Microsoft Defender para contenedores

Microsoft Defender para contenedores es la solución nativa de nube para proteger sus contenedores.

Defender para contenedores protege los clústeres al margen de si se ejecutan en los siguientes entornos:

  • Azure Kubernetes Service (AKS): servicio administrado por Microsoft para desarrollar, implementar y administrar aplicaciones contenedorizadas.

  • Amazon Elastic Kubernetes Service (EKS) en una cuenta de Amazon Web Services (AWS) conectada: el servicio administrado de Amazon para ejecutar Kubernetes en AWS sin necesidad de instalar, operar y mantener sus propios nodos o plano de control de Kubernetes.

  • Google Kubernetes Engine (GKE) en un proyecto de Google Cloud Platform (GCP) conectado: el entorno administrado de Google para implementar, administrar y escalar aplicaciones mediante la infraestructura de GCP.

  • Otra distribución de Kubernetes (mediante Kubernetes habilitado para Azure Arc): clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF) hospedados localmente o en IaaS. Para más información, consulte la sección Local/IaaS (Arc) de Características admitidas por entorno.

Obtenga información sobre este plan en Información general de Microsoft Defender para contenedores.

Para obtener más información, vea estos vídeos en la serie de vídeos del ámbito de Defender for Cloud:

Nota

La compatibilidad de Defender para contenedores con clústeres de Kubernetes habilitados para Arc, AWS EKS y GCP GKE. Esta es una característica en vista previa.

En la página Términos de uso complementarios para las Versiones preliminares de Microsoft Azure se incluyen términos legales adicionales que se aplican a las características de Azure que se encuentran en versión beta, versión preliminar o que todavía no se han publicado para su disponibilidad general.

Requisitos de red

Valide que los siguientes puntos de conexión estén configurados para el acceso de salida, de modo que el perfil de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad:

Consulte Reglas de aplicación o FQDN obligatorias para Microsoft Defender for Containers.

De forma predeterminada, los clústeres de AKS tienen acceso de salida a Internet ilimitado.

Requisitos de red

Valide que los siguientes puntos de conexión estén configurados para el acceso de salida, de modo que la extensión de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad:

Para implementaciones de nube pública de Azure:

Domain Port
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

También deberá validar los requisitos de red de Kubernetes habilitado para Azure Arc.

Habilitación del plan

Para habilitar el plan:

  1. En el menú de Defender for Cloud, abra la página Configuración del entorno y seleccione la suscripción correspondiente.

  2. En la página planes de Defender,habilite Defender para contenedores.

    Sugerencia

    Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se mostrará un aviso de actualización. De lo contrario, la única opción será Defender para contenedores.

    Planes de Defender para registros de contenedor y Defender para Kubernetes que muestran información obsoleta y actualizada.

  3. De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para aprovisionar automáticamente (instalar automáticamente) los componentes necesarios para proporcionar las protecciones que ofrece el plan, incluida la asignación de un área de trabajo predeterminada.

    Si desea deshabilitar el aprovisionamiento automático durante el proceso de incorporación, seleccione Editar configuración para el plan Contenedores. Se abrirán las opciones avanzadas, donde puede deshabilitar el aprovisionamiento automático para cada componente.

    Además, esta configuración se puede modificar desde la página de planes de Defender o desde la página de aprovisionamiento automático de la fila de componentes de Microsoft Defender para contenedores:

    Captura de pantalla de las opciones de aprovisionamiento automático en Microsoft Defender para contenedores.

    Nota

    Si decide deshabilitar el plan en cualquier momento después de habilitarlo si a través del portal, como se ha mostrado anteriormente, deberá quitar manualmente los componentes de Defender para contenedores implementados en los clústeres.

    Puede asignar un área de trabajo personalizada a través de Azure Policy.

  4. Si deshabilita el aprovisionamiento automático de cualquier componente, puede implementar fácilmente el componente en uno o varios clústeres mediante la recomendación adecuada:

    Nota

    Microsoft Defender para Contenedores está configurado para defender todas sus nubes automáticamente. Al instalar todos los requisitos previos necesarios y habilitar todas las funcionalidades de aprovisionamiento automático.

    Si decide deshabilitar todas las opciones de configuración disponibles, no se implementarán agentes ni componentes en los clústeres. La protección solo se limitará a las características sin agente. Obtenga información sobre qué características no tienen agente en la sección de disponibilidad de Defender para contenedores.

Implementación del perfil de Defender

Puede habilitar el plan de Defender para contenedores e implementar todos los componentes pertinentes desde Azure Portal, la API REST o una plantilla de Resource Manager. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Una vez implementado el perfil de Defender, se asignará automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada en lugar del área de trabajo predeterminada a través de Azure Policy.

Nota

El perfil de Defender se implementa en todos los nodos para proporcionar las protecciones en tiempo de ejecución y recopilar señales de esos nodos mediante la tecnología eBPF.

Uso del botón Corregir de la recomendación de Defender for Cloud

Un proceso simplificado y fluido permite usar las páginas de Azure Portal para habilitar el plan de Defender for Cloud y configurar el aprovisionamiento automático de todos los componentes necesarios para proteger los clústeres de Kubernetes a gran escala.

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

  • Visibilidad sobre cuál de los clústeres tiene implementado el perfil de Defender
  • Botón Corregir para implementarlo en esos clústeres sin la extensión
  1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

  2. Use el filtro para buscar la recomendación denominada Azure Kubernetes Service clusters should have Defender profile enabled (Los clústeres de Azure Kubernetes Service deben tener habilitado el perfil de Defender).

    Sugerencia

    Observe el icono Corregir en la columna Acciones.

  3. Seleccione los clústeres para ver los detalles de los recursos correctos e incorrectos; es decir, los clústeres con y sin el perfil.

  4. En la lista de recursos incorrectos, seleccione un clúster y después Corregir para abrir el panel con la confirmación de corrección.

  5. Seleccione Corregir [x] recursos.

Habilitación del plan

Para habilitar el plan:

  1. En el menú de Defender for Cloud, abra la página Configuración del entorno y seleccione la suscripción correspondiente.

  2. En la página planes de Defender,habilite Defender para contenedores.

    Sugerencia

    Si la suscripción ya tiene habilitado Defender para Kubernetes o Defender para registros de contenedor, se mostrará un aviso de actualización. De lo contrario, la única opción será Defender para contenedores.

    Planes de Defender para registros de contenedor y Defender para Kubernetes que muestran información obsoleta y actualizada.

  3. De forma predeterminada, al habilitar el plan a través de Azure Portal, Microsoft Defender para contenedores está configurado para aprovisionar automáticamente (instalar automáticamente) los componentes necesarios para proporcionar las protecciones que ofrece el plan, incluida la asignación de un área de trabajo predeterminada.

    Si desea deshabilitar el aprovisionamiento automático durante el proceso de incorporación, seleccione Editar configuración para el plan Contenedores. Aparecerá Opciones avanzadas, desde donde podrá deshabilitar el aprovisionamiento automático para cada componente.

    Además, esta configuración se puede modificar desde la página de planes de Defender o desde la página de aprovisionamiento automático de la fila de componentes de Microsoft Defender para contenedores:

    Captura de pantalla de las opciones de aprovisionamiento automático en Microsoft Defender para contenedores.

    Nota

    Si decide deshabilitar el plan en cualquier momento después de habilitarlo si a través del portal, como se ha mostrado anteriormente, deberá quitar manualmente los componentes de Defender para contenedores implementados en los clústeres.

    Puede asignar un área de trabajo personalizada a través de Azure Policy.

  4. Si deshabilita el aprovisionamiento automático de cualquier componente, puede implementar fácilmente el componente en uno o varios clústeres mediante la recomendación adecuada:

Requisitos previos

Antes de implementar la extensión, asegúrese de que:

Implementación de la extensión de Defender

Puede implementar la extensión de Defender con varios métodos. Para obtener instrucciones detalladas, seleccione la pestaña correspondiente.

Uso del botón Corregir de la recomendación de Defender for Cloud

Una recomendación dedicada de Defender for Cloud proporciona lo siguiente:

  • Visibilidad sobre cuál de los clústeres tiene implementada la extensión Defender para Kubernetes
  • Botón Corregir para implementarlo en esos clústeres sin la extensión
  1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar seguridad mejorada.

  2. Use el filtro para buscar la recomendación denominada Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Defender.

    Recomendación de Microsoft Defender for Cloud para implementar la extensión de Defender para clústeres de Kubernetes habilitados para Azure Arc.

    Sugerencia

    Observe el icono Corregir en la columna Acciones.

  3. Seleccione la extensión para ver los detalles de los recursos correctos e incorrectos; es decir, clústeres con y sin la extensión.

  4. En la lista de recursos incorrectos, seleccione un clúster y seleccione Corregir para abrir el panel con las opciones de corrección.

  5. Seleccione el área de trabajo de Log Analytics correspondiente y seleccione Corregir recurso x.

    Implementación de la extensión de Defender para Azure Arc con la opción de corrección de Defender for Cloud.

Comprobación de la implementación

Para comprobar que el clúster tiene instalada la extensión de Defender, siga los pasos que se describen en cualquiera de las siguientes pestañas:

Uso de la recomendación de Defender for Cloud para comprobar el estado de la extensión

  1. En la página de recomendaciones de Microsoft Defender for Cloud, abra el control de seguridad Habilitar Microsoft Defender for Cloud.

  2. Seleccione la recomendación denominada Azure Arc-enabled Kubernetes clusters should have Microsoft Defender for Cloud's extension installed (Los clústeres de Kubernetes habilitados para Azure Arc deben tener instalada la extensión de Microsoft Defender for Cloud).

    Recomendación de Microsoft Defender for Cloud para implementar la extensión de Defender para clústeres de Kubernetes habilitados para Azure Arc.

  3. Compruebe que el clúster en el que implementó la extensión aparezca como Correcto.

Protección de los clústeres de Amazon Elastic Kubernetes Service

Importante

Si aún no ha conectado ninguna cuenta de AWS, conecte las cuentas de AWS a Microsoft Defender for Cloud.

Para proteger los clústeres de EKS, habilite el plan de contenedores en el conector de cuenta correspondiente:

  1. En el menú de Defender for Cloud, abra Parámetros del entorno.

  2. Seleccione el conector de AWS.

    Captura de pantalla de la página de configuración del entorno de Defender for Cloud que muestra un conector de AWS.

  3. Establezca el botón de alternancia para el plan de contenedores en On (Activado).

    Captura de pantalla que muestra cómo habilitar Defender para contenedores para un conector de AWS.

  4. Opcionalmente, para cambiar el período de retención de los registros de auditoría, seleccione Configurar, escriba el período de tiempo necesario y seleccione Guardar.

    Captura de pantalla que muestra cómo ajustar el período de retención de los registros del panel de control de EKS.

    Nota

    Si decide deshabilitar esta configuración, se deshabilitará la característica Threat detection (control plane). Más información sobre la disponibilidad de las características.

  5. Continúe por las páginas restantes del asistente para conectores.

  6. Kubernetes habilitado para Azure Arc, la extensión de Defender y la extensión de Azure Policy deben estar instalados y ejecutándose en los clústeres de EKS. Hay dos recomendaciones dedicadas de Defender for Cloud para instalar estas extensiones (y Azure Arc si fuera necesario):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
    • EKS clusters should have the Azure Policy extension installed

    En todas las recomendaciones, siga estos pasos para instalar las extensiones necesarias.

    Para instalar las extensiones necesarias:

    1. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

    2. Seleccione un clúster incorrecto.

      Importante

      Debe seleccionar los clústeres de uno en uno.

      No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

    3. Seleccione Corregir.

    4. Defender for Cloud genera un script en el lenguaje que prefiera. Seleccione Bash (para Linux) o PowerShell (para Windows).

    5. Seleccione Descargar lógica de corrección.

    6. Ejecute el script generado en el clúster.

    7. Repita los pasos de "a" a "f" para la segunda recomendación.

    Vídeo sobre cómo seguir la recomendación de Defender for Cloud con el fin de generar un script para los clústeres de EKS que habilita la extensión de Azure Arc.

Visualización de recomendaciones y alertas para los clústeres de EKS

Sugerencia

Puede simular las alertas de contenedor al seguir las instrucciones de esta entrada de blog.

Para ver las alertas y recomendaciones de los clústeres de EKS, use los filtros de las páginas de alertas, recomendaciones e inventario para filtrar en función del tipo de recurso de clúster EKS de AWS.

Captura de pantalla sobre cómo usar los filtros en la página de alertas de Microsoft Defender for Cloud para ver las alertas vinculadas a clústeres EKS de AWS.

Protección de clústeres de Google Kubernetes Engine (GKE)

Importante

Si aún no ha conectado un proyecto de GCP, conecte los proyectos de GCP a Microsoft Defender for Cloud.

Para proteger los clústeres de GKE, deberá habilitar el plan de Containers en el proyecto de GCP correspondiente.

Para proteger clústeres de Google Kubernetes Engine (GKE):

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for CloudConfiguración del entorno.

  3. Selección del conector de GCP pertinente

    Captura de pantalla que muestra un conector de GCP de ejemplo.

  4. Seleccione el botón Siguiente: Seleccionar planes>.

  5. Asegúrese de que el plan de Containers está alternado a Activar.

    Captura de pantalla que muestra que el plan de contenedores está activado.

  6. (Opcional) Configure el plan de Containers.

  7. Haga clic en el botón Copiar.

    Captura de pantalla que muestra la ubicación del botón Copiar.

  8. Seleccione el botón Cloud Shell de GCP >.

  9. Pegue el script en el terminal de Cloud Shell y ejecútelo.

El conector se actualizará después de que se ejecute el script. Este proceso puede tardar entre 6 y 8 horas en completarse.

Implementación de la solución en clústeres específicos

Si deshabilitó cualquiera de las configuraciones de aprovisionamiento automático predeterminadas, durante el proceso de incorporación del conector de GCP o posteriormente. Deberá instalar manualmente Kubernetes habilitado para Azure Arc, la extensión de Defender y las extensiones de Azure Policy en todos los clústeres de GKE para obtener todo el valor de seguridad de Defender para contenedores.

Hay dos recomendaciones dedicadas de Defender for Cloud que puede usar para instalar las extensiones (y Arc, si es necesario):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Para implementar la solución en clústeres específicos:

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Recomendaciones.

  3. En la página Recomendaciones de Defender for Cloud, busque una de las recomendaciones por nombre.

    Captura de pantalla que muestra cómo buscar la recomendación.

  4. Seleccione un clúster de GKE incorrecto.

    Importante

    Debe seleccionar los clústeres de uno en uno.

    No seleccione los clústeres en función de sus nombres hipervinculados: seleccione otros clústeres en la fila correspondiente.

  5. Seleccione el nombre del recurso incorrecto.

  6. Seleccione Corregir.

    Captura de pantalla que muestra la ubicación del botón Corregir.

  7. Defender for Cloud generará un script en el lenguaje que prefiera:

    • En Linux, seleccione Bash.
    • En Windows, seleccione PowerShell.
  8. Seleccione Descargar lógica de corrección.

  9. Ejecute el script generado en el clúster.

  10. Repita los pasos del 3 al 8 para la segunda recomendación.

Visualización de las alertas del clúster de GKE

  1. Inicie sesión en Azure Portal.

  2. Vaya a Microsoft Defender for Cloud>Alertas de seguridad.

  3. Haga clic en el botón .

  4. En el menú desplegable Filtro, seleccione Tipo de recurso.

  5. En el menú desplegable Valor, seleccione Clúster GCP GKE.

  6. Seleccione Aceptar.

Simulación de alertas de seguridad de Microsoft Defender para contenedores

Dispone de una lista completa de alertas compatibles en la tabla de referencia de las alertas de seguridad de Microsoft Defender for Cloud.

  1. Para simular una alerta de seguridad, ejecute el comando siguiente desde el clúster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    La respuesta esperada es "No se encontró ningún recurso".

    En un plazo de 30 minutos, Defender for Cloud detectará esta actividad y desencadenará una alerta de seguridad.

  2. En Azure Portal, abra la página de alertas de seguridad de Microsoft Defender for Cloud y busque la alerta en el recurso correspondiente:

    Alerta de ejemplo de Microsoft Defender para Kubernetes.

Eliminación de la extensión de Defender

Para quitar esta extensión, o cualquier otra, de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

  • Habilitar el aprovisionamiento automático afecta posiblemente a las máquinas existentes y a las futuras.
  • Deshabilitar el aprovisionamiento automático para una extensión solo afecta a las máquinas futuras; no se desinstala nada al deshabilitar el aprovisionamiento automático.

No obstante, para asegurarse de que los componentes de Defender para Contenedores no se aprovisionan automáticamente en los recursos a partir de ahora, deshabilite el aprovisionamiento automático de las extensiones como se explica en Configuración del aprovisionamiento automático para agentes y extensiones de Microsoft Defender for Cloud.

Puede quitar la extensión mediante Azure Portal, la CLI de Azure o la API REST, como se explica en las pestañas siguientes.

Uso de Azure Portal para quitar la extensión

  1. En Azure Portal, abra Azure Arc.

  2. En la lista Infraestructura, seleccione clústeres de Kubernetes y, a continuación, seleccione el clúster específico.

  3. Abra la página de extensiones. Se muestra una lista de las extensiones del clúster.

  4. Seleccione el clúster y, después, Desinstalar.

    Eliminación de una extensión del clúster de Kubernetes habilitado para Arc.

Área de trabajo predeterminada de Log Analytics para AKS

El perfil de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud, pero ninguno de ellos se queda en el propio área de trabajo de Log Analytics. Como resultado, en este caso de uso no se facturará a los usuarios.

El perfil de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no la tiene, Defender for Cloud creará un grupo de recursos y un área de trabajo predeterminada cuando se instale el perfil de Defender. El área de trabajo predeterminada se crea en función de la región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

  • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupo de recursos: DefaultResourceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar la opción de aprovisionamiento automático, se asignará automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Directiva.

    Captura de pantalla que muestra cómo localizar la página Directiva.

  3. Seleccione Definiciones.

  4. Búsqueda de ID de directivas 64def556-fbad-4622-930e-72d1d5589bf5.

    Captura de pantalla que muestra dónde buscar la directiva por número de identificador.

  5. Seleccione Configurar los clústeres de Azure Kubernetes Service para habilitar el perfil de Azure Defender.

  6. Seleccione Asignación.

    Captura de pantalla que muestra dónde buscar la pestaña de asignaciones.

  7. Siga los pasos del apartado Creación de una asignación con el área de trabajo personalizada si la directiva aún no se ha asignado al ámbito correspondiente. O bien, siga los pasos de Actualización de la asignación con el área de trabajo personalizada si la directiva ya está asignada y desea cambiarla para usar un área de trabajo personalizada.

Creación de una asignación con el área de trabajo personalizada

Si la directiva no se ha asignado, verá Assignments (0).

Captura de pantalla que muestra que no se ha asignado ninguna área de trabajo a esta fase.

Para asignar un área de trabajo personalizada:

  1. Seleccione Asignar.

  2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  3. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

    Captura de pantalla que muestra el lugar en que se busca el menú desplegable.

  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva ya se ha asignado a un área de trabajo, verá Assignments (1).

Captura de pantalla que muestra la asignación (1), lo que significa que ya se ha asignado un área de trabajo.

Nota

Si tiene más de una suscripción, el número puede ser mayor.

Para asignar un área de trabajo personalizada:

  1. Seleccione la asignación pertinente.

    Captura de pantalla que muestra de dónde seleccionar la asignación pertinente.

  2. Seleccione Editar asignación.

  3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  4. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

    Captura de pantalla que muestra el lugar en que se busca el menú desplegable.

  5. Seleccione Revisar + crear.

  6. Seleccione Crear.

Área de trabajo predeterminada de Log Analytics para Arc

La extensión de Defender usa el área de trabajo de Log Analytics como canalización de datos para enviar datos del clúster a Defender for Cloud, pero ninguno de ellos se queda en el propio área de trabajo de Log Analytics. Como resultado, en este caso de uso no se facturará a los usuarios.

La extensión de Defender usa un área de trabajo predeterminada de Log Analytics. Si aún no la tiene, Defender for Cloud creará un grupo de recursos y un área de trabajo predeterminada cuando se instale la extensión de Defender. El área de trabajo predeterminada se crea en función de la región.

La convención de nomenclatura del área de trabajo predeterminada de Log Analytics y el grupo de recursos es:

  • Área de trabajo: DefaultWorkspace-[subscription-ID]-[geo]
  • Grupo de recursos: DefaultResourceGroup-[geo]

Asignación de un área de trabajo personalizada

Al habilitar la opción de aprovisionamiento automático, se asignará automáticamente un área de trabajo predeterminada. Puede asignar un área de trabajo personalizada a través de Azure Policy.

Para comprobar si tiene algún área de trabajo asignada:

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Directiva.

    Captura de pantalla que muestra cómo buscar la página de directivas de ARC.

  3. Seleccione Definiciones.

  4. Búsqueda de ID de directivas 708b60a6-d253-4fe0-9114-4be4c00f012c.

    Captura de pantalla que muestra dónde buscar la directiva por número de identificador para ARC.

  5. Seleccione Configurar clústeres de Kubernetes con Azure Arc habilitado para instalar la extensión de Microsoft Defender for Cloud.

  6. Seleccione Asignaciones.

    Captura de pantalla que muestra dónde está la pestaña de asignaciones para ARC.

  7. Siga los pasos del apartado Creación de una asignación con el área de trabajo personalizada si la directiva aún no se ha asignado al ámbito correspondiente. O bien, siga los pasos de Actualización de la asignación con el área de trabajo personalizada si la directiva ya está asignada y desea cambiarla para usar un área de trabajo personalizada.

Creación de una asignación con el área de trabajo personalizada

Si la directiva no se ha asignado, verá Assignments (0).

Captura de pantalla que muestra que no se ha asignado ninguna área de trabajo a esta fase para ARC.

Para asignar un área de trabajo personalizada:

  1. Seleccione Asignar.

  2. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  3. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

    Captura de pantalla que muestra el lugar en que se busca el menú desplegable para ARC.

  4. Seleccione Revisar + crear.

  5. Seleccione Crear.

Actualización de una asignación con un área de trabajo personalizada

Si la directiva ya se ha asignado a un área de trabajo, verá Assignments (1).

Nota

Si tiene más de una suscripción, el número puede ser mayor. Si tiene un número 1 o superior, es posible que la asignación todavía no esté en el ámbito pertinente. Si este es el caso, le interesará seguir los pasos de Creación de una asignación con el área de trabajo personalizada.

Captura de pantalla que muestra la asignación (1), lo que significa que ya se ha asignado un área de trabajo para ARC.

Para asignar un área de trabajo personalizada:

  1. Seleccione la asignación pertinente.

    Captura de pantalla que muestra de dónde seleccionar la asignación pertinente para ARC.

  2. Seleccione Editar asignación.

  3. En la pestaña Parámetros, anule la selección de la opción Mostrar solo los parámetros que necesitan entrada o revisión.

  4. Seleccione un identificador de LogAnalyticsWorkspaceResource en el menú desplegable.

    Captura de pantalla que muestra el lugar en que se busca el menú desplegable para ARC.

  5. Seleccione Revisar + crear.

  6. Seleccione Crear.

Eliminación del perfil de Defender

Para quitar esta extensión, o cualquier otra, de Defender for Cloud, no basta con desactivar el aprovisionamiento automático:

  • Habilitar el aprovisionamiento automático afecta posiblemente a las máquinas existentes y a las futuras.
  • Deshabilitar el aprovisionamiento automático para una extensión solo afecta a las máquinas futuras; no se desinstala nada al deshabilitar el aprovisionamiento automático.

No obstante, para asegurarse de que los componentes de Defender para Contenedores no se aprovisionan automáticamente en los recursos a partir de ahora, deshabilite el aprovisionamiento automático de las extensiones como se explica en Configuración del aprovisionamiento automático para agentes y extensiones de Microsoft Defender for Cloud.

Puede quitar el perfil mediante la API REST o una plantilla de Resource Manager, tal como se explica en las pestañas siguientes.

Uso de la API REST para quitar el perfil de Defender de AKS

Para quitar el perfil mediante la API REST, ejecute el siguiente comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nombre Descripción Mandatory
SubscriptionId Identificador de suscripción del clúster Yes
ResourceGroup Grupo de recursos del clúster Yes
ClusterName Nombre del clúster Yes
ApiVersion La versión de API debe ser >= 2022-06-01 Yes

Cuerpo de la solicitud:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parámetros del cuerpo de la solicitud:

Nombre Descripción Mandatory
ubicación Ubicación del clúster
properties.securityProfile.defender.securityMonitoring.enabled Determina si habilitar o deshabilitar Microsoft Defender para contenedores en el clúster Yes

Preguntas más frecuentes

¿Cómo puedo usar mi área de trabajo de Log Analytics existente?

Puede usar el área de trabajo de Log Analytics existente siguiendo los pasos descritos en la sección de área de trabajo Asignación de un área de trabajo personalizada de este artículo.

¿Puedo eliminar las áreas de trabajo predeterminadas creadas por Defender for Cloud?

No se recomienda la eliminación del área de trabajo predeterminada. Defender para contenedores utiliza las áreas de trabajo predeterminadas para recopilar los datos de seguridad de los clústeres. Defender para contenedores no podrá recopilar datos y algunas recomendaciones y alertas de seguridad no estarán disponibles si elimina el área de trabajo predeterminada.

He eliminado mi área de trabajo predeterminada, ¿cómo puedo recuperarla?

Para recuperar el área de trabajo predeterminada, debe quitar el perfil o la extensión de Defender y volver a instalar el agente. Al volver a instalar el perfil o la extensión de Defender, se crea un área de trabajo predeterminada.

¿Dónde se localiza el área de trabajo predeterminada de Log Analytics?

En función de la región, el área de trabajo predeterminada de Log Analytics se ubicará en varias ubicaciones. Para comprobar la región, consulte ¿Dónde se crea el área de trabajo Log Analytics predeterminada?

Mi organización requiere que etiquete mis recursos y se produjo un error en el aprovisionamiento automático, ¿qué salió mal?

El agente de Defender usa el área de trabajo de Log Analytics para enviar datos de los clústeres de Kubernetes a Defender for Cloud. La característica de aprovisionamiento automático de Defender for Cloud a través de la directiva integrada agrega el área de trabajo de Log Analytics y el grupo de recursos como parámetro para que el agente lo use.

Sin embargo, si su organización tiene una directiva que requiera una etiqueta específica en los recursos, puede provocar un error en el aprovisionamiento automático durante el grupo de recursos o la fase de creación predeterminada del área de trabajo. Si se produce un error, puede:

  • Asignar un área de trabajo personalizada y agregar cualquier etiqueta que requiera su organización.

    o

  • Si su empresa requiere que etiquete el recurso, debe ir a esa directiva y excluir los siguientes recursos:

    1. El grupo de recursos DefaultResourceGroup-<RegionShortCode>
    2. El área de trabajo DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode es una cadena de que tiene de 2 a 4 letras.

Más información

Para obtener más información, puede consultar los siguientes blogs:

Pasos siguientes

Use Defender para contenedores para examinar las imágenes del registro de control de acceso en busca de vulnerabilidades.