Kapsayıcılar için Microsoft Defender bileşenlerini yapılandırma

Kapsayıcılar için Microsoft Defender, kapsayıcılarınızın güvenliğini sağlamaya yönelik bulutta yerel bir çözümdür. Kümelerinizin şu işlemlerde çalışıp çalışmadığını korumaya yardımcı olur:

  • Azure Kubernetes Service (AKS):Microsoft'un kapsayıcılı uygulamaları geliştirmeye, dağıtmaya ve yönetmeye yönelik yönetilen hizmeti.

  • Bağlı bir Amazon Web Services (AWS) hesabında Amazon Elastic Kubernetes Service (EKS): Amazon'un kendi Kubernetes denetim düzleminizi veya düğümlerinizi yüklemenize, çalıştırmanıza ve bakımını yapmanıza gerek kalmadan AWS üzerinde Kubernetes çalıştırmaya yönelik yönetilen hizmeti.

  • Bağlı bir Google Cloud Platform (GCP) projesinde Google Kubernetes Engine (GKE): GCP altyapısını kullanarak uygulamaları dağıtmak, yönetmek ve ölçeklendirmek için Google'ın yönetilen ortamı.

  • Diğer Kubernetes dağıtımları (Azure Arc özellikli Kubernetes kullanılarak): Şirket içinde veya hizmet olarak altyapıda (IaaS) barındırılan Cloud Native Computing Foundation (CNCF) sertifikalı Kubernetes kümeleri. Daha fazla bilgi için bkz. Bulut için Defender kapsayıcılar destek matrisi.

İlk olarak aşağıdaki makalelerde kapsayıcılarınıza bağlanmayı ve kapsayıcılarınızın korunmasına yardımcı olmayı öğrenebilirsiniz:

Ayrıca, alan video serisindeki Bulut için Defender bu videoları izleyerek daha fazla bilgi edinebilirsiniz:

Not

Azure Arc özellikli Kubernetes kümeleri için Kapsayıcılar için Defender desteği bir önizleme özelliğidir. Önizleme özelliği self servis ve kabul temelinde kullanılabilir.

Önizlemeler olduğu gibi ve kullanılabildiği şekilde sağlanır. Bunlar hizmet düzeyi sözleşmelerinin ve sınırlı garantinin dışında tutulur.

Desteklenen işletim sistemleri, özellik kullanılabilirliği, giden ara sunucu ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Bulut için Defender kapsayıcılar destek matrisi.

Ağ gereksinimleri

Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek üzere Bulut için Microsoft Defender bağlanabilmesi için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın.

Defender algılayıcısının yapılandırılan Azure İzleyici Log Analytics çalışma alanına bağlanması gerekir. Varsayılan olarak AKS kümelerinin sınırsız giden (çıkış) İnternet erişimi vardır. Kümeden olay çıkışı bir Azure İzleyici Özel Bağlantı Kapsamı (AMPLS) kullanılmasını gerektiriyorsa, şunları uygulamanız gerekir:

  • Kapsayıcı içgörüleri ve Log Analytics çalışma alanı ile kümeyi tanımlayın.
  • AMPLS'yi sorgu erişim modu ve alma erişim modu Açık olarak ayarlanmış şekilde yapılandırın.
  • Kümenin Log Analytics çalışma alanını AMPLS'de kaynak olarak tanımlayın.
  • AMPLS'de kümenin sanal ağı ile Log Analytics kaynağı arasında bir sanal ağ özel uç noktası oluşturun. Sanal ağ özel uç noktası, özel bir DNS bölgesiyle tümleşir.

Yönergeler için bkz. Azure İzleyici Özel Bağlantı Kapsamı Oluşturma.

Ağ gereksinimleri

Genel bulut dağıtımları için aşağıdaki uç noktaların giden erişim için yapılandırıldığını doğrulayın. Bunları giden erişim için yapılandırmak, Defender algılayıcısının güvenlik verilerini ve olaylarını göndermek için Bulut için Microsoft Defender bağlanabilmesine yardımcı olur.

Azure etki alanı Azure Kamu etki alanı 21Vianet etki alanı tarafından sağlanan Azure Bağlantı noktası
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

Ayrıca Azure Arc özellikli Kubernetes ağ gereksinimlerini de doğrulamanız gerekir.

Planı etkinleştirme

  1. Bulut için Defender ayarlar'ı ve ardından ilgili aboneliği seçin.

  2. Defender planları sayfasında Kapsayıcı>Ayarları'nı seçin.

    Defender planları sayfasının ekran görüntüsü.

    İpucu

    Abonelikte Kubernetes için Defender veya kapsayıcı kayıt defterleri için Defender zaten etkinse bir güncelleştirme bildirimi görüntülenir. Aksi takdirde tek seçenek Kapsayıcılar'dır.

    Kubernetes için Defender ve kapsayıcı kayıt defterleri için Defender planlarını kullanım dışı durumda ve yükseltme bilgilerini gösteren ekran görüntüsü.

  3. İlgili bileşeni açın.

    Bileşenleri açmayı gösteren ekran görüntüsü.

    Not

    • Ağustos 2023'den önce katılan ve Defender bulut güvenliği duruş yönetiminin (CSPM) bir parçası olarak Kubernetes için Aracısız bulma özelliği açık olmayan Kapsayıcılar için Defender müşterilerinin, kapsayıcılar için Defender planında Kubernetes için Aracısız bulma uzantısını el ile etkinleştirmeleri gerekir.
    • Kapsayıcılar için Defender'ı kapattığınızda bileşenler Kapalı olarak ayarlanır. Daha fazla kapsayıcıya dağıtılmazlar, ancak zaten yüklü oldukları kapsayıcılardan kaldırılmazlar.

Yetenek başına etkinleştirme yöntemi

Varsayılan olarak, Azure portalı aracılığıyla planı etkinleştirdiğinizde Kapsayıcılar için Microsoft Defender, planın sunduğu korumaları sağlamak için tüm özellikleri otomatik olarak etkinleştirecek ve tüm gerekli bileşenleri yükleyecek şekilde yapılandırılır. Bu yapılandırma, varsayılan çalışma alanının atamasını içerir.

Planların tüm özelliklerini etkinleştirmek istemiyorsanız, Kapsayıcılar planı için yapılandırmayı düzenle'yi seçerek etkinleştirebileceğiniz özellikleri el ile seçebilirsiniz. Ardından Ayarlar ve izleme sayfasında etkinleştirmek istediğiniz özellikleri seçin. Bu yapılandırmayı, planın ilk yapılandırmasından sonra Defender planları sayfasından da değiştirebilirsiniz.

Her bir özelliğin etkinleştirme yöntemi hakkında ayrıntılı bilgi için destek matrisini inceleyin.

Roller ve izinler

Kapsayıcılar için Defender uzantılarını sağlama rolleri hakkında daha fazla bilgi edinin.

Defender algılayıcısı için özel çalışma alanı atama

Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Önerileri kullanarak otomatik sağlama olmadan Defender algılayıcısının veya Azure ilke aracısının el ile dağıtımı

Algılayıcı yüklemesi gerektiren özellikler bir veya daha fazla Kubernetes kümesine de dağıtılabilir. Uygun öneriyi kullanın:

Algılayıcı Öneri
Kubernetes için Defender algılayıcısı Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmelidir
Azure Arc özellikli Kubernetes için Defender algılayıcısı Azure Arc özellikli Kubernetes kümelerinde Defender uzantısı yüklü olmalıdır
Kubernetes için Azure İlkesi aracısı Azure Kubernetes Service kümelerinde Kubernetes için Azure İlkesi Eklentisi yüklü olmalıdır
Azure Arc özellikli Kubernetes için Azure İlkesi aracısı Azure Arc özellikli Kubernetes kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Defender algılayıcısını belirli kümelere dağıtmak için:

  1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın veya önceki önerilerden birini arayın. (Öneriyi doğrudan açmak için önceki bağlantıları da kullanabilirsiniz.)

  2. İyi durumda değil sekmesini açarak algılayıcı olmadan tüm kümeleri görüntüleyin.

  3. Algılayıcıyı dağıtmak istediğiniz kümeleri seçin ve ardından Düzelt'i seçin.

  4. X kaynaklarını düzelt'i seçin.

Defender algılayıcısını dağıtma: Tüm seçenekler

Kapsayıcılar için Defender planını etkinleştirebilir ve Azure portalını, REST API'sini veya bir Azure Resource Manager şablonunu kullanarak tüm ilgili bileşenleri dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Defender algılayıcısı dağıtıldıktan sonra, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla varsayılan çalışma alanının yerine özel bir çalışma alanı atayabilirsiniz.

Not

Defender algılayıcısı, çalışma zamanı korumaları sağlamak ve eBPF teknolojisi kullanılarak bu düğümlerden sinyal toplamak için her düğüme dağıtılır.

Bulut için Defender önerisinin Düzelt düğmesini kullanma

Bulut için Defender planını etkinleştirmek ve Kubernetes kümelerinizi büyük ölçekte savunmak için gerekli tüm bileşenlerin otomatik olarak sağlanmasını ayarlamak için Azure portal sayfalarını kullanabilirsiniz. İşlem kolaylaştırılmıştır.

Ayrılmış bir Bulut için Defender önerisi sağlar:

  • Hangi kümelerinizin Defender algılayıcısının dağıtıldığına ilişkin görünürlük.
  • Algılayıcıyı sahip olmayan kümelere dağıtmak için bir Düzelt düğmesi.

Algılayıcıyı dağıtmak için:

  1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

  2. Azure Kubernetes Service kümelerinde Defender profili etkinleştirilmiş olmalıdır adlı öneriyi bulmak için filtreyi kullanın.

    İpucu

    Eylemler sütunundaki Düzelt simgesine dikkat edin.

  3. İyi durumda ve iyi durumda olmayan kaynakların (algılayıcılı ve algılayıcısız kümeler) ayrıntılarını görmek için kümeleri seçin.

  4. İyi durumda olmayan kaynaklar listesinde bir küme seçin. Ardından düzeltme onayı içeren bölmeyi açmak için Düzelt'i seçin.

  5. X kaynaklarını düzelt'i seçin.

Planı etkinleştirme

  1. Bulut için Defender ayarlar'ı ve ardından ilgili aboneliği seçin.

  2. Defender planları sayfasında Kapsayıcı>Ayarları'nı seçin.

    Defender planları sayfasının ekran görüntüsü.

    İpucu

    Abonelikte Kubernetes için Defender veya kapsayıcı kayıt defterleri için Defender zaten etkinse bir güncelleştirme bildirimi görüntülenir. Aksi takdirde tek seçenek Kapsayıcılar'dır.

    Kubernetes için Defender ve kapsayıcı kayıt defterleri için Defender planlarını kullanım dışı durumda ve yükseltme bilgilerini gösteren ekran görüntüsü.

  3. İlgili bileşeni açın.

    Bileşenleri açmayı gösteren ekran görüntüsü.

    Not

    Kapsayıcılar için Defender'ı kapattığınızda bileşenler Kapalı olarak ayarlanır. Daha fazla kapsayıcıya dağıtılmazlar, ancak zaten yüklü oldukları kapsayıcılardan kaldırılmazlar.

Varsayılan olarak, Azure portalı aracılığıyla planı etkinleştirdiğinizde Kapsayıcılar için Microsoft Defender, planın sunduğu korumaları sağlamak için gerekli bileşenleri otomatik olarak yükleyecek şekilde yapılandırılır. Bu yapılandırma, varsayılan çalışma alanının atamasını içerir.

Ekleme işlemi sırasında bileşenlerin otomatik yüklemesini devre dışı bırakmak istiyorsanız Kapsayıcılar planı için Yapılandırmayı düzenle'yi seçin. Gelişmiş seçenekler görüntülenir ve her bileşen için otomatik yüklemeyi devre dışı bırakabilirsiniz.

Bu yapılandırmayı Defender planları sayfasından da değiştirebilirsiniz.

Not

Portal aracılığıyla etkinleştirdikten sonra planı istediğiniz zaman devre dışı bırakmayı seçerseniz, kümelerinizde dağıtılan Kapsayıcılar için Defender bileşenlerini el ile kaldırmanız gerekir.

Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Herhangi bir bileşenin otomatik yüklemesini devre dışı bırakırsanız, uygun öneriyi kullanarak bileşeni bir veya daha fazla kümeye kolayca dağıtabilirsiniz:

Kapsayıcılar için Defender uzantılarını sağlama rolleri hakkında daha fazla bilgi edinin.

Önkoşullar

Algılayıcıyı dağıtmadan önce şunları yaptığınızdan emin olun:

Defender algılayıcısını dağıtma

Defender algılayıcısını çeşitli yöntemler kullanarak dağıtabilirsiniz. Ayrıntılı adımlar için ilgili sekmeyi seçin.

Bulut için Defender önerisinin Düzelt düğmesini kullanma

Ayrılmış bir Bulut için Defender önerisi sağlar:

  • Hangi kümelerinizin Defender algılayıcısının dağıtıldığına ilişkin görünürlük.
  • Algılayıcıyı sahip olmayan kümelere dağıtmak için bir Düzelt düğmesi.

Algılayıcıyı dağıtmak için:

  1. Bulut için Microsoft Defender Öneriler sayfasında Gelişmiş güvenlik güvenliği denetimini etkinleştir'i açın.

  2. Azure Arc özellikli Kubernetes kümelerinde Microsoft Defender uzantısının etkinleştirilmiş olması gerektiği adlı öneriyi bulmak için filtreyi kullanın.

    Azure Arc özellikli Kubernetes kümeleri için Defender algılayıcısını dağıtmaya yönelik Bulut için Microsoft Defender önerisini gösteren ekran görüntüsü.

    İpucu

    Eylemler sütunundaki Düzelt simgesine dikkat edin.

  3. İyi durumda ve iyi durumda olmayan kaynakların (algılayıcılı ve algılayıcısız kümeler) ayrıntılarını görmek için algılayıcıyı seçin.

  4. İyi durumda olmayan kaynaklar listesinde bir küme seçin. Ardından düzeltme seçeneklerini içeren bölmeyi açmak için Düzelt'i seçin.

  5. İlgili Log Analytics çalışma alanını ve ardından X kaynağını düzelt'i seçin.

    Bulut için Defender'da düzeltme kullanarak Azure Arc için Defender algılayıcısı dağıtmayı gösteren animasyonlu ekran görüntüsü.

Dağıtımı doğrulama

Kümenizde Defender algılayıcısının yüklü olduğunu doğrulamak için aşağıdaki sekmelerden birinde yer alan adımları izleyin.

Algılayıcınızın durumunu doğrulamak için Bulut için Defender önerileri kullanın

  1. Bulut için Microsoft Defender Öneriler sayfasında, Bulut için Microsoft Defender güvenlik denetimini etkinleştir'i açın.

  2. Azure Arc özellikli Kubernetes kümelerinde Microsoft Defender uzantısının etkinleştirilmiş olması gerekir adlı öneriyi seçin.

    Azure Arc özellikli Kubernetes kümeleri için Defender algılayıcısını dağıtmaya yönelik Bulut için Defender önerisini gösteren ekran görüntüsü.

  3. Algılayıcıyı dağıttığınız kümenin Sağlıklı olarak listelendiğini denetleyin.

Planı etkinleştirme

Önemli

EKS kümelerinizin korunmasına yardımcı olmak için ilgili hesap bağlayıcısı üzerinde Kapsayıcılar için Defender planını etkinleştirin:

  1. Bulut için Defender'da Ortam ayarları'nı açın.

  2. AWS bağlayıcısını seçin.

    Bulut için Defender ortam ayarlarında aws bağlayıcısının ekran görüntüsü.

  3. Kapsayıcılar planı iki durumlu düğmesinin Açık olarak ayarlandığını doğrulayın.

    AWS bağlayıcısı için Kapsayıcılar için Defender'ın açılmasının ekran görüntüsü.

  4. Planın isteğe bağlı yapılandırmalarını değiştirmek için Ayarlar'ı seçin.

    Bulut için Defender ortam ayarlarında Kapsayıcılar planı ayarlarının ekran görüntüsü.

    • Kapsayıcılar için Defender, çalışma zamanı tehdit koruması sağlamak için denetim düzlemi denetim günlüklerini gerektirir. Kubernetes denetim günlüklerini Microsoft Defender'a göndermek için bu özelliğin iki durumlu düğmesini Açık olarak ayarlayın. Denetim günlüklerinizin saklama süresini değiştirmek için gerekli zaman dilimini girin.

      Not

      Bu yapılandırmayı devre dışı bırakırsanız Tehdit algılama (denetim düzlemi) özelliği de devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.

    • Kubernetes için Aracısız bulma özelliği, Kubernetes kümelerinizin API tabanlı keşfini sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

    • Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi özelliği, ECR'de depolanan görüntüler ve EKS kümelerinizde görüntüleri çalıştırmak için güvenlik açığı yönetimi sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

  5. Bağlayıcı sihirbazının kalan sayfalarında devam edin.

  6. Kubernetes için Aracısız Bulma özelliğini etkinleştiriyorsanız, küme üzerinde denetim düzlemi izinleri vermeniz gerekir. İzinleri aşağıdaki yollardan biriyle vekleyebilirsiniz:

    • Bu Python betiğini çalıştırın. Betik, eklemek istediğiniz EKS kümeleri için Bulut için Defender rolünü MDCContainersAgentlessDiscoveryK8sRole aws-auth ConfigMap ekler.

    • Her Amazon EKS kümesine MDCContainersAgentlessDiscoveryK8sRole , kümeyle etkileşim kurabilme özelliğine sahip rolü verin. eksctl kullanarak mevcut ve yeni oluşturulan tüm kümelerde oturum açın ve aşağıdaki betiği çalıştırın:

          eksctl create iamidentitymapping \ 
          --cluster my-cluster \ 
          --region region-code \ 
          --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
          --group system:masters\ 
          --no-duplicate-arns
      

      Daha fazla bilgi için Amazon EKS kullanıcı kılavuzunda IAM kullanıcılarına EKS erişim girişleri ile Kubernetes erişimi verme bölümüne bakın.

  7. Azure Arc özellikli Kubernetes, Defender algılayıcısı ve Kubernetes için Azure İlkesi EKS kümelerinize yüklenip çalıştırılmalıdır. Bu uzantıları (ve gerekirse Azure Arc'ı) yüklemek için ayrılmış bir Bulut için Defender önerisi vardır: EKS kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır.

    Gerekli uzantıları yüklemek için aşağıdaki adımları kullanın:

    1. Bulut için Defender Önerileri sayfasında EKS kümelerinde Microsoft Defender'ın Azure Arc uzantısının yüklü olması önerisini arayın ve seçin.

    2. İyi durumda olmayan bir küme seçin.

      Önemli

      Kümeleri birer birer seçmelisiniz.

      Kümeleri köprülenmiş adlarına göre seçmeyin. İlgili satırda başka bir yer seçin.

    3. Düzelt'i seçin.

    4. Bulut için Defender istediğiniz dilde bir betik oluşturur:Bash (Linux için) veya PowerShell (Windows için).

    5. Düzeltme mantığını indir'i seçin.

    6. Oluşturulan betiği kümenizde çalıştırın.

    Azure Arc uzantısını etkinleştiren EKS kümeleri için betik oluşturmak üzere Bulut için Defender önerisinin nasıl kullanılacağını gösteren animasyonlu ekran görüntüsü.

EKS kümeleriniz için önerileri ve uyarıları görüntüleme

İpucu

Bu blog gönderisindeki yönergeleri izleyerek kapsayıcı uyarılarının simülasyonunu yapabilirsiniz.

EKS kümelerinizin uyarılarını ve önerilerini görüntülemek için uyarı, öneri ve envanter sayfalarında bulunan filtreleri kullanarak AWS EKS Kümesi kaynak türüne göre filtreleyin.

AWS EKS kümeleriyle ilgili uyarıları görüntülemek için Bulut için Microsoft Defender güvenlik uyarıları sayfasında filtreleri kullanma seçimlerinin ekran görüntüsü.

Defender algılayıcısını dağıtma

Defender algılayıcısını AWS kümelerinize dağıtmak için:

  1. Bulut için Microsoft Defender> Environment settings>Add environment>Amazon Web Services bölümüne gidin.

    Bulut için Microsoft Defender'da AWS ortamı eklemeye yönelik seçimlerin ekran görüntüsü.

  2. Hesap ayrıntılarını doldurun.

    Bulut için Microsoft Defender'da bir AWS ortamının hesap ayrıntılarını doldurmak için formun ekran görüntüsü.

  3. Planları seçin'e gidin, Kapsayıcılar planını açın ve Azure Arc için Defender'ın algılayıcısını otomatik olarak sağlayın ayarının Açık olduğundan emin olun.

    Bulut için Microsoft Defender'da Azure Arc için Defender algılayıcısını etkinleştirmeye yönelik seçimlerin ekran görüntüsü.

  4. Erişimi yapılandır'a gidin ve buradaki adımları izleyin.

    Bulut için Microsoft Defender'da aws ortamı için erişimi yapılandırma sayfasının ekran görüntüsü.

  5. Bulut Oluşumu şablonu başarıyla dağıtıldıktan sonra Oluştur'u seçin.

Not

Belirli bir AWS kümesini otomatik sağlamanın dışında tutabilirsiniz. Algılayıcı dağıtımı için ms_defender_container_exclude_agents , değerine truesahip kaynağa etiketini uygulayın. Aracısız dağıtım için, değerine truesahip kaynağa etiketini uygulayınms_defender_container_exclude_agentless.

Planı etkinleştirme

Önemli

GcP projesine bağlanmadıysanız GCP projenizi Bulut için Microsoft Defender bağlayın.

GKE kümelerinizi korumaya yardımcı olmak için aşağıdaki adımları kullanarak ilgili GCP projesinde Kapsayıcılar için Defender planını etkinleştirin.

Not

Azure Arc yüklemesini engelleyen azure ilkelerine sahip olmadığınızı doğrulayın.

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Environment ayarları'na gidin.

  3. İlgili GCP bağlayıcısını seçin.

    Örnek bir GCP bağlayıcısı gösteren ekran görüntüsü.

  4. İleri: Planları > seç düğmesini seçin.

  5. Kapsayıcılar planı için geçiş düğmesinin Açık olduğundan emin olun.

    Kapsayıcılar planının açık olduğunu gösteren ekran görüntüsü.

  6. Planın isteğe bağlı yapılandırmalarını değiştirmek için Ayarlar'ı seçin.

    Bulut için Defender ortam ayarlarında Kapsayıcılar planı ayarlarının ekran görüntüsü.

    • Kubernetes denetim günlüklerini Bulut için Defender: Varsayılan olarak etkindir. Bu yapılandırma yalnızca GCP proje düzeyinde kullanılabilir. Daha fazla analiz için GCP Bulut Günlüğü aracılığıyla Bulut için Microsoft Defender arka uca denetim günlüğü verilerinin aracısız bir şekilde toplanmasına olanak sağlar. Kapsayıcılar için Defender, çalışma zamanı tehdit koruması sağlamak için denetim düzlemi denetim günlüklerini gerektirir. Kubernetes denetim günlüklerini Microsoft Defender'a göndermek için iki durumlu düğmeyi Açık olarak ayarlayın.

      Not

      Bu yapılandırmayı devre dışı bırakırsanız Tehdit algılama (denetim düzlemi) özelliği de devre dışı bırakılır. Özellik kullanılabilirliği hakkında daha fazla bilgi edinin.

    • Azure Arc için Defender algılayıcısını otomatik sağlama ve Azure Arc için otomatik sağlama Azure İlkesi uzantısı: Varsayılan olarak etkindir. Azure Arc özellikli Kubernetes'i ve uzantılarını GKE kümelerinize üç şekilde yükleyebilirsiniz:

      • Bu bölümdeki yönergelerde açıklandığı gibi, Kapsayıcılar için Defender otomatik sağlamayı proje düzeyinde etkinleştirin. Bu yöntemi öneririz.
      • Küme başına yükleme için Bulut için Defender önerileri kullanın. Bunlar Bulut için Microsoft Defender Öneriler sayfasında görünür. Çözümü belirli kümelere dağıtmayı öğrenin.
      • Azure Arc özellikli Kubernetes'i ve uzantıları el ile yükleyin.
    • Kubernetes için Aracısız bulma özelliği, Kubernetes kümelerinizin API tabanlı keşfini sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

    • Aracısız Kapsayıcı Güvenlik Açığı Değerlendirmesi özelliği, Google kayıt defterlerinde (Google Artifact Registry ve Google Container Registry) depolanan görüntüler ve GKE kümelerinizde çalışan görüntüler için güvenlik açığı yönetimi sağlar. Özelliği etkinleştirmek için iki durumlu düğmesini Açık olarak ayarlayın.

  7. Kopyala düğmesini seçin.

    Kopyala düğmesinin konumunu gösteren ekran görüntüsü.

  8. GCP Cloud Shell > düğmesini seçin.

  9. Betiği Cloud Shell terminaline yapıştırın ve çalıştırın.

Bağlayıcı, betik çalıştırıldıktan sonra güncelleştirilir. Bu işlemin tamamlanması 8 saate kadar sürebilir.

Çözümü belirli kümelere dağıtma

GCP bağlayıcısı ekleme işlemi sırasında veya sonrasında varsayılan otomatik sağlama yapılandırmalarından herhangi birini Kapalı olarak ayarlarsanız, GKE kümelerinizin her birine Azure Arc özellikli Kubernetes, Defender algılayıcısı ve Kubernetes için Azure İlkesi el ile yüklemeniz gerekir. Bunları yüklemek, Kapsayıcılar için Defender'ın tüm güvenlik değerini aldığınızdan emin olmanıza yardımcı olur.

Uzantıları (ve gerekirse Azure Arc'ı) yüklemek için iki ayrılmış Bulut için Defender önerisi kullanabilirsiniz:

  • GKE kümelerinde Azure Arc için Microsoft Defender uzantısı yüklü olmalıdır
  • GKE kümelerinde Azure İlkesi uzantısı yüklü olmalıdır

Not

Arc uzantılarını yüklerken, sağlanan GCP projesinin ilgili bağlayıcıdaki projeyle aynı olduğunu doğrulamanız gerekir.

Çözümü belirli kümelere dağıtmak için:

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Recommendations'a gidin.

  3. Bulut için Defender Öneriler sayfasında, önerilerden birini ada göre arayın.

    Öneri arama işlemini gösteren ekran görüntüsü.

  4. İyi durumda olmayan bir GKE kümesi seçin.

    Önemli

    Kümeleri birer birer seçmelisiniz.

    Kümeleri köprülenmiş adlarına göre seçmeyin. İlgili satırda başka bir yer seçin.

  5. İyi durumda olmayan kaynağın adını seçin.

  6. Düzelt'i seçin.

    Düzelt düğmesinin konumunu gösteren ekran görüntüsü.

  7. Bulut için Defender, seçtiğiniz dilde bir betik oluşturur:

    • Linux için Bash'i seçin.
    • Windows için PowerShell'i seçin.
  8. Düzeltme mantığını indir'i seçin.

  9. Oluşturulan betiği kümenizde çalıştırın.

  10. Diğer öneri için 3 ile 8 arasındaki adımları yineleyin.

GKE küme uyarılarınızı görüntüleme

  1. Azure Portal’ında oturum açın.

  2. Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin.

  3. düğmesini seçin.

  4. Filtre açılan menüsünde Kaynak türü'nü seçin.

  5. Değer açılan menüsünde GCP GKE Kümesi'ni seçin.

  6. Tamam'ı seçin.

Defender algılayıcısını dağıtma

GCP kümelerinizde Defender algılayıcısını dağıtmak için:

  1. Bulut için Microsoft Defender> Environment ayarları>Ortam>ekle Google Cloud Platform'a gidin.

    Bulut için Microsoft Defender'da GCP ortamı eklemeye yönelik seçimlerin ekran görüntüsü.

  2. Hesap ayrıntılarını doldurun.

    Bulut için Microsoft Defender'da gcp ortamının hesap ayrıntılarını doldurmak için formun ekran görüntüsü.

  3. Planları seçin'e gidin, Kapsayıcılar planını açın ve Azure Arc için Defender'ın algılayıcısını otomatik olarak sağlayın ayarının Açık olduğundan emin olun.

    Bulut için Microsoft Defender'da Azure Arc için Defender algılayıcısını etkinleştirmeye yönelik seçimlerin ekran görüntüsü.

  4. Erişimi yapılandır'a gidin ve buradaki adımları izleyin.

    Bulut için Microsoft Defender'da GCP ortamı için erişimi yapılandırma sayfasının ekran görüntüsü.

  5. gcloud Betik başarıyla çalıştırıldıktan sonra Oluştur'u seçin.

Not

Belirli bir GCP kümesini otomatik sağlamanın dışında tutabilirsiniz. Algılayıcı dağıtımı için ms_defender_container_exclude_agents , etiketi truedeğerine sahip kaynağa uygulayın. Aracısız dağıtım için, etiketi truedeğerine sahip kaynağa uygulayınms_defender_container_exclude_agentless.

Kapsayıcılar için Microsoft Defender'dan güvenlik uyarılarının simülasyonunu oluşturun

Desteklenen uyarıların tam listesi, tüm Bulut için Defender güvenlik uyarılarının başvuru tablosunda bulunur.

Güvenlik uyarısı simülasyonu yapmak için:

  1. Kümeden aşağıdaki komutu çalıştırın:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    Beklenen yanıt şeklindedir No resource found.

    30 dakika içinde Bulut için Defender bu etkinliği algılar ve bir güvenlik uyarısı tetikler.

    Not

    Azure Arc, Kapsayıcılar için Defender için aracısız uyarıların simülasyonu için önkoşul değildir.

  2. Azure portalında Bulut için Microsoft Defender> Güvenlik uyarıları'na gidin ve ilgili kaynakta uyarıyı arayın.

    Kubernetes için Microsoft Defender'dan alınan örnek uyarının ekran görüntüsü.

Defender algılayıcısını kaldırma

Bu (veya herhangi bir) uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

  • Otomatik sağlamanın etkinleştirilmesi, mevcut ve gelecekteki makineleri etkileyebilir.
  • Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlamayı devre dışı bırakdığınızda hiçbir şey kaldırılamaz.

Not

Kapsayıcılar için Defender planını tamamen devre dışı bırakmak için Ortam ayarları'na gidin ve Kapsayıcılar için Microsoft Defender'ı kapatın.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmadığından emin olmak için uzantıların otomatik olarak sağlanmasını devre dışı bırakın.

Uzantıyı, aşağıdaki sekmelerde açıklandığı gibi Azure portalını, Azure CLI'yı veya REST API'yi kullanarak şu anda çalışan makinelerden kaldırabilirsiniz.

Uzantıyı kaldırmak için Azure portalını kullanma

  1. Azure portalında Azure Arc'ı açın.

  2. Altyapı listesinde Kubernetes kümeleri'ni ve ardından belirli bir kümeyi seçin.

  3. Kümedeki uzantıların listelendiği Uzantılar sayfasını açın.

  4. Uzantıyı ve ardından Kaldır'ı seçin.

    Azure Arc özellikli Kubernetes kümesinden uzantı kaldırma düğmesini gösteren ekran görüntüsü.

AKS için varsayılan Log Analytics çalışma alanını ayarlama

Defender algılayıcısı, veri işlem hattı olarak Log Analytics çalışma alanını kullanarak kümeden Bulut için Defender veri gönderir. Çalışma alanı verilerin hiçbirini tutmaz. Sonuç olarak, bu kullanım örneğinde kullanıcılar faturalandırılamaz.

Defender algılayıcısı varsayılan log analytics çalışma alanını kullanır. Varsayılan Log Analytics çalışma alanınız yoksa Bulut için Defender Defender algılayıcısını yüklediğinizde yeni bir kaynak grubu ve varsayılan çalışma alanı oluşturur. Varsayılan çalışma alanı bölgenizi temel alır.

Varsayılan Log Analytics çalışma alanı ve kaynak grubu için adlandırma kuralı:

  • Çalışma Alanı: DefaultWorkspace-[subscription-ID]-[geo]
  • Kaynak grubu: DefaultResourceGroup-[geo]

Özel çalışma alanı atama

Otomatik sağlamayı etkinleştirdiğinizde, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Atanmış bir çalışma alanınız olup olmadığını denetlemek için:

  1. Azure Portal’ında oturum açın.

  2. İlke'yi arayın ve seçin.

    İlke sayfasının nasıl bulunduğunu gösteren ekran görüntüsü.

  3. Tanımlar'ı seçin.

  4. İlke kimliğini 64def556-fbad-4622-930e-72d1d5589bf5arayın.

    İlkenin kimliğine göre nerede arandığını gösteren ekran görüntüsü.

  5. Defender profilini etkinleştirmek için Azure Kubernetes Service kümelerini yapılandır'ı seçin.

  6. Atamalar'ı seçin.

    Atamalar sekmesini gösteren ekran görüntüsü.

  7. Bu makaledeki sonraki bölümlerden birini aşağıdaki gibi kullanın:

Özel çalışma alanıyla yeni atama oluşturma

İlke henüz atanmamışsa, Atamalar sekmesinde 0 sayısı gösterilir.

Hiçbir çalışma alanının atanmadığını gösteren ekran görüntüsü.

Özel çalışma alanı atamak için:

  1. Ata'yı seçin.

  2. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

  3. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

    Log Analytics çalışma alanı kaynak kimliği açılır menüsünü gösteren ekran görüntüsü.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur'u belirleyin.

Atamayı özel çalışma alanıyla güncelleştirme

İlke bir çalışma alanına atanmışsa, Atamalar sekmesinde 1 sayısı gösterilir.

Atanan çalışma alanını gösteren sekmenin ekran görüntüsü.

Not

Birden fazla aboneliğiniz varsa, sayı daha yüksek olabilir.

Özel çalışma alanı atamak için:

  1. İlgili ödevi seçin.

    Atama seçimini gösteren ekran görüntüsü.

  2. Ödevi düzenle'yi seçin.

  3. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

  4. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

    Log Analytics çalışma alanı kaynak kimliğinin açılan menüsünü gösteren ekran görüntüsü.

  5. Gözden geçir ve kaydet'i seçin.

  6. Kaydet'i seçin.

Azure Arc için varsayılan Log Analytics çalışma alanı

Defender algılayıcısı, veri işlem hattı olarak Log Analytics çalışma alanını kullanarak kümeden Bulut için Defender veri gönderir. Çalışma alanı verilerin hiçbirini tutmaz. Sonuç olarak, bu kullanım örneğinde kullanıcılar faturalandırılamaz.

Defender algılayıcısı varsayılan log analytics çalışma alanını kullanır. Varsayılan Log Analytics çalışma alanınız yoksa Bulut için Defender Defender algılayıcısını yüklediğinizde yeni bir kaynak grubu ve varsayılan çalışma alanı oluşturur. Varsayılan çalışma alanı bölgenizi temel alır.

Varsayılan Log Analytics çalışma alanı ve kaynak grubu için adlandırma kuralı:

  • Çalışma Alanı: DefaultWorkspace-[subscription-ID]-[geo]
  • Kaynak grubu: DefaultResourceGroup-[geo]

Özel çalışma alanı atama

Otomatik sağlamayı etkinleştirdiğinizde, varsayılan çalışma alanı otomatik olarak atanır. Azure İlkesi aracılığıyla özel bir çalışma alanı atayabilirsiniz.

Atanmış bir çalışma alanınız olup olmadığını denetlemek için:

  1. Azure Portal’ında oturum açın.

  2. İlke'yi arayın ve seçin.

    Azure Arc için ilke sayfasının nasıl bulunduğunu gösteren ekran görüntüsü.

  3. Tanımlar'ı seçin.

  4. İlke kimliğini 708b60a6-d253-4fe0-9114-4be4c00f012carayın.

    Azure Arc kimliğine göre ilkenin nerede arandığını gösteren ekran görüntüsü.

  5. Bulut için Microsoft Defender uzantısını yüklemek için Azure Arc özellikli Kubernetes kümelerini yapılandır'ı seçin.

  6. Atamalar'ı seçin.

    Azure Arc için Atamalar sekmesini gösteren ekran görüntüsü.

  7. Bu makaledeki sonraki bölümlerden birini aşağıdaki gibi kullanın:

Özel çalışma alanıyla yeni atama oluşturma

İlke henüz atanmamışsa, Atamalar sekmesinde 0 sayısı gösterilir.

Azure Arc için hiçbir çalışma alanının atanmadığını gösteren ekran görüntüsü.

Özel çalışma alanı atamak için:

  1. Ata'yı seçin.

  2. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

  3. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

    Azure Arc ile ilgili log analytics çalışma alanı kaynak kimliğini gösteren açılan menüyü gösteren ekran görüntüsü.

  4. Gözden geçir ve oluştur’u seçin.

  5. Oluştur'u belirleyin.

Atamayı özel çalışma alanıyla güncelleştirme

İlke bir çalışma alanına atanmışsa, Atamalar sekmesinde 1 sayısı gösterilir.

Not

Birden fazla aboneliğiniz varsa, sayı daha yüksek olabilir. 1 veya daha yüksek bir sayıya sahipseniz ancak atama ilgili kapsamda değilse, Özel çalışma alanıyla yeni atama oluşturma adımlarını izleyin.

Azure Arc için atanan çalışma alanını gösteren sekmenin ekran görüntüsü.

Özel çalışma alanı atamak için:

  1. İlgili ödevi seçin.

    Azure Arc için atama seçimini gösteren ekran görüntüsü.

  2. Ödevi düzenle'yi seçin.

  3. Parametreler sekmesinde Yalnızca giriş veya gözden geçirme gerektiren parametreleri göster seçeneğini temizleyin.

  4. Açılan menüden LogAnalyticsWorkspaceResourceId değerini seçin.

    Azure Arc için Log Analytics çalışma alanı kaynak kimliğini gösteren açılan menüyü gösteren ekran görüntüsü.

  5. Gözden geçir ve kaydet'i seçin.

  6. Kaydet'i seçin.

Defender algılayıcısını kaldırma

Bu (veya herhangi bir) uzantıyı kaldırmak için Bulut için Defender otomatik sağlamayı kapatmak yeterli değildir:

  • Otomatik sağlamanın etkinleştirilmesi, mevcut ve gelecekteki makineleri etkileyebilir.
  • Bir uzantı için otomatik sağlamayı devre dışı bırakmak yalnızca gelecekteki makineleri etkiler. Otomatik sağlamayı devre dışı bırakdığınızda hiçbir şey kaldırılamaz.

Not

Kapsayıcılar için Defender planını tamamen devre dışı bırakmak için Ortam ayarları'na gidin ve Kapsayıcılar için Microsoft Defender'ı kapatın.

Bununla birlikte, Kapsayıcılar için Defender bileşenlerinin bundan sonra kaynaklarınıza otomatik olarak sağlanmadığından emin olmak için uzantıların otomatik olarak sağlanmasını devre dışı bırakın.

Uzantıyı, aşağıdaki sekmelerde açıklandığı gibi REST API, Azure CLI veya Resource Manager şablonu kullanarak şu anda çalışan makinelerden kaldırabilirsiniz.

DEFENDER algılayıcısını AKS'den kaldırmak için REST API'yi kullanma

REST API kullanarak uzantıyı kaldırmak için aşağıdaki PUT komutu çalıştırın:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Komutu şu parametreleri içerir:

Veri Akışı Adı Açıklama Zorunlu
SubscriptionId Kümenin abonelik kimliği Yes
ResourceGroup Kümenin kaynak grubu Yes
ClusterName Kümenin adı Yes
ApiVersion API sürümü; 2022-06-01 veya üzeri olmalıdır Yes

bu istek gövdesidir:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

İstek gövdesi şu parametrelere sahiptir:

Veri Akışı Adı Açıklama Zorunlu
location Kümenin konumu Yes
properties.securityProfile.defender.securityMonitoring.enabled Kümede Kapsayıcılar için Microsoft Defender'ın etkinleştirilip etkinleştirilmeyeceğini veya devre dışı bırakılıp bırakılmayacağını belirler Yes

Kapsayıcılar için Defender'ı etkinleştirdiğinize göre şunları yapabilirsiniz:

Bulut için Defender ve Kapsayıcılar için Defender hakkında daha fazla bilgi edinmek için aşağıdaki bloglara göz atın: