Configurez les composants de Microsoft Defender pour les conteneurs

Microsoft Defender pour les conteneurs est une solution cloud native dédiée à la sécurisation de vos conteneurs.

Defender pour les conteneurs protège vos clusters s’ils s’exécutent dans :

• Azure Kubernetes Service (AKS) - Service managé de Microsoft conçu pour le développement, le déploiement et la gestion d’applications conteneurisées.

• Amazon Elastic Kubernetes Service (EKS) dans un compte Amazon Web Services (AWS) connecté - Service managé d’Amazon permettant d’exécuter Kubernetes sur AWS sans avoir à installer, utiliser et gérer votre propre plan de contrôle ou vos propres nœuds Kubernetes.

• Google Kubernetes Engine (GKE) dans un projet Google Cloud Platform (GCP) connecté : l’environnement géré de Google pour le déploiement, la gestion et la mise à l’échelle d’applications à l’aide de l’infrastructure GCP.

• Autres distributions Kubernetes (à l’aide de Kubernetes avec Azure Arc) - Clusters Kubernetes certifiés CNCF (Cloud Native Computing Foundation) hébergés localement ou sur IaaS. Pour plus d’informations, consultez la section Local/IaaS (ARC) de Fonctionnalités prises en charge par environnement.

Apprenez-en davantage sur ce plan dans Vue d’ensemble de Microsoft Defender pour les conteneurs.

Vous pouvez d’abord apprendre à vous connecter et à protéger vos conteneurs dans les articles suivants :

• Protéger vos conteneurs Azure avec Defender pour les conteneurs
• Protéger vos clusters Kubernetes locaux avec Defender pour les conteneurs
• Protéger vos conteneurs de comptes Amazon Web Service (AWS) avec Defender pour les conteneurs
• Protéger vos conteneurs de projet Google Cloud Platform (GCP) avec Defender pour les conteneurs

Pour en savoir plus, vous pouvez aussi regarder ces vidéos de la série de vidéos Defender pour le cloud dans le champ :

• Microsoft Defender pour les conteneurs dans un environnement multicloud
• Protection des conteneurs dans GCP avec Defender pour les conteneurs

Remarque

La prise en charge par Defender pour les conteneurs des clusters Kubernetes avec Arc est une fonctionnalité en préversion. La fonction de prévisualisation est disponible en libre-service, sur la base d'un consentement préalable.

Les aperçus sont fournis "en l'état" et "selon les disponibilités" et sont exclus des accords de niveau de service et de la garantie limitée.

Pour en savoir plus sur les systèmes d’exploitation pris en charge, la disponibilité des fonctionnalités, le proxy sortant et plus encore, consultez la disponibilité des fonctionnalités Defender pour conteneurs.

Configuration requise pour le réseau

Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité :

Consultez les règles de nom de domaine complet/d’application pour Microsoft Defender pour les conteneurs.

Par défaut, les clusters AKS ont un accès illimité sortant à Internet.

Configuration requise pour le réseau

Attention

Cet article fait référence à CentOS, une distribution Linux proche de l’état EOL (End Of Life). Faites le point sur votre utilisation afin de vous organiser en conséquence. Pour plus d’informations, consultez les conseils d’aide relatifs à la fin de vie de CentOS.

Vérifiez que les points de terminaison suivants sont configurés pour l’accès sortant afin que le capteur Defender puisse se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité :

Pour les déploiements de cloud public :

Domaine Azure	Domaine Azure Government	Domaine Microsoft Azure géré par 21Vianet	Port
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	.chinacloudapi.cn	443

Les domaines suivants sont nécessaires uniquement si vous utilisez un système d’exploitation approprié. Par exemple, si vous avez des clusters EKS s’exécutant dans AWS, vous devez uniquement appliquer le Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domaine.

Domain	Port	Systèmes d’exploitation hôtes
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
dépôts par défaut yum	-	RHEL / Centos
dépôts par défaut apt	-	Debian

Vous devrez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.

Activer le plan

Pour activer le plan :

1. Dans le menu de Defender pour le cloud, ouvrez la page de paramètres et sélectionnez l’abonnement approprié.

2. Dans la page Plans Defender, sélectionnez Defender pour les conteneurs , puis Sélectionnez Paramètres.

   

   Conseil

   Si Defender pour Kubernetes et/ou Defender pour les registres de conteneurs est déjà activé pour l’abonnement, une notification de mise à jour s’affiche. Dans le cas contraire, la seule option est Defender pour les conteneurs.

   

3. Activez le composant approprié pour l’activer.

   

   Remarque

   • Les clients Defenders pour les conteneurs qui ont adhéré avant août 2023 et qui n'ont pas activé la découverte sans agent pour Kubernetes dans le cadre de Defender CSPM lorsqu'ils ont activé le plan, doivent activer manuellement l'extension de découverte sans agent pour Kubernetes dans le plan Defender pour les conteneurs.
   • Lorsque vous désactivez Defender pour les conteneurs, les composants sont désactivés et ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs sur lesquels ils sont déjà installés.

Méthode d’activation par fonctionnalité

Par défaut, lors de l’activation du plan via le portail Azure, Microsoft Defender pour les conteneurs est configuré pour activer automatiquement toutes les fonctionnalités et installer tous les composants requis pour fournir les protections offertes par le plan, y compris l’attribution d’un espace de travail par défaut.

Si vous ne souhaitez pas activer toutes les fonctionnalités des plans, vous pouvez sélectionner manuellement les fonctionnalités spécifiques à activer en sélectionnant Modifier la configuration pour le plan Conteneurs. Ensuite, dans la page Paramètres et surveillance, sélectionnez les fonctionnalités que vous souhaitez activer. En outre, vous pouvez modifier cette configuration à partir de la page Plans Defender après la configuration initiale du plan.

Pour plus d’informations sur la méthode d’activation pour chacune des fonctionnalités, consultez la matrice de prise en charge.

Rôles et autorisations

En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.

Affectation d’un espace de travail personnalisé pour le capteur Defender

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Déploiement manuel du capteur Defender ou de l’agent de stratégie Azure sans approvisionnement automatique à l’aide de recommandations

Les fonctionnalités qui nécessitent une installation du capteur peuvent également être déployées sur un ou plusieurs clusters Kubernetes, à l’aide de la recommandation appropriée :

Capteur	Recommandation
Capteur Defender pour Kubernetes	Le profil Defender doit être activé sur les clusters Azure Kubernetes Service
Capteur Defender pour Kubernetes avec Arc	L’extension Defender doit être installée sur les clusters Kubernetes avec Azure Arc
Agent de stratégie Azure pour Kubernetes	Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
Agent de stratégie Azure pour Kubernetes avec Arc	L’extension Azure Policy doit être installée sur les clusters Kubernetes avec Azure Arc

Exécutez ces étapes pour effectuer le déploiement du capteur Defender sur des clusters spécifiques :

1. Dans la page de recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité améliorée ou recherchez directement l’une des recommandations ci-dessus (ou utilisez les liens ci-dessus pour ouvrir directement la recommandation)

2. Affichez tous les clusters sans capteur via l’onglet non sain.

3. Sélectionnez les clusters pour y déployer le capteur souhaité, puis sélectionnez Corriger.

4. Sélectionnez Corriger X ressources.

Déploiement du capteur Defender : toutes les options

Vous pouvez activer le plan Defender pour les conteneurs et déployer tous les composants appropriés à partir du portail Azure, de l’API REST ou avec un modèle Resource Manager. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Une fois le capteur Defender déployé, un espace de travail par défaut est automatiquement affecté. Vous pouvez affecter un espace de travail personnalisé à la place de l’espace de travail par défaut via Azure Policy.

Remarque

Le capteur Defender est déployé sur chaque nœud pour fournir les protections au moment de l’exécution et collecter les signaux provenant des nœuds à l’aide de la technologie eBPF.

Azure portal

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Un processus rationalisé et sans friction vous permet d’utiliser les pages du portail Azure pour activer le plan Defender pour le cloud et pour configurer le provisionnement automatique de l’ensemble des composants nécessaires à la protection de vos clusters Kubernetes à grande échelle.

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

• Visibilité sur les clusters sur lesquels le capteur Defender est déployé
• Bouton Corriger pour opérer un déploiement sur ces clusters sans capteur

1. À partir de la page de recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

2. Utilisez le filtre pour trouver la recommandation nommée Le profil Defender doit être activé pour les clusters Azure Kubernetes Service.

   Conseil

   Notez l’icône Corriger dans la colonne actions

3. Sélectionnez les clusters pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

4. Dans la liste des ressources non saines, sélectionnez un cluster et choisissez Corriger pour ouvrir le volet contenant la confirmation de correction.

5. Sélectionnez Corriger X ressources.

API REST

Utiliser l’API REST pour déployer le capteur Defender

Pour installer le « SecurityProfile » sur un cluster existant avec l’API REST, exécutez la commande PUT suivante :

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI de requête : https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Paramètres de la requête de demande :

Name	Description	Obligatoire
SubscriptionId	ID de l’abonnement du cluster	Yes
ResourceGroup	Groupe de ressources du cluster	Yes
ClusterName	Nom du cluster	Yes
ApiVersion	Version de l’API obligatoirement >= 2022-06-01	Yes

Corps de la demande :

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Paramètres du corps de la requête :

Name	Description	Obligatoire
location	Emplacement du cluster	Oui
properties.securityProfile.defender.securityMonitoring.enabled	Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID de ressource Azure de l’espace de travail Log Analytics	Oui

Azure CLI

Utiliser Azure CLI pour déployer le capteur Defender

1. Connectez-vous à Azure :

   az login
   az account set --subscription <your-subscription-id>
   

   Important

   Assurez-vous que vous utilisez le même ID d’abonnement pour <your-subscription-id> que celui associé à votre cluster AKS.

2. Activez le capteur Defender sur vos conteneurs :

   • Exécutez la commande suivante pour créer un cluster avec le capteur Defender activé :

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Exécutez la commande suivante pour activer le capteur Defender sur un cluster existant :

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Vous trouverez ci-dessous une description de tous les paramètres de configuration pris en charge pour le type de capteur Defender :

   Propriété

   Description

   logAnalyticsWorkspaceResourceId

   Facultatif. ID de ressource complet de votre propre espace de travail Log Analytics. Quand il n’est pas fourni, l’espace de travail par défaut de la région est utilisé. Pour obtenir l’ID de ressource complet, exécutez la commande suivante pour afficher la liste des espaces de travail dans vos abonnements au format JSON par défaut : az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json La syntaxe de L’ID de ressource de l’espace de travail Log Analytics est la suivante : /subscriptions/{id de votre abonnement}/resourceGroups/{votre groupe de ressources}/providers/Microsoft.OperationalInsights/workspaces/{nom de votre espace de travail}. En savoir plus sur les Espaces de travail Log Analytics

   Vous pouvez inclure ces paramètres dans un fichier JSON et spécifier le fichier JSON dans les commandes az aks create et az aks update commandes avec ce paramètre : --defender-config <path-to-JSON-file>. Le format du fichier JSON doit être :

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Apprenez-en plus sur les commandes CLI AKS dans az aks.

3. Pour vérifier que le capteur a été correctement ajouté, exécutez la commande suivante sur votre ordinateur avec le fichier kubeconfig pointant vers votre cluster :

   kubectl get pods -n kube-system
   

   Lorsque le capteur est ajouté, vous devriez voir un pod nommé microsoft-defender-XXXXX à l’état Running. L’ajout des pods peut prendre quelques minutes.

Gestionnaire de ressources

Utiliser Azure Resource Manager pour déployer le capteur Defender

Pour utiliser Azure Resource Manager afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?

Pour installer le « SecurityProfile » sur un cluster existant avec Resource Manager :

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Activer le plan

Pour activer le plan :

1. Dans le menu de Defender pour le cloud, ouvrez la page de paramètres et sélectionnez l’abonnement approprié.

2. Dans la page Plans Defender, sélectionnez Defender pour les conteneurs , puis Sélectionnez Paramètres.

   Conseil

   Si Defender pour Kubernetes ou Defender pour les registres de conteneurs sont déjà activés pour l’abonnement, une notification de mise à jour s’affiche. Dans le cas contraire, la seule option est Defender pour les conteneurs.

   

3. Activez le composant approprié pour l’activer.

   

   Notes

   Lorsque vous désactivez Defender pour les conteneurs, les composants sont désactivés et ne sont pas déployés sur d’autres conteneurs, mais ils ne sont pas supprimés des conteneurs sur lesquels ils sont déjà installés.

Par défaut, lors de l’activation du plan via le Portail Azure, Microsoft Defender pour les conteneurs est configuré pour installer automatiquement les composants requis pour fournir les protections offertes par le plan, y compris l’attribution d’un espace de travail par défaut.

Si vous voulez désactiver l’installation automatique des composants pendant le processus d’intégration, sélectionnez Modifier la configuration pour le plan Conteneurs. Les options avancées s’affichent et vous permettent de désactiver l’installation automatique pour chaque composant.

En outre, vous pouvez modifier cette configuration à partir de la page plans Defender.

Notes

Si vous choisissez de désactiver le plan à tout moment après l’activation par le biais du portail comme indiqué ci-dessus, vous devez supprimer manuellement le déploiement des composants Defender pour les conteneurs sur vos clusters.

Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Si vous désactivez l’installation automatique d’un composant, vous pouvez facilement déployer le composant sur un ou plusieurs clusters à l’aide de la recommandation appropriée :

• Module complémentaire Policy pour Kubernetes - Le module complémentaire Azure Policy pour Kubernetes doit être installé sur les clusters Azure Kubernetes Service
• Profil Azure Kubernetes Service - Le profil Defender doit être activé pour les clusters Azure Kubernetes Service
• Extension Kubernetes avec Azure Arc - L’extension Defender doit être installée pour les clusters Kubernetes avec Azure Arc
• Extension Policy pour Kubernetes avec Azure Arc - L’extension Policy doit être installée sur les clusters Kubernetes avec Azure Arc

En savoir plus sur les rôles utilisés pour provisionner des extensions Defender pour conteneurs.

Prérequis

Avant de déployer le capteur, effectuez les opérations suivantes :

• Connectez le cluster Kubernetes à Azure Arc
• Suivez les prérequis indiqués dans la documentation sur les extensions de cluster génériques.

Déployer le capteur Defender

Vous pouvez déployer le capteur Defender à l’aide de différentes méthodes. Pour obtenir des instructions détaillées, sélectionnez l’onglet approprié.

Portail Azure

Utiliser le bouton Corriger à partir de la recommandation Defender pour le cloud

Une recommandation Defender pour le cloud dédiée fournit ce qui suit :

• Visibilité sur les clusters sur lesquels le capteur Defender est déployé
• Bouton Corriger pour opérer un déploiement sur ces clusters sans capteur

1. À partir de la page de recommandations Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer la sécurité renforcée.

2. Utilisez le filtre pour trouver la recommandation nommée L’extension Defender pour le cloud doit être installée pour les clusters Kubernetes avec Azure Arc.

   

   Conseil

   Notez l’icône Corriger dans la colonne actions

3. Sélectionnez le capteur pour afficher les détails des ressources saines et non saines (clusters avec et sans le capteur).

4. Dans la liste ressources non saines, sélectionnez un cluster, choisissez Corriger pour ouvrir le volet contenant les options de correction.

5. Sélectionnez l’espace de travail Log Analytics approprié, puis choisissez Corriger la ressource x.

   

Azure CLI

Utiliser Azure CLI pour déployer le capteur Defender

1. Connectez-vous à Azure :

   az login
   az account set --subscription <your-subscription-id>
   

   Important

   Veillez à utiliser le même ID d’abonnement pour <your-subscription-id> que celui utilisé lors de la connexion de votre cluster à Azure Arc.

2. Exécutez la commande suivante pour déployer le capteur sur votre cluster Kubernetes avec Azure Arc :

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Vous trouverez ci-dessous une description de tous les paramètres de configuration pris en charge pour le type de capteur Defender :

   Propriété	Description
   logAnalyticsWorkspaceResourceID	Facultatif. ID de ressource complet de votre propre espace de travail Log Analytics. Quand il n’est pas fourni, l’espace de travail par défaut de la région est utilisé. Pour obtenir l’ID de ressource complet, exécutez la commande suivante pour afficher la liste des espaces de travail dans vos abonnements au format JSON par défaut : az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json La syntaxe de L’ID de ressource de l’espace de travail Log Analytics est la suivante : /subscriptions/{id de votre abonnement}/resourceGroups/{votre groupe de ressources}/providers/Microsoft.OperationalInsights/workspaces/{nom de votre espace de travail}. En savoir plus sur les Espaces de travail Log Analytics
   auditLogPath	Facultatif. Chemin d’accès complet aux fichiers journaux d’audit. Quand il n’est pas fourni, le chemin d’accès par défaut /var/log/kube-apiserver/audit.log est utilisé. Pour le moteur AKS, le chemin d’accès standard est /var/log/kubeaudit/audit.log

   La commande ci-dessous montre un exemple d’utilisation de tous les champs facultatifs :

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Gestionnaire de ressources

Utiliser Azure Resource Manager pour déployer le capteur Defender

Pour utiliser Azure Resource Manager afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Vous pouvez utiliser le modèle Resource Manager azure-defender-extension-arm-template.json figurant dans les exemples d’installation de Defender pour le cloud.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?

API REST

Utiliser l’API REST pour déployer le capteur Defender

Pour utiliser l’API REST afin de déployer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Conseil

La façon la plus simple d’utiliser l’API pour déployer le capteur Defender consiste à utiliser l’exemple JSON de collection Postman fourni parmi les exemples d’installation de Defender pour le cloud.

• Pour modifier le JSON de collection Postman, ou pour déployer manuellement le capteur avec l’API REST, exécutez la commande PUT suivante :

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Où :

  Nom	Dans	Obligatoire	Type	Description
  Identifiant d’abonnement	Chemin d’accès	True	String	ID d’abonnement de votre ressource Kubernetes avec Azure Arc
  Groupe de ressources	Chemin d’accès	True	String	Nom du groupe de ressources contenant votre ressource Kubernetes avec Azure Arc
  Nom du cluster	Chemin d’accès	True	String	Nom de votre ressource Kubernetes avec Azure Arc

  Pour l’authentification, votre en-tête doit avoir un jeton du porteur (comme pour d’autres API Azure). Pour obtenir un jeton du porteur, exécutez la commande suivante :

  az account get-access-token --subscription <your-subscription-id> Utilisez la structure suivante pour le corps de votre message :

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  La description des propriétés figure ci-dessous :

  Propriété	Description
  logAnalytics.workspaceId	ID d’espace de travail de la ressource Log Analytics
  logAnalytics.key	Clé de la ressource Log Analytics
  auditLogPath	Facultatif. Chemin d’accès complet aux fichiers journaux d’audit. La valeur par défaut est /var/log/kube-apiserver/audit.log.

Vérifier le déploiement

Pour vérifier que le capteur Defender est installé sur votre cluster, suivez les étapes sous l’un des onglets ci-dessous :

Portail Azure : Defender pour le cloud

Utiliser une recommandation Defender pour le cloud pour vérifier l’état de votre capteur

1. À partir de la page de recommandations de Microsoft Defender pour le cloud, ouvrez le contrôle de sécurité Activer Microsoft Defender pour le cloud.

2. Sélectionnez la recommandation nommée L’extension Microsoft Defender pour le cloud doit être installée pour les clusters Kubernetes avec Azure Arc.

   

3. Vérifiez que le cluster sur lequel vous avez déployé le capteur est répertorié comme Sain.

Portail Azure – Azure Arc

Utiliser les pages Azure Arc pour vérifier l’état de votre capteur

1. Dans le portail Azure, ouvrez Azure Arc.

2. Dans la liste d’infrastructures, sélectionnez Clusters Kubernetes, puis choisissez le cluster spécifique.

3. Ouvrez la page Extensions. Les extensions sur le cluster sont répertoriées. Vérifiez la colonne État de l’installation pour vérifier que le capteur Defender a été correctement installé.

   

4. Pour plus d’informations, sélectionnez l’extension.

   

Azure CLI

Utiliser Azure CLI pour vérifier que le capteur est déployé

1. Exécutez la commande suivante sur Azure CLI :

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Dans la réponse, recherchez « extensionType »: « microsoft.azuredefender.kubernetes » et « installState »: « Installed ».

   Notes

   La réponse peut afficher « installState » : « Pending » pour les premières minutes.

3. Si l’état indique Installé, exécutez la commande suivante sur votre ordinateur en faisant pointer le fichier kubeconfig sur votre cluster pour vérifier que tous les pods situés sous l’espace de noms mdc se trouvent à l’état « En cours d’exécution » :

   kubectl get pods -n mdc
   

REST API

Utiliser l’API REST pour vérifier que le capteur est déployé

Pour vérifier à n’importe quel moment que le déploiement de votre capteur a réussi, ou pour vérifier son état :

1. Exécutez la commande GET suivante :

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Dans la réponse, recherchez, dans « extensionType »: « microsoft.azuredefender.kubernetes », « installState »: « Installed ».

   Conseil

   La réponse peut afficher « installState » : « Pending » pour les premières minutes.

3. Si l’état indique Installé, exécutez la commande suivante sur votre ordinateur en faisant pointer le fichier kubeconfig sur votre cluster pour vérifier que tous les pods situés sous l’espace de noms mdc se trouvent à l’état « En cours d’exécution » :

   kubectl get pods -n mdc
   

Activer le plan

Important

• Si vous n’avez pas encore connecté un compte AWS, connectez vos comptes AWS à Microsoft Defender pour le cloud.
• Si vous avez déjà activé le plan sur votre connecteur et que vous souhaitez modifier les configurations facultatives ou activer de nouvelles fonctionnalités, passez directement à l’étape 4.

Pour protéger vos clusters EKS, activez le plan Conteneurs sur le connecteur de compte approprié :

1. Dans le menu de Defender pour le cloud, ouvrez Paramètres de l’environnement.

2. Sélectionnez le connecteur AWS.

   

3. Vérifiez que le bouton bascule du plan Conteneurs est défini sur Activé.

   

4. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

   

   • Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé. Pour modifier la période de rétention de vos journaux d’audit, entrez le délai d’exécution souhaité.

     Remarque

     Si vous désactivez cette configuration, la fonctionnalité Threat detection (control plane) est désactivée. En savoir plus sur la disponibilité des fonctionnalités.

   • La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité Découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.

   • L’évaluation de la vulnérabilité des conteneurs sans agent assure la gestion de la vulnérabilité des images stockées dans ECR et des images en cours d’exécution sur vos clusters EKS. Pour activer la fonctionnalité Évaluation de la vulnérabilité des conteneurs sans agent, basculez le paramètre sur Activé.

5. Passez en revue les pages restantes de l’Assistant Connecteur.

6. Si vous activez la fonctionnalité Découverte sans agent pour Kubernetes, vous devez accorder des autorisations de plan de contrôle sur le cluster. Vous pouvez le faire de l’une des manières suivantes :

   • Exécutez ce script Python pour octroyer les autorisations. Le script ajoute le rôle MDCContainersAgentlessDiscoveryK8sRole de Defender pour le cloud au ConfigMap aws-auth des clusters EKS que vous souhaitez intégrer.

   • Octroyez à chaque cluster Amazon EKS le rôle MDCContainersAgentlessDiscoveryK8sRole avec la possibilité d’interagir avec le cluster. Connectez-vous à tous les clusters existants et nouvellement créés à l’aide d’eksctl et exécutez le script suivant :

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Pour plus d’informations, consultez Activation de l’accès du principal IAM à votre cluster.

7. Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes doivent être installés et en cours d’exécution sur vos clusters EKS. Il existe des recommandations Defender pour le cloud dédiées pour installer ces extensions (et Azure Arc si nécessaire) :

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Pour chacune des recommandations, suivez les étapes ci-dessous pour installer les extensions nécessaires.

   Pour installer les extensions requises :

   1. Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations par son nom.

   2. Sélectionnez un cluster non sain.

      Important

      Vous devez sélectionner les clusters un par un.

      Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.

   3. Sélectionnez Corriger.

   4. Defender pour le cloud génère un script dans le langage de votre choix : sélectionnez Bash (pour Linux) ou PowerShell (pour Windows).

   5. Sélectionnez Télécharger la logique de correction.

   6. Exécutez le script généré sur votre cluster.

   7. Répétez les étapes « a » à « f » pour la deuxième recommandation.

   

Afficher les recommandations et les alertes pour vos clusters EKS

Conseil

Vous pouvez simuler des alertes de conteneur en suivant les instructions données dans ce billet de blog.

Pour afficher les alertes et les recommandations pour vos clusters EKS, utilisez les filtres sur les pages d’alertes, de recommandations et d’inventaire pour filtrer par type de ressource Cluster AWS EKS.

Déploiement du capteur Defender

Pour déployer le capteur Defender sur vos clusters AWS, effectuez ces étapes :

1. Accédez à Microsoft Defender pour le cloud –>Paramètres d’environnement –>Ajouter un environnement –>Amazon Web Services.

   

2. Renseignez les détails du compte.

   

3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

   

4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

   

5. Une fois le modèle Cloud Formation déployé avec succès, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster AWS spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Activer le plan

Important

Si vous n’avez pas encore connecté un projet GCP, connectez vos projets GCP à Microsoft Defender pour le cloud.

Pour protéger vos clusters GKE, vous devez activer le plan Conteneurs sur le projet GCP approprié.

Notes

Vérifiez que vous n'avez aucune stratégie Azure qui empêche l'installation d'Arc.

Pour protéger les clusters Google Kubernetes Engine (GKE) :

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Paramètres d’environnement.

3. Sélectionner le connecteur GCP approprié

   

4. Sélectionnez le bouton Suivant : Sélectionner des plans>.

5. Assurez-vous que le plan Conteneurs est activé.

   

6. Pour modifier les configurations facultatives du plan, sélectionnez Paramètres.

   

   • Journaux d’audit Kubernetes vers Defender pour le cloud : activés par défaut. Cette configuration est disponible au niveau du projet GCP uniquement. Elle fournit une collection sans agent des données du journal d’audit à travers GCP Cloud Logging vers le back-end de Microsoft Defender pour le cloud pour approfondir l’analyse. Defender pour les conteneurs nécessite des journaux d’audit du plan de contrôle pour fournir une protection contre les menaces au moment de l’exécution. Pour envoyer les journaux d’audit Kubernetes à Microsoft Defender, basculez le paramètre sur Activé.

     Remarque

     Si vous désactivez cette configuration, la fonctionnalité Threat detection (control plane) est désactivée. En savoir plus sur la disponibilité des fonctionnalités.

   • Approvisionnement automatique du capteur Defender pour Azure Arc et Approvisionnement automatique de l’extension Azure Policy pour Azure Arc : activés par défaut. Vous pouvez installer Kubernetes avec Azure Arc et ses extensions sur vos clusters GKE de trois façons différentes :

     • Activez le provisionnement automatique de Microsoft Defender pour les conteneurs au niveau du projet, comme expliqué dans les instructions de cette section. Nous recommandons cette méthode.
     • Utilisez les recommandations de Defender pour le cloud pour l’installation par cluster. Elles s’affichent sur la page des recommandations de Microsoft Defender pour le cloud. Découvrez comment déployer la solution sur des clusters spécifiques.
     • Installez manuellement Kubernetes avec Arcet les extensions.

   • La découverte sans agent pour Kubernetes fournit une découverte basée sur l’API de vos clusters Kubernetes. Pour activer la fonctionnalité de découverte sans agent pour Kubernetes, basculez le paramètre sur Activé.

   • L’évaluation des vulnérabilités des conteneurs sans agent fournit une gestion des vulnérabilités pour les images stockées dans les registres Google (GAR et GCR) et l’exécution d’images sur vos clusters GKE. Pour activer la fonctionnalité d’évaluation des vulnérabilités des conteneurs sans agent, basculez le paramètre sur Activé.

7. Sélectionnez le bouton Copier.

   

8. Sélectionnez le bouton GCP Cloud Shell >.

9. Collez le script dans le terminal Cloud Shell et exécutez-le.

Le connecteur sera mis à jour après l’exécution du script. Ce processus peut prendre jusqu’à 6-8 heures.

Déployer la solution sur des clusters spécifiques

Si vous désactivez toutes les configurations d’approvisionnement automatique par défaut, pendant le processus d’intégration du connecteur GCP, ou par la suite. Vous devez installer manuellement Kubernetes avec Azure Arc, le capteur Defender et Azure Policy pour Kubernetes sur chacun de vos clusters GKE afin de bénéficier au maximum de la sécurité de Defender pour les conteneurs.

Il existe 2 recommandations Defender pour le cloud dédiées que vous pouvez utiliser pour installer ces extensions (et Arc si nécessaire) :

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Notes

Lors de l'installation des extensions Arc, vous devez vérifier que le projet GCP fourni est identique à celui du connecteur concerné.

Pour déployer la solution sur des clusters spécifiques :

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Recommandations.

3. Dans la page Recommandations de Defender pour le cloud, recherchez l’une des recommandations par son nom.

   

4. Sélectionnez un cluster GKE non sain.

   Important

   Vous devez sélectionner les clusters un par un.

   Ne sélectionnez pas les clusters par leurs noms de liens hypertexte : sélectionnez n’importe où sur la ligne appropriée.

5. Sélectionnez le nom de la ressource non saine.

6. Sélectionnez Corriger.

   

7. Defender pour le cloud génère un script dans le langage de votre choix :

   • Pour Linux, sélectionnez Bash.
   • Pour Windows, sélectionnez PowerShell.

8. Sélectionnez Télécharger la logique de correction.

9. Exécutez le script généré sur votre cluster.

10. Répétez les étapes 3 à 8 pour la deuxième recommandation.

Afficher les alertes de votre cluster GKE

1. Connectez-vous au portail Azure.

2. Accédez à Microsoft Defender pour le cloud>Alertes de sécurité.

3. Sélectionnez le bouton .

4. Dans le menu déroulant Filtre, sélectionnez Type de ressource.

5. Dans le menu déroulant Valeur, sélectionnez Cluster GCP GKE.

6. Sélectionnez OK.

Déploiement du capteur Defender

Pour déployer le capteur Defender sur vos clusters GCP, effectuez ces étapes :

1. Accédez à Microsoft Defender pour le cloud –>Paramètres d’environnement –>Ajouter un environnement –>Google Cloud Platform.

   

2. Renseignez les détails du compte.

   

3. Accédez à Sélectionner des plans, ouvrez le plan Conteneurs et vérifiez que l’option Approvisionner automatiquement le capteur Defender pour Azure Arc est activée.

   

4. Accédez à Configurer l’accès et suivez les étapes ci-dessous.

   

5. Une fois le script gcloud exécuté, sélectionnez Créer.

Remarque

Vous pouvez exclure un cluster GCP spécifique de l’approvisionnement automatique. Pour le déploiement du capteur, appliquez l’étiquette ms_defender_container_exclude_agents sur la ressource avec la valeur true. Pour le déploiement sans agent, appliquez l’étiquette ms_defender_container_exclude_agentless à la ressource avec la valeur true.

Simuler des alertes de sécurité à partir de Microsoft Defender pour les conteneurs

La liste complète des alertes prises en charge est disponible dans le tableau de référence de toutes les alertes de sécurité Defender pour le cloud.

1. Pour simuler une alerte de sécurité, exécutez la commande suivante à partir du cluster :

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   La réponse attendue est No resource found.

   Dans les 30 minutes, Defender pour le cloud détecte cette activité et déclenche une alerte de sécurité.

   Remarque

   Pour simuler des alertes sans agent pour Defender pour les conteneurs, Azure Arc n’est pas une condition préalable.

2. Dans le Portail Azure, ouvrez la page des alertes de sécurité de Microsoft Defender pour le cloud et recherchez l’alerte sur la ressource concernée :

   

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud ou toute autre extension, désactiver le provisionnement automatique ne suffit pas :

• L’activation du provisionnement automatique peut avoir un impact sur les machines existantes et futures.
• La désactivation du provisionnement automatique pour une extension affecte uniquement les machines futures. Cette opération ne désinstalle aucun élément.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez le plan Microsoft Defender pour les conteneurs.

Néanmoins, pour garantir que les composants Defender pour les conteneurs ne sont pas désormais automatiquement provisionnés sur vos ressources, désactivez le provisionnement automatique des extensions, comme expliqué dans Configurer le provisionnement automatique pour les agents et les extensions à partir de Microsoft Defender pour le cloud.

Vous pouvez supprimer l’extension à l’aide du portail Azure, d’Azure CLI ou de l’API REST, comme expliqué dans les onglets ci-dessous.

Azure portal – Arc

Utiliser le portail Azure pour supprimer l’extension

1. Dans le portail Azure, ouvrez Azure Arc.

2. Dans la liste d’infrastructures, sélectionnez Clusters Kubernetes, puis choisissez le cluster spécifique.

3. Ouvrez la page Extensions. Les extensions sur le cluster sont répertoriées.

4. Sélectionnez le cluster, puis choisissez Désinstaller.

   

Azure CLI

Utiliser Azure CLI pour supprimer le capteur Defender

1. Supprimez l’extension Microsoft Defender pour Kubernetes avec Azure Arc à l’aide des commandes suivantes :

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Il est possible que la suppression de l’extension prenne quelques minutes. Nous vous recommandons d’attendre avant d’essayer de vérifier qu’elle a réussi.

2. Pour vérifier que l’extension a été supprimée avec succès, exécutez les commandes suivantes :

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Après cela, vérifiez qu’aucun pod sous l’espace de noms mdc ne figure sur le cluster en exécutant la commande suivante avec le fichier kubeconfig pointé vers votre cluster :

   kubectl get pods -n mdc
   

   La suppression des pods peut prendre quelques minutes.

API REST

Utiliser l’API REST pour supprimer le capteur Defender

Pour supprimer l’extension à l’aide de l’API REST, exécutez la commande DELETE suivante :

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nom	Dans	Obligatoire	Type	Description
Identifiant d’abonnement	Chemin d’accès	True	String	ID d’abonnement de votre cluster Kubernetes avec Azure Arc
Groupe de ressources	Chemin d’accès	True	String	Groupe de ressources de votre cluster Kubernetes avec Azure Arc
Nom du cluster	Chemin d’accès	True	String	Nom de votre cluster Kubernetes avec Azure Arc

Pour l’authentification, votre en-tête doit avoir un jeton du porteur (comme pour d’autres API Azure). Pour obtenir un jeton du porteur, exécutez la commande suivante :

az account get-access-token --subscription <your-subscription-id>

Il est possible que l’exécution de la demande prenne plusieurs minutes.

Espace de travail Log Analytics par défaut pour AKS

L’espace de travail Log Analytics est utilisé par le capteur Defender comme pipeline de données pour envoyer des données du cluster à Defender pour le cloud sans conserver de données dans l’espace de travail Log Analytics lui-même. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’usage.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas encore d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut quand vous installez le capteur Defender. L’espace de travail par défaut est créé en fonction de votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

• Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
• Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Quand vous activez l’option de provisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Stratégie.

   

3. Sélectionnez Définitions.

4. Recherchez l’ID de stratégie 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Sélectionnez Configurer les clusters Azure Kubernetes Service pour activer le profil Defender.

6. Sélectionnez Attribution.

   

7. Suivez les étapes de la section Créer une attribution avec un espace de travail personnalisé si la stratégie n’a pas encore été affectée à l’étendue concernée. Ou bien suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé si la stratégie est déjà attribuée et que vous voulez la modifier pour utiliser un espace de travail personnalisé.

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’a pas été attribuez, vous verrez Assignments (0).

Pour affecter un espace de travail personnalisé :

1. Sélectionnez Attribuer.

2. Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

3. Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.

   

4. Sélectionnez Revoir + créer.

5. Sélectionnez Create (Créer).

Créer une attribution avec un espace de travail personnalisé

Si la stratégie a déjà été attribuée à un espace de travail, vous verrez Assignments (1).

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand.

Pour affecter un espace de travail personnalisé :

1. Sélectionnez l’assignation correspondante.

   

2. Sélectionnez Modifier l’attribution.

3. Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

4. Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.

   

5. Sélectionnez Vérifier + enregistrer.

6. Sélectionnez Enregistrer.

Espace de travail Log Analytics par défaut pour Arc

L’espace de travail Log Analytics est utilisé par le capteur Defender comme pipeline de données pour envoyer des données du cluster à Defender pour le cloud sans conserver de données dans l’espace de travail Log Analytics lui-même. Par conséquent, les utilisateurs ne sont pas facturés dans ce cas d’usage.

Le capteur Defender utilise un espace de travail Log Analytics par défaut. Si vous n’avez pas encore d’espace de travail Log Analytics par défaut, Defender pour le cloud crée un groupe de ressources et un espace de travail par défaut quand vous installez le capteur Defender. L’espace de travail par défaut est créé en fonction de votre région.

La convention d’affectation de noms de l’espace de travail et du groupe de ressources Log Analytics par défaut est la suivante :

• Espace de travail : DefaultWorkspace-[ID d’abonnement]-[zone géographique]
• Groupe de ressources : DefaultResourceGroup-[geo]

Attribuer un espace de travail personnalisé

Quand vous activez l’option de provisionnement automatique, un espace de travail par défaut est automatiquement attribué. Vous pouvez affecter un espace de travail personnalisé via Azure Policy.

Pour vérifier si vous avez un espace de travail attribué :

1. Connectez-vous au portail Azure.

2. Recherchez et sélectionnez Stratégie.

   

3. Sélectionnez Définitions.

4. Recherchez l’ID de stratégie 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Sélectionnez Configurez les clusters Kubernetes compatibles avec Azure Arc pour installer l’extension Microsoft Defender pour le cloud.

6. Sélectionnez Affectations.

   

7. Suivez les étapes de la section Créer une attribution avec un espace de travail personnalisé si la stratégie n’a pas encore été affectée à l’étendue concernée. Ou bien suivez les étapes de la section Mettre à jour une attribution avec l’espace de travail personnalisé si la stratégie est déjà attribuée et que vous voulez la modifier pour utiliser un espace de travail personnalisé.

Créer une attribution avec un espace de travail personnalisé

Si la stratégie n’a pas été attribuez, vous verrez Assignments (0).

Pour affecter un espace de travail personnalisé :

1. Sélectionnez Attribuer.

2. Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

3. Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.

   

4. Sélectionnez Revoir + créer.

5. Sélectionnez Create (Créer).

Créer une attribution avec un espace de travail personnalisé

Si la stratégie a déjà été attribuée à un espace de travail, vous verrez Assignments (1).

Remarque

Si vous avez plusieurs abonnements, il est possible que le nombre soit plus grand. Si vous avez un nombre 1 ou plus, il est possible que l’attribution ne soit pas encore sur l’étendue appropriée. Le cas échéant, vous devez suivre les étapes de la section Créer une attribution avec un espace de travail personnalisé.

Pour affecter un espace de travail personnalisé :

1. Sélectionnez l’assignation correspondante.

   

2. Sélectionnez Modifier l’attribution.

3. Sous l’onglet Paramètres, désélectionnez l’option Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.

4. Sélectionnez un ID LogAnalyticsWorkspaceResource dans le menu déroulant.

   

5. Sélectionnez Vérifier + enregistrer.

6. Sélectionnez Enregistrer.

Supprimer le capteur Defender

Pour supprimer cette extension Defender pour le cloud ou toute autre extension, désactiver le provisionnement automatique ne suffit pas :

• L’activation du provisionnement automatique peut avoir un impact sur les machines existantes et futures.
• La désactivation du provisionnement automatique pour une extension affecte uniquement les machines futures. Cette opération ne désinstalle aucun élément.

Remarque

Pour désactiver entièrement le plan Defender pour les conteneurs, accédez à Paramètres d’environnement et désactivez le plan Microsoft Defender pour les conteneurs.

Néanmoins, pour garantir que les composants Defender pour les conteneurs ne sont pas désormais automatiquement provisionnés sur vos ressources, désactivez le provisionnement automatique des extensions, comme expliqué dans Configurer le provisionnement automatique pour les agents et les extensions à partir de Microsoft Defender pour le cloud.

Vous pouvez supprimer l’agent à l’aide de l’API REST ou d’un modèle Resource Manager, comme expliqué dans les onglets ci-dessous.

REST API

Utiliser l’API REST pour supprimer le capteur Defender d’AKS

Pour supprimer l’agent à l’aide de l’API REST, exécutez la commande PUT suivante :

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nom	Description	Obligatoire
SubscriptionId	ID de l’abonnement du cluster	Yes
ResourceGroup	Groupe de ressources du cluster	Yes
ClusterName	Nom du cluster	Yes
ApiVersion	Version de l’API obligatoirement >= 2022-06-01	Yes

Corps de la demande :

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Paramètres du corps de la requête :

Name	Description	Obligatoire
location	Emplacement du cluster	Oui
properties.securityProfile.defender.securityMonitoring.enabled	Détermine s’il faut activer ou désactiver Microsoft Defender pour les conteneurs sur le cluster	Oui

Azure CLI

Utiliser Azure CLI pour supprimer le capteur Defender

1. Supprimez le profil Microsoft Defender avec les commandes suivantes :

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Il est possible que la suppression de l’extension prenne quelques minutes.

2. Pour vérifier que l’agent a été correctement supprimé, exécutez les commandes suivantes :

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Lorsque l’extension est supprimée, vous devriez voir qu’aucun pod n’est retourné dans la commande get pods. La suppression des pods peut prendre quelques minutes.

Gestionnaire de ressources

Utiliser Azure Resource Manager pour supprimer le capteur Defender d’AKS

Pour utiliser Azure Resource Manager afin de supprimer le capteur Defender, vous avez besoin d’un espace de travail Log Analytics sur votre abonnement. En savoir plus sur les Espaces de travail Log Analytics.

Conseil

Si vous ne connaissez pas les modèles Resource Manager, commencez ici : Que sont les modèles Azure Resource Manager ?

Le modèle et les paramètres appropriés pour supprimer le capteur Defender d’AKS sont les suivants :

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

En savoir plus

Vous pouvez consulter les blogs suivants :

• Protéger vos charges de travail Google Cloud avec Microsoft Defender pour le cloud
• Présentation de Microsoft Defender pour les conteneurs
• Nouveau nom pour la sécurité multicloud : Microsoft Defender pour le cloud

Étapes suivantes

Maintenant que vous avez activé Defender pour les conteneurs, vous pouvez :

• Analyser vos images ACR à la recherche de vulnérabilités
• Analysez vos images AWS pour détecter les vulnérabilités avec la Gestion des vulnérabilités Microsoft Defender
• Analysez vos images GGP pour détecter les vulnérabilités avec la Gestion des vulnérabilités Microsoft Defender
• Consultez les questions courantes sur Defender pour les conteneurs.