A Microsoft Defender for Containers összetevőinek konfigurálása

A Microsoft Defender for Containers a tárolók biztonságossá tételének felhőalapú natív megoldása.

A Defender tárolókhoz a következők mindegyikében futó fürtöknek védelmet nyújt:

• Azure Kubernetes Service (AKS) – A Microsoft felügyelt szolgáltatása tárolóalapú alkalmazások fejlesztésére, üzembe helyezésére és kezelésére.

• Amazon Elastic Kubernetes Service (EKS) egy csatlakoztatott Amazon Web Services -fiókban – Az Amazon felügyelt szolgáltatása a Kubernetes AWS-en való futtatásához anélkül, hogy saját Kubernetes-vezérlősíkot vagy csomópontokat kellene telepítenie, üzemeltetnie és karbantartania.

• Google Kubernetes Engine (GKE) egy csatlakoztatott Google Cloud Platform (GCP) projektben – A Google felügyelt környezete alkalmazások GCP-infrastruktúrával történő üzembe helyezéséhez, kezeléséhez és méretezéséhez.

• Egyéb Kubernetes-disztribúciók (az Azure Arc-kompatibilis Kubernetes használatával) – Cloud Native Computing Foundation (CNCF) minősített Kubernetes-fürtök, amelyek a helyszínen vagy az IaaS-en üzemelnek. További információkért tekintse meg a támogatott funkciók környezet szerinti helyszíni/IaaS (Arc) szakaszát.

Erről a csomagról a Microsoft Defender for Containers áttekintésében olvashat.

Az alábbi cikkekből megtudhatja, hogyan csatlakoztathatja és védheti a tárolókat:

• Az Azure-tárolók védelme a Defender for Containers használatával
• A helyszíni Kubernetes-fürtök védelme a Defender for Containers használatával
• Az Amazon Web Service -fiókok (AWS- és AWS-fiókok) védelme a Defender for Containers szolgáltatással
• A Google Cloud Platform (GCP) projekttárolóinak védelme a Defender for Containers használatával

További információt a mező videósorozat Felhőhöz készült Defender alábbi videóiból is megtudhat:

• Microsoft Defender tárolókhoz többfelhős környezetben
• Tárolók védelme a GCP-ben a Defender for Containers használatával

Feljegyzés

A Defender for Containers arc-kompatibilis Kubernetes-fürtökhöz nyújtott támogatása előzetes verziójú funkció. Az előzetes verziójú funkció önkiszolgáló, opt-in alapon érhető el.

Az előzetes verziókat "ahogy van" és "rendelkezésre állóként" biztosítjuk, és nem tartoznak a szolgáltatásiszint-szerződésekbe és korlátozott jótállásba.

A támogatott operációs rendszerekről, a szolgáltatások rendelkezésre állásáról, a kimenő proxyról és egyebekről a Defender for Containers szolgáltatás rendelkezésre állásáról olvashat.

Hálózati követelmények

Ellenőrizze, hogy a következő végpontok vannak-e konfigurálva a kimenő hozzáféréshez, hogy a Defender-érzékelő kapcsolódni tud Felhőhöz készült Microsoft Defender biztonsági adatok és események küldéséhez:

Tekintse meg a Microsoft Defender for Containershez szükséges teljes tartománynév-/alkalmazásszabályokat.

Alapértelmezés szerint az AKS-fürtök korlátlan kimenő internetkapcsolattal rendelkeznek.

Hálózati követelmények

Figyelemfelhívás

Ez a cikk a CentOS-ra, egy olyan Linux-disztribúcióra hivatkozik, amely közel áll az élettartam (EOL) állapotához. Ennek megfelelően fontolja meg a használatot és a tervezést. További információ: CentOS End Of Life útmutató.

Ellenőrizze, hogy a következő végpontok vannak-e konfigurálva a kimenő hozzáféréshez, hogy a Defender-érzékelő kapcsolódni tud Felhőhöz készült Microsoft Defender biztonsági adatok és események küldéséhez:

Nyilvános felhőbeli üzemelő példányok esetén:

Azure Domain	Azure Government Domain	A 21Vianet Domain által üzemeltetett Microsoft Azure	Kikötő
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

A következő tartományokra csak akkor van szükség, ha megfelelő operációs rendszert használ. Ha például EKS-fürtök futnak az AWS-ben, akkor csak a Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" tartományt kell alkalmaznia.

Tartomány	Kikötő	Gazdagép operációs rendszerei
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
yum alapértelmezett adattárak	-	RHEL / Centos
apt alapértelmezett adattárak	-	Debian

Emellett ellenőriznie kell az Azure Arc-kompatibilis Kubernetes hálózati követelményeit is.

A csomag engedélyezése

A terv engedélyezése:

1. A Felhőhöz készült Defender menüjében nyissa meg a Gépház lapot, és válassza ki a megfelelő előfizetést.

2. A Defender csomagok lapján válassza a Defender for Containers lehetőséget, majd válassza a Gépház.

   

   Tipp.

   Ha az előfizetésben már engedélyezve van a Kubernetes Defender és/vagy a Tárolóregisztrációs adatbázisokhoz készült Defender, megjelenik egy frissítési értesítés. Ellenkező esetben az egyetlen lehetőség a Defender for Containers lesz.

   

3. Kapcsolja be a megfelelő összetevőt az engedélyezéséhez.

   

   Feljegyzés

   • A Defenders for Containers azon ügyfeleinek, akik 2023 augusztusa előtt csatlakoztak, és nem engedélyezték a Kubernetes ügynök nélküli felderítését a Defender CSPM részeként, amikor engedélyezték a tervet, manuálisan engedélyezniük kell a Kubernetes-bővítmény ügynök nélküli felderítését a Defender for Containers csomagban.
   • Ha kikapcsolja a Defender for Containers szolgáltatást, az összetevők ki vannak kapcsolva, és nem lesznek üzembe helyezve további tárolókban, de nem távolítják el őket a már telepített tárolókból.

Engedélyezési módszer képességenként

Alapértelmezés szerint a csomag Azure Portalon keresztüli engedélyezésekor a Microsoft Defender for Containers úgy van konfigurálva, hogy automatikusan engedélyezze az összes képességet, és telepítse az összes szükséges összetevőt a csomag által kínált védelem biztosításához, beleértve az alapértelmezett munkaterület hozzárendelését is.

Ha nem szeretné engedélyezni a csomagok összes funkcióját, manuálisan kiválaszthatja, hogy mely képességeket szeretné engedélyezni a Tárolók csomag konfigurációjának szerkesztésével. Ezután a Gépház & monitorozási lapon válassza ki az engedélyezni kívánt képességeket. A konfigurációt a Defender csomagok lapján is módosíthatja a csomag kezdeti konfigurálása után.

Az egyes képességek engedélyezési módszerével kapcsolatos részletes információkért tekintse meg a támogatási mátrixot.

Szerepkörök és engedélyek

További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.

Egyéni munkaterület hozzárendelése a Defender-érzékelőhöz

Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.

A Defender-érzékelő vagy az Azure Policy Agent manuális üzembe helyezése automatikus üzembe helyezés nélkül, javaslatok használatával

Az érzékelőtelepítést igénylő képességek egy vagy több Kubernetes-fürtön is üzembe helyezhetők a megfelelő javaslat alapján:

Érzékelő	Ajánlás
Defender-érzékelő a Kuberneteshez	Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt
Defender Sensor for Arc-enabled Kubernetes	Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
Azure policy agent for Kubernetes	Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a Kubernetes Azure Policy bővítményével
Azure policy agent for Arc-enabled Kubernetes	Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek

Hajtsa végre az alábbi lépéseket a Defender-érzékelő adott fürtökön való üzembe helyezéséhez:

1. A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget, vagy keressen közvetlenül a fenti javaslatok egyikére (vagy használja a fenti hivatkozásokat a javaslat közvetlen megnyitásához)

2. Az összes olyan fürt megtekintése, amely nem rendelkezik érzékelővel, a nem megfelelő állapotú lapon.

3. Jelölje ki a fürtöket a kívánt érzékelő üzembe helyezéséhez, és válassza a Javítás lehetőséget.

4. Válassza az X-erőforrások javítása lehetőséget.

A Defender-érzékelő üzembe helyezése – minden lehetőség

Engedélyezheti a Defender for Containers-csomagot, és üzembe helyezheti az összes releváns összetevőt az Azure Portalról, a REST API-ból vagy egy Resource Manager-sablonnal. A részletes lépésekért válassza a megfelelő lapot.

A Defender-érzékelő üzembe helyezése után a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Az alapértelmezett munkaterület helyett egyéni munkaterületet rendelhet hozzá az Azure Policy használatával.

Feljegyzés

A Defender-érzékelő minden csomóponton üzembe van helyezve, hogy biztosítsa a futásidejű védelmet, és eBPF-technológiával gyűjtsön jeleket ezekről a csomópontokról.

Azure Portalra

A javítás gomb használata a Felhőhöz készült Defender javaslatból

Az egyszerűsített, súrlódásmentes folyamat lehetővé teszi, hogy az Azure Portal lapjaival engedélyezze a Felhőhöz készült Defender tervét, és beállítsa az összes szükséges összetevő automatikus kiépítését a Kubernetes-fürtök nagy léptékű védelméhez.

Egy dedikált Felhőhöz készült Defender javaslat a következőt nyújtja:

• Annak láthatósága , hogy melyik fürtön van üzembe helyezve a Defender-érzékelő
• Javítás gomb az érzékelő nélküli fürtökre való üzembe helyezéshez

1. A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget.

2. A szűrővel megkeresheti az Azure Kubernetes Service-fürtökre vonatkozó javaslatot, ha engedélyezve van a Defender-profil.

   Tipp.

   Figyelje meg a Javítás ikont a Műveletek oszlopban

3. Válassza ki a fürtöket az kifogástalan és nem kifogástalan erőforrások részleteinek megtekintéséhez – az érzékelővel és anélkül rendelkező fürtökről.

4. A nem megfelelő erőforrások listájában válasszon ki egy fürtöt, majd a Szervizelés lehetőséget választva nyissa meg a panelt a szervizelési megerősítéssel.

5. Válassza az X-erőforrások javítása lehetőséget.

REST API

A DEFENDER-érzékelő üzembe helyezése a REST API használatával

A "SecurityProfile" rest API-val rendelkező meglévő fürtre való telepítéséhez futtassa a következő PUT parancsot:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI kérése: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Lekérdezési paraméterek kérése:

Név	Leírás	Kötelező
SubscriptionId	A fürt előfizetés-azonosítója	Igen
ResourceGroup	Fürt erőforráscsoportja	Igen
ClusterName	Fürt neve	Igen
ApiVersion	AZ API-verziónak = 2022-06-01-nek kell lennie >	Igen

Kérés szövegtörzse:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Törzsparaméterek kérése:

Név	Leírás	Kötelező
hely	A fürt helye	Igen
properties.securityProfile.defender.securityMonitoring.enabled	Meghatározza, hogy engedélyezi vagy letiltja-e a Microsoft Defender for Containerst a fürtön	Igen
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Log Analytics-munkaterület Azure-erőforrás-azonosítója	Igen

Azure CLI

A Defender-érzékelő üzembe helyezése az Azure CLI használatával

1. Jelentkezzen be az Azure-ba:

   az login
   az account set --subscription <your-subscription-id>
   

   Fontos

   Győződjön meg arról, hogy ugyanazt az előfizetés-azonosítót <your-subscription-id> használja, mint az AKS-fürthöz társított.

2. Engedélyezze a Defender-érzékelőt a tárolókon:

   • Futtassa a következő parancsot egy új fürt létrehozásához, amelyen engedélyezve van a Defender-érzékelő:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Futtassa a következő parancsot a Defender-érzékelő meglévő fürtön való engedélyezéséhez:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   A Defender-érzékelő típusának összes támogatott konfigurációs beállításának leírását az alábbiakban találja:

   Tulajdonság

   Leírás

   logAnalyticsWorkspaceResourceId

   Választható. Saját Log Analytics-munkaterület teljes erőforrás-azonosítója. Ha nincs megadva, a rendszer a régió alapértelmezett munkaterületét használja. A teljes erőforrás-azonosító lekéréséhez futtassa az alábbi parancsot a munkaterületek listájának alapértelmezett JSON-formátumban való megjelenítéséhez az előfizetésekben: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json A Log Analytics-munkaterület erőforrás-azonosítója a következő szintaxist tartalmazza: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Elemzések/workspaces/{your-workspace-name}. További információ a Log Analytics-munkaterületekről

   Ezeket a beállításokat belefoglalhatja egy JSON-fájlba, és megadhatja a JSON-fájlt a az aks create következő paraméterrel és az aks update parancsokkal: --defender-config <path-to-JSON-file>. A JSON-fájl formátumának a következőnek kell lennie:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   További információ az AKS CLI-parancsokról az az aks-ben.

3. Az érzékelő sikeres hozzáadásának ellenőrzéséhez futtassa a következő parancsot a számítógépen a kubeconfig fürtre mutatott fájllal:

   kubectl get pods -n kube-system
   

   Az érzékelő hozzáadásakor látnia kell egy podot, amely állapotban Running vanmicrosoft-defender-XXXXX. A podok hozzáadása eltarthat néhány percig.

Resource Manager

Az Azure Resource Manager használata a Defender-érzékelő üzembe helyezéséhez

Ha az Azure Resource Managerrel szeretné üzembe helyezni a Defender-érzékelőt, szüksége lesz egy Log Analytics-munkaterületre az előfizetésében. További információ a Log Analytics-munkaterületekről.

Tipp.

Ha még nem ismeri a Resource Manager-sablonokat, kezdje itt: Mik azok az Azure Resource Manager-sablonok?

A "SecurityProfile" telepítése meglévő fürtre a Resource Managerrel:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

A csomag engedélyezése

A terv engedélyezése:

1. A Felhőhöz készült Defender menüjében nyissa meg a Gépház lapot, és válassza ki a megfelelő előfizetést.

2. A Defender csomagok lapján válassza a Defender for Containers lehetőséget, majd válassza a Gépház.

   Tipp.

   Ha az előfizetésben már engedélyezve van a Kubernetes Defender vagy a Tárolóregisztrációs adatbázisokhoz készült Defender, megjelenik egy frissítési értesítés. Ellenkező esetben az egyetlen lehetőség a Defender for Containers lesz.

   

3. Kapcsolja be a megfelelő összetevőt az engedélyezéséhez.

   

   Feljegyzés

   Ha kikapcsolja a Defender for Containers szolgáltatást, az összetevők ki vannak kapcsolva, és nem lesznek üzembe helyezve további tárolókban, de nem távolítják el őket a már telepített tárolókból.

Alapértelmezés szerint, amikor az Azure Portalon keresztül engedélyezi a csomagot, a Microsoft Defender for Containers úgy van konfigurálva, hogy automatikusan telepítse a szükséges összetevőket a csomag által kínált védelem biztosításához, beleértve az alapértelmezett munkaterület hozzárendelését is.

Ha le szeretné tiltani az összetevők automatikus telepítését az előkészítési folyamat során, válassza a Tárolók csomag konfigurációjának szerkesztése lehetőséget. Megjelennek a Speciális beállítások, és letilthatja az egyes összetevők automatikus telepítését.

Emellett ezt a konfigurációt a Defender csomagok oldaláról is módosíthatja.

Feljegyzés

Ha úgy dönt, hogy bármikor letiltja a csomagot , miután engedélyezte a portálon a fent látható módon, manuálisan el kell távolítania a fürtökön üzembe helyezett Defender for Containers-összetevőket.

Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.

Ha bármely összetevő automatikus telepítését letiltja, a megfelelő javaslattal egyszerűen üzembe helyezheti az összetevőt egy vagy több fürtön:

• Házirend-bővítmény a Kuberneteshez – Az Azure Kubernetes Service-fürtöknek telepítve kell lenniük a KubernetesHez készült Azure Policy-bővítménynek
• Azure Kubernetes Service-profil – Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt
• Azure Arc-kompatibilis Kubernetes-bővítmény – Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie a Defender-bővítménynek
• Azure Arc-kompatibilis Kubernetes Policy-bővítmény – Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük az Azure Policy-bővítménysel

További információ a Defender for Containers bővítmények kiépítéséhez használt szerepkörökről.

Előfeltételek

Az érzékelő üzembe helyezése előtt győződjön meg arról, hogy:

• A Kubernetes-fürt Csatlakozás az Azure Arcba
• Töltse ki az általános fürtbővítmények dokumentációjában felsorolt előfeltételeket.

A Defender-érzékelő üzembe helyezése

A Defender-érzékelőt többféle módszerrel is üzembe helyezheti. A részletes lépésekért válassza a megfelelő lapot.

Azure Portal

A javítás gomb használata a Felhőhöz készült Defender javaslatból

Egy dedikált Felhőhöz készült Defender javaslat a következőt nyújtja:

• Annak láthatósága , hogy melyik fürtön van üzembe helyezve a Defender-érzékelő
• Javítás gomb az érzékelő nélküli fürtökre való üzembe helyezéshez

1. A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg a Fokozott biztonság szabályozásának engedélyezése lehetőséget.

2. A szűrővel keresse meg az Azure Arc-kompatibilis Kubernetes-fürtökre vonatkozó javaslatot, Felhőhöz készült Defender bővítményének telepítve kell lennie.

   

   Tipp.

   Figyelje meg a Javítás ikont a Műveletek oszlopban

3. Válassza ki az érzékelőt az egészséges és nem kifogástalan erőforrások – az érzékelővel és anélkül rendelkező fürtök részleteinek megtekintéséhez.

4. A nem megfelelő erőforrások listájában válasszon ki egy fürtöt, majd a Szervizelés lehetőséget választva nyissa meg a panelt a szervizelési beállításokkal.

5. Válassza ki a megfelelő Log Analytics-munkaterületet, és válassza az X-erőforrás szervizelése lehetőséget.

   

Azure CLI

A Defender-érzékelő üzembe helyezése az Azure CLI használatával

1. Jelentkezzen be az Azure-ba:

   az login
   az account set --subscription <your-subscription-id>
   

   Fontos

   Győződjön meg arról, hogy ugyanazt az előfizetés-azonosítót <your-subscription-id> használja, mint amelyet a fürt Azure Archoz való csatlakoztatásakor használt.

2. Futtassa a következő parancsot az érzékelő Azure Arc-kompatibilis Kubernetes-fürtre való üzembe helyezéséhez:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   A Defender-érzékelő típusának összes támogatott konfigurációs beállításának leírását az alábbiakban találja:

   Tulajdonság	Leírás
   logAnalyticsWorkspaceResourceID	Választható. Saját Log Analytics-munkaterület teljes erőforrás-azonosítója. Ha nincs megadva, a rendszer a régió alapértelmezett munkaterületét használja. A teljes erőforrás-azonosító lekéréséhez futtassa az alábbi parancsot a munkaterületek listájának alapértelmezett JSON-formátumban való megjelenítéséhez az előfizetésekben: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json A Log Analytics-munkaterület erőforrás-azonosítója a következő szintaxist tartalmazza: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.Operational Elemzések/workspaces/{your-workspace-name}. További információ a Log Analytics-munkaterületekről
   auditLogPath	Választható. A naplózási naplófájlok teljes elérési útja. Ha nincs megadva, a rendszer az alapértelmezett elérési utat /var/log/kube-apiserver/audit.log használja. Az AKS Engine esetében a szabványos elérési út /var/log/kubeaudit/audit.log

   Az alábbi parancs az összes választható mező példahasználatát mutatja be:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Az Azure Resource Manager használata a Defender-érzékelő üzembe helyezéséhez

Ha az Azure Resource Managerrel szeretné üzembe helyezni a Defender-érzékelőt, szüksége lesz egy Log Analytics-munkaterületre az előfizetésében. További információ a Log Analytics-munkaterületekről.

A azure-defender-extension-arm-template.json Resource Manager-sablont használhatja Felhőhöz készült Defender telepítési példáiból.

Tipp.

Ha még nem ismeri a Resource Manager-sablonokat, kezdje itt: Mik azok az Azure Resource Manager-sablonok?

REST API

A Defender-érzékelő üzembe helyezése a REST API használatával

Ha a REST API-t szeretné használni a Defender-érzékelő üzembe helyezéséhez, szüksége lesz egy Log Analytics-munkaterületre az előfizetésében. További információ a Log Analytics-munkaterületekről.

Tipp.

Az API a Defender-érzékelő üzembe helyezéséhez a legegyszerűbben a Postman Collection JSON-példával használható, Felhőhöz készült Defender telepítési példáiból.

• A Postman Collection JSON módosításához vagy az érzékelő REST API-val történő manuális üzembe helyezéséhez futtassa a következő PUT parancsot:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Ahol:

  Név	In	Kötelező	Típus	Leírás
  Előfizetés azonosítója	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-erőforrás előfizetés-azonosítója
  Erőforráscsoport	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-erőforrást tartalmazó erőforráscsoport neve
  Fürt neve	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-erőforrás neve

  A hitelesítéshez a fejlécnek rendelkeznie kell tulajdonosi jogkivonattal (más Azure API-khoz hasonlóan). A tulajdonosi jogkivonat lekéréséhez futtassa a következő parancsot:

  az account get-access-token --subscription <your-subscription-id> Használja a következő struktúrát az üzenet törzséhez:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  A tulajdonságok leírása az alábbiakban található:

  Tulajdonság	Leírás
  logAnalytics.workspaceId	A Log Analytics-erőforrás munkaterület-azonosítója
  logAnalytics.key	A Log Analytics-erőforrás kulcsa
  auditLogPath	Választható. A naplózási naplófájlok teljes elérési útja. Az alapértelmezett érték a következő: /var/log/kube-apiserver/audit.log

Az üzemelő példány ellenőrzése

Annak ellenőrzéséhez, hogy a fürtön telepítve van-e a Defender-érzékelő, kövesse az alábbi fülek egyikének lépéseit:

Azure Portal – Felhőhöz készült Defender

Az érzékelő állapotának ellenőrzéséhez használja Felhőhöz készült Defender javaslatot

1. A Felhőhöz készült Microsoft Defender javaslatoldalán nyissa meg az Engedélyezés Felhőhöz készült Microsoft Defender biztonsági vezérlőt.

2. Válassza ki az Azure Arc-kompatibilis Kubernetes-fürtökre vonatkozó javaslatot, Felhőhöz készült Microsoft Defender bővítményének telepítve kell lennie.

   

3. Ellenőrizze, hogy az a fürt, amelyre telepítette az érzékelőt, kifogástalan állapotú-e.

Azure Portal – Azure Arc

Az Érzékelő állapotának ellenőrzéséhez használja az Azure Arc-oldalakat

1. Nyissa meg az Azure Arcot az Azure Portalon.

2. Az infrastruktúra listájában válassza ki a Kubernetes-fürtöket , majd válassza ki az adott fürtöt.

3. Nyissa meg a bővítmények lapot. A fürt bővítményei szerepelnek a listán. Annak ellenőrzéséhez, hogy a Defender-érzékelő megfelelően lett-e telepítve, ellenőrizze a Telepítés állapotoszlopot .

   

4. További részletekért válassza ki a bővítményt.

   

Azure CLI

Az Azure CLI használatával ellenőrizze, hogy az érzékelő telepítve van-e

1. Futtassa a következő parancsot az Azure CLI-n:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. A válaszban keresse meg a "extensionType" kifejezést: "microsoft.azuredefender.kubernetes" és "installState": "Installed".

   Feljegyzés

   Előfordulhat, hogy az "installState": "Pending" (Függőben) érték jelenik meg az első néhány percben.

3. Ha az állapot a Telepített állapotot mutatja, futtassa a következő parancsot a számítógépen a kubeconfig fürtre mutatott fájllal, és ellenőrizze, hogy az mdc névtérben lévő összes pod "Fut" állapotban van-e:

   kubectl get pods -n mdc
   

REST API

Az érzékelő üzembe helyezésének ellenőrzéséhez használja a REST API-t

Sikeres üzembe helyezés megerősítése vagy az érzékelő állapotának ellenőrzése bármikor:

1. Futtassa a következő GET parancsot:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. A válaszban keresse meg a "extensionType" kifejezést: "microsoft.azuredefender.kubernetes" for "installState": "Installed".

   Tipp.

   Előfordulhat, hogy az "installState": "Pending" (Függőben) érték jelenik meg az első néhány percben.

3. Ha az állapot telepítve van, futtassa a következő parancsot a számítógépen a kubeconfig fürtre mutatott fájllal annak ellenőrzéséhez, hogy az mdc névtérben lévő összes pod "Fut" állapotban van-e:

   kubectl get pods -n mdc
   

A csomag engedélyezése

Fontos

• Ha még nem csatlakoztatott AWS-fiókot, csatlakoztassa az AWS-fiókokat Felhőhöz készült Microsoft Defender.
• Ha már engedélyezte a tervet az összekötőn, és módosítani szeretné az opcionális konfigurációkat, vagy új képességeket szeretne engedélyezni, lépjen közvetlenül a 4. lépésre.

Az EKS-fürtök védelméhez engedélyezze a Tárolók csomagot a megfelelő fiókösszekötőn:

1. A Felhőhöz készült Defender menüjében nyissa meg a Környezeti beállításokat.

2. Válassza ki az AWS-összekötőt.

   

3. Ellenőrizze, hogy a Tárolók csomag kapcsolója be van-e kapcsolva.

   

4. A csomag választható konfigurációinak módosításához válassza a Gépház.

   

   • A Defender for Containershez vezérlősík-naplózási naplókra van szükség a futtatókörnyezeti veszélyforrások elleni védelem biztosításához. Ha Kubernetes-naplókat szeretne küldeni a Microsoft Defendernek, kapcsolja be a beállítást . Az auditnaplók megőrzési időtartamának módosításához adja meg a szükséges időkeretet.

     Feljegyzés

     Ha letiltja ezt a konfigurációt, a Threat detection (control plane) szolgáltatás le lesz tiltva. További információ a szolgáltatások elérhetőségéről.

   • A Kubernetes ügynök nélküli felderítése API-alapú felderítést biztosít a Kubernetes-fürtök számára. A Kubernetes ügynök nélküli felderítésének engedélyezéséhez állítsa be a beállítást Be értékre.

   • Az ügynök nélküli tároló sebezhetőségi felmérése biztonságirés-kezelés biztosít az ECR-ben tárolt és az EKS-fürtökön futó képekhez. Az ügynök nélküli tároló biztonságirés-felmérési funkciójának engedélyezéséhez állítsa be a beállítást Be értékre.

5. Folytassa az összekötő varázsló fennmaradó lapjait.

6. Ha engedélyezi az Ügynök nélküli felderítés a Kuberneteshez funkciót, engedélyeznie kell a vezérlősík-engedélyeket a fürtön. Ezt az alábbi módok egyikével teheti meg:

   • Futtassa ezt a Python-szkriptet az engedélyek megadásához. A szkript hozzáadja az MDCContainersAgentlessDiscoveryK8sRole Felhőhöz készült Defender szerepkört a előkészíteni kívánt EKS-fürtök aws-auth ConfigMap eleméhez.

   • Adjon minden Amazon EKS-fürtnek MDCContainersAgentlessDiscoveryK8sRole szerepkört a fürttel való interakcióhoz. Jelentkezzen be az összes meglévő és újonnan létrehozott fürtbe az eksctl használatával, és hajtsa végre a következő szkriptet:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     További információ: Az IAM egyszerű hozzáférésének engedélyezése a fürthöz.

7. Az Azure Arc-kompatibilis Kubernetes, a Defender-érzékelő és az Azure Policy for Kubernetes telepítése és futtatása az EKS-fürtökön történik. A bővítmények (és szükség esetén az Azure Arc) telepítéséhez dedikált Felhőhöz készült Defender javaslatok tartoznak:

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Az egyes javaslatokhoz kövesse az alábbi lépéseket a szükséges bővítmények telepítéséhez.

   A szükséges bővítmények telepítése:

   1. Felhőhöz készült Defender Javaslatok lapján keresse meg az egyik javaslatot név szerint.

   2. Jelöljön ki egy nem kifogástalan fürtöt.

      Fontos

      A fürtöket egyenként kell kijelölnie.

      Ne jelölje ki a fürtöket a hivatkozott neveik alapján: a megfelelő sorban bárhol máshol jelölje ki a fürtöket.

   3. Válassza a Javítás lehetőséget.

   4. Felhőhöz készült Defender egy tetszőleges nyelven hoz létre szkriptet: válassza a Bash (Linux) vagy a PowerShell (Windows esetén) lehetőséget.

   5. Válassza a Letöltési szervizelési logika lehetőséget.

   6. Futtassa a létrehozott szkriptet a fürtön.

   7. Ismételje meg az "a" és az "f" lépéseket a második javaslathoz.

   

EKS-fürtökre vonatkozó javaslatok és riasztások megtekintése

Tipp.

A tárolóriasztások szimulálásához kövesse az ebben a blogbejegyzésben található utasításokat.

Az EKS-fürtökre vonatkozó riasztások és javaslatok megtekintéséhez használja a riasztások, javaslatok és leltároldalak szűrőit az AWS EKS-fürt erőforrástípus szerinti szűréséhez.

A Defender-érzékelő üzembe helyezése

A Defender-érzékelő AWS-fürtökön való üzembe helyezéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a Felhőhöz készült Microsoft Defender ->Környezeti beállítások ->Környezet hozzáadása ->Amazon Web Services lehetőséget.

   

2. Adja meg a fiók adatait.

   

3. Nyissa meg a Csomagok kiválasztása lehetőséget, nyissa meg a Tárolók csomagot, és győződjön meg arról, hogy az Azure Arc Defender érzékelőjének automatikus kiépítése be van kapcsolva.

   

4. Nyissa meg a Hozzáférés konfigurálása elemet, és kövesse az ott leírt lépéseket.

   

5. A Cloud Formation-sablon sikeres üzembe helyezése után válassza a Létrehozás lehetőséget.

Feljegyzés

Egy adott AWS-fürtöt kizárhat az automatikus kiépítésből. Az érzékelő üzembe helyezéséhez alkalmazza az ms_defender_container_exclude_agents erőforrás címkéjét az értékkel true. Ügynök nélküli üzembe helyezés esetén alkalmazza az ms_defender_container_exclude_agentless erőforrás címkéjét az értékkel true.

A csomag engedélyezése

Fontos

Ha még nem csatlakoztatott GCP-projektet, csatlakoztassa a GCP-projekteket Felhőhöz készült Microsoft Defender.

A GKE-fürtök védelméhez engedélyeznie kell a tárolók tervét a megfelelő GCP-projektben.

Feljegyzés

Ellenőrizze, hogy nincsenek-e olyan Azure-szabályzatok, amelyek megakadályozzák az Arc telepítését.

A Google Kubernetes Engine -fürtök védelme:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Felhőhöz készült Microsoft Defender> Környezet beállításaihoz.

3. Válassza ki a megfelelő GCP-összekötőt

   

4. Válassza a Tovább: Tervek > kiválasztása gombot.

5. Győződjön meg arról, hogy a Tárolók csomag be van kapcsolva.

   

6. A csomag választható konfigurációinak módosításához válassza a Gépház.

   

   • A Kubernetes naplózási naplóit a következőre Felhőhöz készült Defender: Alapértelmezés szerint engedélyezve van. Ez a konfiguráció csak a GCP-projekt szintjén érhető el. Ügynök nélküli adatgyűjtést biztosít a naplóadatokról a GCP-felhőnaplózáson keresztül a Felhőhöz készült Microsoft Defender háttérrendszerbe további elemzés céljából. A Defender for Containershez vezérlősík-naplózási naplókra van szükség a futtatókörnyezeti veszélyforrások elleni védelem biztosításához. Ha Kubernetes-naplókat szeretne küldeni a Microsoft Defendernek, kapcsolja be a beállítást .

     Feljegyzés

     Ha letiltja ezt a konfigurációt, a Threat detection (control plane) szolgáltatás le lesz tiltva. További információ a szolgáltatások elérhetőségéről.

   • A Defender érzékelőjének automatikus kiépítése az Azure Archoz és az Azure Policy-bővítmény automatikus kiépítése az Azure Archoz: Alapértelmezés szerint engedélyezve van. Az Azure Arc-kompatibilis Kubernetes és annak bővítményei három módon telepíthetők a GKE-fürtökre:

     • A Defender for Containers projektszinten történő automatikus üzembe helyezésének engedélyezése az ebben a szakaszban ismertetett utasításoknak megfelelően. Ezt a módszert javasoljuk.
     • Használjon Felhőhöz készült Defender javaslatokat a fürtönkénti telepítéshez. Ezek megjelennek a Felhőhöz készült Microsoft Defender javaslatok oldalán. Megtudhatja, hogyan helyezheti üzembe a megoldást adott fürtökön.
     • Az Arc-kompatibilis Kubernetes és -bővítmények manuális telepítése.

   • A Kubernetes ügynök nélküli felderítése API-alapú felderítést biztosít a Kubernetes-fürtök számára. A Kubernetes ügynök nélküli felderítésének engedélyezéséhez állítsa be a beállítást Be értékre.

   • Az ügynök nélküli tároló sebezhetőségi felmérése biztonságirés-kezelés biztosít a Google-nyilvántartásokban (GAR és GCR) tárolt képekhez, valamint képeket futtat a GKE-fürtökön. Az ügynök nélküli tároló biztonságirés-felmérési funkciójának engedélyezéséhez állítsa be a beállítást Be értékre.

7. Válassza a Másolás gombot.

   

8. Válassza a GCP Cloud Shell > gombot.

9. Illessze be a szkriptet a Cloud Shell-terminálba, és futtassa.

Az összekötő a szkript végrehajtása után frissül. Ez a folyamat akár 6-8 órát is igénybe vehet.

A megoldás üzembe helyezése adott fürtökön

Ha letiltotta az alapértelmezett automatikus kiépítési konfigurációkat kikapcsolva, a GCP-összekötő előkészítési folyamata során vagy utána. Manuálisan kell telepítenie az Azure Arc-kompatibilis Kubernetes-t, a Defender-érzékelőt és az Azure Policy for Kubernetes-t az egyes GKE-fürtökre, hogy a Defender for Containers teljes biztonsági értéket kapjon.

A bővítmények (és szükség esetén az Arc) telepítéséhez 2 dedikált Felhőhöz készült Defender javaslat érhető el:

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Feljegyzés

Az Arc-bővítmények telepítésekor ellenőriznie kell, hogy a megadott GCP-projekt megegyezik-e a megfelelő összekötőben lévő projektel.

A megoldás üzembe helyezése adott fürtökön:

1. Jelentkezzen be az Azure Portalra.

2. Lépjen Felhőhöz készült Microsoft Defender >Javaslatok.

3. Felhőhöz készült Defender Javaslatok lapján keresse meg az egyik javaslatot név szerint.

   

4. Jelöljön ki egy nem kifogástalan állapotú GKE-fürtöt.

   Fontos

   A fürtöket egyenként kell kijelölnie.

   Ne jelölje ki a fürtöket a hivatkozott neveik alapján: a megfelelő sorban bárhol máshol jelölje ki a fürtöket.

5. Válassza ki a nem megfelelő erőforrás nevét.

6. Válassza a Javítás lehetőséget.

   

7. Felhőhöz készült Defender egy tetszőleges nyelven hoz létre szkriptet:

   • Linux esetén válassza a Bash lehetőséget.
   • Windows esetén válassza a PowerShellt.

8. Válassza a Letöltési szervizelési logika lehetőséget.

9. Futtassa a létrehozott szkriptet a fürtön.

10. Ismételje meg a 3–8. lépést a második javaslathoz.

GKE-fürtriasztások megtekintése

1. Jelentkezzen be az Azure Portalra.

2. Lépjen a Felhőhöz készült Microsoft Defender> Security-riasztásokhoz.

3. Válassza az gombot.

4. A Szűrő legördülő menüben válassza az Erőforrás típusa lehetőséget.

5. Az Érték legördülő menüben válassza a GCP GKE-fürt lehetőséget.

6. Kattintson az OK gombra.

A Defender-érzékelő üzembe helyezése

A Defender-érzékelő GCP-fürtökön való üzembe helyezéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a Felhőhöz készült Microsoft Defender ->Környezeti beállítások ->Környezet hozzáadása ->Google Cloud Platform lehetőséget.

   

2. Adja meg a fiók adatait.

   

3. Nyissa meg a Csomagok kiválasztása lehetőséget, nyissa meg a Tárolók csomagot, és győződjön meg arról, hogy be van kapcsolva az Azure Arc Defender érzékelőjének automatikus kiépítése.

   

4. Nyissa meg a Hozzáférés konfigurálása elemet, és kövesse az ott leírt lépéseket.

   

5. A gcloud-szkript sikeres futtatása után válassza a Létrehozás lehetőséget.

Feljegyzés

Egy adott GCP-fürtöt kizárhat az automatikus kiépítésből. Az érzékelő üzembe helyezéséhez alkalmazza az ms_defender_container_exclude_agents erőforrás címkéjét az értékkel true. Ügynök nélküli üzembe helyezés esetén alkalmazza az ms_defender_container_exclude_agentless erőforrás címkéjét az értékkel true.

A Microsoft Defender for Containers biztonsági riasztásainak szimulálása

A támogatott riasztások teljes listája elérhető az összes Felhőhöz készült Defender biztonsági riasztás referenciatáblájában.

1. Biztonsági riasztás szimulálásához futtassa a következő parancsot a fürtből:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   A várt válasz a következő No resource found: .

   30 percen belül Felhőhöz készült Defender észleli ezt a tevékenységet, és biztonsági riasztást aktivál.

   Feljegyzés

   A Defender for Containers ügynök nélküli riasztásainak szimulálásához az Azure Arc nem előfeltétele.

2. Az Azure Portalon nyissa meg Felhőhöz készült Microsoft Defender biztonsági riasztások oldalát, és keresse meg a riasztást a megfelelő erőforráson:

   

A Defender-érzékelő eltávolítása

Az automatikus kiépítés kikapcsolásához nem elég, ha eltávolítja ezt a - vagy bármely - Felhőhöz készült Defender bővítményt:

• Az automatikus kiépítés engedélyezése hatással lehet a meglévő és a jövőbeli gépekre.
• A bővítmény automatikus kiépítésének letiltása csak a jövőbeli gépeket érinti – az automatikus kiépítés letiltásával semmi sem távolítható el.

Feljegyzés

A Defender for Containers csomag teljes kikapcsolásához lépjen a Környezeti beállítások elemre , és tiltsa le a Microsoft Defender for Containers csomagot.

Annak érdekében azonban, hogy a Defender for Containers összetevői mostantól ne legyenek automatikusan kiépítve az erőforrásokhoz, tiltsa le a bővítmények automatikus kiépítését az ügynökök és bővítmények automatikus kiépítésének konfigurálása Felhőhöz készült Microsoft Defender.</a0> című témakörben leírtak szerint.

A bővítményt az Azure Portal, az Azure CLI vagy a REST API használatával távolíthatja el az alábbi lapokban leírtak szerint.

Azure Portal – Arc

A bővítmény eltávolítása az Azure Portal használatával

1. Nyissa meg az Azure Arcot az Azure Portalon.

2. Az infrastruktúra listájában válassza ki a Kubernetes-fürtöket , majd válassza ki az adott fürtöt.

3. Nyissa meg a bővítmények lapot. A fürt bővítményei szerepelnek a listán.

4. Válassza ki a fürtöt, és válassza az Eltávolítás lehetőséget.

   

Azure CLI

A Defender-érzékelő eltávolítása az Azure CLI használatával

1. Távolítsa el a Microsoft Defender for Kubernetes Arc bővítményt a következő parancsokkal:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   A bővítmény eltávolítása eltarthat néhány percig. Javasoljuk, hogy várjon, mielőtt megpróbálja ellenőrizni, hogy sikeres volt-e.

2. A bővítmény sikeres eltávolításának ellenőrzéséhez futtassa a következő parancsokat:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Ezután ellenőrizze, hogy nincsenek-e podok a fürt mdc-névterében az alábbi parancs futtatásával a kubeconfig fürtre mutatott fájllal:

   kubectl get pods -n mdc
   

   A podok törlése eltarthat néhány percig.

REST API

A Defender-érzékelő eltávolítása a REST API használatával

A bővítmény REST API-val való eltávolításához futtassa a következő DELETE parancsot:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Név	In	Kötelező	Típus	Leírás
Előfizetés azonosítója	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-fürt előfizetés-azonosítója
Erőforráscsoport	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-fürt erőforráscsoportja
Fürt neve	Elérési út	Igaz	Sztring	Az Azure Arc-kompatibilis Kubernetes-fürt neve

A hitelesítéshez a fejlécnek rendelkeznie kell tulajdonosi jogkivonattal (más Azure API-khoz hasonlóan). A tulajdonosi jogkivonat lekéréséhez futtassa a következő parancsot:

az account get-access-token --subscription <your-subscription-id>

A kérés végrehajtása több percet is igénybe vehet.

Alapértelmezett Log Analytics-munkaterület AKS-hez

A Log Analytics-munkaterületet a Defender-érzékelő adatfolyamatként használja, hogy adatokat küldjön a fürtből a Felhőhöz készült Defender anélkül, hogy a Log Analytics-munkaterületen tárolt adatokat megőrizze. Ennek eredményeképpen ebben a használati esetben a felhasználókat nem terheljük ki.

A Defender-érzékelő egy alapértelmezett Log Analytics-munkaterületet használ. Ha még nincs alapértelmezett Log Analytics-munkaterülete, Felhőhöz készült Defender új erőforráscsoportot és alapértelmezett munkaterületet hoz létre a Defender-érzékelő telepítésekor. Az alapértelmezett munkaterület a régió alapján jön létre.

Az alapértelmezett Log Analytics-munkaterület és erőforráscsoport elnevezési konvenciója a következő:

• Munkaterület: DefaultWorkspace-[subscription-ID]-[geo]
• Erőforráscsoport: DefaultResourceGroup-[geo]

Egyéni munkaterület hozzárendelése

Az automatikus kiépítés engedélyezésekor a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.

Annak ellenőrzéséhez, hogy van-e hozzárendelve munkaterület:

1. Jelentkezzen be az Azure Portalra.

2. Keresse meg és válassza ki a Szabályzatot.

   

3. Válassza a Definíciók lehetőséget.

4. Szabályzatazonosító 64def556-fbad-4622-930e-72d1d5589bf5keresése.

   

5. Válassza az Azure Kubernetes Service-fürtök konfigurálása a Defender-profil engedélyezéséhez.

6. Válassza a Hozzárendelés lehetőséget.

   

7. Ha a szabályzat még nem lett hozzárendelve a megfelelő hatókörhöz, kövesse az Új hozzárendelés létrehozása egyéni munkaterületi lépésekkel című témakört. Vagy kövesse a Frissítés hozzárendelést egyéni munkaterületi lépésekkel, ha a szabályzat már ki van rendelve, és módosítani szeretné, hogy egyéni munkaterületet használjon.

Új hozzárendelés létrehozása egyéni munkaterülettel

Ha a szabályzat nincs hozzárendelve, megjelenik Assignments (0).

Egyéni munkaterület hozzárendelése:

1. Válassza a Hozzárendelés lehetőséget.

2. A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.

3. Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.

   

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

Hozzárendelés frissítése egyéni munkaterülettel

Ha a szabályzat már hozzá lett rendelve egy munkaterülethez, megjelenik Assignments (1).

Feljegyzés

Ha több előfizetéssel rendelkezik, a szám magasabb lehet.

Egyéni munkaterület hozzárendelése:

1. Válassza ki a megfelelő hozzárendelést.

   

2. Válassza a Hozzárendelés szerkesztése lehetőséget.

3. A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.

4. Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.

   

5. Válassza a Véleményezés és mentés lehetőséget.

6. Válassza a Mentés lehetőséget.

Az Arc alapértelmezett Log Analytics-munkaterülete

A Log Analytics-munkaterületet a Defender-érzékelő adatfolyamatként használja, hogy adatokat küldjön a fürtből a Felhőhöz készült Defender anélkül, hogy a Log Analytics-munkaterületen tárolt adatokat megőrizze. Ennek eredményeképpen ebben a használati esetben a felhasználókat nem terheljük ki.

A Defender-érzékelő egy alapértelmezett Log Analytics-munkaterületet használ. Ha még nincs alapértelmezett Log Analytics-munkaterülete, Felhőhöz készült Defender új erőforráscsoportot és alapértelmezett munkaterületet hoz létre a Defender-érzékelő telepítésekor. Az alapértelmezett munkaterület a régió alapján jön létre.

Az alapértelmezett Log Analytics-munkaterület és erőforráscsoport elnevezési konvenciója a következő:

• Munkaterület: DefaultWorkspace-[subscription-ID]-[geo]
• Erőforráscsoport: DefaultResourceGroup-[geo]

Egyéni munkaterület hozzárendelése

Az automatikus kiépítés engedélyezésekor a rendszer automatikusan hozzárendel egy alapértelmezett munkaterületet. Egyéni munkaterületet az Azure Policy használatával rendelhet hozzá.

Annak ellenőrzéséhez, hogy van-e hozzárendelve munkaterület:

1. Jelentkezzen be az Azure Portalra.

2. Keressen rá, és válassza a Szabályzat lehetőséget.

   

3. Válassza a Definíciók lehetőséget.

4. Szabályzatazonosító 708b60a6-d253-4fe0-9114-4be4c00f012ckeresése.

   

5. Válassza az Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Felhőhöz készült Microsoft Defender bővítmény telepítéséhez.

6. Válassza ki a Hozzárendelések lehetőséget.

   

7. Ha a szabályzat még nem lett hozzárendelve a megfelelő hatókörhöz, kövesse az Új hozzárendelés létrehozása egyéni munkaterületi lépésekkel című témakört. Vagy kövesse a Frissítés hozzárendelést egyéni munkaterületi lépésekkel, ha a szabályzat már ki van rendelve, és módosítani szeretné, hogy egyéni munkaterületet használjon.

Új hozzárendelés létrehozása egyéni munkaterülettel

Ha a szabályzat nincs hozzárendelve, megjelenik Assignments (0).

Egyéni munkaterület hozzárendelése:

1. Válassza a Hozzárendelés lehetőséget.

2. A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.

3. Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.

   

4. Válassza az Áttekintés + létrehozás lehetőséget.

5. Válassza a Létrehozás lehetőséget.

Hozzárendelés frissítése egyéni munkaterülettel

Ha a szabályzat már hozzá lett rendelve egy munkaterülethez, megjelenik Assignments (1).

Feljegyzés

Ha több előfizetéssel rendelkezik, a szám magasabb lehet. Ha 1-es vagy újabb számmal rendelkezik, előfordulhat, hogy a hozzárendelés még mindig nem a megfelelő hatókörben van. Ha ez a helyzet, kövesse az Új hozzárendelés létrehozása egyéni munkaterület lépéseit.

Egyéni munkaterület hozzárendelése:

1. Válassza ki a megfelelő hozzárendelést.

   

2. Válassza a Hozzárendelés szerkesztése lehetőséget.

3. A Paraméterek lapon törölje a jelölést a Csak a bemeneti vagy felülvizsgálati lehetőséget igénylő paraméterek kijelöléséből.

4. Válassza ki a LogAnalyticsWorkspaceResource azonosítót a legördülő menüből.

   

5. Válassza a Véleményezés és mentés lehetőséget.

6. Válassza a Mentés lehetőséget.

A Defender-érzékelő eltávolítása

Az automatikus kiépítés kikapcsolásához nem elég, ha eltávolítja ezt a - vagy bármely - Felhőhöz készült Defender bővítményt:

• Az automatikus kiépítés engedélyezése hatással lehet a meglévő és a jövőbeli gépekre.
• A bővítmény automatikus kiépítésének letiltása csak a jövőbeli gépeket érinti – az automatikus kiépítés letiltásával semmi sem távolítható el.

Feljegyzés

A Defender for Containers csomag teljes kikapcsolásához lépjen a Környezeti beállítások elemre , és tiltsa le a Microsoft Defender for Containers csomagot.

Annak érdekében azonban, hogy a Defender for Containers összetevői mostantól ne legyenek automatikusan kiépítve az erőforrásokhoz, tiltsa le a bővítmények automatikus kiépítését az ügynökök és bővítmények automatikus kiépítésének konfigurálása Felhőhöz készült Microsoft Defender.</a0> című témakörben leírtak szerint.

A bővítményt a REST API-val vagy egy Resource Manager-sablonnal távolíthatja el az alábbi lapokban leírtak szerint.

REST API

A DEFENDER-érzékelő eltávolítása az AKS-ből a REST API használatával

A bővítmény REST API-val való eltávolításához futtassa a következő PUT parancsot:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Név	Leírás	Kötelező
SubscriptionId	A fürt előfizetés-azonosítója	Igen
ResourceGroup	Fürt erőforráscsoportja	Igen
ClusterName	Fürt neve	Igen
ApiVersion	AZ API-verziónak = 2022-06-01-nek kell lennie >	Igen

Kérés törzse:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Törzsparaméterek kérése:

Név	Leírás	Kötelező
hely	A fürt helye	Igen
properties.securityProfile.defender.securityMonitoring.enabled	Meghatározza, hogy engedélyezi vagy letiltja-e a Microsoft Defender for Containerst a fürtön	Igen

Azure CLI

A Defender-érzékelő eltávolítása az Azure CLI használatával

1. Távolítsa el a Microsoft Defendert a következő parancsokkal:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   A bővítmény eltávolítása eltarthat néhány percig.

2. A bővítmény sikeres eltávolításának ellenőrzéséhez futtassa a következő parancsot:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   A bővítmény eltávolításakor látnia kell, hogy a parancs nem ad vissza get pods podokat. A podok törlése eltarthat néhány percig.

Resource Manager

A Defender-érzékelő eltávolítása az AKS-ből az Azure Resource Manager használatával

Ahhoz, hogy az Azure Resource Managerrel eltávolíthassa a Defender-érzékelőt, szüksége lesz egy Log Analytics-munkaterületre az előfizetésében. További információ a Log Analytics-munkaterületekről.

Tipp.

Ha még nem ismeri a Resource Manager-sablonokat, kezdje itt: Mik azok az Azure Resource Manager-sablonok?

A Defender-érzékelő AKS-ből való eltávolításához szükséges sablon és paraméterek a következők:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

További információ

A következő blogokat tekintheti meg:

• A Google Cloud számítási feladatainak védelme Felhőhöz készült Microsoft Defender
• A Microsoft Defender for Containers bemutatása
• A többfelhős biztonság új neve: Felhőhöz készült Microsoft Defender

Következő lépések

Most, hogy engedélyezte a Defender for Containers szolgáltatást, a következőt teheti:

• Az ACR-rendszerképek biztonsági réseinek vizsgálata
• Az AWS-rendszerképek biztonsági réseinek vizsgálata Microsoft Defender biztonságirés-kezelés
• A GGP-rendszerképek biztonsági réseinek vizsgálata Microsoft Defender biztonságirés-kezelés
• Tekintse meg a Defender for Containers szolgáltatásra vonatkozó gyakori kérdéseket .