Configurare componenti di Microsoft Defender per contenitori

Microsoft Defender per contenitori è la soluzione nativa del cloud per la protezione dei contenitori.

Defender per contenitori protegge i cluster, indipendentemente dal fatto che siano in esecuzione in:

• Servizio Azure Kubernetes: servizio gestito da Microsoft per lo sviluppo, la distribuzione e la gestione di applicazioni in contenitori.

• Amazon Elastic Kubernetes Service (EKS) in un account Amazon Web Services (AWS) connesso: il servizio gestito di Amazon per l'esecuzione di Kubernetes in AWS senza dover installare, eseguire e gestire un piano di controllo o nodi Kubernetes personalizzati.

• Google Kubernetes Engine (GKE) in un progetto GCP (Google Cloud Platform) connesso, l'ambiente gestito da Google per la distribuzione, la gestione e il ridimensionamento delle applicazioni tramite l'infrastruttura GCP.

• Altre distribuzione Kubernetes (con Kubernetes con abilitazione di Azure Arc): cluster Kubernetes certificati CNCF (Cloud Native Computing Foundation) ospitati in locale o in un'infrastruttura distribuita come servizio (IaaS). Per altre informazioni, vedere la sezione On-prem/IaaS (Arc) di Supported features by environment (Funzionalità supportate per ambiente).

Informazioni su questo piano in Panoramica di Microsoft Defender per contenitori.

Per prima cosa, è possibile imparare a connettersi e proteggere i contenitori in questi articoli:

• Proteggere i contenitori di Azure con Defender per contenitori
• Proteggere i cluster Kubernetes locali con Defender per contenitori
• Proteggere i contenitori di account Amazon Web Service (AWS) con Defender per contenitori
• Proteggere i contenitori di progetti Google Cloud Platform (GCP) con Defender per contenitori

Per altre informazioni, guardare questi video dalla Defender per il cloud nella serie video Field:

• Microsoft Defender per contenitori in un ambiente multicloud
• Proteggere i contenitori in GCP con Defender per contenitori

Nota

Il supporto di Defender per contenitori per i cluster Kubernetes abilitati per Arc è una funzionalità di anteprima. La funzionalità di anteprima è disponibile in modalità self-service e acconsente esplicitamente.

Le anteprime vengono fornite "così com'è" e "come disponibili" e sono escluse dai contratti di servizio e dalla garanzia limitata.

Per altre informazioni sui sistemi operativi supportati, sulla disponibilità delle funzionalità, sul proxy in uscita e altro ancora, vedere la disponibilità delle funzionalità di Defender per contenitori.

Requisiti di rete

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che il sensore defender possa connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza:

Vedere le regole FQDN/applicazione necessarie per Microsoft Defender per contenitori.

Per impostazione predefinita, i cluster del servizio Azure Kubernetes hanno accesso a Internet in uscita senza restrizioni.

Requisiti di rete

Attenzione

Questo articolo fa riferimento a CentOS, una distribuzione Linux prossima allo stato EOL (End of Life, fine del ciclo di vita). Valutare le proprie esigenze e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.

Verificare che gli endpoint seguenti siano configurati per l'accesso in uscita in modo che il sensore defender possa connettersi a Microsoft Defender per il cloud per inviare dati ed eventi di sicurezza:

Per le distribuzioni di cloud pubblico:

Dominio di Azure	dominio Azure per enti pubblici	Microsoft Azure gestito da 21Vianet Domain	Porta
*.ods.opinsights.azure.com	*.ods.opinsights.azure.us	*.ods.opinsights.azure.cn	443
*.oms.opinsights.azure.com	*.oms.opinsights.azure.us	*.oms.opinsights.azure.cn	443
login.microsoftonline.com	login.microsoftonline.us	login.chinacloudapi.cn	443

I domini seguenti sono necessari solo se si usa un sistema operativo pertinente. Ad esempio, se si dispone di cluster del servizio Azure Kubernetes in esecuzione in AWS, è sufficiente applicare il Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" dominio.

Dominio	Porta	Sistemi operativi host
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
repository predefiniti yum	-	RHEL/Centos
apt default repository	-	Debian

Sarà anche necessario convalidare i requisiti di rete Kubernetes abilitati per Azure Arc.

Abilitare il piano

Per abilitare il piano:

1. Dal menu di Defender per il cloud aprire la pagina Impostazioni e selezionare la sottoscrizione pertinente.

2. Nella pagina Piani di Defender selezionare Defender per contenitori e selezionare Impostazioni.

   

   Suggerimento

   Se la sottoscrizione include già Defender per Kubernetes e/o Defender per registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

   

3. Attivare il componente pertinente per abilitarlo.

   

   Nota

   • I clienti di Defender per contenitori che sono stati aggiunti prima di agosto 2023 e non hanno abilitato l’individuazione senza agente per Kubernetes come parte di Defender CSPM quando hanno abilitato il piano, devono abilitare manualmente l'estensione dell’individuazione senza agente per Kubernetes all'interno del piano Defender per contenitori.
   • Quando si disattiva Defender per contenitori, i componenti vengono disattivati e non vengono distribuiti in altri contenitori, ma non vengono rimossi dai contenitori in cui sono già installati.

Metodo di abilitazione per funzionalità

Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per abilitare automaticamente tutte le funzionalità e installare tutti i componenti necessari per fornire le protezioni offerte dal piano, inclusa l'assegnazione di un'area di lavoro predefinita.

Se non si vogliono abilitare tutte le funzionalità dei piani, è possibile selezionare manualmente le funzionalità specifiche da abilitare selezionando Modifica configurazione per il piano Contenitori . Nella pagina Impostazioni e monitoraggio selezionare quindi le funzionalità da abilitare. È anche possibile modificare questa configurazione dalla pagina Piani di Defender dopo la configurazione iniziale del piano.

Per informazioni dettagliate sul metodo di abilitazione per ognuna delle funzionalità, vedere la matrice di supporto.

Ruoli e autorizzazioni

Altre informazioni sui ruoli usati per effettuare il provisioning delle estensioni di Defender per contenitori.

Assegnazione di un'area di lavoro personalizzata per il sensore defender

È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

Distribuzione manuale del sensore di Defender o dell'agente criteri di Azure senza provisioning automatico usando le raccomandazioni

Le funzionalità che richiedono l'installazione del sensore possono essere distribuite anche in uno o più cluster Kubernetes, usando la raccomandazione appropriata:

Sensore	Elemento consigliato
Sensore defender per Kubernetes	I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato
Kubernetes abilitato per Defender per Arc	I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Defender installata
Agente dei criteri di Azure per Kubernetes	servizio Azure Kubernetes cluster devono essere installati il componente aggiuntivo Criteri di Azure per Kubernetes
Agente criteri di Azure per Kubernetes abilitato per Arc	Nei cluster Kubernetes abilitati per Azure Arc deve essere installata l'estensione Criteri di Azure

Per eseguire la distribuzione del sensore Defender in cluster specifici, seguire questa procedura:

1. Dalla pagina delle raccomandazioni di Microsoft Defender per il cloud aprire abilita il controllo di sicurezza avanzato o cercare direttamente una delle raccomandazioni precedenti oppure usare i collegamenti precedenti per aprire direttamente il consiglio.

2. Visualizzare tutti i cluster senza un sensore tramite la scheda non integra.

3. Selezionare i cluster in cui distribuire il sensore desiderato e selezionare Correggi.

4. Selezionare Correggi risorse X.

Distribuzione del sensore Defender : tutte le opzioni

È possibile abilitare il piano Defender per contenitori e distribuire tutti i componenti pertinenti dal portale di Azure, dall'API REST o con un modello di Resource Manager. Per i passaggi dettagliati, selezionare la scheda pertinente.

Dopo aver distribuito il sensore Defender, viene assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un'area di lavoro personalizzata al posto dell'area di lavoro predefinita tramite Criteri di Azure.

Nota

Il sensore Defender viene distribuito in ogni nodo per fornire le protezioni di runtime e raccogliere segnali da tali nodi usando la tecnologia eBPF.

Azure portal

Usare il pulsante di correzione della raccomandazione Defender per il cloud

Un processo semplificato e senza attriti consente di usare le pagine portale di Azure per abilitare il piano di Defender per il cloud e configurare il provisioning automatico di tutti i componenti necessari per difendere i cluster Kubernetes su larga scala.

Una raccomandazione dedicata Defender per il cloud fornisce:

• Visibilità su quale dei cluster è stato distribuito il sensore defender
• Pulsante Correzione per distribuirlo in tali cluster senza il sensore

1. Nella pagina delle raccomandazioni di Microsoft Defender per il cloud aprire il controllo Abilita sicurezza avanzata.

2. Usare il filtro per trovare la raccomandazione denominata servizio Azure Kubernetes cluster in cui deve essere abilitato il profilo Defender.

   Suggerimento

   Si noti l'icona Correzione nella colonna actions

3. Selezionare i cluster per visualizzare i dettagli delle risorse integre e non integre, ovvero cluster con e senza il sensore.

4. Nell'elenco delle risorse non integre selezionare un cluster e selezionare Correggi per aprire il riquadro con la conferma della correzione.

5. Selezionare Correggi risorse X.

REST API

Usare l'API REST per distribuire il sensore defender

Per installare "SecurityProfile" in un cluster esistente con l'API REST, eseguire il comando PUT seguente:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI della richiesta: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Parametri di query della richiesta:

Nome	Descrizione	Obbligatorio
SubscriptionId	ID sottoscrizione del cluster	Sì
ResourceGroup	Gruppo di risorse del cluster	Sì
NomeCluster	Nome del cluster	Sì
ApiVersion	La versione dell'API deve essere >= 2022-06-01	Sì

Corpo della richiesta:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parametri del corpo della richiesta:

Nome	Descrizione	Obbligatorio
posizione	Posizione del cluster	Sì
properties.securityProfile.defender.securityMonitoring.enabled	Determina se abilitare o disabilitare Microsoft Defender per contenitori nel cluster	Sì
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	ID risorsa di Azure dell'area di lavoro Log Analytics	Sì

Interfaccia della riga di comando di Azure

Usare l'interfaccia della riga di comando di Azure per distribuire il sensore defender

1. Accedere ad Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Assicurarsi di usare lo stesso ID sottoscrizione per <your-subscription-id> quello associato al cluster del servizio Azure Kubernetes.

2. Abilitare il sensore Defender nei contenitori:

   • Eseguire il comando seguente per creare un nuovo cluster con il sensore defender abilitato:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Eseguire il comando seguente per abilitare il sensore Defender in un cluster esistente:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Di seguito è riportata una descrizione di tutte le impostazioni di configurazione supportate nel tipo di sensore Defender:

   Proprietà

   Descrizione

   logAnalyticsWorkspaceResourceId

   Facoltativo. ID risorsa completo dell'area di lavoro Log Analytics. Se non specificato, verrà usata l'area di lavoro predefinita dell'area. Per ottenere l'ID risorsa completo, eseguire il comando seguente per visualizzare l'elenco delle aree di lavoro nelle sottoscrizioni nel formato JSON predefinito: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json L'ID risorsa dell'area di lavoro Log Analytics ha la sintassi seguente: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Altre informazioni nelle aree di lavoro Log Analytics

   È possibile includere queste impostazioni in un file JSON e specificare il file JSON nei az aks create comandi e az aks update con questo parametro: --defender-config <path-to-JSON-file>. Il formato del file JSON deve essere:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Altre informazioni sui comandi dell'interfaccia della riga di comando del servizio Azure Kubernetes sono disponibili in az servizio Azure Kubernetes.

3. Per verificare che il sensore sia stato aggiunto correttamente, eseguire il comando seguente nel computer con il file a cui punta il kubeconfig cluster:

   kubectl get pods -n kube-system
   

   Quando viene aggiunto il sensore, dovrebbe essere visualizzato un pod denominato microsoft-defender-XXXXX in Running stato. L'aggiunta dei pod potrebbe richiedere alcuni minuti.

Resource Manager

Usare Azure Resource Manager per distribuire il sensore Defender

Per usare Azure Resource Manager per distribuire il sensore Defender, è necessaria un'area di lavoro Log Analytics nella sottoscrizione. Altre informazioni sono disponibili nelle aree di lavoro Log Analytics.

Suggerimento

Se non si ha familiarità con i modelli di Resource Manager, iniziare da qui: Che cosa sono i modelli di Azure Resource Manager?

Per installare "SecurityProfile" in un cluster esistente con Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Abilitare il piano

Per abilitare il piano:

1. Dal menu di Defender per il cloud aprire la pagina Impostazioni e selezionare la sottoscrizione pertinente.

2. Nella pagina Piani di Defender selezionare Defender per contenitori e selezionare Impostazioni.

   Suggerimento

   Se la sottoscrizione ha già Defender per Kubernetes o Defender per registri contenitori abilitati, viene visualizzato un avviso di aggiornamento. In caso contrario, l'unica opzione sarà Defender per contenitori.

   

3. Attivare il componente pertinente per abilitarlo.

   

   Nota

   Quando si disattiva Defender per contenitori, i componenti vengono disattivati e non vengono distribuiti in altri contenitori, ma non vengono rimossi dai contenitori in cui sono già installati.

Per impostazione predefinita, quando si abilita il piano tramite il portale di Azure, Microsoft Defender per contenitori è configurato per installare automaticamente i componenti necessari per fornire le protezioni offerte dal piano, inclusa l'assegnazione di un'area di lavoro predefinita.

Se si vuole disabilitare l'installazione automatica dei componenti durante il processo di onboarding, selezionare Modifica configurazione per il piano Contenitori . Verranno visualizzate le opzioni Avanzate ed è possibile disabilitare l'installazione automatica per ogni componente.

Inoltre, è possibile modificare questa configurazione dalla pagina Piani di Defender.

Nota

Se si sceglie di disabilitare il piano in qualsiasi momento dopo l'abilitazione tramite il portale, come illustrato in precedenza, sarà necessario rimuovere manualmente i componenti di Defender per contenitori distribuiti nei cluster.

È possibile assegnare un'area di lavoro personalizzata tramite Criteri di Azure.

Se si disabilita l'installazione automatica di qualsiasi componente, è possibile distribuire facilmente il componente in uno o più cluster usando la raccomandazione appropriata:

• Componente aggiuntivo criteri per Kubernetes: servizio Azure Kubernetes cluster devono avere installato il componente aggiuntivo Criteri di Azure per Kubernetes
• profilo servizio Azure Kubernetes: i cluster di servizio Azure Kubernetes devono essere abilitati per il profilo Defender
• Estensione Kubernetes abilitata per Azure Arc: i cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Defender installata
• Estensione criteri Kubernetes abilitata per Azure Arc: nei cluster Kubernetes abilitati per Azure Arc deve essere installata l'estensione Criteri di Azure

Altre informazioni sui ruoli usati per effettuare il provisioning delle estensioni di Defender per contenitori.

Prerequisiti

Prima di distribuire il sensore, assicurarsi di:

• Connessione il cluster Kubernetes ad Azure Arc
• Completare i prerequisiti elencati nella documentazione delle estensioni cluster generiche.

Distribuire il sensore defender

È possibile distribuire il sensore defender usando una serie di metodi. Per i passaggi dettagliati, selezionare la scheda pertinente.

Azure portal

Usare il pulsante di correzione della raccomandazione Defender per il cloud

Una raccomandazione dedicata Defender per il cloud fornisce:

• Visibilità su quale dei cluster è stato distribuito il sensore defender
• Pulsante Correzione per distribuirlo in tali cluster senza il sensore

1. Nella pagina delle raccomandazioni di Microsoft Defender per il cloud aprire il controllo Abilita sicurezza avanzata.

2. Usare il filtro per trovare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc deve avere Defender per il cloud'estensione installata.

   

   Suggerimento

   Si noti l'icona Correzione nella colonna actions

3. Selezionare il sensore per visualizzare i dettagli delle risorse integre e non integre: cluster con e senza il sensore.

4. Nell'elenco delle risorse non integre selezionare un cluster e selezionare Correggi per aprire il riquadro con le opzioni di correzione.

5. Selezionare l'area di lavoro Log Analytics pertinente e selezionare Correggi x risorsa.

   

Interfaccia della riga di comando di Azure

Usare l'interfaccia della riga di comando di Azure per distribuire il sensore defender

1. Accedere ad Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Importante

   Assicurarsi di usare lo stesso ID sottoscrizione per <your-subscription-id> quello usato per la connessione del cluster ad Azure Arc.

2. Eseguire il comando seguente per distribuire il sensore sopra il cluster Kubernetes abilitato per Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Di seguito è riportata una descrizione di tutte le impostazioni di configurazione supportate nel tipo di sensore Defender:

   Proprietà	Descrizione
   logAnalyticsWorkspaceResourceID	Facoltativo. ID risorsa completo dell'area di lavoro Log Analytics. Se non specificato, verrà usata l'area di lavoro predefinita dell'area. Per ottenere l'ID risorsa completo, eseguire il comando seguente per visualizzare l'elenco delle aree di lavoro nelle sottoscrizioni nel formato JSON predefinito: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json L'ID risorsa dell'area di lavoro Log Analytics ha la sintassi seguente: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Altre informazioni nelle aree di lavoro Log Analytics
   auditLogPath	Facoltativo. Percorso completo dei file di log di controllo. Se non specificato, verrà usato il percorso /var/log/kube-apiserver/audit.log predefinito. Per il motore del servizio Azure Kubernetes, il percorso standard è /var/log/kubeaudit/audit.log

   Il comando seguente mostra un esempio di utilizzo di tutti i campi facoltativi:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Usare Azure Resource Manager per distribuire il sensore Defender

Per usare Azure Resource Manager per distribuire il sensore Defender, è necessaria un'area di lavoro Log Analytics nella sottoscrizione. Altre informazioni sono disponibili nelle aree di lavoro Log Analytics.

È possibile usare il modello azure-defender-extension-arm-template.json Resource Manager dagli esempi di installazione di Defender per il cloud.

Suggerimento

Se non si ha familiarità con i modelli di Resource Manager, iniziare da qui: Che cosa sono i modelli di Azure Resource Manager?

REST API

Usare l'API REST per distribuire il sensore defender

Per usare l'API REST per distribuire il sensore Defender, è necessaria un'area di lavoro Log Analytics nella sottoscrizione. Altre informazioni sono disponibili nelle aree di lavoro Log Analytics.

Suggerimento

Il modo più semplice per usare l'API per distribuire il sensore Defender consiste nell'esempio JSON della raccolta Postman fornito dagli esempi di installazione di Defender per il cloud.

• Per modificare il codice JSON della raccolta Postman o per distribuire manualmente il sensore con l'API REST, eseguire il comando PUT seguente:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Dove:

  Nome	Tra	Richiesto	Type	Descrizione
  ID sottoscrizione	Percorso	Vero	String	ID sottoscrizione della risorsa Kubernetes abilitata per Azure Arc
  Gruppo di risorse	Percorso	Vero	String	Nome del gruppo di risorse contenente la risorsa Kubernetes abilitata per Azure Arc
  Nome del cluster	Percorso	Vero	String	Nome della risorsa Kubernetes abilitata per Azure Arc

  Per l'autenticazione, l'intestazione deve avere un token di connessione (come con altre API di Azure). Per ottenere un token di connessione, eseguire il comando seguente:

  az account get-access-token --subscription <your-subscription-id> Usare la struttura seguente per il corpo del messaggio:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Di seguito è riportata la descrizione delle proprietà:

  Proprietà	Descrizione
  logAnalytics.workspaceId	ID area di lavoro della risorsa di Log Analytics
  logAnalytics.key	Chiave della risorsa di Log Analytics
  auditLogPath	Facoltativo. Percorso completo dei file di log di controllo. Il valore predefinito è /var/log/kube-apiserver/audit.log.

Verificare la distribuzione

Per verificare che nel cluster sia installato il sensore Defender, seguire la procedura descritta in una delle schede seguenti:

portale di Azure - Defender per il cloud

Usare Defender per il cloud raccomandazione per verificare lo stato del sensore

1. Nella pagina delle raccomandazioni di Microsoft Defender per il cloud aprire il controllo di sicurezza Abilita Microsoft Defender per il cloud.

2. Selezionare la raccomandazione denominata Cluster Kubernetes abilitati per Azure Arc in cui deve essere installata Microsoft Defender per il cloud'estensione.

   

3. Verificare che il cluster in cui è stato distribuito il sensore sia elencato come Integro.

portale di Azure - Azure Arc

Usare le pagine di Azure Arc per verificare lo stato del sensore

1. Dalla portale di Azure aprire Azure Arc.

2. Nell'elenco dell'infrastruttura selezionare Cluster Kubernetes e quindi selezionare il cluster specifico.

3. Aprire la pagina delle estensioni. Le estensioni nel cluster sono elencate. Per verificare se il sensore defender è stato installato correttamente, controllare la colonna Stato installazione.

   

4. Per altri dettagli, selezionare l'estensione.

   

Interfaccia della riga di comando di Azure

Usare l'interfaccia della riga di comando di Azure per verificare che il sensore sia distribuito

1. Eseguire il comando seguente nell'interfaccia della riga di comando di Azure:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Nella risposta cercare "extensionType": "microsoft.azuredefender.kubernetes" e "installState": "Installed".

   Nota

   Potrebbe essere visualizzato "installState": "In sospeso" per i primi minuti.

3. Se lo stato è Installato, eseguire il comando seguente nel computer con il file a cui punta il kubeconfig cluster per verificare che tutti i pod nello spazio dei nomi mdc siano nello stato "In esecuzione":

   kubectl get pods -n mdc
   

REST API

Usare l'API REST per verificare che il sensore sia distribuito

Per confermare una distribuzione corretta o per convalidare lo stato del sensore in qualsiasi momento:

1. Eseguire il comando GET seguente:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Nella risposta cercare "extensionType": "microsoft.azuredefender.kubernetes" per "installState": "Installed".

   Suggerimento

   Potrebbe essere visualizzato "installState": "In sospeso" per i primi minuti.

3. Se lo stato è Installato, eseguire il comando seguente nel computer con il file a cui punta il kubeconfig cluster per verificare che tutti i pod nello spazio dei nomi mdc siano in stato "In esecuzione":

   kubectl get pods -n mdc
   

Abilitare il piano

Importante

• Se non è già stato connesso un account AWS, connettere gli account AWS a Microsoft Defender per il cloud.
• Se è già stato abilitato il piano nel connettore e si vogliono modificare le configurazioni facoltative o abilitare nuove funzionalità, passare direttamente al passaggio 4.

Per proteggere i cluster del servizio Azure Kubernetes, abilitare il piano Contenitori nel connettore account pertinente:

1. Dal menu di Defender per il cloud aprire Impostazioni ambiente.

2. Selezionare il connettore AWS.

   

3. Verificare che l'interruttore per il piano Contenitori sia impostato su Sì.

   

4. Per modificare le configurazioni facoltative per il piano, selezionare Impostazioni.

   

   • Defender per contenitori richiede log di controllo del piano di controllo per fornire la protezione dalle minacce di runtime. Per inviare i log di controllo di Kubernetes a Microsoft Defender, attivare o disattivare l'impostazione su Sì. Per modificare il periodo di conservazione per i log di controllo, immettere l'intervallo di tempo necessario.

     Nota

     Se si disabilita questa configurazione, la Threat detection (control plane) funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.

   • L'individuazione senza agente per Kubernetes fornisce l'individuazione basata su API dei cluster Kubernetes. Per abilitare la funzionalità di individuazione senza agente per Kubernetes , attivare o disattivare l'impostazione su Sì.

   • La valutazione della vulnerabilità del contenitore senza agente fornisce gestione delle vulnerabilità per le immagini archiviate in ECR ed eseguendo immagini nei cluster del servizio Azure Kubernetes. Per abilitare la funzionalità Valutazione della vulnerabilità del contenitore senza agente, attivare o disattivare l'impostazione su Sì.

5. Continuare con le pagine rimanenti della procedura guidata del connettore.

6. Se si abilita la funzionalità individuazione senza agente per Kubernetes , è necessario concedere le autorizzazioni del piano di controllo nel cluster. A quel punto, è possibile eseguire una di queste operazioni:

   • Eseguire questo script Python per concedere le autorizzazioni. Lo script aggiunge il ruolo Defender per il cloud MDCContainersAgentlessDiscoveryK8sRole all'aws-auth ConfigMap dei cluster del servizio Azure Kubernetes di cui si vuole eseguire l'onboarding.

   • Concedere a ogni cluster Amazon EKS il ruolo MDCContainersAgentlessDiscoveryK8sRole con la possibilità di interagire con il cluster. Accedere a tutti i cluster esistenti e appena creati usando eksctl ed eseguire lo script seguente:

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     Per altre informazioni, vedere Abilitazione dell'accesso dell'entità IAM al cluster.

7. Kubernetes abilitato per Azure Arc, il sensore Defender e Criteri di Azure per Kubernetes devono essere installati ed eseguiti nei cluster del servizio Azure Kubernetes. È disponibile un Defender per il cloud dedicato per installare queste estensioni (e Azure Arc, se necessario):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

   Per ognuna delle raccomandazioni, seguire questa procedura per installare le estensioni necessarie.

   Per installare le estensioni necessarie:

   1. Nella pagina Consigli di Defender per il cloud cercare una delle raccomandazioni in base al nome.

   2. Selezionare un cluster non integro.

      Importante

      È necessario selezionare i cluster uno alla volta.

      Non selezionare i cluster in base ai nomi con collegamento ipertestuale: selezionare un'altra posizione nella riga pertinente.

   3. Selezionare Correggi.

   4. Defender per il cloud genera uno script nel linguaggio preferito: selezionare Bash (per Linux) o PowerShell (per Windows).

   5. Selezionare Scarica logica di correzione.

   6. Eseguire lo script generato nel cluster.

   7. Ripetere i passaggi da "a" a "f" per la seconda raccomandazione.

   

Visualizzare raccomandazioni e avvisi per i cluster del servizio Azure Kubernetes

Suggerimento

È possibile simulare gli avvisi relativi ai contenitori seguendo le istruzioni riportate in questo post di blog.

Per visualizzare gli avvisi e le raccomandazioni per i cluster del servizio Azure Kubernetes, usare i filtri nelle pagine di avvisi, raccomandazioni e inventario per filtrare in base al tipo di risorsa cluster AWS EKS.

Distribuzione del sensore Defender

Per distribuire il sensore Defender nei cluster AWS, seguire questa procedura:

1. Passare a Microsoft Defender per il cloud ->Impostazioni ambiente ->Aggiungi ambiente ->Amazon Web Services.

   

2. Immettere i dettagli dell'account.

   

3. Passare a Seleziona piani, aprire il piano Contenitori e assicurarsi che il sensore di Defender di provisioning automatico per Azure Arc sia impostato su On.

   

4. Passare a Configurare l'accesso e seguire questa procedura.

   

5. Dopo aver distribuito correttamente il modello Formazione cloud, selezionare Crea.

Nota

È possibile escludere un cluster AWS specifico dal provisioning automatico. Per la distribuzione del sensore, applicare il ms_defender_container_exclude_agents tag alla risorsa con il valore true. Per la distribuzione senza agente, applicare il ms_defender_container_exclude_agentless tag alla risorsa con il valore true.

Abilitare il piano

Importante

Se non è già stato connesso un progetto GCP, connettere i progetti GCP a Microsoft Defender per il cloud.

Per proteggere i cluster GKE, è necessario abilitare il piano Contenitori nel progetto GCP pertinente.

Nota

Verificare che non siano presenti criteri di Azure che impediscono l'installazione di Arc.

Per proteggere i cluster GKE (Google Kubernetes Engine):

1. Accedere al portale di Azure.

2. Passare alle impostazioni di Microsoft Defender per il cloud> Environment.

3. Selezionare il connettore GCP pertinente

   

4. Selezionare il pulsante Avanti: Selezionare i piani > .

5. Verificare che il piano Contenitori sia attivato.

   

6. Per modificare le configurazioni facoltative per il piano, selezionare Impostazioni.

   

   • Log di controllo di Kubernetes per Defender per il cloud: abilitato per impostazione predefinita. Questa configurazione è disponibile solo a livello di progetto GCP. Fornisce una raccolta senza agente dei dati del log di controllo tramite GCP Cloud Logging al back-end Microsoft Defender per il cloud per un'ulteriore analisi. Defender per contenitori richiede log di controllo del piano di controllo per fornire la protezione dalle minacce di runtime. Per inviare i log di controllo di Kubernetes a Microsoft Defender, attivare o disattivare l'impostazione su Sì.

     Nota

     Se si disabilita questa configurazione, la Threat detection (control plane) funzionalità verrà disabilitata. Altre informazioni sulla disponibilità delle funzionalità.

   • Provisioning automatico del sensore di Defender per Azure Arc e provisioning automatico dell'estensione Criteri di Azure per Azure Arc: abilitato per impostazione predefinita. È possibile installare Kubernetes abilitato per Azure Arc e le relative estensioni nei cluster GKE in tre modi:

     • Abilitare il provisioning automatico di Defender per contenitori a livello di progetto, come illustrato nelle istruzioni riportate in questa sezione. È consigliabile usare questo metodo.
     • Usare Defender per il cloud raccomandazioni per l'installazione per cluster. Vengono visualizzati nella pagina delle raccomandazioni Microsoft Defender per il cloud. Informazioni su come distribuire la soluzione in cluster specifici.
     • Installare manualmente Kubernetes e le estensioni abilitate per Arc.

   • L'individuazione senza agente per Kubernetes fornisce l'individuazione basata su API dei cluster Kubernetes. Per abilitare la funzionalità di individuazione senza agente per Kubernetes , attivare o disattivare l'impostazione su Sì.

   • La valutazione della vulnerabilità dei contenitori senza agente fornisce gestione delle vulnerabilità per le immagini archiviate nei registri Google (GAR e GCR) e le immagini in esecuzione nei cluster GKE. Per abilitare la funzionalità Valutazione della vulnerabilità del contenitore senza agente, attivare o disattivare l'impostazione su Sì.

7. Selezionare il pulsante Copia .

   

8. Selezionare il pulsante GCP Cloud Shell > .

9. Incollare lo script nel terminale di Cloud Shell ed eseguirlo.

Il connettore verrà aggiornato dopo l'esecuzione dello script. Il completamento di questo processo può richiedere fino a 6-8 ore.

Distribuire la soluzione in cluster specifici

Se è stata disabilitata una delle configurazioni di provisioning automatico predefinite su Disattivato, durante il processo di onboarding del connettore GCP o successivamente. È necessario installare manualmente Kubernetes abilitato per Azure Arc, il sensore defender e il Criteri di Azure per Kubernetes in ognuno dei cluster GKE per ottenere il valore di sicurezza completo da Defender per contenitori.

Sono disponibili 2 raccomandazioni dedicate Defender per il cloud che è possibile usare per installare le estensioni (e Arc, se necessario):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Nota

Quando si installano le estensioni Arc, è necessario verificare che il progetto GCP fornito sia identico a quello nel connettore pertinente.

Per distribuire la soluzione in cluster specifici:

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Consigli.

3. Nella pagina Consigli di Defender per il cloud cercare una delle raccomandazioni in base al nome.

   

4. Selezionare un cluster GKE non integro.

   Importante

   È necessario selezionare i cluster uno alla volta.

   Non selezionare i cluster in base ai nomi con collegamento ipertestuale: selezionare un'altra posizione nella riga pertinente.

5. Selezionare il nome della risorsa non integra.

6. Selezionare Correggi.

   

7. Defender per il cloud genererà uno script nel linguaggio preferito:

   • Per Linux selezionare Bash.
   • Per Windows selezionare PowerShell.

8. Selezionare Scarica logica di correzione.

9. Eseguire lo script generato nel cluster.

10. Ripetere i passaggi da 3 a 8 per la seconda raccomandazione.

Visualizzare gli avvisi del cluster GKE

1. Accedere al portale di Azure.

2. Passare a Microsoft Defender per il cloud> Avvisi di sicurezza.

3. Seleziona il pulsante .

4. Nel menu a discesa Filtro selezionare Tipo di risorsa.

5. Nel menu a discesa Valore selezionare GCP GKE Cluster (Cluster GKE GCP).

6. Selezionare OK.

Distribuzione del sensore Defender

Per distribuire il sensore Defender nei cluster GCP, seguire questa procedura:

1. Passare a Microsoft Defender per il cloud ->Impostazioni dell'ambiente ->Aggiungi ambiente ->Google Cloud Platform.

   

2. Immettere i dettagli dell'account.

   

3. Passare a Seleziona piani, aprire il piano Contenitori e assicurarsi che il sensore di Defender di provisioning automatico per Azure Arc sia impostato su On.

   

4. Passare a Configurare l'accesso e seguire questa procedura.

   

5. Dopo aver eseguito correttamente lo script gcloud, selezionare Crea.

Nota

È possibile escludere un cluster GCP specifico dal provisioning automatico. Per la distribuzione del sensore, applicare l'etichetta ms_defender_container_exclude_agents alla risorsa con il valore true. Per la distribuzione senza agente, applicare l'etichetta ms_defender_container_exclude_agentless sulla risorsa con il valore true.

Simulare gli avvisi di sicurezza da Microsoft Defender per contenitori

Un elenco completo degli avvisi supportati è disponibile nella tabella di riferimento di tutti gli avvisi di sicurezza Defender per il cloud.

1. Per simulare un avviso di sicurezza, eseguire il comando seguente dal cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   La risposta prevista è No resource found.

   Entro 30 minuti, Defender per il cloud rileva questa attività e attiva un avviso di sicurezza.

   Nota

   Azure Arc non è un prerequisito per simulare avvisi senza agente per Defender per contenitori.

2. Nel portale di Azure aprire la pagina degli avvisi di sicurezza di Microsoft Defender per il cloud e cercare l'avviso nella risorsa pertinente:

   

Rimuovere il sensore defender

Per rimuovere questa opzione o qualsiasi estensione Defender per il cloud, non è sufficiente disattivare il provisioning automatico:

• Abilitazione del provisioning automatico, potenzialmente influisce sui computer esistenti e futuri .
• La disabilitazione del provisioning automatico per un'estensione influisce solo sui computer futuri : nulla viene disinstallato disabilitando il provisioning automatico.

Nota

Per disattivare completamente il piano Defender per contenitori, passare a Impostazioni ambiente e disabilitare il piano Microsoft Defender per contenitori .

Tuttavia, per assicurarsi che il provisioning automatico dei componenti di Defender per contenitori non venga eseguito automaticamente alle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender per il cloud.

È possibile rimuovere l'estensione usando portale di Azure, l'interfaccia della riga di comando di Azure o l'API REST, come illustrato nelle schede seguenti.

portale di Azure - Arco

Usare portale di Azure per rimuovere l'estensione

1. Nella portale di Azure aprire Azure Arc.

2. Nell'elenco dell'infrastruttura selezionare Cluster Kubernetes e quindi selezionare il cluster specifico.

3. Aprire la pagina delle estensioni. Le estensioni nel cluster sono elencate.

4. Selezionare il cluster e selezionare Disinstalla.

   

Interfaccia della riga di comando di Azure

Usare l'interfaccia della riga di comando di Azure per rimuovere il sensore defender

1. Rimuovere l'estensione Microsoft Defender per Kubernetes Arc con i comandi seguenti:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   La rimozione dell'estensione potrebbe richiedere alcuni minuti. È consigliabile attendere prima di provare a verificare che sia stato eseguito correttamente.

2. Per verificare che l'estensione sia stata rimossa correttamente, eseguire i comandi seguenti:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Successivamente, verificare che nel cluster non siano presenti pod nello spazio dei nomi mdc eseguendo il comando seguente con il kubeconfig file a cui punta il cluster:

   kubectl get pods -n mdc
   

   L'eliminazione dei pod potrebbe richiedere alcuni minuti.

REST API

Usare l'API REST per rimuovere il sensore di Defender

Per rimuovere l'estensione usando l'API REST, eseguire il comando DELETE seguente:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Nome	Tra	Richiesto	Type	Descrizione
ID sottoscrizione	Percorso	Vero	String	ID sottoscrizione del cluster Kubernetes abilitato per Azure Arc
Gruppo di risorse	Percorso	Vero	String	Gruppo di risorse kubernetes abilitato per Azure Arc
Nome del cluster	Percorso	Vero	String	Nome del cluster Kubernetes abilitato per Azure Arc

Per l'autenticazione, l'intestazione deve avere un token di connessione (come con altre API di Azure). Per ottenere un token di connessione, eseguire il comando seguente:

az account get-access-token --subscription <your-subscription-id>

Il completamento della richiesta potrebbe richiedere alcuni minuti.

Area di lavoro Log Analytics per il servizio Azure Container

L'area di lavoro Log Analytics viene usata dal sensore Defender come pipeline di dati per inviare dati dal cluster a Defender per il cloud senza conservare dati nell'area di lavoro Log Analytics stessa. Di conseguenza, gli utenti non verranno fatturati in questo caso d'uso.

Il sensore defender usa un'area di lavoro Log Analytics predefinita. Se non si ha già un'area di lavoro Log Analytics predefinita, Defender per il cloud creerà un nuovo gruppo di risorse e un'area di lavoro predefinita quando è installato il sensore Defender. L'area di lavoro predefinita viene creata in base all'area.

La convenzione di denominazione per l'area di lavoro Log Analytics predefinita e il gruppo di risorse è:

• Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
• Gruppo di risorse: DefaultResourceGroup-[geo]

Assegnare un'area di lavoro personalizzata

Quando viene abilitata l'opzione di provisioning automatico, verrà assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un’area di lavoro personalizzato tramite Criteri di Azure.

Per verificare se è stata assegnata un'area di lavoro:

1. Accedere al portale di Azure.

2. Cercare e selezionare Criteri.

   

3. Selezionare Definizioni.

4. Cercare l'ID del criterio 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Selezionare Configura cluster servizio Azure Kubernetes per abilitare il profilo di Defender.

6. Selezionare Assegnazione.

   

7. Seguire la procedura Creare una nuova assegnazione con l'area di lavoro personalizzata se il criterio non è ancora stato assegnato all'ambito pertinente. In alternativa, seguire la procedura Aggiorna assegnazione con area di lavoro personalizzata se i criteri sono già assegnati e si vuole modificarla per usare un'area di lavoro personalizzata.

Creare una nuova assegnazione con un'area di lavoro personalizzata

Se il criterio non è stato assegnato, verrà visualizzato Assignments (0).

Per assegnare un'area di lavoro personalizzata:

1. Seleziona Assegna.

2. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono l'input o rivedere.

3. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

   

4. Selezionare Rivedi e crea.

5. Seleziona Crea.

Aggiornare l’assegnazione con un'area di lavoro personalizzata

Se i criteri sono già stati assegnati a un'area di lavoro, verrà visualizzato Assignments (1).

Nota

Se si dispone di più sottoscrizioni, il numero potrebbe essere superiore.

Per assegnare un'area di lavoro personalizzata:

1. Selezionare l'assegnazione pertinente.

   

2. Selezionare Modifica assegnazione.

3. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono l'input o rivedere.

4. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

   

5. Selezionare Rivedi e salva.

6. Seleziona Salva.

Area di lavoro Log Analytics predefinita per Arc

L'area di lavoro Log Analytics viene usata dal sensore Defender come pipeline di dati per inviare dati dal cluster a Defender per il cloud senza conservare dati nell'area di lavoro Log Analytics stessa. Di conseguenza, gli utenti non verranno fatturati in questo caso d'uso.

Il sensore defender usa un'area di lavoro Log Analytics predefinita. Se non si ha già un'area di lavoro Log Analytics predefinita, Defender per il cloud creerà un nuovo gruppo di risorse e un'area di lavoro predefinita quando è installato il sensore Defender. L'area di lavoro predefinita viene creata in base all'area.

La convenzione di denominazione per l'area di lavoro Log Analytics predefinita e il gruppo di risorse è:

• Area di lavoro: DefaultWorkspace-[subscription-ID]-[geo]
• Gruppo di risorse: DefaultResourceGroup-[geo]

Assegnare un'area di lavoro personalizzata

Quando viene abilitata l'opzione di provisioning automatico, verrà assegnata automaticamente un'area di lavoro predefinita. È possibile assegnare un’area di lavoro personalizzato tramite Criteri di Azure.

Per verificare se è stata assegnata un'area di lavoro:

1. Accedere al portale di Azure.

2. Cercare e selezionare Criteri.

   

3. Selezionare Definizioni.

4. Cercare l'ID del criterio 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Selezionare Configure Azure Arc enabled Kubernetes clusters (Configura cluster Kubernetes con abilitazione di Azure Arc) per installare Microsoft Defender per il cloud'estensione.

6. Selezionare Assegnazioni.

   

7. Seguire la procedura Creare una nuova assegnazione con l'area di lavoro personalizzata se il criterio non è ancora stato assegnato all'ambito pertinente. In alternativa, seguire la procedura Aggiorna assegnazione con area di lavoro personalizzata se i criteri sono già assegnati e si vuole modificarla per usare un'area di lavoro personalizzata.

Creare una nuova assegnazione con un'area di lavoro personalizzata

Se il criterio non è stato assegnato, verrà visualizzato Assignments (0).

Per assegnare un'area di lavoro personalizzata:

1. Seleziona Assegna.

2. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono l'input o rivedere.

3. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

   

4. Selezionare Rivedi e crea.

5. Seleziona Crea.

Aggiornare l’assegnazione con un'area di lavoro personalizzata

Se i criteri sono già stati assegnati a un'area di lavoro, verrà visualizzato Assignments (1).

Nota

Se si dispone di più sottoscrizioni, il numero potrebbe essere superiore. Se si dispone di un numero 1 o superiore, l'assegnazione potrebbe non essere ancora nell'ambito pertinente. In questo caso, è necessario seguire la procedura Creare una nuova assegnazione con l'area di lavoro personalizzata.

Per assegnare un'area di lavoro personalizzata:

1. Selezionare l'assegnazione pertinente.

   

2. Selezionare Modifica assegnazione.

3. Nella scheda Parametri deselezionare l'opzione Mostra solo i parametri che richiedono l'input o rivedere.

4. Selezionare un ID LogAnalyticsWorkspaceResource dal menu a discesa.

   

5. Selezionare Rivedi e salva.

6. Seleziona Salva.

Rimuovere il sensore defender

Per rimuovere questa opzione o qualsiasi estensione Defender per il cloud, non è sufficiente disattivare il provisioning automatico:

• Abilitazione del provisioning automatico, potenzialmente influisce sui computer esistenti e futuri .
• La disabilitazione del provisioning automatico per un'estensione influisce solo sui computer futuri : nulla viene disinstallato disabilitando il provisioning automatico.

Nota

Per disattivare completamente il piano Defender per contenitori, passare a Impostazioni ambiente e disabilitare il piano Microsoft Defender per contenitori .

Tuttavia, per assicurarsi che il provisioning automatico dei componenti di Defender per contenitori non venga eseguito automaticamente alle risorse da ora in poi, disabilitare il provisioning automatico delle estensioni come illustrato in Configurare il provisioning automatico per gli agenti e le estensioni da Microsoft Defender per il cloud.

È possibile rimuovere l'estensione usando l'API REST o un modello di Resource Manager, come illustrato nelle schede seguenti.

REST API

Usare l'API REST per rimuovere il sensore defender dal servizio Azure Kubernetes

Per rimuovere l'estensione usando l'API REST, eseguire il comando PUT seguente:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Nome	Descrizione	Obbligatorio
SubscriptionId	ID sottoscrizione del cluster	Sì
ResourceGroup	Gruppo di risorse del cluster	Sì
NomeCluster	Nome del cluster	Sì
ApiVersion	La versione dell'API deve essere >= 2022-06-01	Sì

Testo della richiesta:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parametri del corpo della richiesta:

Nome	Descrizione	Obbligatorio
posizione	Posizione del cluster	Sì
properties.securityProfile.defender.securityMonitoring.enabled	Determina se abilitare o disabilitare Microsoft Defender per contenitori nel cluster	Sì

Interfaccia della riga di comando di Azure

Usare l'interfaccia della riga di comando di Azure per rimuovere il sensore defender

1. Rimuovere Microsoft Defender per con i comandi seguenti:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   La rimozione dell'estensione potrebbe richiedere alcuni minuti.

2. Per verificare che la connessione sia stata rimossa correttamente, eseguire il comando seguente:

   kubectl get pods -n kube-system | grep microsoft-defender
   

   Quando l'estensione viene rimossa, si noterà che nel comando non vengono restituiti get pods pod. L'eliminazione dei pod potrebbe richiedere alcuni minuti.

Resource Manager

Usare Azure Resource Manager per rimuovere il sensore Defender dal servizio Azure Kubernetes

Per usare Azure Resource Manager per rimuovere il sensore Defender, è necessaria un'area di lavoro Log Analytics nella sottoscrizione. Altre informazioni sono disponibili nelle aree di lavoro Log Analytics.

Suggerimento

Se non si ha familiarità con i modelli di Resource Manager, iniziare da qui: Che cosa sono i modelli di Azure Resource Manager?

Il modello e i parametri pertinenti per rimuovere il sensore defender dal servizio Azure Kubernetes sono:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Altre informazioni

È possibile consultare i blog seguenti:

• Proteggere i carichi di lavoro di Google Cloud con Microsoft Defender per il cloud
• Introduzione a Microsoft Defender per contenitori
• Nuovo nome per la sicurezza multicloud: Microsoft Defender per il cloud

Passaggi successivi

Dopo aver abilitato Defender per contenitori, è possibile:

• Analizzare le immagini del Registro Azure Container per individuare le vulnerabilità
• Analizzare le immagini AWS per individuare le vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender
• Analizzare le immagini GGP per individuare le vulnerabilità con Gestione delle vulnerabilità di Microsoft Defender
• Vedere le domande comuni su Defender per contenitori.