تكوين مكونات Microsoft Defender for Containers

Microsoft Defender for Containers هو حل السحابة الأصلي لتأمين الحاويات الخاصة بك.

يحمي Defender for Containers أنظمة المجموعات الخاصة بك سواء كانت تعمل في:

• خدمة Azure Kubernetes Service (AKS) - خدمة Microsoft المدارة لتطوير تطبيقات الحاوية وتوزيعها وإدارتها.

• Amazon Elastic Kubernetes Service (EKS) في حساب Amazon Web Services (AWS) متصل - خدمة Amazon المُدارة لتشغيل Kubernetes على AWS دون الحاجة إلى تثبيت مستوى أو عقد تحكم Kubernetes الخاصة بك وتشغيلها وصيانتها.

• Google Kubernetes Engine (GKE) في مشروع Google Cloud Platform (GCP) متصل - بيئة Google المُدارة لتوزيع التطبيقات وإدارتها وتوسيع نطاقها باستخدام البنية الأساسية لـ GCP.

• توزيعات Kubernetes الأخرى (باستخدام Kubernetes التي تدعم Azure Arc) - معتمدة من قبل Cloud Native Computing Foundation (CNCF) مجموعات Kubernetes المُستضافة محليًا أو على IaaS. لمزيد من المعلومات، راجع قسم On-prem/IaaS (Arc) الخاص بـ الميزات المدعومة حسب البيئة .

تعرف على هذه الخطة في نظرة عامة على Microsoft Defender للحاويات.

يمكنك أولا معرفة كيفية توصيل حاوياتك وحمايتها في هذه المقالات:

• حماية حاويات Azure باستخدام Defender for Containers
• حماية مجموعات Kubernetes المحلية باستخدام Defender for Containers
• حماية حاويات حسابات Amazon Web Service (AWS) باستخدام Defender for Containers
• حماية حاويات مشروع Google Cloud Platform (GCP) باستخدام Defender for Containers

يمكنك أيضا معرفة المزيد من خلال مشاهدة مقاطع الفيديو هذه من Defender for Cloud في سلسلة فيديو Field:

• Microsoft Defender للحاويات في بيئة متعددة السحابة
• حماية الحاويات في GCP باستخدام Defender للحاويات

إشعار

يعد دعم Defender for Containers لمجموعات Kubernetes التي تدعم Arc ميزة معاينة. تتوفر ميزة المعاينة على أساس الخدمة الذاتية والاشتراك.

يتم توفير المعاينات "كما هي" و"حسب توفرها" ويتم استبعادها من اتفاقيات مستوى الخدمة والضمان المحدود.

لمعرفة المزيد حول أنظمة التشغيل المدعومة وتوافر الميزات والوكيل الصادر والمزيد، راجع توفر ميزة Defender for Containers.

متطلبات الشبكة

تحقق من صحة نقاط النهاية التالية التي تم تكوينها للوصول الصادر بحيث يمكن لمستشعر Defender الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث:

راجع قواعد FQDN/التطبيق المطلوبة لـ Microsoft Defender للحاويات.

بشكل افتراضي، تحتوي أنظمة مجموعات AKS على اتصال غير مقيد بالإنترنت الصادر (الخروج).

متطلبات الشبكة

تنبيه

تشير هذه المقالة إلى CentOS، وهو توزيع Linux يقترب من حالة نهاية العمر الافتراضي (EOL). يرجى مراعاة استخدامك والتخطيط وفقا لذلك. لمزيد من المعلومات، راجع إرشادات نهاية العمر الافتراضي CentOS.

تحقق من صحة نقاط النهاية التالية التي تم تكوينها للوصول الصادر بحيث يمكن لمستشعر Defender الاتصال ب Microsoft Defender for Cloud لإرسال بيانات الأمان والأحداث:

بالنسبة إلى عمليات نشر السحابة العامة:

مجال Azure	مجال Azure Government	Microsoft Azure المشغل بواسطة مجال 21Vianet	المنفذ
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

ستحتاج أيضًا إلى التحقق من صحة متطلبات شبكة Kubernetes الممكّنة في Azure Arc.

تمكين الخطة

لتمكين الخطة:

1. من قائمة Defender for Cloud، افتح صفحة الإعدادات وحدد الاشتراك ذي الصلة.

2. في صفحة خطط Defender، حدد Defender for Containers وحدد الإعدادات.

   

   تلميح

   إذا تم تمكين Defender for Kubernetes و/أو Defender لسجلات الحاويات بالفعل في الاشتراك، فسيتم عرض إشعار بالتحديث. وإلا فسيكون الخيار الوحيد هو Defender للحاويات.

   

3. قم بتشغيل المكون ذي الصلة لتمكينه.

   

   إشعار

   • يجب على عملاء Defender for Containers الذين انضموا قبل أغسطس 2023 وليس لديهم اكتشاف بدون عامل ل Kubernetes ممكن كجزء من إدارة وضع الأمان السحابي في Defender عند تمكين الخطة، تمكين الاكتشاف بدون عامل لملحق Kubernetes داخل خطة Defender for Containers يدويا.
   • عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل ولا يتم نشرها على أي حاويات أخرى ولكن لا تتم إزالتها من الحاويات التي تم تثبيتها عليها بالفعل.

أسلوب التمكين لكل قدرة

بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتمكين جميع الإمكانات تلقائيا وتثبيت جميع المكونات المطلوبة لتوفير الحماية التي توفرها الخطة، بما في ذلك تعيين مساحة عمل افتراضية.

إذا كنت لا تريد تمكين جميع قدرات الخطط، يمكنك تحديد القدرات المحددة التي يجب تمكينها يدويا عن طريق تحديد تحرير التكوين لخطة الحاويات . بعد ذلك، في صفحة الإعدادات والمراقبة، حدد الإمكانات التي تريد تمكينها. بالإضافة إلى ذلك، يمكنك تعديل هذا التكوين من صفحة خطط Defender بعد التكوين الأولي للخطة.

للحصول على معلومات مفصلة حول أسلوب التمكين لكل واحد من القدرات، راجع مصفوفة الدعم.

الأدوار والأذونات

تعرف على المزيد حول الأدوار المستخدمة لتوفير ملحقات Defender for Containers.

تعيين مساحة عمل مخصصة لمستشعر Defender

يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

النشر اليدوي لمستشعر Defender أو عامل نهج Azure دون توفير تلقائي باستخدام التوصيات

يمكن أيضا نشر القدرات التي تتطلب تثبيت أداة الاستشعار على مجموعة Kubernetes واحدة أو أكثر، باستخدام التوصية المناسبة:

المستشعر	التوصية
مستشعر Defender ل Kubernetes	يجب أن يتم تمكين ملف تعريف Azure Defender لمجموعات خدمة Azure Kubernetes
مستشعر Defender ل Kubernetes الممكن بواسطة Arc	مجموعات Kubernetes المُمكَّنة من قبل Azure Arc يجب أن يكون مُثبَّت بها ملحق Azure Defender
عامل نهج Azure ل Kubernetes	يجب أن تحتوي مجموعات خدمة Azure Kubernetes على الوظيفة الإضافية لنهج Azure ل Kubernetes مثبتة
عامل نهج Azure ل Kubernetes التي تدعم Arc	يجب أن يكون لدى مجموعات Kubernetes التي تدعم Azure Arc ملحق نهج Azure مثبت

نفذ الخطوات التالية لتنفيذ توزيع أداة استشعار Defender على مجموعات معينة:

1. من صفحة توصيات Microsoft Defender for Cloud، افتح تمكين التحكم في أمان الأمان المحسن أو ابحث مباشرة عن إحدى التوصيات المذكورة أعلاه (أو استخدم الارتباطات أعلاه لفتح التوصية مباشرة)

2. عرض جميع المجموعات بدون أداة استشعار عبر علامة التبويب غير السليمة.

3. حدد المجموعات لنشر أداة الاستشعار المطلوبة على وحدد إصلاح.

4. حدد "إصلاح الموارد X".

نشر أداة استشعار Defender - جميع الخيارات

يمكنك تمكين خطة Defender للحاويات وتوزيع جميع المكونات ذات الصلة من مدخل Azure أو واجهة برمجة تطبيقات REST أو باستخدام قالب Resource Manager. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.

بمجرد نشر مستشعر Defender، يتم تعيين مساحة عمل افتراضية تلقائيا. يمكنك تعيين مساحة عمل مخصصة بدلاً من مساحة العمل الافتراضية من خلال سياسة Azure.

إشعار

يتم نشر مستشعر Defender في كل عقدة لتوفير حماية وقت التشغيل وجمع الإشارات من تلك العقد باستخدام تقنية eBPF.

مدخل Microsoft Azure

استخدام زر الإصلاح من توصية Defender for Cloud

تتيح لك العملية المبسطة وغير الاحتكاكية استخدام صفحات مدخل Azure لتمكين خطة Defender for Cloud وإعداد التزويد التلقائي لجميع المكونات الضرورية للدفاع عن مجموعات Kubernetes الخاصة بك على نطاق واسع.

توفر توصية Defender for Cloud المخصصة ما يلي:

• الرؤية حول أي من مجموعاتك يحتوي على أداة استشعار Defender التي تم نشرها
• الزر "إصلاح " لنشره في تلك المجموعات بدون أداة الاستشعار

1. من صفحة توصيات Microsoft Defender for Cloud، افتح التحكم في الأمان لتمكين الأمان المحسن.

2. استخدم عامل التصفية للعثور على التوصية المسماة يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes.

   تلميح

   لاحظ أيقونة إصلاح في عمود الإجراءات

3. حدد المجموعات لمشاهدة تفاصيل الموارد الصحية وغير السليمة - المجموعات مع جهاز الاستشعار وبدونه.

4. من قائمة الموارد غير السليمة، حدد مجموعة وحدد معالجة لفتح الجزء بتأكيد المعالجة.

5. حدد "إصلاح الموارد X".

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لنشر أداة استشعار Defender

لتثبيت 'SecurityProfile' على مجموعة موجودة باستخدام REST API، قم بتشغيل الأمر PUT التالي:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

طلب معرف الموارد المنتظم: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

طلب معلمات الاستعلام:

Name	‏‏الوصف	إلزامي
SubscriptionId.	معرف اشتراك المجموعة	‏‏نعم‬
ResourceGroup	مجموعة موارد المجموعة	‏‏نعم‬
ClusterName	اسم الكتلة	‏‏نعم‬
ApiVersion	يجب أن يكون إصدار واجهة برمجة التطبيقات >= 2022-06-01	‏‏نعم‬

نص الطلب:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

طلب معلمات النص الأساسي على نحو ما يلي:

Name	‏‏الوصف	إلزامي
موقع	موقع الكتلة	‏‏نعم‬
properties.securityProfile.defender.securityMonitoring.enabled	يحدد ما إذا كان سيتم تمكين أو تعطيل Microsoft Defender للحاويات على المجموعة	‏‏نعم‬
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	تسجيل مساحة عمل Analytics معرّف مورد Azure	‏‏نعم‬

Azure CLI

استخدام Azure CLI لنشر مستشعر Defender

1. تسجيل الدخول إلى Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   هام

   تأكد من أنك تستخدم نفس معرف الاشتراك لـ <your-subscription-id> مثل ذلك المرتبط بمجموعة AKS الخاصة بك.

2. تمكين أداة استشعار Defender على حاوياتك:

   • قم بتشغيل الأمر التالي لإنشاء نظام مجموعة جديد مع تمكين أداة استشعار Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • قم بتشغيل الأمر التالي لتمكين مستشعر Defender على نظام مجموعة موجود:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   يتم تقديم وصف لجميع إعدادات التكوين المدعومة على نوع أداة استشعار Defender أدناه:

   الخاصية

   ‏‏الوصف

   logAnalyticsWorkspaceResourceId

   اختياري. معرف المورد الكامل لمساحة عمل Log Analytics الخاصة بك. عند عدم توفيرها، سيتم استخدام مساحة العمل الافتراضية للمنطقة. للحصول على معرف المورد الكامل، قم بتشغيل الأمر التالي لعرض قائمة مساحات العمل في الاشتراكات بتنسيق JSON الافتراضي: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json يحتوي معرف مورد مساحة عمل Log Analytics على بناء الجملة التالي: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. تعرف على المزيد في مساحات عمل Log Analytics

   يمكنك تضمين هذه الإعدادات في ملف JSON وتحديد ملف JSON في الأمرين az aks create وaz aks update بهذه المعلمة: --defender-config <path-to-JSON-file>. يجب أن يكون تنسيق ملف JSON:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   تعرف على المزيد عن أوامر AKS CLI في az aks .

3. للتحقق من إضافة المستشعر بنجاح، قم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة الخاص بك:

   kubectl get pods -n kube-system
   

   عند إضافة أداة الاستشعار، يجب أن ترى جراب يسمى microsoft-defender-XXXXX في Running الحالة. قد تستغرق إضافة الوحدات بضع دقائق.

Resource Manager

استخدام Azure Resource Manager لنشر مستشعر Defender

لاستخدام Azure Resource Manager لنشر أداة استشعار Defender، ستحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

تلميح

إذا كنت جديدًا على Resource Manager القوالب، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟

لتثبيت "SecurityProfile" على نظام مجموعة موجود باستخدام Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

تمكين الخطة

لتمكين الخطة:

1. من قائمة Defender for Cloud، افتح صفحة الإعدادات وحدد الاشتراك ذي الصلة.

2. في صفحة خطط Defender، حدد Defender for Containers وحدد الإعدادات.

   تلميح

   إذا تم تمكين Defender for Kubernetes أو Defender لسجلات الحاويات بالفعل في الاشتراك، فسيتم عرض إشعار التحديث. وإلا فسيكون الخيار الوحيد هو Defender للحاويات.

   

3. قم بتشغيل المكون ذي الصلة لتمكينه.

   

   إشعار

   عند إيقاف تشغيل Defender for Containers، يتم تعيين المكونات إلى إيقاف التشغيل ولا يتم نشرها على أي حاويات أخرى ولكن لا تتم إزالتها من الحاويات التي تم تثبيتها عليها بالفعل.

بشكل افتراضي، عند تمكين الخطة من خلال مدخل Microsoft Azure، يتم تكوين Microsoft Defender for Containers لتثبيت المكونات المطلوبة تلقائيا لتوفير الحماية التي توفرها الخطة، بما في ذلك تعيين مساحة عمل افتراضية.

إذا كنت تريد تعطيل التثبيت التلقائي للمكونات أثناء عملية الإلحاق، فحدد تحرير التكوين لخطة الحاويات . ستظهر الخيارات المتقدمة، ويمكنك تعطيل التثبيت التلقائي لكل مكون.

بالإضافة إلى ذلك، يمكنك تعديل هذا التكوين من صفحة خطط Defender.

إشعار

إذا اخترت تعطيل الخطة في أي وقت بعد تمكينها من خلال المدخل كما هو موضح أعلاه، فستحتاج إلى إزالة مكونات Defender للحاويات التي تم توزيعها على مجموعاتك يدويًا.

يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

إذا قمت بتعطيل التثبيت التلقائي لأي مكون، يمكنك بسهولة نشر المكون إلى مجموعة واحدة أو أكثر باستخدام التوصية المناسبة:

• السياسة الإضافية لـ Kubernetes - يجب أن تحتوي مجموعات خدمة Azure Kubernetes على وظيفة Azure Policy الإضافية لـ Kubernetes مثبتة
• الملف الشخصي لخدمة Azure Kubernetes - يجب تمكين ملف تعريف Defender لمجموعات خدمة Azure Kubernetes
• ملحق Kubernetes الذي يدعم Azure Arc - يجب أن يكون لمجموعات Kubernetes التي تم تدعم Azure Arc عليها ملحق Defender مثبتًا
• ملحق نهج Kubernetes الذي يدعم Azure Arc - يجب أن يكون لدى مجموعات Kubernetes الممكنة في Azure Arc ملحق نهج Azure مثبت

تعرف على المزيد حول الأدوار المستخدمة لتوفير ملحقات Defender for Containers.

المتطلبات الأساسية

قبل نشر أداة الاستشعار، تأكد من:

• توصيل نظام مجموعة Kubernetes بـ Azure Arc
• إكمال متطلبات مسبقة المسرودة تحت وثائق ملحقات الكتلة العامة.

نشر أداة استشعار Defender

يمكنك نشر مستشعر Defender باستخدام مجموعة من الطرق. للحصول على خطوات مفصلة، حدد علامة التبويب ذات الصلة.

مدخل Microsoft Azure

استخدام زر الإصلاح من توصية Defender for Cloud

توفر توصية Defender for Cloud المخصصة ما يلي:

• الرؤية حول أي من مجموعاتك يحتوي على أداة استشعار Defender التي تم نشرها
• الزر "إصلاح " لنشره في تلك المجموعات بدون أداة الاستشعار

1. من صفحة توصيات Microsoft Defender for Cloud، افتح التحكم في الأمان لتمكين الأمان المحسن.

2. استخدم عامل التصفية للعثور على التوصية المسماة مجموعات Kubernetes التي تدعم Azure Arc يجب أن يكون ملحق Defender for Cloud مثبتا.

   

   تلميح

   لاحظ أيقونة إصلاح في عمود الإجراءات

3. حدد المستشعر لمشاهدة تفاصيل الموارد الصحية وغير الصحية - المجموعات مع جهاز الاستشعار وبدونه.

4. من قائمة الموارد غير السليمة، حدد مجموعة وحدد معالجة لفتح الجزء باستخدام خيارات المعالجة.

5. حدد مساحة عمل Log Analytics ذات الصلة وحدد معالجة مورد x.

   

Azure CLI

استخدام Azure CLI لنشر مستشعر Defender

1. تسجيل الدخول إلى Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   هام

   تأكد من استخدام معرف الاشتراك نفسه للمعرف <your-subscription-id> الذي تم استخدامه عند توصيل نظام المجموعة الخاص بك بـ Azure Arc.

2. قم بتشغيل الأمر التالي لنشر المستشعر أعلى مجموعة Kubernetes الممكنة في Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   يتم تقديم وصف لجميع إعدادات التكوين المدعومة على نوع أداة استشعار Defender أدناه:

   الخاصية	‏‏الوصف
   logAnalyticsWorkspaceResourceID	اختياري. معرف المورد الكامل لمساحة عمل Log Analytics الخاصة بك. عند عدم توفيرها، سيتم استخدام مساحة العمل الافتراضية للمنطقة. للحصول على معرف المورد الكامل، قم بتشغيل الأمر التالي لعرض قائمة مساحات العمل في الاشتراكات بتنسيق JSON الافتراضي: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json يحتوي معرف مورد مساحة عمل Log Analytics على بناء الجملة التالي: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. تعرف على المزيد في مساحات عمل Log Analytics
   auditLogPath	اختياري. المسار الكامل لملفات سجل التدقيق. عند عدم توفيره، سيتم استخدام المسار /var/log/kube-apiserver/audit.log الافتراضي. بالنسبة إلى AKS Engine، يكون المسار القياسي هو /var/log/kubeaudit/audit.log

   يعرض الأمر أدناه مثالًا لاستخدام جميع الحقول الاختيارية:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

استخدام Azure Resource Manager لنشر مستشعر Defender

لاستخدام Azure Resource Manager لنشر أداة استشعار Defender، ستحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

يمكنك استخدام قالب azure-defender-extension-arm-template.json Resource Manager من أمثلة تثبيت Defender for Cloud.

تلميح

إذا كنت جديدًا على Resource Manager القوالب، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لنشر أداة استشعار Defender

لاستخدام واجهة برمجة تطبيقات REST لنشر مستشعر Defender، ستحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

تلميح

أبسط طريقة لاستخدام واجهة برمجة التطبيقات لنشر مستشعر Defender هي مع مثال JSON لمجموعة Postman المتوفرة من أمثلة تثبيت Defender for Cloud.

• لتعديل مجموعة Postman JSON، أو لنشر المستشعر يدويا باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر PUT التالي:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  المكان:

  الاسم	في	المطلوب	نوع	‏‏الوصف
  مُعرّف الاشتراك	المسار	صواب	السلسلة‬	معرف اشتراك مورد Kubernetes الذي يدعم Azure Arc
  مجموعة الموارد	المسار	صواب	السلسلة‬	اسم مجموعة الموارد التي تحتوي على مورد Kubernetes الممكّن لـAzure Arc
  اسم المجموعة	المسار	صواب	السلسلة‬	اسم مورد Kubernetes الممكّن في Azure Arc

  للمصادقة، يجب أن يحتوي العنوان على رمز مميز للحامل (كما هو الحال مع واجهات برمجة تطبيقات Azure الأخرى). للحصول على رمز حامل، قم بتشغيل الأمر التالي:

  az account get-access-token --subscription <your-subscription-id>استخدم البنية التالية لنص الرسالة:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  وفيما يلي وصف للخصائص:

  الخاصية	‏‏الوصف
  logAnalytics.workspaceId	معرّف مساحة العمل لمورد Log Analytics
  logAnalytics.key	مفتاح مورد Log Analytics
  auditLogPath	اختياري. المسار الكامل لملفات سجل التدقيق. القيمة الافتراضية هي /var/log/kube-apiserver/audit.log

تحقق من التوزيع

للتحقق من تثبيت مستشعر Defender على نظام المجموعة، اتبع الخطوات الموجودة في إحدى علامات التبويب أدناه:

بوابة Azure - Defender for Cloud

استخدام توصية Defender for Cloud للتحقق من حالة أداة الاستشعار

1. من صفحة توصيات Microsoft Defender for Cloud، افتح عنصر تحكم تمكين أمان Microsoft Defender for Cloud.

2. حدد التوصية المسماة مجموعات Kubernetes الممكنة في Azure Arc يجب أن يكون ملحق Microsoft Defender for Cloud مثبتًا.

   

3. تحقق من أن المجموعة التي قمت بنشر المستشعر عليها مدرجة على أنها سليمة.

مدخل Azure - Azure Arc

استخدم صفحات Azure Arc للتحقق من حالة أداة الاستشعار

1. من مدخل Microsoft Azure، افتح Azure Arc.

2. من قائمة البنية الأساسية، حدد مجموعات Kubernetes ثم حدد نظام المجموعة المحدد.

3. افتح صفحة الملحقات. يتم سرد الملحقات الموجودة على نظام المجموعة. لتأكيد ما إذا كان مستشعر Defender مثبتا بشكل صحيح، تحقق من عمود حالة التثبيت.

   

4. لمزيد من التفاصيل، حدد الملحق.

   

Azure CLI

استخدام Azure CLI للتحقق من نشر أداة الاستشعار

1. تشغيل الأمر التالي على Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. في الاستجابة، ابحث عن "extensionType": "microsoft.azuredefender.kubernetes" و"installState": "مثبتًا".

   إشعار

   قد تظهر "installState": "معلقة" للدقائق القليلة الأولى.

3. إذا كانت الحالة تظهر مثبتا، فقم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة للتحقق من أن جميع الحجيرات ضمن مساحة اسم mdc موجودة في حالة "قيد التشغيل":

   kubectl get pods -n mdc
   

واجهة برمجة التطبيقات REST

استخدم واجهة برمجة تطبيقات REST للتحقق من نشر أداة الاستشعار

لتأكيد التوزيع الناجح، أو للتحقق من حالة أداة الاستشعار في أي وقت:

1. تشغيل الأمر GET التالي:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. في الاستجابة، ابحث في "extensionType": "microsoft.azuredefender.kubernetes" لـ "installState": "المثبت".

   تلميح

   قد تظهر "installState": "معلقة" للدقائق القليلة الأولى.

3. إذا كانت الحالة تظهر مثبتة، فقم بتشغيل الأمر التالي على جهازك مع kubeconfig الملف المشار إليه إلى نظام المجموعة للتحقق من أن جميع الحجيرات ضمن مساحة اسم mdc في حالة "قيد التشغيل":

   kubectl get pods -n mdc
   

تمكين الخطة

هام

• إذا لم تكن قد قمت بالفعل بتوصيل حساب AWS، فقم بتوصيل حسابات AWS الخاصة بك بـ Microsoft Defender for Cloud.
• إذا قمت بالفعل بتمكين الخطة على الموصل الخاص بك، وكنت ترغب في تغيير التكوينات الاختيارية أو تمكين قدرات جديدة، فانتقل مباشرة إلى الخطوة 4.

لحماية مجموعات EKS الخاصة بك، قم بتمكين خطة الحاويات على موصل الحساب ذي الصلة:

1. من قائمة Defender for Cloud، افتح إعدادات البيئة.

2. حدد موصل AWS.

   

3. تحقق من تعيين التبديل لخطة الحاويات إلى تشغيل.

   

4. لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.

   

   • يتطلب Defender for Containers سجلات تدقيق مستوى التحكم لتوفير الحماية من تهديدات وقت التشغيل. لإرسال سجلات تدقيق Kubernetes إلى Microsoft Defender، قم بتبديل الإعداد إلى تشغيل. لتغيير فترة الاستبقاء لسجلات التدقيق، أدخل الإطار الزمني المطلوب.

     إشعار

     إذا قمت بتعطيل هذا التكوين، فسيتم تعطيل ميزة Threat detection (control plane). تعرف على المزيد عن توفر الميزات.

   • يوفر الاكتشاف بدون عامل ل Kubernetes اكتشافا يستند إلى واجهة برمجة التطبيقات لمجموعات Kubernetes الخاصة بك. لتمكين اكتشاف بدون عامل لميزة Kubernetes ، قم بتبديل الإعداد إلى تشغيل.

   • يوفر تقييم الثغرات الأمنية للحاوية بدون عامل إدارة الثغرات الأمنية للصور المخزنة في ECR وتشغيل الصور على مجموعات EKS الخاصة بك. لتمكين ميزة تقييم الثغرات الأمنية للحاوية بدون عامل، قم بتبديل الإعداد إلى تشغيل.

5. تابع عبر الصفحات المتبقية لمعالج الموصل.

6. إذا كنت تقوم بتمكين ميزة اكتشاف بدون عامل ل Kubernetes ، فأنت بحاجة إلى منح أذونات وحدة التحكم على نظام المجموعة. يمكنك القيام بذلك بإحدى الطرق التالية:

   • قم بتشغيل برنامج Python النصي هذا لمنح الأذونات. يضيف البرنامج النصي دور Defender for Cloud MDCContainersAgentlessDiscoveryK8sRole إلى aws-auth ConfigMap لمجموعات EKS التي ترغب في إلحاقها.

   • امنح كل مجموعة Amazon EKS دور MDCContainersAgentlessDiscoveryK8sRole مع القدرة على التفاعل مع نظام المجموعة. سجل الدخول إلى جميع المجموعات الموجودة والمنشأة حديثا باستخدام eksctl ونفذ البرنامج النصي التالي:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     لمزيد من المعلومات، راجع تمكين الوصول الأساسي لإدارة الهوية والوصول إلى نظام المجموعة.

7. يجب تثبيت Kubernetes التي تدعم Azure Arc ومستشعر Defender ونهج Azure ل Kubernetes وتشغيلها على مجموعات EKS الخاصة بك. هناك توصيات مخصصة لـ Defender for Cloud لتثبيت هذه الملحقات (و Azure Arc إذا لزم الأمر):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   لكل توصية، اتبع الخطوات أدناه لتثبيت الملحقات المطلوبة.

   لتثبيت الملحقات المطلوبة:

   1. من صفحة التوصيات في Defender for Cloud، ابحث عن إحدى التوصيات بالاسم.

   2. حدد مجموعة غير سليمة.

      هام

      يجب عليك تحديد المجموعات واحدة تلو الأخرى.

      لا تحدد المجموعات حسب أسمائها ذات الارتباطات التشعبية: حدد أي مكان آخر في الصف ذي الصلة.

   3. حدد إصلاح.

   4. يقوم Defender for Cloud بإنشاء برنامج نصي باللغة التي تختارها: حدد Bash (لنظام التشغيل Linux) أو PowerShell (لنظام التشغيل Windows).

   5. حدد تنزيل منطق الإصلاح.

   6. قم بتشغيل البرنامج النصي الذي تم إنشاؤه على المجموعة الخاصة بك.

   7. كرر الخطوات من "أ" إلى "و" للتوصية الثانية.

   

عرض التوصيات والتنبيهات لمجموعات EKS الخاصة بك

تلميح

يمكنك محاكاة تنبيهات الحاويات باتباع الإرشادات الواردة في منشور المدونة المذكور.

لعرض التنبيهات والتوصيات لمجموعات EKS الخاصة بك، استخدم عوامل التصفية في التنبيهات والتوصيات وصفحات المخزون للتصفية حسب نوع المورد مجموعة AWS EKS.

نشر أداة استشعار Defender

لنشر مستشعر Defender على مجموعات AWS، اتبع الخطوات التالية:

1. انتقل إلى Microsoft Defender for Cloud ->Environment settings ->Add environment ->Amazon Web Services.

   

2. املأ تفاصيل الحساب.

   

3. انتقل إلى تحديد الخطط، وافتح خطة الحاويات وتأكد من تعيين أداة استشعار Auto provision Defender ل Azure Arc إلى تشغيل.

   

4. انتقل إلى تكوين الوصول واتبع الخطوات هناك.

   

5. بمجرد نشر قالب Cloud Formation بنجاح، حدد Create.

إشعار

يمكنك استبعاد مجموعة AWS معينة من التزويد التلقائي. لنشر أداة الاستشعار، قم بتطبيق العلامة ms_defender_container_exclude_agents على المورد بالقيمة true. للنشر بدون عامل، قم بتطبيق العلامة ms_defender_container_exclude_agentless على المورد بالقيمة true.

تمكين الخطة

هام

إذا لم تكن قد ربطت مشروع GCP بالفعل، فقم بتوصيل مشروعات GCP بـ Microsoft Defender for Cloud.

لحماية مجموعات GKE الخاصة بك، ستحتاج إلى تمكين خطة الحاويات في مشروع GCP ذي الصلة.

إشعار

تحقق من عدم وجود أي نهج Azure تمنع تثبيت Arc.

لحماية مجموعات Google Kubernetes Engine (GKE):

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى Microsoft Defender for Cloud>Environment settings.

3. حدد موصل GCP ذي الصلة

   

4. حدد زر التالي: تحديد الخطط >.

5. تأكد من تبديل خطة الحاويات إلى تشغيل.

   

6. لتغيير التكوينات الاختيارية للخطة، حدد الإعدادات.

   

   • سجلات تدقيق Kubernetes إلى Defender for Cloud: ممكن افتراضيا. يتوفر هذا التكوين على مستوى مشروع GCP فقط. يوفر مجموعة بدون عامل من بيانات سجل التدقيق من خلال GCP Cloud Logging إلى النهاية الخلفية ل Microsoft Defender for Cloud لمزيد من التحليل. يتطلب Defender for Containers سجلات تدقيق مستوى التحكم لتوفير الحماية من تهديدات وقت التشغيل. لإرسال سجلات تدقيق Kubernetes إلى Microsoft Defender، قم بتبديل الإعداد إلى تشغيل.

     إشعار

     إذا قمت بتعطيل هذا التكوين، فسيتم تعطيل ميزة Threat detection (control plane). تعرف على المزيد عن توفر الميزات.

   • توفير أداة استشعار Defender تلقائيا ل Azure Arc وتوفير ملحق نهج Azure تلقائيا ل Azure Arc: ممكن افتراضيا. يمكنك تثبيت Kubernetes التي تدعم Azure Arc وملحقاتها على مجموعات GKE بثلاث طرق:

     • تمكين التوفير التلقائي ل Defender for Containers على مستوى المشروع، كما هو موضح في الإرشادات الواردة في هذا القسم. نوصي بهذا الأسلوب.
     • استخدم توصيات Defender for Cloud للتثبيت لكل مجموعة. تظهر على صفحة توصيات Microsoft Defender for Cloud. تعرف على كيفية نشر الحل على مجموعات معينة.
     • تثبيت Kubernetes والملحقات الممكنة بواسطة Arc يدويا.

   • يوفر الاكتشاف بدون عامل ل Kubernetes اكتشافا يستند إلى واجهة برمجة التطبيقات لمجموعات Kubernetes الخاصة بك. لتمكين اكتشاف بدون عامل لميزة Kubernetes ، قم بتبديل الإعداد إلى تشغيل.

   • يوفر تقييم الثغرات الأمنية للحاوية بدون عامل إدارة الثغرات الأمنية للصور المخزنة في سجلات Google (GAR وGCR) وتشغيل الصور على مجموعات GKE الخاصة بك. لتمكين ميزة تقييم الثغرات الأمنية للحاوية بدون عامل، قم بتبديل الإعداد إلى تشغيل.

7. حدد زر نسخ.

   

8. حدد زر GCP Cloud Shell>.

9. الصق البرنامج النصي في محطة Cloud Shell الطرفية وشغله.

سيتم تحديث الموصل بعد تنفيذ البرنامج النصي. قد تستغرق هذه العملية ما يصل إلى 6-8 ساعات حتى تكتمل.

توزيع الحل إلى مجموعات محددة

إذا عطلت أيًا من تكوينات إدارة الحسابات التلقائية الافتراضية إلى "إيقاف"، أثناء عملية إعداد موصل GCP، أو بعد ذلك. ستحتاج إلى تثبيت Kubernetes الممكن بواسطة Azure Arc يدويا، ومستشعر Defender، ونهج Azure ل Kubernetes لكل مجموعة من مجموعات GKE للحصول على قيمة الأمان الكاملة من Defender for Containers.

هناك توصيتان مخصصتان لـ Defender for Cloud يمكنك استخدامهما لتثبيت الملحقات (وArc إذا لزم الأمر):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

إشعار

عند تثبيت ملحقات Arc، يجب التحقق من أن مشروع GCP المقدم مطابق لمشروع في الموصل ذي الصلة.

لتوزيع الحل لمجموعات محددة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى Microsoft Defender for Cloud>Recommendations.

3. من صفحة التوصيات في Defender for Cloud، ابحث عن إحدى التوصيات بالاسم.

   

4. حدد مجموعة GKE غير السليمة.

   هام

   يجب عليك تحديد المجموعات واحدة تلو الأخرى.

   لا تحدد المجموعات حسب أسمائها ذات الارتباطات التشعبية: حدد أي مكان آخر في الصف ذي الصلة.

5. حدد اسم المورد غير السليم.

6. حدد إصلاح.

   

7. سينشئ Defender for Cloud نصًا باللغة التي تختارها:

   • بالنسبة لنظام التشغيل Linux، حدد Bash.
   • بالنسبة لنظام التشغيل Windows، حدد PowerShell.

8. حدد تنزيل منطق الإصلاح.

9. قم بتشغيل البرنامج النصي الذي تم إنشاؤه على المجموعة الخاصة بك.

10. كرر الخطوات من 3 إلى 8 للتوصية الثانية.

عرض تنبيهات GKE العنقودية الخاصة بك

1. قم بتسجيل الدخول إلى بوابة Azure.

2. انتقل إلى Microsoft Defender for Cloud >تنبيهات الأمان.

3. حدد الزر .

4. في القائمة المنسدلة تصفية، حدد نوع المورد.

5. في القائمة المنسدلة للقيمة، حدد مجموعة GCP GKE.

6. حدد OK.

نشر أداة استشعار Defender

لنشر مستشعر Defender على مجموعات GCP، اتبع الخطوات التالية:

1. انتقل إلى Microsoft Defender for Cloud ->Environment settings ->Add environment ->Google Cloud Platform.

   

2. املأ تفاصيل الحساب.

   

3. انتقل إلى تحديد الخطط، وافتح خطة الحاويات، وتأكد من تعيين أداة استشعار Auto provision Defender ل Azure Arc إلى تشغيل.

   

4. انتقل إلى تكوين الوصول واتبع الخطوات هناك.

   

5. بعد تشغيل البرنامج النصي gcloud بنجاح، حدد Create.

إشعار

يمكنك استبعاد مجموعة GCP معينة من التزويد التلقائي. لتوزيع المستشعر، قم بتطبيق التسمية ms_defender_container_exclude_agents على المورد بالقيمة true. للنشر بدون عامل، قم بتطبيق التسمية ms_defender_container_exclude_agentless على المورد بالقيمة true.

محاكاة تنبيهات الأمان من Microsoft Defender للحاويات

تتوفر قائمة كاملة بالتنبيهات المدعومة في الجدول المرجعي لجميع تنبيهات أمان Defender for Cloud.

1. لمحاكاة تنبيه أمني، قم بتشغيل الأمر التالي من المجموعة:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   الاستجابة المتوقعة هي No resource found.

   في غضون 30 دقيقة، يكتشف Defender for Cloud هذا النشاط ويشغل تنبيه أمان.

   إشعار

   لمحاكاة التنبيهات بدون عامل ل Defender for Containers، لا يعد Azure Arc شرطا أساسيا.

2. في مدخل Microsoft Azure، افتح صفحة تنبيهات أمان Microsoft Defender for Cloud وابحث عن التنبيه على المورد ذي الصلة:

   

إزالة أداة استشعار Defender

لإزالة هذا - أو أي - ملحق Defender for Cloud، لا يكفي إيقاف تشغيل التوفير التلقائي:

• تمكين التوفير التلقائي، من المحتمل أن يؤثر على الأجهزة الحالية والمستقبلية.
• تعطيل التوفير التلقائي لإحدى الملحقات، يؤثر فقط على الأجهزة المستقبلية - لا يتم إلغاء تثبيت أي شيء عن طريق تعطيل التوفير التلقائي.

إشعار

لإيقاف تشغيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بتعطيل خطة Microsoft Defender for Containers .

ومع ذلك، لضمان عدم توفير مكونات Defender للحاويات لمواردك تلقائيًا من الآن فصاعدًا، قم بتعطيل التوفير التلقائي للامتدادات كما هو موضح في تكوين التوفير التلقائي للوكلاء والملحقات من Microsoft Defender for Cloud.

يمكنك إزالة الملحق باستخدام مدخل Microsoft Azure أو Azure CLI أو REST API كما هو موضح في علامات التبويب أدناه.

مدخل Azure - Arc

استخدام مدخل Microsoft Azure لإزالة الملحق

1. من مدخل Microsoft Azure، افتح Azure Arc.

2. من قائمة البنية الأساسية، حدد مجموعات Kubernetes ثم حدد نظام المجموعة المحدد.

3. افتح صفحة الملحقات. يتم سرد الملحقات الموجودة على نظام المجموعة.

4. حدد نظام المجموعة وحدد إلغاء التثبيت.

   

Azure CLI

استخدام Azure CLI لإزالة مستشعر Defender

1. قم بإزالة ملحق Microsoft Defender for Kubernetes Arc بالأوامر التالية:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   قد تستغرق إزالة الملحق بضع دقائق. نوصي بالانتظار قبل محاولة التحقق من نجاحها.

2. للتحقق من إزالة الملحق بنجاح، قم بتشغيل الأوامر التالية:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   بعد ذلك، تحقق من عدم وجود pods ضمن مساحة اسم mdc على نظام المجموعة عن طريق تشغيل الأمر التالي مع kubeconfig الملف المشار إليه إلى نظام المجموعة الخاص بك:

   kubectl get pods -n mdc
   

   قد يستغرق حذف الوحدات بضع دقائق.

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لإزالة أداة استشعار Defender

لإزالة الملحق باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر DELETE التالي:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

الاسم	في	المطلوب	نوع	‏‏الوصف
مُعرّف الاشتراك	المسار	صواب	السلسلة‬	معرف اشتراك مجموعة Kubernetes الذي يدعم Azure Arc
مجموعة الموارد	المسار	صواب	السلسلة‬	مجموعة موارد مجموعة Kubernetes تمكين Azure Arc
اسم المجموعة	المسار	صواب	السلسلة‬	اسم مجموعة Kubernetes التي تُمكّن Azure Arc

للمصادقة، يجب أن يحتوي العنوان على رمز مميز للحامل (كما هو الحال مع واجهات برمجة تطبيقات Azure الأخرى). للحصول على رمز حامل، قم بتشغيل الأمر التالي:

az account get-access-token --subscription <your-subscription-id>

قد يستغرق الطلب عدة دقائق حتى يكتمل.

مساحة عمل تحليلات السجل الافتراضية لـ AKS

يتم استخدام مساحة عمل Log Analytics بواسطة أداة استشعار Defender كمسار بيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud دون الاحتفاظ بأي بيانات في مساحة عمل Log Analytics نفسها. نتيجة لذلك، لن يتم محاسبة المستخدمين في حالة الاستخدام هذه.

يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك بالفعل مساحة عمل Log Analytics افتراضية، فسينشئ Defender for Cloud مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. يتم إنشاء مساحة العمل الافتراضية بناءً على منطقتك.

اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:

• مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
• مجموعة الموارد: DefaultResourceGroup- [الموقع الجغرافي]

قم بتعيين مساحة عمل مخصصة

عند تمكين خيار التوفير التلقائي، سيتم تلقائيًا تعيين مساحة عمل افتراضية. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

للتحقق مما إذا كان لديك مساحة عمل معينة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن "Policy" وحددها.

   

3. حدد ⁧⁩ تعريفات ⁧⁩.

4. ابحث عن معرّف النهج 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. حدد تكوين مجموعات خدمة Azure Kubernetes لتمكين ملف تعريف Defender.

6. حدد تعيين.

   

7. اتبع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة إذا لم يتم تعيين السياسة للنطاق ذي الصلة بعد. أو اتبع خطوات تحديث التعيين بمساحة عمل مخصصة إذا تم تعيين السياسة بالفعل وتريد تغييرها لاستخدام مساحة عمل مخصصة.

قم بإنشاء مهمة جديدة باستخدام مساحة عمل مخصصة

إذا لم يتم تعيين السياسة، فسترى Assignments (0).

لتعيين مساحة عمل مخصصة:

1. حدد تعيين.

2. في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.

3. حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.

   

4. حدد "Review + create".

5. حدد إنشاء.

تحديث المهمة بمساحة عمل مخصصة

إذا تم بالفعل تعيين السياسة لمساحة عمل، فسترى Assignments (1).

إشعار

إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى.

لتعيين مساحة عمل مخصصة:

1. حدد المهمة ذات الصلة.

   

2. حدد تحرير المهمة.

3. في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.

4. حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.

   

5. حدد Review + save.

6. حدد حفظ.

مساحة عمل تحليلات السجل الافتراضية لـ Arc

يتم استخدام مساحة عمل Log Analytics بواسطة أداة استشعار Defender كمسار بيانات لإرسال البيانات من نظام المجموعة إلى Defender for Cloud دون الاحتفاظ بأي بيانات في مساحة عمل Log Analytics نفسها. نتيجة لذلك، لن يتم محاسبة المستخدمين في حالة الاستخدام هذه.

يستخدم مستشعر Defender مساحة عمل Log Analytics افتراضية. إذا لم يكن لديك بالفعل مساحة عمل Log Analytics افتراضية، فسينشئ Defender for Cloud مجموعة موارد جديدة ومساحة عمل افتراضية عند تثبيت مستشعر Defender. يتم إنشاء مساحة العمل الافتراضية بناءً على منطقتك.

اصطلاح التسمية لمساحة عمل Log Analytics ومجموعة الموارد الافتراضية هي:

• مساحة العمل: مساحة العمل الافتراضية- [معرّف الاشتراك] - [الموقع الجغرافي]
• مجموعة الموارد: DefaultResourceGroup- [الموقع الجغرافي]

قم بتعيين مساحة عمل مخصصة

عند تمكين خيار التوفير التلقائي، سيتم تلقائيًا تعيين مساحة عمل افتراضية. يمكنك تعيين مساحة عمل مخصصة من خلال Azure Policy.

للتحقق مما إذا كان لديك مساحة عمل معينة:

1. قم بتسجيل الدخول إلى بوابة Azure.

2. ابحث عن النهج وحدده.

   

3. حدد ⁧⁩ تعريفات ⁧⁩.

4. ابحث عن معرّف النهج 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. حدد تكوين مجموعات Kubernetes الممكّنة من Azure Arc لتثبيت Microsoft Defender for Cloud extension.

6. حدد الواجبات.

   

7. اتبع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة إذا لم يتم تعيين السياسة للنطاق ذي الصلة بعد. أو اتبع خطوات تحديث التعيين بمساحة عمل مخصصة إذا تم تعيين السياسة بالفعل وتريد تغييرها لاستخدام مساحة عمل مخصصة.

قم بإنشاء مهمة جديدة باستخدام مساحة عمل مخصصة

إذا لم يتم تعيين السياسة، فسترى Assignments (0).

لتعيين مساحة عمل مخصصة:

1. حدد تعيين.

2. في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.

3. حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.

   

4. حدد "Review + create".

5. حدد إنشاء.

تحديث المهمة بمساحة عمل مخصصة

إذا تم بالفعل تعيين السياسة لمساحة عمل، فسترى Assignments (1).

إشعار

إذا كان لديك أكثر من اشتراك واحد، فقد يكون الرقم أعلى. إذا كان لديك رقم 1 أو أعلى، فقد لا يزال التعيين غير موجود في النطاق ذي الصلة. إذا كانت هذه هي الحالة، فستحتاج إلى اتباع خطوات إنشاء مهمة جديدة بمساحة عمل مخصصة.

لتعيين مساحة عمل مخصصة:

1. حدد المهمة ذات الصلة.

   

2. حدد تحرير المهمة.

3. في علامة تبويب المعلمات، قم بإلغاء تحديد الخيار إظهار المعلمات التي تحتاج فقط إلى الإدخال أو المراجعة.

4. حدد LogAnalyticsWorkspaceResource ID من القائمة المنسدلة.

   

5. حدد Review + save.

6. حدد حفظ.

إزالة أداة استشعار Defender

لإزالة هذا - أو أي - ملحق Defender for Cloud، لا يكفي إيقاف تشغيل التوفير التلقائي:

• تمكين التوفير التلقائي، من المحتمل أن يؤثر على الأجهزة الحالية والمستقبلية.
• تعطيل التوفير التلقائي لإحدى الملحقات، يؤثر فقط على الأجهزة المستقبلية - لا يتم إلغاء تثبيت أي شيء عن طريق تعطيل التوفير التلقائي.

إشعار

لإيقاف تشغيل خطة Defender for Containers بالكامل، انتقل إلى إعدادات البيئة وقم بتعطيل خطة Microsoft Defender for Containers .

ومع ذلك، لضمان عدم توفير مكونات Defender للحاويات لمواردك تلقائيًا من الآن فصاعدًا، قم بتعطيل التوفير التلقائي للامتدادات كما هو موضح في تكوين التوفير التلقائي للوكلاء والملحقات من Microsoft Defender for Cloud.

يمكنك إزالة الملحق باستخدام واجهة برمجة تطبيقات REST أو قالب Resource Manager كما هو موضح في علامات التبويب أدناه.

واجهة برمجة التطبيقات REST

استخدام واجهة برمجة تطبيقات REST لإزالة أداة استشعار Defender من AKS

لإزالة الملحق باستخدام واجهة برمجة تطبيقات REST، قم بتشغيل الأمر PUT التالي:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Name	‏‏الوصف	إلزامي
SubscriptionId.	معرف اشتراك المجموعة	‏‏نعم‬
ResourceGroup	مجموعة موارد المجموعة	‏‏نعم‬
ClusterName	اسم الكتلة	‏‏نعم‬
ApiVersion	يجب أن يكون إصدار واجهة برمجة التطبيقات >= 2022-06-01	‏‏نعم‬

نص طلب:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

طلب معلمات النص الأساسي على نحو ما يلي:

Name	‏‏الوصف	إلزامي
موقع	موقع الكتلة	‏‏نعم‬
properties.securityProfile.defender.securityMonitoring.enabled	يحدد ما إذا كان سيتم تمكين أو تعطيل Microsoft Defender للحاويات على المجموعة	‏‏نعم‬

Azure CLI

استخدام Azure CLI لإزالة مستشعر Defender

1. قم بإزالة Microsoft Defender باستخدام الأوامر التالية:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   قد تستغرق إزالة الملحق بضع دقائق.

2. للتحقق من إزالة الملحق بنجاح، قم بتشغيل الأمر التالي:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   عند إزالة الملحق، يجب أن ترى أنه لا يتم إرجاع أي جرابات في get pods الأمر . قد يستغرق حذف الوحدات بضع دقائق.

Resource Manager

استخدام Azure Resource Manager لإزالة أداة استشعار Defender من AKS

لاستخدام Azure Resource Manager لإزالة أداة استشعار Defender، ستحتاج إلى مساحة عمل Log Analytics على اشتراكك. تعرف على المزيد في مساحات عمل Log Analytics.

تلميح

إذا كنت جديدًا على Resource Manager القوالب، فابدأ من هنا: ما هي قوالب Azure Resource Manager؟

القالب والمعلمات ذات الصلة لإزالة أداة استشعار Defender من AKS هي:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

معرفة المزيد

يمكنك التحقق من المدونات التالية:

• قم بحماية أعباء عمل Google Cloud الخاصة بك باستخدام Microsoft Defender for Cloud
• مقدمة لـ Microsoft Defender للحاويات
• اسم جديد للأمان متعدد السحابات:Microsoft Defender for Cloud

الخطوات التالية

الآن بعد أن قمت بتمكين Defender for Containers، يمكنك:

• فحص صور ACR بحثا عن الثغرات الأمنية
• فحص صور AWS بحثا عن الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft Defender
• فحص صور GGP بحثا عن الثغرات الأمنية باستخدام إدارة الثغرات الأمنية في Microsoft Defender
• اطلع على الأسئلة الشائعة حول Defender for Containers.