Mengaktifkan Microsoft Defender untuk Kontainer

Microsoft Defender untuk Kontainer adalah solusi cloud-native untuk mengamankan kontainer Anda.

Defender untuk Kontainer melindungi kluster Anda saat dijalankan di:

• Azure Kubernetes Service (AKS) - layanan terkelola Microsoft untuk mengembangkan, menyebarkan, dan mengelola aplikasi dalam kontainer.

• Amazon Elastic Kubernetes Service (EKS) di akun AWS yang terhubung - Layanan terkelola Amazon untuk menjalankan Kubernetes di AWS tanpa perlu memasang, mengoperasikan, dan memelihara sarana kontrol atau simpul Kubernetes Anda sendiri.

• Google Kubernetes Engine (GKE) dalam proyek Google Cloud Platform (GCP) yang terhubung - Lingkungan terkelola Google untuk menyebarkan, mengelola, dan menskalakan aplikasi menggunakan infrastruktur GCP.

• Distribusi Kubernetes lainnya (menggunakan Kubernetes yang mendukung Azure Arc) - Kluster Kubernetes bersertifikat Cloud Native Computing Foundation (CNCF) yang dihosting di lokasi atau di IaaS. Untuk informasi selengkapnya, lihat bagian On-prem/IaaS (Arc) dari Fitur yang didukung berdasarkan lingkungan.

Pelajari lebih lanjut terkait paket ini di Ringkasan Microsoft Defender untuk Kontainer.

Anda dapat mempelajari lebih lanjut dengan menonton video ini dari seri video Defender untuk Cloud dalam Bidang:

• Microsoft Defender untuk Kontainer di lingkungan multi-cloud
• Melindungi Kontainer di GCP dengan Defender untuk Kontainer

Catatan

Dukungan Defender untuk Kontainer untuk kluster Kubernetes berkemampuan Arc, AWS EKS, dan GCP GKE. Ini adalah fitur pratinjau.

Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Persyaratan jaringan

Validasi titik akhir berikut dikonfigurasi untuk akses keluar sehingga profil Defender dapat tersambung ke Microsoft Defender untuk Cloud guna mengirim peristiwa dan data keamanan:

Lihat aturan aplikasi/FQDN yang diperlukan untuk Microsoft Defender untuk Kontainer.

Secara default, klaster AKS memiliki akses internet keluar (keluar) yang tidak terbatas.

Persyaratan jaringan

Validasi titik akhir berikut dikonfigurasi untuk akses keluar sehingga ekstensi Defender dapat tersambung ke Microsoft Defender untuk Cloud guna mengirim peristiwa dan data keamanan:

Untuk penyebaran cloud publik Azure:

Domain	Port
*.ods.opinsights.azure.com	443
*.ods.opinsights.azure.com	443
login.microsoftonline.com	443

Anda juga perlu memvalidasi persyaratan jaringan Kubernetes berkemampuan Azure Arc.

Mengaktifkan paket

Untuk mengaktifkan paket:

1. Dari menu Defender untuk Cloud, buka Halaman pengaturan lingkungan dan pilih langganan yang relevan.

2. Di Halaman paket Defender, aktifkan Defender untuk Containers

   Tip

   Jika langganan sudah memiliki Defender untuk Kubernetes dan/atau Defender untuk registri kontainer yang diaktifkan, pemberitahuan pembaruan akan ditampilkan. Jika tidak, satu-satunya opsi adalah Defender untuk Kontainer.

   

3. Secara default, saat mengaktifkan paket melalui portal Azure, Microsoft Defender untuk Kontainer dikonfigurasi untuk memprovisikan otomatis (menginstal secara otomatis) komponen yang diperlukan untuk memberikan perlindungan yang ditawarkan oleh paket, termasuk penugasan dari ruang kerja default.

   Jika Anda ingin menonaktifkan provisi otomatis selama proses onboarding, pilih Edit konfigurasi untuk paket Kontainer. Ini akan membuka opsi Tingkat Lanjut, di mana Anda dapat menonaktifkan provisi otomatis untuk setiap komponen.

   Selain itu, Anda dapat memodifikasi konfigurasi ini dari Halaman paket Defender atau dari Halaman provisi otomatis pada baris Komponen Microsoft Defender untuk Kontainer:

   

   Catatan

   Jika Anda memilih untuk menonaktifkan paket kapan saja setelah mengaktifkannya melalui portal seperti yang ditunjukkan di atas, Anda harus menghapus komponen Defender untuk Kontainer yang disebarkan di kluster Anda secara manual.

   Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

4. Jika Anda menonaktifkan provisi otomatis komponen apa pun, Anda dapat dengan mudah menyebarkan komponen ke satu atau beberapa kluster menggunakan rekomendasi yang sesuai:

   • Add-on Policy untuk Kubernetes - kluster Azure Kubernetes Service harus menginstal Add-on Azure Policy untuk Kubernetes
   • Profil Azure Kubernetes Service - Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
   • Ekstensi Kubernetes berkemampuan Azure Arc - kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Defender

   Catatan

   Microsoft Defender untuk Kontainer dikonfigurasi untuk melindungi semua cloud Anda secara otomatis. Saat Anda menginstal semua prasyarat yang diperlukan dan mengaktifkan semua kemampuan provisi otomatis.

   Jika Anda memilih untuk menonaktifkan semua opsi konfigurasi provisi otomatis, tidak ada agen, atau komponen yang akan disebarkan ke kluster Anda. Perlindungan hanya akan terbatas pada fitur Tanpa agen. Pelajari fitur mana yang merupakan Tanpa agen di bagian ketersediaan untuk Defender untuk Kontainer.

Menyebarkan profil Defender

Anda dapat mengaktifkan paket Defender untuk Kontainer dan menyebarkan semua komponen yang relevan dari portal Microsoft Azure, REST API, atau dengan templat Resource Manager. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Setelah profil Defender disebarkan, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom sebagai pengganti ruang kerja default melalui Azure Policy.

Catatan

Profil Defender yang disebarkan ke setiap node memberikan perlindungan runtime dan mengumpulkan sinyal dari node menggunakan teknologi eBPF.

Portal Azure

Gunakan tombol perbaiki dari rekomendasi Defender untuk Cloud

Proses yang efisien dan tanpa gesekan memungkinkan Anda menggunakan halaman portal Microsoft Azure untuk mengaktifkan paket Defender untuk Cloud dan mengatur provisi otomatis semua komponen yang diperlukan guna melindungi kluster Kubernetes Anda dalam skala besar.

Rekomendasi khusus Defender untuk Cloud menyediakan:

• Visibilitas tentang kluster mana yang memiliki profil Defender yang disebarkan
• Tombol Perbaikan untuk menyebarkannya ke kluster tersebut tanpa ekstensi

1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Aktifkan keamanan yang ditingkatkan.

2. Gunakan filter untuk menemukan rekomendasi bernama kluster Azure Kubernetes Service harus mengaktifkan profil Defender.

   Tip

   Perhatikan ikon Perbaikan di kolom tindakan

3. Pilih kluster untuk melihat detail sumber daya yang sehat dan tidak sehat - kluster dengan dan tanpa profil.

4. Dari daftar sumber daya yang tidak sehat, pilih kluster dan pilih Remediasi untuk membuka panel dengan konfirmasi remediasi.

5. Pilih Perbaiki sumber daya [x].

REST API

Menggunakan REST API untuk menyebarkan profil Defender

Untuk menginstal 'SecurityProfile' pada kluster yang ada dengan REST API, jalankan perintah PUT berikut:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI Permintaan: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parameter kueri permintaan:

Nama	Deskripsi	Wajib
SubscriptionId	ID langganan kluster	Ya
ResourceGroup	Grup sumber daya kluster	Ya
clusterName	Nama kluster	Ya
ApiVersion	Versi API, harus >= 01-06-2022	Ya

Isi Permintaan:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parameter Isi permintaan:

Nama	Deskripsi	Wajib
lokasi	Lokasi kluster	Ya
properties.securityProfile.defender.securityMonitoring.enabled	Menentukan apakah akan mengaktifkan atau menonaktifkan Defender untuk Kontainer pada kluster	Ya
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID sumber daya ruang kerja Analitik Log	Ya

Azure CLI

Menggunakan Azure CLI untuk menyebarkan ekstensi Defender

1. Masuk ke Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Penting

   Pastikan Anda menggunakan ID langganan yang sama untuk <your-subscription-id> sebagai yang terkait dengan kluster AKS Anda.

2. Aktifkan bendera fitur di CLI:

   az feature register --namespace Microsoft.ContainerService --name AKS-AzureDefender
   

3. Aktifkan profil Defender pada kontainer Anda:

   • Jalankan perintah berikut untuk membuat kluster baru dengan profil Defender diaktifkan:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Jalankan perintah berikut untuk mengaktifkan profil Defender pada kluster yang ada:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Deskripsi semua pengaturan konfigurasi yang didukung pada jenis ekstensi Defender diberikan di bawah ini:

   Properti

   Deskripsi

   logAnalyticsWorkspaceResourceID

   Opsional. ID sumber daya lengkap ruang kerja Analitik Log Anda sendiri. Ketika tidak diprovisikan, ruang kerja default wilayah akan digunakan. Untuk mendapatkan ID sumber daya lengkap, jalankan perintah berikut ini untuk menampilkan daftar ruang kerja pada langganan Anda dalam format JSON default: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID sumber daya ruang kerja Analitik Log memiliki sintaks berikut: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Pelajari selengkapnya di ruang kerja Analitik Log

   Anda dapat menyertakan pengaturan ini dalam file JSON dan menentukan file JSON pada perintah az aks create dan az aks update dengan parameter ini: --defender-config <path-to-JSON-file>. Format file JSON haruslah:

   {"logAnalyticsWorkspaceResourceID": "<workspace-id>"}
   

   Pelajari selengkapnya tentang perintah AKS CLI di az aks.

4. Untuk memverifikasi bahwa profil berhasil ditambahkan, jalankan perintah berikut pada mesin Anda dengan file kubeconfig yang ditujukan ke kluster Anda:

   kubectl get pods -n kube-system
   

   Saat profil ditambahkan, Anda akan melihat pod bernama azuredefender-XXXXX dalam status Running. Mungkin perlu beberapa menit untuk menambahkan pod.

Resource Manager

Menggunakan Azure Resource Manager untuk menyebarkan profil Defender

Untuk menggunakan Azure Resource Manager guna menyebarkan profil Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?

Untuk menginstal 'SecurityProfile' pada kluster yang ada dengan Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Mengaktifkan paket

Untuk mengaktifkan paket:

1. Dari menu Defender untuk Cloud, buka Halaman pengaturan lingkungan dan pilih langganan yang relevan.

2. Di Halaman paket Defender, aktifkan Defender untuk Kontainer.

   Tip

   Jika langganan sudah memiliki Defender untuk Kubernetes atau Defender untuk registri kontainer yang diaktifkan, pemberitahuan pembaruan akan ditampilkan. Jika tidak, satu-satunya opsi adalah Defender untuk Kontainer.

   

3. Secara default, saat mengaktifkan paket melalui portal Azure, Microsoft Defender untuk Kontainer dikonfigurasi untuk memprovisikan otomatis (menginstal secara otomatis) komponen yang diperlukan untuk memberikan perlindungan yang ditawarkan oleh paket, termasuk penugasan dari ruang kerja default.

   Jika Anda ingin menonaktifkan provisi otomatis selama proses onboarding, pilih Edit konfigurasi untuk paket Kontainer. Opsi Tingkat Lanjut akan muncul, dan Anda dapat menonaktifkan provisi otomatis untuk setiap komponen.

   Selain itu, Anda dapat memodifikasi konfigurasi ini dari Halaman paket Defender atau dari Halaman provisi otomatis pada baris Komponen Microsoft Defender untuk Kontainer:

   

   Catatan

   Jika Anda memilih untuk menonaktifkan paket kapan saja setelah mengaktifkannya melalui portal seperti yang ditunjukkan di atas, Anda harus menghapus komponen Defender untuk Kontainer yang disebarkan di kluster Anda secara manual.

   Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

4. Jika Anda menonaktifkan provisi otomatis komponen apa pun, Anda dapat dengan mudah menyebarkan komponen ke satu atau beberapa kluster menggunakan rekomendasi yang sesuai:

   • Add-on Policy untuk Kubernetes - kluster Azure Kubernetes Service harus menginstal Add-on Azure Policy untuk Kubernetes
   • Profil Azure Kubernetes Service - Kluster Azure Kubernetes Service harus mengaktifkan profil Defender
   • Ekstensi Kubernetes berkemampuan Azure Arc - kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Defender

Prasyarat

Sebelum menerapkan ekstensi, pastikan Anda:

• Menghubungkan kluster Kubernetes ke Azure Arc
• Lengkapi prasyarat yang tercantum dalam dokumentasi ekstensi cluster generik.

Menyebarkan ekstensi Defender

Anda dapat menyebarkan ekstensi Defender menggunakan berbagai metode. Untuk langkah-langkah terperinci, pilih tab yang relevan.

Portal Azure

Gunakan tombol perbaiki dari rekomendasi Defender untuk Cloud

Rekomendasi khusus Defender untuk Cloud menyediakan:

• Visibilitas tentang kluster mana yang memiliki ekstensi Defender untuk Kubernetes yang disebarkan
• Tombol Perbaikan untuk menyebarkannya ke kluster tersebut tanpa ekstensi

1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Aktifkan keamanan yang ditingkatkan.

2. Gunakan filter untuk menemukan rekomendasi bernama kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Defender untuk Cloud.

   

   Tip

   Perhatikan ikon Perbaikan di kolom tindakan

3. Pilih ekstensi untuk melihat detail sumber daya yang sehat dan tidak sehat - kluster dengan dan tanpa ekstensi.

4. Dari daftar sumber daya tidak sehat, pilih kluster dan pilih Remediasi untuk membuka panel dengan opsi remediasi.

5. Pilih ruang kerja Analitik Log yang relevan dan pilih Remediasi x sumber daya.

   

Azure CLI

Menggunakan Azure CLI untuk menyebarkan ekstensi Defender

1. Masuk ke Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Penting

   Pastikan Anda menggunakan ID langganan untuk <your-subscription-id> yang sama dengan ID yang digunakan saat menyambungkan kluster ke Azure Arc.

2. Jalankan perintah berikut untuk menyebarkan ekstensi di atas kluster Kubernetes dengan dukungan Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Deskripsi semua pengaturan konfigurasi yang didukung pada jenis ekstensi Defender diberikan di bawah ini:

   Properti	Deskripsi
   logAnalyticsWorkspaceResourceID	Opsional. ID sumber daya lengkap ruang kerja Analitik Log Anda sendiri. Ketika tidak diprovisikan, ruang kerja default wilayah akan digunakan. Untuk mendapatkan ID sumber daya lengkap, jalankan perintah berikut ini untuk menampilkan daftar ruang kerja pada langganan Anda dalam format JSON default: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json ID sumber daya ruang kerja Analitik Log memiliki sintaks berikut: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Pelajari selengkapnya di ruang kerja Analitik Log
   auditLogPath	Opsional. Jalur lengkap ke file log audit. Ketika tidak diprovisikan, jalur /var/log/kube-apiserver/audit.log default akan digunakan. Untuk Mesin AKS, jalur standarnya adalah /var/log/kubeaudit/audit.log

   Perintah di bawah ini memperlihatkan contoh penggunaan semua bidang opsional:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Menggunakan Azure Resource Manager untuk menyebarkan ekstensi Defender

Untuk menggunakan Azure Resource Manager untuk menyebarkan ekstensi Defender, Anda memerlukan ruang kerja Log Analytics pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Anda dapat menggunakan templat Azure-azure-defender-extension-arm-template.json Resource Manager dari contoh penginstalan Defender untuk Cloud.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?

REST API

Menggunakan REST API untuk menyebarkan ekstensi Defender

Untuk menggunakan REST API untuk menyebarkan ekstensi Defender, Anda memerlukan ruang kerja Log Analytics pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Tip

Cara paling sederhana untuk menggunakan API untuk menyebarkan ekstensi Defender adalah dengan contoh Postman Collection JSON dari contoh penginstalan Defender untuk Cloud.

• Untuk memodifikasi Postman Collection JSON, atau untuk menyebarkan ekstensi secara manual dengan REST API, jalankan perintah PUT berikut:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Mana:

  Nama	Dalam	Diperlukan	Jenis	Deskripsi
  ID Langganan	Jalur	True	String	ID langganan sumber daya Kubernetes dengan dukungan Azure Arc Anda
  Grup Sumber Daya	Jalur	True	String	Nama grup sumber daya yang berisi sumber daya Kubernetes dengan dukungan Azure Arc
  Nama Kluster	Jalur	True	String	Nama sumber daya Kubernetes dengan dukungan Azure Arc

  Untuk Autentikasi, header Anda harus memiliki token Pembawa (seperti halnya API Azure lainnya). Untuk mendapatkan token pembawa, jalankan perintah berikut:

  az account get-access-token --subscription <your-subscription-id> Gunakan struktur berikut untuk isi pesan Anda:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Deskripsi properti diberikan di bawah ini:

  Properti	Deskripsi
  logAnalytics.workspaceId	ID ruang kerja sumber daya Analitik Log
  logAnalytics.key	Kunci sumber daya Analitik Log
  auditLogPath	Opsional. Jalur lengkap ke file log audit. Nilai defaultnya adalah /var/log/kube-apiserver/audit.log

Memverifikasi penyebaran

Untuk memverifikasi bahwa kluster Anda telah menginstal ekstensi Defender, ikuti langkah-langkah di salah satu tab di bawah ini:

Portal Microsoft Azure - Defender untuk Cloud

Menggunakan rekomendasi Defender untuk Cloud untuk memverifikasi status ekstensi Anda

1. Dari halaman rekomendasi Microsoft Defender untuk Cloud, buka kontrol keamanan Mengaktifkan Microsoft Defender untuk Cloud.

2. Pilih rekomendasi bernama kluster Kubernetes berkemampuan Azure Arc harus menginstal ekstensi Microsoft Defender untuk Cloud.

   

3. Periksa apakah kluster tempat Anda menyebarkan ekstensi terdaftar sebagai Sehat.

Portal Azure - Azure Arc

Menggunakan halaman Azure Arc untuk memverifikasi status ekstensi Anda

1. Dari portal Azure, buka Azure Arc.

2. Dari daftar infrastruktur, pilih kluster Kubernetes lalu pilih kluster tertentu.

3. Buka halaman ekstensi. Ekstensi pada kluster tercantum. Untuk mengonfirmasi apakah ekstensi Defender telah dipasang dengan benar, periksa kolom Status pemasangan.

   

4. Untuk detail selengkapnya, pilih ekstensi.

   

Azure CLI

Menggunakan Azure CLI untuk memverifikasi bahwa ekstensi disebarkan

1. Jalankan perintah berikut ini di Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Di respons, cari "extensionType": "microsoft.azuredefender.kubernetes" dan "installState": "Installed".

   Catatan

   Ini mungkin menunjukkan "installState": "Pending" selama beberapa menit pertama.

3. Jika status menunjukkan Installed, jalankan perintah berikut pada mesin Anda dengan file kubeconfig yang diarahkan ke kluster Anda untuk memeriksa bahwa pod yang disebut "azuredefender-XXXXX" dalam status 'Running':

   kubectl get pods -n azuredefender
   

REST API

Gunakan REST API untuk memverifikasi bahwa ekstensi disebarkan

Untuk mengonfirmasi keberhasilan penyebaran, atau untuk memvalidasi status ekstensi Anda kapan saja:

1. Jalankan perintah GET berikut:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Di respons, cari di "extensionType": "microsoft.azuredefender.kubernetes" untuk "installState": "Installed".

   Tip

   Ini mungkin menunjukkan "installState": "Pending" selama beberapa menit pertama.

3. Jika status menunjukkan Installed, jalankan perintah berikut pada mesin Anda dengan file kubeconfig yang diarahkan ke kluster Anda untuk memeriksa bahwa pod yang disebut "azuredefender-XXXXX" dalam status 'Running':

   kubectl get pods -n azuredefender
   

Melindungi kluster Amazon Elastic Kubernetes Service

Penting

Jika Anda belum menyambungkan akun AWS, sambungkan akun AWS Anda ke Microsoft Defender untuk Cloud.

Untuk melindungi kluster EKS Anda, aktifkan paket Kontainer pada konektor akun yang relevan:

1. Dari menu Defender untuk Cloud, buka Pengaturan lingkungan.

2. Pilih konektor AWS.

   

3. Atur tombol dwiarah untuk paket Kontainer ke On.

   

4. (Opsional) Untuk mengubah periode retensi untuk log audit Anda, pilih Konfigurasi, masukkan kerangka waktu yang diperlukan, dan pilih Simpan.

   

   Catatan

   Jika Anda menonaktifkan konfigurasi ini, maka fitur Threat detection (control plane) akan dinonaktifkan. Pelajari lebih lanjut terkait ketersediaan fitur.

5. Lanjutkan melalui halaman yang tersisa dari wizard konektor.

6. Kubernetes berkemampuan Azure Arc, ekstensi Defender, dan ekstensi Azure Policy harus diinstal dan berjalan di kluster EKS Anda. Ada 2 rekomendasi khusus Defender untuk Cloud dalam menginstal ekstensi ini (dan Azure Arc jika perlu):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
   • EKS clusters should have the Azure Policy extension installed

   Untuk setiap rekomendasi, ikuti langkah di bawah ini untuk menginstal ekstensi yang diperlukan.

   Untuk menginstal ekstensi yang diperlukan:

   1. Dari halaman Rekomendasi Defender untuk Cloud, cari salah satu rekomendasi berdasarkan nama.

   2. Pilih kluster yang tidak sehat.

      Penting

      Anda harus memilih kluster satu per satu.

      Jangan pilih kluster berdasarkan nama hyperlink mereka: pilih di tempat lain di baris yang relevan.

   3. Pilih Perbaiki.

   4. Defender untuk Cloud menghasilkan skrip dalam bahasa pilihan Anda: pilih Bash (untuk Linux) atau PowerShell (untuk Windows).

   5. Pilih Unduh logika remediasi.

   6. Jalankan skrip yang dihasilkan di kluster Anda.

   7. Ulangi langkah "a" sampai "f" untuk rekomendasi kedua.

   

Menampilkan rekomendasi dan peringatan untuk kluster EKS Anda

Tip

Anda dapat mensimulasikan peringatan container dengan mengikuti petunjuk di postingan blog ini.

Untuk menampilkan peringatan dan rekomendasi untuk kluster EKS Anda, gunakan filter pada peringatan, rekomendasi, dan halaman inventaris guna memfilter berdasarkan jenis sumber daya kluster EKS AWS.

Melindungi kluster Google Kubernetes Engine (GKE)

Penting

Jika Anda belum menyambungkan proyek GCP, sambungkan proyek GCP Anda ke Microsoft Defender untuk Cloud.

Untuk melindungi kluster GKE Anda, Anda perlu mengaktifkan paket Kontainer pada proyek GCP yang relevan.

Untuk melindungi kluster Google Kubernetes Engine (GKE):

1. Masuk ke portal Microsoft Azure.

2. Buka Microsoft Defender untuk Cloud>Pengaturan lingkungan.

3. Pilih konektor GCP yang relevan

   

4. Pilih tombol Berikutnya: Pilih paket >.

5. Pastikan bahwa paket Kontainer diatur ke On.

   

6. (Opsional) Konfigurasikan paket kontainer.

7. Pilih tombol Salin.

   

8. Pilih tombol Cloud Shell GCP >.

9. Tempelkan skrip ke terminal Cloud Shell, dan jalankan.

Konektor akan diperbarui setelah skrip dijalankan. Proses ini bisa memakan waktu hingga 6-8 jam hingga selesai.

Menyebarkan solusi ke kluster tertentu

Jika Anda menonaktifkan salah satu konfigurasi provisi otomatis default ke Off, selama proses onboarding konektor GCP, atau setelahnya. Anda perlu menginstal Kubernetes berkemampuan Azure Arc, ekstensi Defender, dan ekstensi Azure Policy secara manual ke masing-masing kluster GKE Anda untuk mendapatkan nilai keamanan penuh dari Defender untuk Kontainer.

Ada 2 rekomendasi khusus Defender untuk Cloud yang dapat Anda gunakan untuk menginstal ekstensi (dan Arc jika perlu):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Untuk menyebarkan solusi ke kluster tertentu:

1. Masuk ke portal Azure.

2. Buka Microsoft Defender untuk Cloud>Rekomendasi.

3. Dari halaman Rekomendasi Defender untuk Cloud, cari salah satu rekomendasi berdasarkan nama.

   

4. Pilih kluster GKE yang tidak sehat.

   Penting

   Anda harus memilih kluster satu per satu.

   Jangan pilih kluster berdasarkan nama hyperlink mereka: pilih di tempat lain di baris yang relevan.

5. Pilih nama sumber daya yang tidak sehat.

6. Pilih Perbaiki.

   

7. Defender untuk Cloud akan menghasilkan skrip dalam bahasa pilihan Anda:

   • Untuk Linux, pilih Bash.
   • Untuk Windows, pilih PowerShell.

8. Pilih Unduh logika remediasi.

9. Jalankan skrip yang dihasilkan di kluster Anda.

10. Ulangi langkah 3 sampai 8 untuk rekomendasi kedua.

Menampilkan peringatan kluster GKE Anda

1. Masuk ke portal Microsoft Azure.

2. Buka Microsoft Defender untuk Cloud>Peringatan keamanan.

3. Pilih tombol .

4. Di menu drop-down Filter, pilih Jenis sumber daya.

5. Di menu drop-down Nilai, pilih Kluster GKE GCP.

6. Pilih Ok.

Menyimulasikan peringatan keamanan dari Microsoft Defender untuk Kontainer

Daftar lengkap pemberitahuan yang didukung tersedia di tabel referensi semua peringatan keamanan Microsoft Defender untuk Cloud.

1. Untuk menyimulasikan peringatan keamanan, jalankan perintah berikut:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Tanggapan yang diharapkan adalah "Tidak ada sumber daya yang ditemukan".

   Dalam waktu 30 menit, Defender untuk Cloud akan mendeteksi aktivitas ini dan memicu pemberitahuan keamanan.

2. Di portal Microsoft Azure, buka halaman pemberitahuan keamanan Microsoft Defender untuk Cloud dan cari pemberitahuan tentang sumber daya yang relevan:

   

Menghapus ekstensi Defender

Untuk menghapus ekstensi Defender untuk Cloud ini - atau apa pun, tidak cukup mematikan provisi otomatis:

• Mengaktifkan provisi otomatis, berpotensi berdampak pada mesin yang ada dan di masa mendatang.
• Menonaktifkan provisi otomatis untuk ekstensi, hanya memengaruhi mesin di masa mendatang - tidak ada yang terhapus instalannya dengan menonaktifkan provisi otomatis.

Namun demikian, untuk memastikan komponen Defender untuk Kontainer tidak secara otomatis diprovisikan ke sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi seperti yang dijelaskan dalam Mengonfigurasi provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud.

Anda dapat menghapus ekstensi menggunakan portal Azure, Azure CLI, atau REST API seperti yang dijelaskan pada tab di bawah ini.

Portal Azure - Arc

Menggunakan portal Azure untuk menghapus ekstensi

1. Dari portal Azure, buka Azure Arc.

2. Dari daftar infrastruktur, pilih kluster Kubernetes lalu pilih kluster tertentu.

3. Buka halaman ekstensi. Ekstensi pada kluster tercantum.

4. Pilih kluster dan pilih Copot pemasangan.

   

Azure CLI

Menggunakan Azure CLI untuk menghapus ekstensi Defender

1. Hapus ekstensi Microsoft Defender untuk Kubernetes Arc dengan perintah berikut:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Menghapus ekstensi mungkin memakan waktu beberapa menit. Kami sarankan Anda menunggu sebelum mencoba memverifikasi bahwa penghapusan berhasil.

2. Untuk memverifikasi bahwa ekstensi berhasil dihapus, jalankan perintah berikut:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Seharusnya tidak ada penundaan dalam penghapusan sumber daya ekstensi dari Azure Resource Manager. Setelah itu, validasi bahwa tidak ada pod yang disebut "azuredefender-XXXXX" pada kluster dengan menjalankan perintah berikut dengan file kubeconfig yang diarahkan ke kluster Anda:

   kubectl get pods -n azuredefender
   

   Mungkin perlu waktu beberapa menit agar pod dihapus.

REST API

Menggunakan REST API untuk menghapus ekstensi Defender

Untuk menghapus ekstensi menggunakan REST API, jalankan perintah DELETE berikut:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nama	Dalam	Diperlukan	Jenis	Deskripsi
ID Langganan	Jalur	True	String	ID langganan kluster Kubernetes dengan dukungan Azure Arc
Grup Sumber Daya	Jalur	True	String	Grup sumber daya kluster Kubernetes dengan dukungan Azure Arc
Nama Kluster	Jalur	True	String	Nama kluster Kubernetes dengan dukungan Azure Arc

Untuk Autentikasi, header Anda harus memiliki token Pembawa (seperti halnya API Azure lainnya). Untuk mendapatkan token pembawa, jalankan perintah berikut:

az account get-access-token --subscription <your-subscription-id>

Perubahan DWU mungkin memerlukan waktu beberapa menit untuk selesai.

Ruang kerja Analitik Log Default untuk AKS

Ruang kerja Analitik Log digunakan oleh profil Defender sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud tanpa menyimpan data apa pun di ruang kerja Analitik Log itu sendiri. Akibatnya, pengguna tidak akan ditagih dalam kasus penggunaan ini.

Profil Defender menggunakan ruang kerja Analitik Log default. Jika Anda belum memiliki ruang kerja Analitik Log default, Defender untuk Cloud akan membuat grup sumber daya baru dan ruang kerja default saat profil Defender diinstal. Ruang kerja default dibuat berdasarkan wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

• Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
• Grup Sumber Daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan opsi provisi otomatis, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

1. Masuk ke portal Microsoft Azure.

2. Cari dan pilih Kebijakan.

   

3. Pilih Definisi.

4. Cari ID kebijakan 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Pilih Konfigurasikan kluster Azure Kubernetes Service untuk mengaktifkan profil Defender.

6. Pilih Penugasan.

   

7. Ikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom jika kebijakan belum ditetapkan ke cakupan yang relevan. Atau, ikuti langkah-langkah Perbarui penugasan dengan ruang kerja kustom jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom.

Buat penugasan baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, Anda akan melihat Assignments (0).

Untuk menetapkan ruang kerja kustom:

1. Pilih Tetapkan.

2. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

3. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

   

4. Pilih Tinjau + buat.

5. Pilih Buat.

Perbarui penugasan dengan ruang kerja kustom

Jika kebijakan telah ditetapkan ke ruang kerja, Anda akan melihat Assignments (1).

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi.

Untuk menetapkan ruang kerja kustom:

1. Pilih penugasan yang relevan.

   

2. Pilih Edit penugasan.

3. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

4. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

   

5. Pilih Tinjau + buat.

6. Pilih Buat.

Ruang kerja Analitik Log Default untuk Arc

Ruang kerja Analitik Log digunakan oleh ekstensi Defender sebagai alur data untuk mengirim data dari kluster ke Defender untuk Cloud tanpa menyimpan data apa pun di ruang kerja Analitik Log itu sendiri. Akibatnya, pengguna tidak akan ditagih dalam kasus penggunaan ini.

Ekstensi Defender menggunakan ruang kerja Analitik Log default. Jika Anda belum memiliki ruang kerja Analitik Log default, Defender untuk Cloud akan membuat grup sumber daya baru dan ruang kerja default saat ekstensi Defender diinstal. Ruang kerja default dibuat berdasarkan wilayah Anda.

Konvensi penamaan untuk ruang kerja Analitik Log default dan grup sumber daya adalah:

• Ruang kerja: DefaultWorkspace-[subscription-ID]-[geo]
• Grup Sumber Daya: DefaultResourceGroup-[geo]

Tetapkan ruang kerja kustom

Saat Anda mengaktifkan opsi provisi otomatis, ruang kerja default akan ditetapkan secara otomatis. Anda dapat menetapkan ruang kerja kustom melalui Azure Policy.

Untuk memeriksa apakah Anda memiliki ruang kerja yang ditetapkan:

1. Masuk ke portal Azure.

2. Cari dan pilih Kebijakan.

   

3. Pilih Definisi.

4. Cari ID kebijakan 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Pilih Konfigurasikan kluster Kubernetes yang mengaktifkan Azure Arc untuk menginstal ekstensi Microsoft Defender untuk Cloud..

6. Pilih Tugas.

   

7. Ikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom jika kebijakan belum ditetapkan ke cakupan yang relevan. Atau, ikuti langkah-langkah Perbarui penugasan dengan ruang kerja kustom jika kebijakan sudah ditetapkan dan Anda ingin mengubahnya untuk menggunakan ruang kerja kustom.

Buat penugasan baru dengan ruang kerja kustom

Jika kebijakan belum ditetapkan, Anda akan melihat Assignments (0).

Untuk menetapkan ruang kerja kustom:

1. Pilih Tetapkan.

2. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

3. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

   

4. Pilih Tinjau + buat.

5. Pilih Buat.

Perbarui penugasan dengan ruang kerja kustom

Jika kebijakan telah ditetapkan ke ruang kerja, Anda akan melihat Assignments (1).

Catatan

Jika Anda memiliki lebih dari satu langganan, jumlahnya mungkin lebih tinggi. Jika Anda memiliki angka 1 atau lebih tinggi, penugasan mungkin masih tidak berada di cakupan yang relevan. Jika demikian, Anda ingin mengikuti langkah-langkah Buat penugasan baru dengan ruang kerja kustom.

Untuk menetapkan ruang kerja kustom:

1. Pilih penugasan yang relevan.

   

2. Pilih Edit penugasan.

3. Di tab Parameter, batal pilih opsi Hanya tampilkan parameter yang memerlukan input atau ulasan.

4. Pilih ID LogAnalyticsWorkspaceResource dari menu drop-down.

   

5. Pilih Tinjau + buat.

6. Pilih Buat.

Menghapus profil Defender

Untuk menghapus ekstensi Defender untuk Cloud ini - atau apa pun, tidak cukup mematikan provisi otomatis:

• Mengaktifkan provisi otomatis, berpotensi berdampak pada mesin yang ada dan di masa mendatang.
• Menonaktifkan provisi otomatis untuk ekstensi, hanya memengaruhi mesin di masa mendatang - tidak ada yang terhapus instalannya dengan menonaktifkan provisi otomatis.

Namun demikian, untuk memastikan komponen Defender untuk Kontainer tidak secara otomatis diprovisikan ke sumber daya Anda mulai sekarang, nonaktifkan provisi otomatis ekstensi seperti yang dijelaskan dalam Mengonfigurasi provisi otomatis untuk agen dan ekstensi dari Microsoft Defender untuk Cloud.

Anda dapat menghapus profil menggunakan REST API atau templat Resource Manager seperti yang dijelaskan pada tab di bawah ini.

REST API

Menggunakan REST API untuk menghapus profil Defender dari AKS

Untuk menghapus profil menggunakan REST API, jalankan perintah PUT berikut:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nama	Deskripsi	Wajib
SubscriptionId	ID langganan kluster	Ya
ResourceGroup	Grup sumber daya kluster	Ya
clusterName	Nama kluster	Ya
ApiVersion	Versi API, harus >= 01-06-2022	Ya

Isi permintaan:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parameter Isi permintaan:

Nama	Deskripsi	Wajib
lokasi	Lokasi kluster	Ya
properties.securityProfile.defender.securityMonitoring.enabled	Menentukan apakah akan mengaktifkan atau menonaktifkan Defender untuk Kontainer pada kluster	Ya

Azure CLI

Menggunakan Azure CLI untuk menghapus profil Defender

1. Hapus Microsoft Defender dengan perintah berikut:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Menghapus profil mungkin memerlukan beberapa menit.

2. Untuk memverifikasi bahwa profil berhasil dihapus, jalankan perintah berikut:

   kubectl get pods -n azuredefender
   

   Saat profil dihapus, Anda akan melihat bahwa tidak ada pod yang dikembalikan pada perintah get pods. Mungkin perlu waktu beberapa menit agar pod dihapus.

Resource Manager

Menggunakan Azure Resource Manager untuk menghapus profil Defender dari AKS

Untuk menggunakan Azure Resource Manager untuk menghapus profil Defender, Anda memerlukan ruang kerja Analitik Log pada langganan Anda. Pelajari selengkapnya di ruang kerja Analitik Log.

Tip

Jika Anda baru menggunakan templat Resource Manager, mulai di sini: Apa itu templat Azure Resource Manager?

Templat dan parameter yang relevan untuk menghapus profil Defender dari AKS adalah:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

FAQ

• Bagaimana cara menggunakan ruang kerja Log Analytics yang sudah ada?
• Dapatkah saya menghapus ruang kerja default yang dibuat oleh Microsoft Defender untuk Cloud?
• Saya menghapus ruang kerja default, bagaimana cara saya mengembalikannya?
• Di mana ruang kerja Analitik Log default berada?
• Organisasi saya mengharuskan saya menandai sumber daya saya, dan provisi otomatis gagal, apa yang salah?

Bagaimana cara menggunakan ruang kerja Log Analytics yang sudah ada?

Anda dapat menggunakan ruang kerja Analitik Log yang sudah ada dengan mengikuti langkah-langkah di bagian ruang kerja Tetapkan ruang kerja kustom dari artikel ini.

Dapatkah saya menghapus ruang kerja default yang dibuat oleh Microsoft Defender untuk Cloud?

Kami tidak menyarankan untuk menghapus ruang kerja default. Defender untuk Kontainer menggunakan ruang kerja default untuk mengumpulkan data keamanan dari kluster Anda. Defender untuk Kontainer tidak akan dapat mengumpulkan data, serta beberapa rekomendasi dan peringatan keamanan akan menjadi tidak tersedia jika Anda menghapus ruang kerja default.

Saya menghapus ruang kerja default, bagaimana cara saya mengembalikannya?

Untuk memulihkan ruang kerja default, Anda perlu menghapus profil/ekstensi Defender dan menginstal ulang agen. Menginstal ulang profil/ekstensi Defender akan membuat ruang kerja default yang baru.

Di mana ruang kerja Log Analitik default berada?

Bergantung pada wilayah Anda, ruang kerja Analitik Log default akan berada di berbagai lokasi. Untuk memeriksa wilayah Anda, lihat Di mana ruang kerja Analitik Log default dibuat?

Organisasi saya mengharuskan saya menandai sumber daya saya, dan provisi otomatis gagal, apa yang salah?

Agen Defender menggunakan ruang kerja Analitik log untuk mengirim data dari kluster Kubernetes anda ke Defender untuk Cloud. Fitur provisi otomatis Defender untuk Cloud melalui kebijakan bawaan, menambahkan ruang kerja analitik Log dan grup sumber daya sebagai parameter untuk digunakan agen.

Namun, jika organisasi Anda memiliki kebijakan yang memerlukan tag tertentu pada sumber daya Anda, hal itu dapat menyebabkan provisi otomatis gagal selama grup sumber daya atau tahap pembuatan ruang kerja default. Jika gagal, Anda dapat:

• Tetapkan ruang kerja kustom dan tambahkan tag apa pun yang diperlukan organisasi Anda.

  atau

• Jika perusahaan mengharuskan Anda menandai sumber daya, Anda harus menavigasi ke kebijakan tersebut dan mengecualikan sumber daya berikut:

  1. Grup sumber daya DefaultResourceGroup-<RegionShortCode>
  2. Ruang kerja DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode adalah string 2-4 huruf.

Selengkapnya

Anda juga dapat melihat blog berikut:

• Melindungi beban kerja Google Cloud Anda dengan Microsoft Defender untuk Cloud
• Memperkenalkan Microsoft Defender untuk Kontainer
• Nama baru untuk keamanan multi-cloud: Microsoft Defender untuk Cloud

Langkah berikutnya

Gunakan Defender untuk Kontainer untuk memindai gambar ACR Anda dari kerentanan.