lista infraestrutura, selecione clusters do Kubernetes e, em seguida, selecione o cluster específico.
Abra a página Extensões, que lista extensões no cluster.
Selecione a extensão e, em seguida, selecione Desinstalar.

Usar CLI do Azure para remover o sensor do Defender

Remova a extensão do Azure Arc para Microsoft Defender para Kubernetes usando os seguintes comandos:

az login
az account set --subscription <subscription-id>
az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes

A remoção da extensão pode levar alguns minutos. Recomendamos que você aguarde antes de tentar verificar se foi bem-sucedido.

Para verificar se a extensão foi removida com êxito, execute os seguintes comandos:

az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes

Valide que não há pods no namespace mdc no cluster. Execute o seguinte comando com o arquivo kubeconfig apontado para o cluster:
```
kubectl get pods -n mdc
```
A exclusão dos pods pode levar alguns minutos.

Usar a API REST para remover o sensor do Defender

Para remover a extensão usando a API REST, execute o seguinte comando DELETE:

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

O comando inclui estes parâmetros:

Nome	Em	Obrigatório	Type	Descrição
`Subscription ID`	Caminho	True	String	A ID da assinatura do cluster Kubernetes habilitado para o Azure Arc
`Resource Group`	Caminho	True	String	O grupo de recursos do cluster Kubernetes habilitado para Azure Arc
`Cluster Name`	Caminho	True	String	O nome do cluster do Kubernetes habilitado para Azure Arc

Para Autenticação, seu cabeçalho precisa ter um token de portador (como com outras APIs do Azure). Para obter um token de portador, execute o seguinte comando:

az account get-access-token --subscription <your-subscription-id>

A solicitação pode levar vários minutos para ser concluída.

Definir um workspace do Log Analytics padrão para o AKS

O sensor do Defender usa o workspace do Log Analytics como um pipeline de dados para enviar dados dos clusters do Kubernetes ao Defender para Nuvem. O workspace não retém nenhum dos dados. Como resultado, os usuários não serão cobrados nesse caso de uso.

O sensor do Defender usa um workspace do Log Analytics padrão. Caso você não tenha um workspace do Log Analytics padrão, o Defender para Nuvem criará um grupo de recursos e um workspace padrão quando o sensor do Defender for instalado. O workspace padrão é com base em sua região.

A convenção de nomenclatura do grupo de recursos e do workspace padrão do Log Analytics é:

Workspace: DefaultWorkspace-[subscription-ID]-[geo]
Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um workspace personalizado

Quando você habilita o provisionamento automático, um workspace padrão é atribuído automaticamente. Você pode atribuir um workspace personalizado por meio da Azure Policy.

Para verificar se você tem um workspace atribuído:

Entre no portal do Azure.
Pesquise por Política e selecione essa opção.
Selecione Definições.
Procure a ID da política 64def556-fbad-4622-930e-72d1d5589bf5.
Selecione Configurar clusters do Serviço de Kubernetes do Azure para habilitar o perfil do Defender.
Selecione Atribuições.
Use uma das próximas seções neste artigo da seguinte maneira:
- Se a política ainda não tiver sido atribuída ao escopo relevante, siga as etapas em Criar uma atribuição com workspace personalizado.
- Se a política já estiver atribuída e você quiser alterá-la para usar um workspace personalizado, siga as etapas em Atualizar atribuição com workspace personalizado.

Criar uma atribuição com um workspace personalizado

Se a política ainda não estiver atribuída, a guia Atribuições mostrará o número 0.

Para atribuir um workspace personalizado:

Selecione Atribuir.
Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.
Selecione um valor de LogAnalyticsWorkspaceResourceId no menu suspenso.
Selecione Examinar + criar.
Selecione Criar.

Atualizar uma atribuição com um workspace personalizado

Se a política for atribuída a um workspace, a guia Atribuições mostrará o número 1.

Observação

Se você tiver mais de uma assinatura, esse número poderá ser maior.

Para atribuir um workspace personalizado:

Selecione a atribuição relevante.
Selecione Editar atribuição.
Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.
Selecione um valor de LogAnalyticsWorkspaceResourceId no menu suspenso.
Selecione Examinar + salvar.
Selecione Salvar.

Workspace do Log Analytics padrão para o Azure Arc

A convenção de nomenclatura do grupo de recursos e do workspace padrão do Log Analytics é:

Workspace: DefaultWorkspace-[subscription-ID]-[geo]
Grupo de recursos: DefaultResourceGroup-[geo]

Atribuir um workspace personalizado

Quando você habilita o provisionamento automático, um workspace padrão é atribuído automaticamente. Você pode atribuir um workspace personalizado por meio da Azure Policy.

Para verificar se você tem um workspace atribuído:

Entre no portal do Azure.
Pesquise por Política e selecione essa opção.
Selecione Definições.
Procure a ID da política 708b60a6-d253-4fe0-9114-4be4c00f012c.
Selecione Configurar os clusters do Kubernetes habilitados para Azure Arc para instalar a extensão do Microsoft Defender para Nuvem.
Selecione Atribuições.
Use uma das próximas seções neste artigo da seguinte maneira:
- Se a política ainda não tiver sido atribuída ao escopo relevante, siga as etapas em Criar uma atribuição com workspace personalizado.
- Se a política já estiver atribuída e você quiser alterá-la para usar um workspace personalizado, siga as etapas em Atualizar atribuição com workspace personalizado.

Criar uma atribuição com um workspace personalizado

Se a política ainda não estiver atribuída, a guia Atribuições mostrará o número 0.

Para atribuir um workspace personalizado:

Selecione Atribuir.
Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.
Selecione um valor de LogAnalyticsWorkspaceResourceId no menu suspenso.
Selecione Examinar + criar.
Selecione Criar.

Atualizar uma atribuição com um workspace personalizado

Se a política for atribuída a um workspace, a guia Atribuições mostrará o número 1.

Observação

Se você tiver mais de uma assinatura, esse número poderá ser maior. Se você tiver um número 1 ou superior, mas a atribuição não estiver no escopo relevante, siga a etapa Criar uma atribuição com um workspace personalizado.

Para atribuir um workspace personalizado:

Selecione a atribuição relevante.
Selecione Editar atribuição.
Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.
Selecione um valor de LogAnalyticsWorkspaceResourceId no menu suspenso.
Selecione Examinar + salvar.
Selecione Salvar.

Remover o sensor do Defender

Para remover essa extensão – ou qualquer uma – do Defender para Nuvem, não é suficiente desativar o provisionamento automático:

Habilitar o provisionamento automático potencialmente afeta computadores existentes e futuros.
Desabilitar o provisionamento automático para uma extensão afeta apenas os computadores futuros. Nada é desinstalado quando você desabilita o provisionamento automático.

Observação

Para desabilitar totalmente o plano do Defender para Contêineres, acesse as Configurações de Ambiente e desabilite o Microsoft Defender para Contêineres.

Você pode remover a extensão de computadores em execução no momento usando a API REST, a CLI do Azure ou um modelo do Resource Manager, conforme explicado nas guias a seguir.

Usar API REST para remover o sensor do Defender do AKS

Para remover a extensão usando a API REST, execute o seguinte comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

O comando inclui estes parâmetros:

Nome	Descrição	Obrigatório
`SubscriptionId`	ID da assinatura do cluster	Sim
`ResourceGroup`	Grupo de recursos do cluster	Sim
`ClusterName`	Nome do cluster	Sim
`ApiVersion`	Versão da API; precisa ser 2022-06-01 ou posterior	Sim

Este é o corpo da solicitação:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

O corpo da solicitação tem estes parâmetros:

Nome	Descrição	Obrigatório
`location`	Local do cluster	Sim
`properties.securityProfile.defender.securityMonitoring.enabled`	Determina se é para habilitar ou desabilitar o Microsoft Defender para contêineres no cluster	Sim

Usar CLI do Azure para remover o sensor do Defender

Execute os comandos a seguir:

az login
az account set --subscription <subscription-id>
az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>

A remoção da extensão pode levar alguns minutos.

Para verificar se a extensão foi removida com êxito, execute o seguinte comando:
```
kubectl get pods -n kube-system | grep microsoft-defender
```
Quando a extensão é removida, o comando get pods não retorna nenhum pod. A exclusão dos pods pode levar alguns minutos.

Usar o Azure Resource Manager para remover o sensor do Defender do AKS

Para usar o Azure Resource Manager para remover o sensor do Defender, você precisará de um workspace do Log Analytics na assinatura. Saiba mais em espaços de trabalhos do Log Analytics.

Dica

Se você não tiver familiaridade com os modelos do Resource Manager, comece aqui: Quais são os modelos do Azure Resource Manager?.

O modelo e os parâmetros relevantes para remover o sensor do Defender do AKS são:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Agora que você habilitou o Defender para Contêineres, é possível fazer o seguinte:

Para saber mais sobre o Defender para Nuvem e o Defender para Contêineres, confira os seguintes blogs:

Compartilhar via

Configurar componentes do Microsoft Defender para contêineres

Requisitos de rede

Requisitos de rede

Habilitar o plano

Método de habilitação por capacidade

Funções e permissões

Atribuindo um espaço de trabalho personalizado para o sensor do Defender

Implantação manual do sensor do Defender ou do agente de política do Azure sem provisionamento automático usando recomendações

Implantar o sensor do Defender: todas as opções

Use o botão Corrigir da recomendação do Defender para Nuvem

Habilitar o plano

Pré-requisitos

Implantar o sensor do Defender

Use o botão Corrigir da recomendação do Defender para Nuvem

Verificar a implantação

Usar as recomendações do Defender para Nuvem para verificar o status do sensor

Habilitar o plano

Exibir recomendações e alertas para clusters do EKS

Implantar o sensor do Defender

Habilitar o plano

Implantar a solução em clusters específicos

Exibir os alertas do cluster do GKE

Implantar o sensor do Defender

Simular alertas de segurança do Microsoft Defender para contêineres

Remover o sensor do Defender

Usar o portal do Azure para remover a extensão

Definir um workspace do Log Analytics padrão para o AKS

Atribuir um workspace personalizado

Criar uma atribuição com um workspace personalizado

Atualizar uma atribuição com um workspace personalizado

Workspace do Log Analytics padrão para o Azure Arc

Atribuir um workspace personalizado

Criar uma atribuição com um workspace personalizado

Atualizar uma atribuição com um workspace personalizado

Remover o sensor do Defender

Usar API REST para remover o sensor do Defender do AKS

Conteúdo relacionado

Comentários

Recursos adicionais