Abilitare Microsoft Defender per contenitori

Microsoft Defender per contenitori è la soluzione nativa del cloud per la protezione dei contenitori.

Defender per contenitori protegge i cluster, indipendentemente dal fatto che siano in esecuzione in:

  • Servizio Azure Kubernetes: servizio gestito da Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.

  • Amazon Elastic Kubernetes Service (EKS) in un account Amazon Web Services (AWS) connesso : il servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, gestire e gestire un piano di controllo o nodi Kubernetes personalizzati.

  • Google Kubernetes Engine (GKE) in un progetto Google Cloud Platform (GCP) connesso : ambiente gestito di Google per la distribuzione, la gestione e il ridimensionamento delle applicazioni tramite l'infrastruttura GCP.

  • Altre distribuzioni kubernetes (con Kubernetes con abilitazione di Azure Arc): cluster Kubernetes certificati CLOUD Native Computing Foundation (CNF) ospitati in locale o in IaaS. Per altre informazioni, vedere la sezione On-prem/IaaS (Arc) di Supported features by environment (Funzionalità supportate per ambiente).

Informazioni su questo piano in Panoramica di Microsoft Defender per contenitori.

Per altre informazioni, guardare questi video da Defender for Cloud nella serie video Field:

Nota

Supporto di Defender per contenitori per i cluster Kubernetes abilitati per Arc, AWS EKS e GCP GKE. Questa è una funzionalità in anteprima.

Per altre informazioni sui sistemi operativi supportati, la disponibilità delle funzionalità, il proxy in uscita e altro ancora vedere la disponibilità delle funzionalità di Defender per contenitori.

Requisiti di rete - Servizio Azure Kubernetes

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che il profilo di Defender possa connettersi a Microsoft Defender for Cloud per inviare i dati e gli eventi di sicurezza:

Vedere le regole FQDN/applicazione necessarie per Microsoft Defender per contenitori.

Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni.

Requisiti di rete

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che l'estensione Defender possa connettersi a Microsoft Defender for Cloud per inviare dati ed eventi di sicurezza:

Per le distribuzioni di cloud pubblico di Azure:

Dominio Porta
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

I domini seguenti sono necessari solo se si usa un sistema operativo pertinente. Ad esempio, se si dispone di cluster del servizio Azure Kubernetes in esecuzione in AWS, è sufficiente applicare il Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" dominio.

Dominio Porta Sistemi operativi host
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
repository predefiniti yum - RHEL/Centos
apt default repository - Debian

Sarà anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.

Abilitare il piano

Per abilitare il piano:

  1. Dal menu di Defender for Cloud aprire la pagina Impostazioni ambiente e selezionare la sottoscrizione pertinente.

  2. Nella pagina Piani di Defender abilitare Defender per contenitori

    Suggerimento

    Se la sottoscrizione ha già Defender per Kubernetes e/o Defender per registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

    Defender per registri contenitori e piani defender per Kubernetes che mostrano le informazioni di aggiornamento e deprecate.

  3. Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per il provisioning automatico (installazione automatica) dei componenti necessari per fornire le protezioni offerte dal piano, inclusa l'assegnazione di un'area di lavoro predefinita.

    Se si vuole disabilitare il provisioning automatico durante il processo di onboarding, selezionare Modifica configurazione per il piano Contenitori . Verranno visualizzate le opzioni Avanzate, in cui è possibile disabilitare il provisioning automatico per ogni componente.

    È anche possibile modificare questa configurazione dalla pagina Piani di Defender o dalla pagina Provisioning automatico nella riga Componenti di Microsoft Defender per contenitori :

    Screenshot delle opzioni di provisioning automatico per Microsoft Defender per contenitori.

    Nota

    Se si sceglie di disabilitare il piano in qualsiasi momento dopo l'abilitazione tramite il portale, come illustrato in precedenza, sarà necessario rimuovere manualmente i componenti di Defender per contenitori distribuiti nei cluster.

    È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

  4. Se si disabilita il provisioning automatico di qualsiasi componente, è possibile distribuire facilmente il componente in uno o più cluster usando la raccomandazione appropriata:

    Nota

    Microsoft Defender per contenitori è configurato per difendere automaticamente tutti i cloud. Quando si installano tutti i prerequisiti necessari e si abilitano tutte le funzionalità di provisioning automatico.

    Se si sceglie di disabilitare tutte le opzioni di configurazione di provisioning automatico, non verranno distribuiti agenti o componenti nei cluster. La protezione sarà limitata solo alle funzionalità senza agente. Informazioni sulle funzionalità senza agente nella sezione relativa alla disponibilità per Defender per contenitori.

Distribuire il profilo di Defender

È possibile abilitare il piano Defender per contenitori e distribuire tutti i componenti pertinenti dal portale di Azure, dall'API REST o con un modello di Resource Manager. Per i passaggi dettagliati, selezionare la scheda pertinente.

Dopo aver distribuito il profilo defender, verrà assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un'area di lavoro personalizzata al posto dell'area di lavoro predefinita tramite Criteri di Azure.

Nota

Il profilo Defender viene distribuito in ogni nodo per fornire le protezioni di runtime e raccogliere segnali da tali nodi usando la tecnologia eBPF.

Usare il pulsante di correzione della raccomandazione di Defender for Cloud

Un processo semplificato, senza attrito, consente di usare le pagine portale di Azure per abilitare il piano Defender for Cloud e configurare il provisioning automatico di tutti i componenti necessari per difendere i cluster Kubernetes su larga scala.

Una raccomandazione dedicata di Defender for Cloud offre:

  • Visibilità su quale cluster è distribuito il profilo di Defender
  • Pulsante Correzione per distribuirlo in tali cluster senza l'estensione
  1. Dalla pagina delle raccomandazioni di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza avanzata .

  2. Usare il filtro per trovare la raccomandazione denominata servizio Azure Kubernetes cluster deve avere abilitato il profilo Defender.

    Suggerimento

    Si noti l'icona Correzione nella colonna azioni

  3. Selezionare i cluster per visualizzare i dettagli delle risorse integre e non integre: cluster con e senza il profilo.

  4. Nell'elenco delle risorse non integre selezionare un cluster e selezionare Correggi per aprire il riquadro con la conferma della correzione.

  5. Selezionare Correggi [x] risorse.

Abilitare il piano

Per abilitare il piano:

  1. Dal menu di Defender for Cloud aprire la pagina Impostazioni ambiente e selezionare la sottoscrizione pertinente.

  2. Nella pagina Piani defender abilitare Defender per contenitori.

    Suggerimento

    Se la sottoscrizione ha già Defender per Kubernetes o Defender per i registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

    Defender per i registri contenitori e i piani Defender per Kubernetes che mostrano le informazioni di aggiornamento e 'Deprecate'.

  3. Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per i contenitori è configurato per effettuare il provisioning automatico (automaticamente installato) dei componenti necessari per fornire le protezioni offerte dal piano, inclusa l'assegnazione di un'area di lavoro predefinita.

    Se si vuole disabilitare il provisioning automatico durante il processo di onboarding, selezionare Modifica configurazione per il piano Contenitori . Verranno visualizzate le opzioni Avanzate e sarà possibile disabilitare il provisioning automatico per ogni componente.

    È inoltre possibile modificare questa configurazione dalla pagina piani defender o dalla pagina Provisioning automatico nella riga componenti di Microsoft Defender per contenitori :

    Screenshot delle opzioni di provisioning automatico per Microsoft Defender per contenitori.

    Nota

    Se si sceglie di disabilitare il piano in qualsiasi momento dopo l'abilitazione tramite il portale, come illustrato in precedenza, sarà necessario rimuovere manualmente i componenti Defender per contenitori distribuiti nei cluster.

    È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

  4. Se si disabilita il provisioning automatico di qualsiasi componente, è possibile distribuire facilmente il componente in uno o più cluster usando la raccomandazione appropriata:

Prerequisiti

Prima di distribuire l'estensione, assicurarsi di:

Distribuire l'estensione Defender

È possibile distribuire l'estensione Defender usando un intervallo di metodi. Per i passaggi dettagliati, selezionare la scheda pertinente.

Usare il pulsante correzione dalla raccomandazione Defender for Cloud

Una raccomandazione dedicata di Defender for Cloud fornisce:

  • Visibilità su quale cluster ha l'estensione Defender per Kubernetes distribuita
  • Correzione del pulsante per distribuirlo in tali cluster senza l'estensione
  1. Dalla pagina dei consigli di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza avanzata .

  2. Usare il filtro per trovare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc deve avere l'estensione Defender for Cloud installata.

    Raccomandazione di Microsoft Defender for Cloud per la distribuzione dell'estensione Defender per i cluster Kubernetes abilitati per Azure Arc.

    Suggerimento

    Si noti l'icona Correzione nella colonna azioni

  3. Selezionare l'estensione per visualizzare i dettagli delle risorse integre e non integre: cluster con e senza estensione.

  4. Nell'elenco delle risorse non integre selezionare un cluster e selezionare Correggi per aprire il riquadro con le opzioni di correzione.

  5. Selezionare l'area di lavoro Log Analytics pertinente e selezionare Correggi x risorsa.

    Distribuire l'estensione Defender per Azure Arc con l'opzione 'fix' di Defender for Cloud.

Verificare la distribuzione

Per verificare che nel cluster sia installata l'estensione Defender, seguire la procedura descritta in una delle schede seguenti:

Usare La raccomandazione di Defender for Cloud per verificare lo stato dell'estensione

  1. Dalla pagina dei consigli di Microsoft Defender for Cloud aprire il controllo Abilita sicurezza di Microsoft Defender for Cloud .

  2. Selezionare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc in cui deve essere installata l'estensione di Microsoft Defender for Cloud.

    Raccomandazione di Microsoft Defender for Cloud per la distribuzione dell'estensione Defender per i cluster Kubernetes abilitati per Azure Arc.

  3. Verificare che il cluster in cui è stata distribuita l'estensione sia elencato come Integro.

Proteggere i cluster del servizio Amazon Elastic Kubernetes

Importante

Se non è già stato connesso un account AWS, connettere gli account AWS a Microsoft Defender for Cloud.

Per proteggere i cluster del servizio Azure Kubernetes, abilitare il piano Contenitori nel connettore dell'account pertinente:

  1. Dal menu di Defender for Cloud aprire Impostazioni ambiente.

  2. Selezionare il connettore AWS.

    Screenshot della pagina delle impostazioni dell'ambiente di Defender for Cloud che mostra un connettore AWS.

  3. Impostare l'interruttore per il piano Contenitori su Attivato.

    Screenshot dell'abilitazione di Defender per contenitori per un connettore AWS.

  4. (Facoltativo) Per modificare il periodo di conservazione per i log di controllo, selezionare Configura, immettere l'intervallo di tempo necessario e selezionare Salva.

    Screenshot della modifica del periodo di conservazione per i log del riquadro di controllo del servizio Azure Kubernetes.

    Nota

    Se si disabilita questa configurazione, la Threat detection (control plane) funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.

  5. Continuare attraverso le pagine rimanenti della procedura guidata connettore.

  6. Kubernetes abilitato per Azure Arc, l'estensione Defender e l'estensione Criteri di Azure devono essere installati ed in esecuzione nei cluster del servizio Azure Kubernetes. Sono disponibili due consigli di Defender per Cloud dedicati per installare queste estensioni (e Azure Arc, se necessario):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
    • EKS clusters should have the Azure Policy extension installed

    Per ognuna delle raccomandazioni, seguire la procedura seguente per installare le estensioni necessarie.

    Per installare le estensioni necessarie:

    1. Nella pagina Raccomandazioni di Defender for Cloud cercare uno dei consigli in base al nome.

    2. Selezionare un cluster non integro.

      Importante

      È necessario selezionare i cluster uno alla volta.

      Non selezionare i cluster in base ai relativi nomi ipertestuali: selezionare qualsiasi altra posizione nella riga pertinente.

    3. Selezionare Correzione.

    4. Defender for Cloud genera uno script nella lingua desiderata: selezionare Bash (per Linux) o PowerShell (per Windows).

    5. Selezionare Scarica logica di correzione.

    6. Eseguire lo script generato nel cluster.

    7. Ripetere i passaggi "a" tramite "f" per la seconda raccomandazione.

    Video su come usare la raccomandazione Defender for Cloud per generare uno script per i cluster EKS che abilitano l'estensione Azure Arc.

Visualizzare raccomandazioni e avvisi per i cluster del servizio Azure Kubernetes

Suggerimento

È possibile simulare gli avvisi relativi ai contenitori seguendo le istruzioni riportate in questo post di blog.

Per visualizzare gli avvisi e le raccomandazioni per i cluster del servizio Azure Kubernetes, usare i filtri nelle pagine avvisi, raccomandazioni e inventario per filtrare in base al tipo di risorsa cluster AWS EKS.

Screenshot di come usare filtri nella pagina degli avvisi di Microsoft Defender for Cloud per visualizzare gli avvisi correlati ai cluster AWS EKS.

Proteggere i cluster del motore di Google Kubernetes (GKE)

Importante

Se non è già stato connesso un progetto GCP, connettere i progetti GCP a Microsoft Defender for Cloud.

Per proteggere i cluster GKE, è necessario abilitare il piano Contenitori nel progetto GCP pertinente.

Per proteggere i cluster GKE (Google Kubernetes Engine):

  1. Accedere al portale di Azure.

  2. Passare alle impostazioni di Microsoft Defender for Cloud>Environment.

  3. Selezionare il connettore GCP pertinente

    Screenshot che mostra un esempio di connettore GCP.

  4. Selezionare il pulsante Avanti: selezionare i piani > .

  5. Assicurarsi che il piano Contenitori sia attivato.

    Screenshot che mostra che il piano contenitori è attivato.

  6. (Facoltativo) Configurare il piano contenitori.

  7. Selezionare il pulsante Copia .

    Screenshot che mostra il percorso del pulsante di copia.

  8. Selezionare il pulsante Cloud Shell >GCP.

  9. Incollare lo script nel terminale Cloud Shell ed eseguirlo.

Il connettore verrà aggiornato dopo l'esecuzione dello script. Questo processo può richiedere fino a 6-8 ore fino al completamento.

Distribuire la soluzione in cluster specifici

Se una delle configurazioni di provisioning automatico predefinite è disattivata, durante il processo di onboarding del connettore GCP o successivamente. È necessario installare manualmente Kubernetes abilitato per Azure Arc, l'estensione Defender e le estensioni Criteri di Azure a ognuno dei cluster GKE per ottenere il valore di sicurezza completo da Defender per i contenitori.

Sono disponibili 2 consigli dedicati per Defender for Cloud che è possibile usare per installare le estensioni (e Arc se necessario):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Per distribuire la soluzione in cluster specifici:

  1. Accedere al portale di Azure.

  2. Passare a Microsoft Defender peri consigli cloud>.

  3. Nella pagina Raccomandazioni di Defender for Cloud cercare uno dei consigli in base al nome.

    Screenshot che mostra come cercare la raccomandazione.

  4. Selezionare un cluster GKE non integro.

    Importante

    È necessario selezionare i cluster uno alla volta.

    Non selezionare i cluster in base ai relativi nomi ipertestuali: selezionare qualsiasi altra posizione nella riga pertinente.

  5. Selezionare il nome della risorsa non integra.

  6. Selezionare Correzione.

    Screenshot che mostra la posizione del pulsante di correzione.

  7. Defender per Cloud genererà uno script nella lingua desiderata:

    • Per Linux selezionare Bash.
    • Per Windows selezionare PowerShell.
  8. Selezionare Scarica logica di correzione.

  9. Eseguire lo script generato nel cluster.

  10. Ripetere i passaggi da 3 a 8 per la seconda raccomandazione.

Visualizzare gli avvisi del cluster GKE

  1. Accedere al portale di Azure.

  2. Passare agli avvisi di Microsoft Defender for Cloud>Security.

  3. Selezionare il pulsante .

  4. Nel menu a discesa Filtro selezionare Tipo di risorsa.

  5. Nel menu a discesa Valore selezionare GCP GKE Cluster.

  6. Selezionare OK.

Simulare gli avvisi di sicurezza da Microsoft Defender per contenitori

Un elenco completo degli avvisi supportati è disponibile nella tabella di riferimento di tutti gli avvisi di sicurezza Defender for Cloud.

  1. Per simulare un avviso di sicurezza, eseguire il comando seguente dal cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    La risposta prevista è "Nessuna risorsa trovata".

    Entro 30 minuti, Defender for Cloud rileverà questa attività e attiverà un avviso di sicurezza.

  2. Nella portale di Azure pagina degli avvisi di sicurezza di Microsoft Defender for Cloud aprire la pagina degli avvisi di sicurezza di Microsoft Defender for Cloud e cercare l'avviso nella risorsa pertinente:

    Avviso di esempio da Microsoft Defender per Kubernetes.

Rimuovere l'estensione Defender

Per rimuovere questa operazione- o qualsiasi - Defender per l'estensione Cloud, non è sufficiente disattivare il provisioning automatico:

  • Abilitazione del provisioning automatico, potenzialmente influisce sui computer esistenti e futuri .
  • Disabilitando il provisioning automatico per un'estensione, influisce solo sui computer futuri : non viene disinstallato disabilitando il provisioning automatico.

Tuttavia, per assicurarsi che i componenti Defender per contenitori non vengano automaticamente effettuato il provisioning delle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni, come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender for Cloud.

È possibile rimuovere l'estensione usando portale di Azure, l'interfaccia della riga di comando di Azure o l'API REST, come illustrato nelle schede seguenti.

Usare portale di Azure per rimuovere l'estensione

  1. Dal portale di Azure aprire Azure Arc.

  2. Nell'elenco dell'infrastruttura selezionare Cluster Kubernetes e quindi selezionare il cluster specifico.

  3. Aprire la pagina delle estensioni. Le estensioni nel cluster sono elencate.

  4. Selezionare il cluster e selezionare Disinstalla.

    Rimozione di un'estensione dal cluster Kubernetes abilitato per Arc.

Area di lavoro Log Analytics predefinita per il servizio Azure Kubernetes

L'area di lavoro Log Analytics viene usata dal profilo di Defender come pipeline di dati per inviare dati dal cluster a Defender for Cloud senza conservare dati nell'area di lavoro Log Analytics stessa. Di conseguenza, gli utenti non verranno fatturati in questo caso d'uso.

Il profilo defender usa un'area di lavoro Log Analytics predefinita. Se non si ha già un'area di lavoro Log Analytics predefinita, Defender for Cloud creerà un nuovo gruppo di risorse e un'area di lavoro predefinita quando viene installato il profilo defender. L'area di lavoro predefinita viene creata in base all'area.

La convenzione di denominazione per l'area di lavoro Log Analytics predefinita e il gruppo di risorse è:

  • Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
  • Gruppo di risorse: DefaultResourceGroup-[geo]

Assegnare un'area di lavoro personalizzata

Quando si abilita l'opzione di provisioning automatico, verrà assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

Per verificare se è stata assegnata un'area di lavoro:

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Criteri.

    Screenshot che mostra come individuare la pagina dei criteri.

  3. Selezionare Definizioni.

  4. Cercare l'ID 64def556-fbad-4622-930e-72d1d5589bf5criterio .

    Screenshot che mostra dove cercare il criterio in base al numero ID.

  5. Selezionare Configura cluster servizio Azure Kubernetes per abilitare il profilo di Defender.

  6. Selezionare Assegnazione.

    Screenshot che mostra dove individuare la scheda assegnazioni.

  7. Seguire la procedura Creare una nuova assegnazione con l'area di lavoro personalizzata se il criterio non è ancora stato assegnato all'ambito pertinente. In alternativa, seguire la procedura Aggiorna assegnazione con area di lavoro personalizzata se il criterio è già assegnato e si vuole modificarlo per usare un'area di lavoro personalizzata.

Creare una nuova assegnazione con un'area di lavoro personalizzata

Se il criterio non è stato assegnato, verrà visualizzato Assignments (0).

Screenshot che mostra che non è stata assegnata alcuna area di lavoro.

Per assegnare un'area di lavoro personalizzata:

  1. Selezionare Assegna.

  2. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono input o revisione .

  3. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

    Screenshot che mostra dove si trova il menu a discesa.

  4. Selezionare Rivedi e crea.

  5. Selezionare Crea.

Aggiornare l'assegnazione con l'area di lavoro personalizzata

Se i criteri sono già stati assegnati a un'area di lavoro, verrà visualizzato Assignments (1).

Screenshot che mostra l'assegnazione (1), vale a dire che è già stata assegnata un'area di lavoro.

Nota

Se si dispone di più sottoscrizioni, il numero potrebbe essere superiore.

Per assegnare un'area di lavoro personalizzata:

  1. Selezionare l'assegnazione pertinente.

    Screenshot che mostra da dove selezionare l'assegnazione pertinente.

  2. Selezionare Modifica assegnazione.

  3. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono input o revisione .

  4. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

    Screenshot che mostra dove si trova il menu a discesa.

  5. Selezionare Rivedi e crea.

  6. Selezionare Crea.

Area di lavoro Log Analytics predefinita per Arc

L'area di lavoro Log Analytics viene usata dall'estensione Defender come pipeline di dati per inviare dati dal cluster a Defender for Cloud senza conservare dati nell'area di lavoro Log Analytics stessa. Di conseguenza, gli utenti non verranno fatturati in questo caso d'uso.

L'estensione Defender usa un'area di lavoro Log Analytics predefinita. Se non si ha già un'area di lavoro Log Analytics predefinita, Defender for Cloud creerà un nuovo gruppo di risorse e un'area di lavoro predefinita quando viene installata l'estensione Defender. L'area di lavoro predefinita viene creata in base all'area.

La convenzione di denominazione per l'area di lavoro Log Analytics predefinita e il gruppo di risorse è:

  • Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
  • Gruppo di risorse: DefaultResourceGroup-[geo]

Assegnare un'area di lavoro personalizzata

Quando si abilita l'opzione di provisioning automatico, verrà assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

Per verificare se è assegnata un'area di lavoro:

  1. Accedere al portale di Azure.

  2. Cercare e selezionare Criteri.

    Screenshot che mostra come individuare la pagina dei criteri per ARC.

  3. Selezionare Definizioni.

  4. Cercare l'ID 708b60a6-d253-4fe0-9114-4be4c00f012ccriterio .

    Screenshot che mostra dove cercare il criterio in base al numero ID per ARC.

  5. Selezionare Configura cluster Kubernetes abilitati per Azure Arc per installare Microsoft Defender for Cloud extension..

  6. Selezionare Assegnazioni.

    Screenshot che mostra dove si trova la scheda assegnazioni per ARC.

  7. Seguire la procedura Crea una nuova assegnazione con la procedura personalizzata dell'area di lavoro se il criterio non è ancora stato assegnato all'ambito pertinente. In alternativa, seguire l'assegnazione di aggiornamento con i passaggi dell'area di lavoro personalizzati se il criterio è già assegnato e si vuole modificarlo per usare un'area di lavoro personalizzata.

Creare una nuova assegnazione con l'area di lavoro personalizzata

Se il criterio non è stato assegnato, verrà visualizzato Assignments (0).

Screenshot che mostra che non è stata assegnata alcuna area di lavoro per ARC.

Per assegnare un'area di lavoro personalizzata:

  1. Selezionare Assegna.

  2. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri necessari per l'input o la revisione .

  3. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

    Screenshot che mostra dove si trova il menu a discesa per ARC.

  4. Selezionare Rivedi e crea.

  5. Selezionare Crea.

Aggiornare l'assegnazione con l'area di lavoro personalizzata

Se il criterio è già stato assegnato a un'area di lavoro, verrà visualizzato Assignments (1).

Nota

Se si dispone di più sottoscrizioni, il numero potrebbe essere superiore. Se si ha un numero 1 o superiore, l'assegnazione potrebbe non essere ancora nell'ambito pertinente. In questo caso, si vuole seguire la procedura Crea una nuova assegnazione con la procedura personalizzata dell'area di lavoro .

Screenshot che mostra Assegnazione (1), ovvero un'area di lavoro è già stata assegnata per ARC.

Per assegnare un'area di lavoro personalizzata:

  1. Selezionare l'assegnazione pertinente.

    Screenshot che mostra dove selezionare l'assegnazione pertinente da per ARC.

  2. Selezionare Modifica assegnazione.

  3. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri necessari per l'input o la revisione .

  4. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

    Screenshot che mostra dove si trova il menu a discesa per ARC.

  5. Selezionare Rivedi e crea.

  6. Selezionare Crea.

Rimuovere il profilo Defender

Per rimuovere questa operazione- o qualsiasi - Defender per l'estensione Cloud, non è sufficiente disattivare il provisioning automatico:

  • Abilitazione del provisioning automatico, potenzialmente influisce sui computer esistenti e futuri .
  • Disabilitando il provisioning automatico per un'estensione, influisce solo sui computer futuri : non viene disinstallato disabilitando il provisioning automatico.

Tuttavia, per assicurarsi che i componenti Defender per contenitori non vengano automaticamente effettuato il provisioning delle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni, come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender for Cloud.

È possibile rimuovere il profilo usando l'API REST o un modello di Resource Manager, come illustrato nelle schede seguenti.

Usare l'API REST per rimuovere il profilo Defender dal servizio Azure Kubernetes

Per rimuovere il profilo usando l'API REST, eseguire il comando PUT seguente:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nome Descrizione Obbligatorio
SubscriptionId ID sottoscrizione del cluster
ResourceGroup Gruppo di risorse del cluster
ClusterName Nome del cluster
ApiVersion La versione dell'API deve essere >= 2022-06-01

Corpo della richiesta:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parametri del corpo della richiesta:

Nome Descrizione Obbligatorio
posizione Posizione del cluster
properties.securityProfile.defender.securityMonitoring.enabled Determina se abilitare o disabilitare Microsoft Defender per contenitori nel cluster

Domande frequenti

Come usare l'area di lavoro Log Analytics esistente

È possibile usare l'area di lavoro Log Analytics esistente seguendo la procedura descritta nella sezione Assegna un'area di lavoro personalizzata di questo articolo.

È possibile eliminare le aree di lavoro predefinite create da Defender for Cloud?

Non è consigliabile eliminare l'area di lavoro predefinita. Defender per contenitori usa le aree di lavoro predefinite per raccogliere i dati di sicurezza dai cluster. Defender per contenitori non sarà in grado di raccogliere dati e alcuni consigli e avvisi di sicurezza non saranno disponibili se si elimina l'area di lavoro predefinita.

È stata eliminata l'area di lavoro predefinita, come è possibile recuperarla?

Per ripristinare l'area di lavoro predefinita, è necessario rimuovere il profilo o l'estensione di Defender e reinstallare l'agente. La reinstallazione del profilo o dell'estensione defender crea una nuova area di lavoro predefinita.

Dove si trova l'area di lavoro Log Analytics predefinita?

A seconda dell'area geografica, l'area di lavoro Log Analytics predefinita che si trova si troverà in varie posizioni. Per controllare l'area, vedere Dove viene creata l'area di lavoro Log Analytics predefinita?

L'organizzazione richiede di contrassegnare le risorse e il provisioning automatico non è riuscito, cosa è andato storto?

L'agente di Defender usa l'area di lavoro Log Analytics per inviare dati dai cluster Kubernetes a Defender for Cloud. La funzionalità di provisioning automatico di Defender for Cloud tramite i criteri predefiniti aggiunge l'area di lavoro Log analytics e il gruppo di risorse come parametro per l'agente da usare.

Tuttavia, se l'organizzazione dispone di un criterio che richiede un tag specifico per le risorse, il provisioning automatico potrebbe non riuscire durante il gruppo di risorse o la fase di creazione dell'area di lavoro predefinita. In caso di errore, è possibile:

  • Assegnare un'area di lavoro personalizzata e aggiungere qualsiasi tag richiesto dall'organizzazione.

    oppure

  • Se l'azienda richiede di contrassegnare la risorsa, è necessario passare a tale criterio ed escludere le risorse seguenti:

    1. Gruppo di risorse DefaultResourceGroup-<RegionShortCode>
    2. Area di lavoro DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode è una stringa di 2-4 lettere.

Altre informazioni

È possibile consultare i blog seguenti:

Passaggi successivi

Usare Defender per contenitori per analizzare le immagini del Registro Azure Container per individuare le vulnerabilità.