Aktivieren von Microsoft Defender für Container

Microsoft Defender für Cloud ist die cloudnative Lösung zum Schützen Ihrer Container.

Defender für Container schützt Ihre Cluster unabhängig davon, ob sie in folgenden Bereichen ausgeführt werden:

• Azure Kubernetes Service (AKS) - Der verwaltete Dienst von Microsoft für die Entwicklung, Bereitstellung und Verwaltung von containerisierten Anwendungen.

• Amazon Elastic Kubernetes Service (EKS) in einem verbundenen Amazon Web Services -Konto (AWS) - Der verwaltete Amazon-Dienst zum Ausführen von Kubernetes in AWS, ohne dass Sie Ihre eigene Kubernetes-Steuerungsebene oder -Knoten installieren, betreiben und verwalten müssen.

• Google Kubernetes Engine (GKE) in einem GCP-Projekt (Connected Google Cloud Platform): Die verwaltete Google-Umgebung zum Bereitstellen, Verwalten und Skalieren von Anwendungen mithilfe der GCP-Infrastruktur.

• Andere Kubernetes-Distributionen (mit Kubernetes mit Azure Arc-Unterstützung): Gemäß Cloud Native Computing Foundation (CNCF) zertifizierte Kubernetes-Cluster, die lokal oder auf IaaS gehostet werden. Weitere Informationen finden Sie unter Unterstützte Features nach Umgebung im Abschnitt Lokal/IaaS (Arc).

Erfahren Sie mehr über diesen Plan unter Übersicht zu Microsoft Defender für Container.

Sie können mehr erfahren, indem Sie sich diese Videos aus der Videoserie „Defender für Cloud im Einsatz“ ansehen:

• Microsoft Defender für Container in einer Umgebung mit mehreren Clouds
• Schützen von Containern in GCP mit Microsoft Defender für Container

Hinweis

Defender für Container unterstützt Kubernetes-Cluster mit Azure Arc-Unterstützung, AWS EKS und GCP GKE. Hierbei handelt es sich um eine Previewfunktion.

In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Netzwerkanforderungen

Überprüfen Sie, ob die folgenden Endpunkte für den ausgehenden Zugriff konfiguriert sind, damit das Defender-Profil eine Verbindung mit Microsoft Defender für Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden:

Sehen Sie sich die erforderlichen FQDNs/Anwendungsregeln für Microsoft Defender für Container an.

Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff.

Netzwerkanforderungen

Überprüfen Sie, ob die folgenden Endpunkte für den ausgehenden Zugriff konfiguriert sind, damit die Defender-Erweiterung eine Verbindung mit Microsoft Defender für Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden:

Für Bereitstellungen öffentlicher Azure-Clouds:

Domain	Port
*.ods.opinsights.azure.com	443
*.oms.opinsights.azure.com	443
login.microsoftonline.com	443

Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.

Aktivieren des Plans

So aktivieren Sie den Plan:

1. Öffnen Sie im Menü Defender für die Cloud dieSeite Umgebungseinstellungen und wählen Sie das entsprechende Abonnement aus.

2. Aktivieren Sie auf der Planseite von Defenderdie Option Defender für Container

   Tipp

   Wenn für das Abonnement bereits Defender für Kubernetes und/oder Defender für Container-Registrierungen aktiviert ist, wird ein Aktualisierungshinweis angezeigt. Andernfalls ist Defender für Container die einzige Option.

   

3. Standardmäßig ist Microsoft Defender für Container beim Aktivieren des Plans über das Azure-Portal so konfiguriert, dass erforderliche Komponenten automatisch bereitgestellt (automatisch installiert) werden, sodass die im Rahmen des Plans angebotenen Schutzmaßnahmen bereitgestellt und ein Standardarbeitsbereich zugewiesen wird.

   Wenn Sie die automatische Bereitstellung während des Onboardingprozesses deaktivieren möchten, wählen Sie für den Plan Container die Option Konfiguration bearbeiten aus. Dadurch werden die erweiterten Optionen geöffnet, in denen Sie die automatische Bereitstellung für jede Komponente deaktivieren können.

   Zudem können Sie diese Konfiguration auf der Seite „Defender-Pläne“ oder auf der Seite „Automatische Bereitstellung“ in der Zeile Microsoft Defender für Container-Komponenten ändern:

   

   Hinweis

   Wenn Sie zu einem beliebigen Zeitpunkt den Plan deaktivieren möchten, nachdem Sie ihn wie oben gezeigt über das Portal aktiviert haben, müssen Sie Defender für Container-Komponenten, die auf Ihren Clustern bereitgestellt wurden, manuell deaktivieren.

   Über Azure Policy können Sie einen benutzerdefinierten Arbeitsbereich zuweisen.

4. Wenn Sie die automatische Bereitstellung von Komponenten deaktivieren, können Sie die Komponente ganz einfach mithilfe der entsprechenden Empfehlung für einen oder mehrere Cluster bereitstellen:

   • Richtlinien-Add-on für Kubernets - Für Azure Kubernetes Service Cluster muss das Azure Policy-Add-On für Kubernetes installiert sein
   • Azure Kubernetes Service-Profil - Für den Azure Kubernetes Service-Cluster sollte das Azure Defender-Profil aktiviert sein
   • Azure Arc-fähige Kubernetes-Erweiterung - Azure Arc-fähigen Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben

   Hinweis

   Microsoft Defender für Container ist so konfiguriert, dass alle Ihre Clouds automatisch unterstützt werden. Wenn Sie alle erforderlichen Voraussetzungen installieren und alle Funktionen für die automatische Bereitstellung aktivieren.

   Wenn Sie alle Konfigurationsoptionen für die automatische Bereitstellung deaktivieren, werden keine Agents oder Komponenten in Ihren Clustern bereitgestellt. Der Schutz ist nur auf die Features ohne Agent beschränkt. Informationen zu den Features ohne Agent finden Sie im Abschnitt "Verfügbarkeit" für Defender für Container.

Bereitstellen des Defender-Profils

Sie können den Plan für Defender für Container aktivieren und alle relevanten Komponenten über das Azure-Portal, die REST-API oder mit einer Resource Manager-Vorlage bereitstellen. Wählen Sie die relevante Registerkarte aus, um ausführliche Schritte anzuzeigen.

Sobald das Defender-Profil bereitgestellt wurde, wird automatisch ein Standardarbeitsbereich zugewiesen. Über Azure Policy können Sie anstelle des Standardarbeitsbereichs einen benutzerdefinierten Arbeitsbereich zuweisen.

Hinweis

Das Defender-Profil, das für jeden Knoten bereitgestellt wird, bietet Runtimeschutz und erfasst mithilfe der eBPF-Technologie Signale von Knoten.

Azure-Portal

Verwenden der Schaltfläche „Korrigieren“ aus der Defender für Cloud-Empfehlung

Mit einem optimierten, reibungslosen Prozess können Sie die Azure-Portal-Seiten verwenden, um den Defender für den Cloud-Plan zu aktivieren und die automatische Bereitstellung aller erforderlichen Komponenten zum Schutz Ihrer Kubernetes-Cluster im großen Stil einzurichten.

Eine dedizierte Empfehlung in Defender für Cloud bietet Folgendes:

• Sichtbarkeit darüber, in welchem Ihrer Cluster das Defender-Profil bereitgestellt wird
• Schaltfläche Korrigieren zu deren Bereitstellung für Cluster ohne die Erweiterung

1. Öffnen Sie auf der Empfehlungsseite von Microsoft Defender für Cloud die Sicherheitskontrolle zum Aktivieren der erhöhten Sicherheit.

2. Verwenden Sie den Filter, um die Empfehlung mit dem Namen Azure Arc Kubernetes-Cluster sollten das Defender-Profil aktiviert haben zu finden.

   Tipp

   Beachten Sie in der Aktionsspalte das Symbol Korrigieren.

3. Wählen Sie die Cluster aus, um die Details der fehlerfreien und fehlerhaften Ressourcen anzuzeigen: Cluster mit und ohne Profil.

4. Wählen Sie in der Liste fehlerhafter Ressourcen einen Cluster aus, und klicken Sie auf Korrigieren, um den Bereich mit den Korrekturbestätigungen zu öffnen.

5. Wählen Sie Korrigieren von[x] Ressourcen aus.

REST-API

Verwenden der REST-API zum Bereitstellen des Defender-Profils

Führen Sie den folgenden PUT-Befehl aus, um „SecurityProfile“ in einem vorhandenen Cluster mit der REST-API zu installieren:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Anforderungs-URI:https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Anforderungsabfrageparameter:

Name	BESCHREIBUNG	Obligatorisch.
SubscriptionId	Abonnement-ID des Clusters	Yes
ResourceGroup	Clusterressourcengruppe	Yes
ClusterName	Clustername	Yes
ApiVersion	Die API-Version muss >= 2022-06-01 sein.	Yes

Anforderungstext:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Anforderungstextparameter:

Name	BESCHREIBUNG	Obligatorisch.
location	Standort des Clusters	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bestimmt, ob Microsoft Defender für Container im Cluster aktiviert oder deaktiviert werden soll.	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Azure Ressourcen-ID des Log Analytics-Arbeitsbereichs	Yes

Azure CLI

Verwenden der Azure CLI zum Bereitstellen der Defender-Erweiterung

1. Melden Sie sich bei Azure an:

   az login
   az account set --subscription <your-subscription-id>
   

   Wichtig

   Verwenden Sie für <your-subscription-id> unbedingt die Ihrem AKS-Cluster zugewiesene Abonnement-ID.

2. Aktivieren Sie das Feature-Flag in der CLI:

   az feature register --namespace Microsoft.ContainerService --name AKS-AzureDefender
   

3. Aktivieren Sie das Defender-Profil in Ihren Containern:

   • Führen Sie den folgenden Befehl aus, um einen neuen Cluster mit aktiviertem Defender-Profil zu erstellen:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Führen Sie den folgenden Befehl aus, um das Defender-Profil in einem vorhandenen Cluster zu aktivieren:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Im Folgenden werden alle unterstützten Konfigurationseinstellungen für den Defender-Erweiterungstyp beschrieben:

   Eigenschaft

   BESCHREIBUNG

   logAnalyticsWorkspaceResourceID

   Optional: Vollständige Ressourcen-ID Ihres eigenen Log Analytics-Arbeitsbereichs. Wenn keine Angabe vorliegt, wird der Standardarbeitsbereich der Region verwendet. Um die vollständige Ressourcen-ID zu erhalten, zeigen Sie die Liste der Arbeitsbereiche in Ihren Abonnements im JSON-Standardformat an, indem Sie den folgenden Befehl ausführen: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Die Ressourcen-ID des Log Analytics Arbeitsbereichs weist folgende Syntax auf: /subscriptions/{Ihre-Abonnement-ID}/resourceGroups/{Ihre-Ressourcengruppe}/providers/Microsoft.OperationalInsights/workspaces/{Ihr-Arbeitsbereichsname}. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.

   Sie können diese Einstellungen in eine JSON-Datei einbinden und die JSON-Datei in den Befehlen az aks create und az aks update mit diesem Parameter angeben: --defender-config <path-to-JSON-file>. Die JSON-Datei muss das folgende Format aufweisen:

   {"logAnalyticsWorkspaceResourceID": "<workspace-id>"}
   

   Weitere Informationen zu AKS-CLI-Befehle finden Sie unter az aks.

4. Wenn Sie überprüfen möchten, ob das Profil erfolgreich hinzugefügt wurde, führen Sie den folgenden Befehl auf Ihrem Computer aus, wobei die kubeconfig-Datei auf Ihren Cluster verweist:

   kubectl get pods -n kube-system
   

   Wenn das Profil hinzugefügt wird, wird ein Pod namens Running im Zustand azuredefender-XXXXX angezeigt. Das Hinzufügen von Pods kann einige Minuten dauern.

Ressourcen-Manager

Verwenden von Azure Resource Manager zum Bereitstellen des Defender-Profils

Um Azure Resource Manager zum Bereitstellen des Defender-Profils zu verwenden, benötigen Sie einen Log Analytics-Arbeitsbereich für Ihr Abonnement. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.

Tipp

Wenn Sie noch nicht mit Resource Manager-Vorlagen vertraut sind, beginnen Sie hier: Was sind Azure Resource Manager-Vorlagen?

So installieren Sie „SecurityProfile“ in einem vorhandenen Cluster mit Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Aktivieren des Plans

So aktivieren Sie den Plan:

1. Öffnen Sie im Menü Defender für die Cloud dieSeite Umgebungseinstellungen und wählen Sie das entsprechende Abonnement aus.

2. Aktivieren Sie auf der Seite „Defender-Pläne“ die Option Defender für Container.

   Tipp

   Wenn für das Abonnement bereits Defender für Kubernetes oder Defender für Container-Registrierungen aktiviert ist, wird ein Aktualisierungshinweis angezeigt. Andernfalls ist Defender für Container die einzige Option.

   

3. Standardmäßig ist Microsoft Defender für Container beim Aktivieren des Plans über das Azure-Portal so konfiguriert, dass erforderliche Komponenten automatisch bereitgestellt (automatisch installiert) werden, sodass die im Rahmen des Plans angebotenen Schutzmaßnahmen bereitgestellt und ein Standardarbeitsbereich zugewiesen wird.

   Wenn Sie die automatische Bereitstellung während des Onboardingprozesses deaktivieren möchten, wählen Sie für den Plan Container die Option Konfiguration bearbeiten aus. Die erweiterten Optionen werden geöffnet, und Sie können die automatische Bereitstellung für jede Komponente deaktivieren.

   Zudem können Sie diese Konfiguration auf der Seite „Defender-Pläne“ oder auf der Seite „Automatische Bereitstellung“ in der Zeile Microsoft Defender für Container-Komponenten ändern:

   

   Hinweis

   Wenn Sie zu einem beliebigen Zeitpunkt den Plan deaktivieren möchten, nachdem Sie ihn wie oben gezeigt über das Portal aktiviert haben, müssen Sie Defender für Container-Komponenten, die auf Ihren Clustern bereitgestellt wurden, manuell deaktivieren.

   Über Azure Policy können Sie einen benutzerdefinierten Arbeitsbereich zuweisen.

4. Wenn Sie die automatische Bereitstellung von Komponenten deaktivieren, können Sie die Komponente ganz einfach mithilfe der entsprechenden Empfehlung für einen oder mehrere Cluster bereitstellen:

   • Richtlinien-Add-on für Kubernets - Für Azure Kubernetes Service Cluster muss das Azure Policy-Add-On für Kubernetes installiert sein
   • Azure Kubernetes Service-Profil - Für den Azure Kubernetes Service-Cluster sollte das Azure Defender-Profil aktiviert sein
   • Azure Arc-fähige Kubernetes-Erweiterung - Azure Arc-fähigen Kubernetes-Cluster sollten die Defender-Erweiterung installiert haben

Voraussetzungen

Stellen Sie vor der Bereitstellung der Erweiterung Folgendes sicher:

• Die Kubernetes-Cluster sind mit Azure Arc verbunden.
• Vergewissern Sie sich, dass die in der Dokumentation zu generischen Clustererweiterungen aufgeführten Voraussetzungen erfüllt sind.

Bereitstellen der Defender-Erweiterung

Sie können die Defender-Erweiterung mithilfe verschiedener Methoden bereitstellen. Wählen Sie die relevante Registerkarte aus, um ausführliche Schritte anzuzeigen.

Azure-Portal

Verwenden der Schaltfläche „Korrigieren“ aus der Defender für Cloud-Empfehlung

Eine dedizierte Empfehlung in Defender für Cloud bietet Folgendes:

• Sichtbarkeit der Cluster, auf denen die Defender für Kubernetes-Erweiterung bereitgestellt wird
• Schaltfläche Korrigieren zu deren Bereitstellung für Cluster ohne die Erweiterung

1. Öffnen Sie auf der Empfehlungsseite von Microsoft Defender für Cloud die Sicherheitskontrolle zum Aktivieren der erhöhten Sicherheit.

2. Verwenden Sie den Filter, um die Empfehlung mit dem Namen Azure Arc-aktivierte Kubernetes-Cluster sollten die Defender für Cloud-Erweiterung installiert haben zu finden.

   

   Tipp

   Beachten Sie in der Aktionsspalte das Symbol Korrigieren.

3. Wählen Sie die Erweiterung aus, um die Details der fehlerfreien und fehlerhaften Ressourcen anzuzeigen: Cluster mit und ohne Erweiterung.

4. Wählen Sie in der Liste fehlerhafter Ressourcen einen Cluster aus, und klicken Sie auf Korrigieren, um den Bereich mit den Korrekturoptionen zu öffnen.

5. Wählen Sie den relevanten Log Analytics-Arbeitsbereich aus, und klicken Sie auf x Ressource korrigieren.

   

Azure CLI

Verwenden der Azure CLI zum Bereitstellen der Defender-Erweiterung

1. Melden Sie sich bei Azure an:

   az login
   az account set --subscription <your-subscription-id>
   

   Wichtig

   Stellen Sie sicher, dass Sie für <your-subscription-id> dieselbe Abonnement-ID verwenden, die Sie beim Herstellen einer Verbindung zwischen Ihrem Cluster und Azure Arc verwendet haben.

2. Führen Sie den folgenden Befehl aus, um die Erweiterung auf Ihrem Azure Arc-aktivierten Kubernetes-Cluster bereitzustellen:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Im Folgenden werden alle unterstützten Konfigurationseinstellungen für den Defender-Erweiterungstyp beschrieben:

   Eigenschaft	BESCHREIBUNG
   logAnalyticsWorkspaceResourceID	Optional: Vollständige Ressourcen-ID Ihres eigenen Log Analytics-Arbeitsbereichs. Wenn keine Angabe vorliegt, wird der Standardarbeitsbereich der Region verwendet. Um die vollständige Ressourcen-ID zu erhalten, zeigen Sie die Liste der Arbeitsbereiche in Ihren Abonnements im JSON-Standardformat an, indem Sie den folgenden Befehl ausführen: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Die Ressourcen-ID des Log Analytics Arbeitsbereichs weist folgende Syntax auf: /subscriptions/{Ihre-Abonnement-ID}/resourceGroups/{Ihre-Ressourcengruppe}/providers/Microsoft.OperationalInsights/workspaces/{Ihr-Arbeitsbereichsname}. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.
   auditLogPath	Optional: Der vollständige Pfad zu den Überwachungsprotokolldateien. Wenn nicht angegeben, wird der Standardpfad /var/log/kube-apiserver/audit.log verwendet. Für die AKS-Engine lautet der Standardpfad /var/log/kubeaudit/audit.log.

   Der folgende Befehl zeigt ein Beispiel für die Verwendung aller optionalen Felder:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Ressourcen-Manager

Verwenden von Azure Resource Manager zum Bereitstellen der Defender-Erweiterung

Um Azure Resource Manager zum Bereitstellen der Defender-Erweiterung zu verwenden, benötigen Sie einen Log Analytics-Arbeitsbereich für Ihr Abonnement. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.

Sie können die Resource Manager-Vorlage azure-defender-extension-arm-template.json aus den Installationsbeispielen von Defender für Cloud verwenden.

Tipp

Wenn Sie noch nicht mit Resource Manager-Vorlagen vertraut sind, beginnen Sie hier: Was sind Azure Resource Manager-Vorlagen?

REST-API

Verwenden der REST-API zum Bereitstellen der Defender-Erweiterung

Um die REST-API zum Bereitstellen der Defender-Erweiterung zu verwenden, benötigen Sie einen Log Analytics-Arbeitsbereich für Ihr Abonnement. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.

Tipp

Die einfachste Möglichkeit, die API zum Bereitstellen der Defender-Erweiterung zu verwenden, ist das bereitgestellte Beispiel mit JSON zur Postman-Sammlung aus den Installationsbeispielen von Defender für Cloud.

• Führen Sie den folgenden PUT-Befehl aus, um den JSON-Code zur Postman-Sammlung zu ändern oder die Erweiterung manuell mit der REST-API bereitzustellen:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Hierbei gilt:

  Name	Geben Sie in	Erforderlich	type	BESCHREIBUNG
  Abonnement-ID	Pfad	True	String	Die Abonnement-ID Ihrer Azure Arc-aktivierten Kubernetes-Ressource
  Ressourcengruppe	Pfad	True	String	Name der Ressourcengruppe, die Ihre Azure Arc-aktivierte Kubernetes-Ressource enthält
  Clustername	Pfad	True	String	Name Ihrer Azure Arc-aktivierten Kubernetes-Ressource

  Zur Authentifizierung muss Ihr Header (wie bei anderen Azure-APIs) über ein Bearertoken verfügen. Um ein Bearertoken zu erhalten, führen Sie den folgenden Befehl aus:

  az account get-access-token --subscription <your-subscription-id> Verwenden Sie die folgende Struktur für den Nachrichtentext:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Im Folgenden werden die Eigenschaften beschrieben:

  Eigenschaft	BESCHREIBUNG
  logAnalytics.workspaceId	Arbeitsbereichs-ID der Log Analytics-Ressource
  logAnalytics.key	Schlüssel der Log Analytics-Ressource
  auditLogPath	Optional: Der vollständige Pfad zu den Überwachungsprotokolldateien. Der Standardwert ist /var/log/kube-apiserver/audit.log

Überprüfen der Bereitstellung

Um sicherzustellen, dass die Defender-Erweiterung für Ihren Cluster installiert ist, befolgen Sie die Schritte auf einer der folgenden Registerkarten:

Azure-Portal: Defender für Cloud

Verwenden der Empfehlung von Defender für Cloud zum Überprüfen des Status Ihrer Erweiterung

1. Öffnen Sie auf der Empfehlungsseite von Microsoft Defender für Cloud die Sicherheitskontrolle Microsoft Defender für Cloud aktivieren.

2. Wählen Sie die Empfehlung mit dem Namen Azure Arc-aktivierte Kubernetes-Cluster sollten die Microsoft Defender für Cloud-Erweiterung installiert haben aus.

   

3. Überprüfen Sie, ob der Cluster, auf dem Sie die Erweiterung bereitgestellt haben, als Fehlerfrei aufgeführt ist.

Azure-Portal: Azure Arc

Verwenden der Azure Arc-Seiten zum Überprüfen des Status Ihrer Erweiterung

1. Öffnen Sie Azure Arc im Azure-Portal.

2. Wählen Sie in der Infrastrukturliste die Option Kubernetes-Cluster aus, und klicken Sie dann auf den spezifischen Cluster.

3. Öffnen Sie die Erweiterungsseite. Die Erweiterungen für den Cluster werden aufgelistet. Überprüfen Sie in der Spalte Installationsstatus, ob die Defender-Erweiterung ordnungsgemäß installiert wurde.

   

4. Wählen Sie die Erweiterung aus, um weitere Informationen zu erhalten.

   

Azure CLI

Verwenden der Azure CLI zum Überprüfen der Erweiterungsbereitstellung

1. Führen Sie in der Azure CLI den folgenden Befehl aus:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Suchen Sie in der Antwort nach "extensionType": "microsoft.azuredefender.kubernetes" und "installState": "Installed".

   Hinweis

   In den ersten Minuten wird möglicherweise "installState": "Pending" angezeigt.

3. Wenn der Status Installed angezeigt wird, überprüfen Sie, ob sich ein Pod namens „azuredefender-XXXXX“ im Zustand „Running“ befindet. Führen Sie dazu auf Ihrem Computer den folgenden Befehl aus, wobei die Datei kubeconfig auf Ihren Cluster zeigt:

   kubectl get pods -n azuredefender
   

REST-API

Verwenden der REST-API zum Überprüfen der Erweiterungsbereitstellung

Gehen Sie folgendermaßen vor, um eine erfolgreiche Bereitstellung zu bestätigen oder den Status Ihrer Erweiterung zu einem beliebigen Zeitpunkt zu überprüfen:

1. Führen Sie den folgenden GET-Befehl aus:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Suchen Sie in der Antwort in "extensionType": "microsoft.azuredefender.kubernetes" nach "installState": "Installed".

   Tipp

   In den ersten Minuten wird möglicherweise "installState": "Pending" angezeigt.

3. Wenn der Status Installed angezeigt wird, überprüfen Sie, ob sich ein Pod namens „azuredefender-XXXXX“ im Zustand „Running“ befindet. Führen Sie dazu auf Ihrem Computer den folgenden Befehl aus, wobei die Datei kubeconfig auf Ihren Cluster zeigt:

   kubectl get pods -n azuredefender
   

Schützen von Amazon Elastic Kubernetes Service-Clustern

Wichtig

Wenn Sie noch kein AWS-Konto verbunden haben, stellen Sie eine Verbindung Ihrer AWS-Konten mit Microsoft Defender für Cloud her.

Aktivieren Sie zum Schützen Ihrer EKS-Cluster den Containerplan für den relevanten Konto-Connector:

1. Öffnen Sie im Menü von Defender für Cloud Umgebungseinstellungen.

2. Wählen Sie den AWS-Connector aus.

   

3. Stellen Sie den Umschalter für den Containerplan auf Ein ein.

   

4. (Optional) Wenn Sie den Aufbewahrungszeitraum für Ihre Überwachungsprotokolle ändern möchten, wählen Sie Konfigurieren , geben den gewünschten Zeitraum ein und wählen Speichern.

   

   Hinweis

   Wenn Sie diese Konfiguration deaktivieren, wird das Threat detection (control plane)-Feature deaktiviert. Erfahren Sie mehr über die Verfügbarkeit von Features.

5. Fahren Sie mit den restlichen Seiten des Connector-Assistenten fort.

6. Kubernetes mit Azure Arc-Unterstützung, die Defender-Erweiterung und die Azure Policy-Erweiterung müssen in Ihren EKS-Clustern installiert und ausgeführt werden. Es gibt zwei dedizierte Defender für Cloud-Empfehlungen, um diese Erweiterungen (und bei Bedarf Azure Arc) zu installieren:

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
   • EKS clusters should have the Azure Policy extension installed

   Führen Sie für jede der Empfehlungen die folgenden Schritte aus, um die erforderlichen Erweiterungen zu installieren.

   Installieren der erforderlichen Erweiterungen:

   1. Suchen Sie auf der Seite Empfehlungen von Defender für Cloud anhand des Namens nach einer der Empfehlungen.

   2. Wählen Sie einen fehlerhaften Cluster aus.

      Wichtig

      Sie müssen die Cluster nacheinander auswählen.

      Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

   3. Wählen Sie Korrigieren aus.

   4. Defender für Cloud generiert ein Skript in der Sprache Ihrer Wahl: Wählen Sie Bash (für Linux) oder PowerShell (für Windows) aus.

   5. Wählen Sie Wartungslogik herunterladen aus.

   6. Führen Sie das generierte Skript in Ihrem Cluster aus.

   7. Wiederholen Sie die Schritte „a“ bis „f“ für die zweite Empfehlung.

   

Anzeigen von Empfehlungen und Warnungen für Ihre EKS-Cluster

Tipp

Sie können Containerwarnungen simulieren, indem Sie die Anweisungen in diesem Blogbeitrag befolgen.

Verwenden Sie zum Anzeigen der Warnungen und Empfehlungen für Ihre EKS-Cluster die Filter auf den Seiten „Warnungen“, „Empfehlungen“ und „Bestand“, um nach dem Ressourcentyp AWS EKS-Cluster zu filtern.

Schützen von GKE-Clustern (Google Kubernetes Engine)

Wichtig

Wenn Sie noch kein GCP-Projekt verbunden haben, stellen Sie eine Verbindung Ihrer GCP-Projekte mit Microsoft Defender für Cloud her.

Zum Schutz Ihrer GKE-Cluster müssen Sie den Containerplan für das relevante GCP-Projekt aktivieren.

Schützen von GKE-Clustern (Google Kubernetes Engine):

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Microsoft Defender für Cloud>Umgebungseinstellungen.

3. Auswählen des relevanten GCP-Connectors

   

4. Wählen Sie die Schaltfläche Weiter: Pläne auswählen> aus.

5. Stellen Sie sicher, dass der Containerplan aktiviert ist.

   

6. (Optional) Konfigurieren Sie den Containerplan.

7. Wählen Sie die Schaltfläche Kopieren aus.

   

8. Wählen Sie die Schaltfläche GCP Cloud Shell > aus.

9. Fügen Sie das Skript in das Cloud Shell-Terminal ein, und führen Sie es aus.

Der Connector wird aktualisiert, nachdem das Skript ausgeführt wurde. Dieser Vorgang kann sechs bis acht Stunden dauern.

Bereitstellen der Lösung in bestimmten Clustern

Wenn Sie eine der Standardkonfigurationen für die automatische Bereitstellung während des Onboardingprozesses für den GCP-Connector oder danach deaktiviert haben, Sie müssen Kubernetes mit Azure Arc-Unterstützung, die Defender-Erweiterung und die Azure Policy-Erweiterungen für jeden Ihrer GKE-Cluster manuell installieren, um den vollständigen Sicherheitswert von Defender für Container zu erhalten.

Es gibt zwei dedizierte Defender für Cloud-Empfehlungen, um die Erweiterungen (und Arc bei Bedarf) zu installieren:

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Bereitstellen der Lösung in bestimmten Clustern:

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Microsoft Defender für Cloud>Empfehlungen.

3. Suchen Sie auf der Seite Empfehlungen von Defender für Cloud anhand des Namens nach einer der Empfehlungen.

   

4. Wählen Sie einen fehlerhaften GKE-Cluster aus.

   Wichtig

   Sie müssen die Cluster nacheinander auswählen.

   Wählen Sie die Cluster nicht über die verlinkten Namen aus, sondern wählen Sie eine beliebige andere Stelle in der betreffenden Zeile.

5. Wählen Sie den Namen der fehlerhaften Ressource aus.

6. Wählen Sie Korrigieren aus.

   

7. Defender für Cloud generiert ein Skript in der Sprache Ihrer Wahl:

   • Wählen Sie für Linux Bash aus.
   • Wählen Sie für Windows PowerShell aus.

8. Wählen Sie Wartungslogik herunterladen aus.

9. Führen Sie das generierte Skript in Ihrem Cluster aus.

10. Wiederholen Sie die Schritte 3 bis 8 für die zweite Empfehlung.

Anzeigen von GKE-Clusterwarnungen

1. Melden Sie sich beim Azure-Portal an.

2. Navigieren Sie zu Microsoft Defender für Cloud>Sicherheitswarnungen.

3. Wählen Sie die Schaltfläche aus.

4. Wählen Sie im Dropdownmenü „Filter“ die Option Ressourcentyp aus.

5. Wählen Sie im Dropdownmenü „Wert“ die Option GCP-GKE-Cluster aus.

6. Klicken Sie auf OK.

Simulieren von Sicherheitswarnungen von Microsoft Defender für Container

Eine vollständige Liste unterstützter Warnungen finden Sie in der Verweistabelle aller Sicherheitswarnungen in Defender für Cloud.

1. Führen Sie den folgenden Befehl aus dem Cluster aus, um eine Sicherheitswarnung zu simulieren:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Die erwartete Antwort lautet „Keine Ressource gefunden“.

   Diese Aktivität wird von Defender für Cloud innerhalb von 30 Minuten erkannt, und es wird eine Sicherheitswarnung ausgelöst.

2. Öffnen Sie im Azure-Portal die Seite mit Sicherheitswarnungen von Microsoft Defender für Cloud, und suchen Sie nach der Warnung für die relevante Ressource:

   

Entfernen der Defender-Erweiterung

Um diese oder eine andere beliebige Defender für Cloud-Erweiterung zu entfernen, reicht es nicht aus, die automatische Bereitstellung zu deaktivieren:

• Die Aktivierung der automatischen Bereitstellung wirkt sich potenziell auf vorhandene und künftige Computer aus.
• Die Deaktivierung der automatischen Bereitstellung für eine Erweiterung wirkt sich nur auf künftige Computer aus. Durch die Deaktivierung der automatischen Bereitstellung werden keine Komponenten deinstalliert.

Deaktivieren Sie dennoch die automatische Bereitstellung der Erweiterungen, wie unter Konfigurieren der automatischen Bereitstellung für Agents und Erweiterungen von Microsoft Defender für Cloud erläutert, um sicherzustellen, dass die Defender für Container-Komponenten von nun an nicht automatisch für Ihre Ressourcen bereitgestellt werden.

Sie können die Erweiterung über das Azure-Portal, mithilfe der Azure CLI oder der REST-API entfernen. Die Vorgehensweise wird auf den Registerkarten unten erläutert.

Azure-Portal – Arc

Verwenden des Azure-Portals zum Entfernen der Erweiterung

1. Öffnen Sie Azure Arc im Azure-Portal.

2. Wählen Sie in der Infrastrukturliste die Option Kubernetes-Cluster aus, und klicken Sie dann auf den spezifischen Cluster.

3. Öffnen Sie die Erweiterungsseite. Die Erweiterungen für den Cluster werden aufgelistet.

4. Wählen Sie den Cluster aus, und klicken Sie auf Deinstallieren.

   

Azure CLI

Verwenden der Azure CLI zum Entfernen der Defender-Erweiterung

1. Entfernen Sie die Microsoft Defender-Erweiterung für Kubernetes mit Arc-Unterstützung mithilfe der folgenden Befehle:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Das Entfernen der Erweiterung kann einige Minuten dauern. Wir empfehlen Ihnen zu warten, bevor Sie den Erfolg des Vorgangs überprüfen.

2. Führen Sie die folgenden Befehle aus, um zu überprüfen, ob die Erweiterung erfolgreich entfernt wurde:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Beim Löschen der Erweiterungsressource aus Azure Resource Manager sollte keine Verzögerung auftreten. Vergewissern Sie sich anschließend, dass auf dem Cluster keine Pods namens „azuredefender-XXXXX“ vorhanden sind. Führen Sie dazu den folgenden Befehl aus, wobei die Datei kubeconfig auf Ihren Cluster zeigt:

   kubectl get pods -n azuredefender
   

   Das Löschen der Pods kann einige Minuten in Anspruch nehmen.

REST-API

Verwenden der REST-API zum Entfernen der Defender-Erweiterung

Um die Erweiterung mit der REST-API zu entfernen, führen Sie den folgenden DELETE-Befehl aus:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Name	Geben Sie in	Erforderlich	type	BESCHREIBUNG
Abonnement-ID	Pfad	True	String	Die Abonnement-ID Ihres Azure Arc-aktivierten Kubernetes-Clusters
Ressourcengruppe	Pfad	True	String	Die Ressourcengruppe Ihres Azure Arc-aktivierten Kubernetes-Clusters
Clustername	Pfad	True	String	Der Name Ihres Azure Arc-aktivierten Kubernetes-Clusters

Zur Authentifizierung muss Ihr Header (wie bei anderen Azure-APIs) über ein Bearertoken verfügen. Um ein Bearertoken zu erhalten, führen Sie den folgenden Befehl aus:

az account get-access-token --subscription <your-subscription-id>

Die Anforderung kann mehrere Minuten in Anspruch nehmen.

Log Analytics-Standardarbeitsbereich für AKS

Der Log Analytics-Arbeitsbereich wird vom Defender-Profil als Datenpipeline verwendet, um Daten aus dem Cluster an Defender für Cloud zu senden, ohne Daten im Log Analytics-Arbeitsbereich selbst beizubehalten. Daher werden Benutzern in diesem Anwendungsfall keine Kosten in Rechnung gestellt.

Für das Defender-Profil wird ein Log Analytics-Standardarbeitsbereich verwendet. Wenn Sie nicht bereits über einen Log Analytics-Standardarbeitsbereich verfügen und das Defender-Profil installiert ist, wird von Defender für Cloud eine neue Ressourcengruppe und ein Standardarbeitsbereich erstellt. Der Standardarbeitsbereich wird basierend auf Ihrer Region erstellt.

Die Namenskonvention für den Log Analytics-Standardarbeitsbereich und die Ressourcengruppe lautet wie folgt:

• Arbeitsbereich: DefaultWorkspace-[Abonnement-ID]-[Region]
• Ressourcengruppe: DefaultResourceGroup-[Region]

Zuweisen eines benutzerdefinierten Arbeitsbereichs

Wenn Sie die Option für die automatische Bereitstellung aktivieren, wird automatisch ein Standardarbeitsbereich zugewiesen. Über Azure Policy können Sie einen benutzerdefinierten Arbeitsbereich zuweisen.

So überprüfen Sie, ob Ihnen ein Arbeitsbereich zugewiesen ist:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Policy, und wählen Sie diese Option aus.

   

3. Wählen Sie Definitionen aus.

4. Suchen nach der Policy-ID 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Wählen Sie Konfigurieren des Azure Kubernetes Service-Clusters zum Aktivieren des Defender-Profils aus.

6. Wählen Sie Zuweisung aus.

   

7. Führen Sie die Schritte zum Erstellen einer neuen Zuweisung mit benutzerdefiniertem Arbeitsbereich aus, wenn die Richtlinie noch nicht dem relevanten Bereich zugewiesen wurde. Führen Sie alternativ die Schritte zum Aktualisieren der Zuweisung mit benutzerdefiniertem Arbeitsbereich aus, wenn die Richtlinie bereits zugewiesen ist, und Sie sie ändern möchten, um einen benutzerdefinierten Arbeitsbereich zu verwenden.

Erstellen einer neuen Zuweisung mit benutzerdefiniertem Arbeitsbereich

Wenn die Richtlinie nicht zugewiesen wurde, wird Assignments (0) angezeigt.

So weisen Sie benutzerdefinierten Arbeitsbereich zu:

1. Wählen Sie Zuweisen aus.

2. Deaktivieren Sie auf der Registerkarte Parameter die Option Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen.

3. Wählen Sie im Dropdownmenü eine LogAnalyticsWorkspaceResource-ID aus.

   

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

Aktualisieren der Zuweisung mit benutzerdefiniertem Arbeitsbereich

Wenn die Richtlinie bereits einem Arbeitsbereich zugewiesen wurde, wird Assignments (1) angezeigt.

Hinweis

Wenn Sie über mehrere Abonnements verfügen, ist die Zahl möglicherweise höher.

So weisen Sie benutzerdefinierten Arbeitsbereich zu:

1. Wählen Sie die entsprechende Zuweisung aus.

   

2. Wählen Sie Zuweisung bearbeiten aus.

3. Deaktivieren Sie auf der Registerkarte Parameter die Option Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen.

4. Wählen Sie im Dropdownmenü eine LogAnalyticsWorkspaceResource-ID aus.

   

5. Klicken Sie auf Überprüfen + erstellen.

6. Klicken Sie auf Erstellen.

Log Analytics-Standardarbeitsbereich für Arc

Der Log Analytics-Arbeitsbereich wird von der Defender-Erweiterung als Datenpipeline verwendet, um Daten aus dem Cluster an Defender für Cloud zu senden, ohne Daten im Log Analytics-Arbeitsbereich selbst beizubehalten. Daher werden Benutzern in diesem Anwendungsfall keine Kosten in Rechnung gestellt.

Für die Defender-Erweiterung wird ein Log Analytics-Standardarbeitsbereich verwendet. Wenn Sie nicht bereits über einen Log Analytics-Standardarbeitsbereich verfügen und die Defender-Erweiterung installiert ist, wird von Defender für Cloud eine neue Ressourcengruppe und ein Standardarbeitsbereich erstellt. Der Standardarbeitsbereich wird basierend auf Ihrer Region erstellt.

Die Namenskonvention für den Log Analytics-Standardarbeitsbereich und die Ressourcengruppe lautet wie folgt:

• Arbeitsbereich: DefaultWorkspace-[Abonnement-ID]-[Region]
• Ressourcengruppe: DefaultResourceGroup-[Region]

Zuweisen eines benutzerdefinierten Arbeitsbereichs

Wenn Sie die Option für die automatische Bereitstellung aktivieren, wird automatisch ein Standardarbeitsbereich zugewiesen. Über Azure Policy können Sie einen benutzerdefinierten Arbeitsbereich zuweisen.

So überprüfen Sie, ob Ihnen ein Arbeitsbereich zugewiesen ist:

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Policy, und wählen Sie diese Option aus.

   

3. Wählen Sie Definitionen aus.

4. Suchen nach der Policy-ID 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Wählen Sie Konfigurieren von Kubernetes-Clustern mit Azure Arc-Unterstützung für die Installation der Microsoft Defender für Cloud-Erweiterung aus.

6. Klicken Sie auf Zuweisungen.

   

7. Führen Sie die Schritte zum Erstellen einer neuen Zuweisung mit benutzerdefiniertem Arbeitsbereich aus, wenn die Richtlinie noch nicht dem relevanten Bereich zugewiesen wurde. Führen Sie alternativ die Schritte zum Aktualisieren der Zuweisung mit benutzerdefiniertem Arbeitsbereich aus, wenn die Richtlinie bereits zugewiesen ist, und Sie sie ändern möchten, um einen benutzerdefinierten Arbeitsbereich zu verwenden.

Erstellen einer neuen Zuweisung mit benutzerdefiniertem Arbeitsbereich

Wenn die Richtlinie nicht zugewiesen wurde, wird Assignments (0) angezeigt.

So weisen Sie benutzerdefinierten Arbeitsbereich zu:

1. Wählen Sie Zuweisen aus.

2. Deaktivieren Sie auf der Registerkarte Parameter die Option Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen.

3. Wählen Sie im Dropdownmenü eine LogAnalyticsWorkspaceResource-ID aus.

   

4. Klicken Sie auf Überprüfen + erstellen.

5. Klicken Sie auf Erstellen.

Aktualisieren der Zuweisung mit benutzerdefiniertem Arbeitsbereich

Wenn die Richtlinie bereits einem Arbeitsbereich zugewiesen wurde, wird Assignments (1) angezeigt.

Hinweis

Wenn Sie über mehrere Abonnements verfügen, ist die Zahl möglicherweise höher. Bei einer Zahl von 1 oder höher verfügen, befindet sich die Zuweisung möglicherweise noch nicht im relevanten Bereich. Wenn dies der Fall ist, befolgen Sie die Schritte in Erstellen einer neuen Zuweisung mit benutzerdefiniertem Arbeitsbereich.

So weisen Sie benutzerdefinierten Arbeitsbereich zu:

1. Wählen Sie die entsprechende Zuweisung aus.

   

2. Wählen Sie Zuweisung bearbeiten aus.

3. Deaktivieren Sie auf der Registerkarte Parameter die Option Nur Parameter anzeigen, die eingegeben oder überprüft werden müssen.

4. Wählen Sie im Dropdownmenü eine LogAnalyticsWorkspaceResource-ID aus.

   

5. Klicken Sie auf Überprüfen + erstellen.

6. Klicken Sie auf Erstellen.

Entfernen des Defender-Profils

Um diese oder eine andere beliebige Defender für Cloud-Erweiterung zu entfernen, reicht es nicht aus, die automatische Bereitstellung zu deaktivieren:

• Die Aktivierung der automatischen Bereitstellung wirkt sich potenziell auf vorhandene und künftige Computer aus.
• Die Deaktivierung der automatischen Bereitstellung für eine Erweiterung wirkt sich nur auf künftige Computer aus. Durch die Deaktivierung der automatischen Bereitstellung werden keine Komponenten deinstalliert.

Deaktivieren Sie dennoch die automatische Bereitstellung der Erweiterungen, wie unter Konfigurieren der automatischen Bereitstellung für Agents und Erweiterungen von Microsoft Defender für Cloud erläutert, um sicherzustellen, dass die Defender für Container-Komponenten von nun an nicht automatisch für Ihre Ressourcen bereitgestellt werden.

Sie können das Profil mithilfe der REST-API oder einer Resource Manager-Vorlage entfernen, wie auf den folgenden Registerkarten erläutert.

REST-API

Verwenden der REST-API zum Entfernen des Defender-Profils aus AKS

Führen Sie den folgenden PUT-Befehl aus, um das Profil mithilfe der REST-API zu entfernen:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Name	BESCHREIBUNG	Obligatorisch.
SubscriptionId	Abonnement-ID des Clusters	Yes
ResourceGroup	Clusterressourcengruppe	Yes
ClusterName	Clustername	Yes
ApiVersion	Die API-Version muss >= 2022-06-01 sein.	Yes

Anforderungstext:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Anforderungstextparameter:

Name	BESCHREIBUNG	Obligatorisch.
location	Standort des Clusters	Ja
properties.securityProfile.defender.securityMonitoring.enabled	Bestimmt, ob Microsoft Defender für Container im Cluster aktiviert oder deaktiviert werden soll.	Yes

Azure CLI

Verwenden der Azure CLI zum Entfernen des Defender-Profils

1. Entfernen Sie das Microsoft Defender-Profil mit den folgenden Befehlen:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Das Entfernen des Profils kann einige Minuten dauern.

2. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob das Profil erfolgreich entfernt wurde:

   kubectl get pods -n azuredefender
   

   Wenn das Profil entfernt wurde, werden mit dem Befehl get pods keine Pods zurückgegeben. Das Löschen der Pods kann einige Minuten in Anspruch nehmen.

Ressourcen-Manager

Verwenden von Azure Resource Manager zum Entfernen des Defender-Profils aus AKS

Um Azure Resource Manager zum Entfernen des Defender-Profils zu verwenden, benötigen Sie einen Log Analytics-Arbeitsbereich für Ihr Abonnement. Weitere Informationen finden Sie unter Log Analytics-Arbeitsbereiche.

Tipp

Wenn Sie noch nicht mit Resource Manager-Vorlagen vertraut sind, beginnen Sie hier: Was sind Azure Resource Manager-Vorlagen?

Die relevanten Vorlagen und Parameter zum Entfernen des Defender-Profils aus AKS sind:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Häufig gestellte Fragen

• Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden?
• Kann ich die von Defender für Cloud erstellten Standardarbeitsbereiche löschen?
• Ich habe meinen Standardarbeitsbereich gelöscht. Wie kann ich in wiederherstellen?
• Wo befindet sich der Log Analytics-Standardarbeitsbereich?
• Meine Organisation setzt voraus, dass ich meine Ressourcen markiere, und die automatische Bereitstellung war nicht erfolgreich. Was ist falsch gelaufen?

Wie kann ich meinen vorhandenen Log Analytics-Arbeitsbereich verwenden?

Sie können Ihren vorhandenen Log Analytics-Arbeitsbereich verwenden, indem Sie die Schritte im Arbeitsbereichsabschnitt Zuweisen eines benutzerdefinierten Arbeitsbereichs dieses Artikels durchführen.

Kann ich die von Defender für Cloud erstellten Standardarbeitsbereiche löschen?

Das Löschen des Standardarbeitsbereichs wird nicht empfohlen. Bei Microsoft Defender für Container wird der Standardarbeitsbereich zum Sammeln von Sicherheitsdaten aus Ihren Clustern verwendet. Wenn Sie den Standardarbeitsbereich löschen, können von Defender für Container keine Daten gesammelt werden, und einige Sicherheitsempfehlungen und Warnungen sind nicht verfügbar.

Ich habe meinen Standardarbeitsbereich gelöscht. Wie kann ich in wiederherstellen?

Wenn Sie Ihren Standardarbeitsbereich wiederherstellen möchten, müssen Sie das Defender-Profil/die Defender-Erweiterung entfernen und den Agent erneut installieren. Beim erneuten Installieren des Defender-Profils/der Defender-Erweiterung wird ein neuer Standardarbeitsbereich erstellt.

Wo befindet sich der Log Analytics-Standardarbeitsbereich?

Je nach Region befindet sich der Log Analytics-Standardarbeitsbereich an unterschiedlichen Speicherorten. Was für Ihre Region gilt, finden Sie unter Wo wird der standardmäßige Log Analytics-Arbeitsbereich erstellt?

Meine Organisation setzt voraus, dass ich meine Ressourcen markiere, und die automatische Bereitstellung war nicht erfolgreich. Was ist falsch gelaufen?

Der Defender-Agent verwendet den Log Analytics-Arbeitsbereich, um Daten aus Ihren Kubernetes-Clustern an Defender für Cloud zu senden. Das Feature für die automatische Bereitstellung von Defender für Cloud fügt den Log Analytics-Arbeitsbereich und die Ressourcengruppe über die integrierte Richtlinie als Parameter für den zu verwendenden Agent hinzu.

Wenn jedoch eine Richtlinie Ihrer Organisation ein bestimmtes Tag für Ihre Ressourcen erfordert, kann bei der automatischen Bereitstellung während der Erstellung der Ressourcengruppe oder des Standardarbeitsbereichs ein Fehler auftreten. Wenn ein Fehler auftritt, können Sie entweder:

• einen benutzerdefinierten Arbeitsbereich zuweisen und ein beliebiges Tag hinzufügen, das Ihre Organisation benötigt.

  oder

• Wenn Ihr Unternehmen voraussetzt, dass Sie Ihre Ressourcen markieren, sollten Sie zu dieser Richtlinie navigieren und die folgenden Ressourcen ausschließen:

  1. die Ressourcengruppe DefaultResourceGroup-<RegionShortCode>
  2. den Arbeitsbereich DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode ist eine Zeichenfolge mit 2-4 Buchstaben.

Weitere Informationen

Hilfreiche Informationen finden Sie in den folgenden Blogs:

• Schützen Sie Ihre Google Cloud-Workloads mit Microsoft Defender für Cloud
• Einführung in Microsoft Defender für Container
• Ein neuer Name für Multicloudsicherheit: Microsoft Defender für Cloud

Nächste Schritte

Verwenden von Defender für Container zum Scannen Ihrer ACR-Images auf Sicherheitsrisiken.