Microsoft Defender voor Containers inschakelen

Microsoft Defender for Containers is de cloudeigen oplossing voor het beveiligen van uw containers.

Defender for Containers beveiligt uw clusters of ze worden uitgevoerd in:

• Azure Kubernetes Service (AKS): de beheerde service van Microsoft voor het ontwikkelen, implementeren en beheren van toepassingen in containers.

• Amazon Elastic Kubernetes Service (EKS) in een verbonden AwS-account (Amazon Web Services), de beheerde service van Amazon voor het uitvoeren van Kubernetes op AWS zonder dat u uw eigen Kubernetes-besturingsvlak of -knooppunten hoeft te installeren, te gebruiken en te onderhouden.

• Google Kubernetes Engine (GKE) in een verbonden GCP-project (Google Cloud Platform): de beheerde omgeving van Google voor het implementeren, beheren en schalen van toepassingen met behulp van GCP-infrastructuur.

• Andere Kubernetes-distributies (met behulp van Kubernetes met Azure Arc) - CNCF-gecertificeerde Kubernetes-clusters (Cloud Native Computing Foundation) die on-premises of op IaaS worden gehost. Zie de sectie On-premises/IaaS (Arc) van ondersteunde functies per omgeving voor meer informatie.

Meer informatie over dit plan vindt u in Overzicht van Microsoft Defender for Containers.

U kunt meer informatie vinden door deze video's te bekijken van de Defender for Cloud in de reeks Veldvideo's:

• Microsoft Defender for Containers in een omgeving met meerdere clouds
• Containers beveiligen in GCP met Defender for Containers

Notitie

Ondersteuning van Defender for Containers voor Kubernetes-clusters met Arc, AWS EKS en GCP GKE. Dit is een preview-functie.

Zie de beschikbaarheid van functies van Defender for Containers voor meer informatie over de ondersteunde besturingssystemen, beschikbaarheid van functies, uitgaande proxy en meer.

Netwerkvereisten - AKS

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat het Defender-profiel verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Zie de vereiste FQDN-/toepassingsregels voor Microsoft Defender for Containers.

AKS-clusters hebben standaard onbeperkte uitgaande internettoegang (uitgaand verkeer).

Netwerkvereisten

Controleer of de volgende eindpunten zijn geconfigureerd voor uitgaande toegang, zodat de Defender-extensie verbinding kan maken met Microsoft Defender voor Cloud om beveiligingsgegevens en -gebeurtenissen te verzenden:

Voor openbare Azure-cloudimplementaties:

Domain	Poort
*.ods.opinsights.azure.com	443
*.oms.opinsights.azure.com	443
login.microsoftonline.com	443

De volgende domeinen zijn alleen nodig als u een relevant besturingssysteem gebruikt. Als er bijvoorbeeld EKS-clusters worden uitgevoerd in AWS, hoeft u alleen het Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domein toe te passen.

Domain	Poort	Hostbesturingssystemen
amazonlinux.*.amazonaws.com/2/extras/*	443	Amazon Linux 2
yum-standaardopslagplaatsen	-	RHEL / Centos
apt-standaardopslagplaatsen	-	Debian

U moet ook de kubernetes-netwerkvereisten met Azure Arc valideren.

Het plan inschakelen

Het plan inschakelen:

1. Open in het menu van Defender voor Cloud de pagina Omgevingsinstellingen en selecteer het relevante abonnement.

2. Schakel Defender for Containers in op de pagina Defender-abonnementen

   Tip

   Als defender voor Kubernetes en/of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is Defender for Containers de enige optie.

   

3. Bij het inschakelen van het plan via de Azure Portal is Microsoft Defender for Containers standaard geconfigureerd voor het automatisch inrichten (automatisch installeren) van vereiste onderdelen om de beveiligingen te bieden die worden aangeboden door een plan, inclusief de toewijzing van een standaardwerkruimte.

   Als u automatische inrichting wilt uitschakelen tijdens het onboardingproces, selecteert u Configuratie bewerken voor het Containers-plan . Hiermee opent u de geavanceerde opties, waar u automatische inrichting voor elk onderdeel kunt uitschakelen.

   Daarnaast kunt u deze configuratie wijzigen op de pagina Defender-abonnementen of op de pagina Voor automatisch inrichten op de onderdelenrij van Microsoft Defender for Containers :

   

   Notitie

   Als u ervoor kiest om het plan op elk gewenst moment uit te schakelen nadat u het hebt ingeschakeld via de portal zoals hierboven wordt weergegeven, moet u defender for Containers-onderdelen die zijn geïmplementeerd op uw clusters handmatig verwijderen.

   U kunt een aangepaste werkruimte toewijzen via Azure Policy.

4. Als u de automatische inrichting van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren in een of meer clusters met behulp van de juiste aanbeveling:

   • Beleidsinvoegtoepassing voor Kubernetes - Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
   • Azure Kubernetes Service-profiel: Azure Kubernetes Service clusters moeten Defender-profiel hebben ingeschakeld
   • Kubernetes-extensie met Azure Arc: Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd

   Notitie

   Microsoft Defender for Containers is zo geconfigureerd dat al uw clouds automatisch worden verdedigd. Wanneer u alle vereiste vereisten installeert en alle mogelijkheden voor automatische inrichting inschakelt.

   Als u ervoor kiest om alle configuratieopties voor automatische inrichting uit te schakelen, worden er geen agents of onderdelen geïmplementeerd in uw clusters. Beveiliging is alleen beperkt tot de functies zonder agent. Meer informatie over welke functies zonder agent zijn in de beschikbaarheidssectie voor Defender for Containers.

Het Defender-profiel implementeren

U kunt het Defender for Containers-plan inschakelen en alle relevante onderdelen implementeren vanuit de Azure Portal, de REST API of met een Resource Manager sjabloon. Selecteer het relevante tabblad voor gedetailleerde stappen.

Zodra het Defender-profiel is geïmplementeerd, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen in plaats van de standaardwerkruimte via Azure Policy.

Notitie

Het Defender-profiel wordt geïmplementeerd op elk knooppunt om de runtimebeveiligingen te bieden en signalen van die knooppunten te verzamelen met behulp van eBPF-technologie.

Azure Portal

De knop Fix gebruiken in de aanbeveling Defender for Cloud

Met een gestroomlijnd, probleemloos proces kunt u de Azure Portal-pagina's gebruiken om het Defender for Cloud-plan in te schakelen en automatische inrichting van alle benodigde onderdelen in te stellen voor het beschermen van uw Kubernetes-clusters op schaal.

Een speciale aanbeveling voor Defender for Cloud biedt:

• Zichtbaarheid over welke van uw clusters het Defender-profiel heeft geïmplementeerd
• Knop Herstellen om deze te implementeren in deze clusters zonder de extensie

1. Open op de aanbevelingenpagina van Microsoft Defender voor Cloud het verbeterde beveiligingsbeheer inschakelen .

2. Gebruik het filter om de aanbeveling met de naam Azure Kubernetes Service clusters te vinden, moet Defender-profiel zijn ingeschakeld.

   Tip

   Let op het pictogram Fix in de kolom Acties

3. Selecteer de clusters om de details van de resources met een goede en slechte status weer te geven: clusters met en zonder het profiel.

4. Selecteer een cluster in de lijst met beschadigde resources en selecteer Herstellen om het deelvenster te openen met de bevestiging van herstel.

5. Selecteer [ x] resources herstellen.

REST API

De REST API gebruiken om het Defender-profiel te implementeren

Voer de volgende PUT-opdracht uit om 'SecurityProfile' te installeren op een bestaand cluster met de REST API:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Aanvraag-URI: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Queryparameters aanvragen:

Naam	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Yes
ResourceGroup	Resourcegroep van cluster	Yes
Clusternaam	Clusternaam	Yes
ApiVersion	API-versie moet = 2022-06-01 zijn >	Yes

Aanvraagbody:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Parameters voor aanvraagbody:

Naam	Beschrijving	Verplicht
location	Locatie van cluster	Yes
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of Microsoft Defender for Containers moet worden ingeschakeld of uitgeschakeld in het cluster	Yes
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Azure-resource-id voor Log Analytics-werkruimte	Yes

Azure CLI

Azure CLI gebruiken om de Defender-extensie te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt <your-subscription-id> als de id die is gekoppeld aan uw AKS-cluster.

2. Schakel de functievlag in de CLI in:

   az feature register --namespace Microsoft.ContainerService --name AKS-AzureDefender
   

3. Het Defender-profiel inschakelen voor uw containers:

   • Voer de volgende opdracht uit om een nieuw cluster te maken waarvoor het Defender-profiel is ingeschakeld:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Voer de volgende opdracht uit om het Defender-profiel in te schakelen op een bestaand cluster:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Hieronder vindt u een beschrijving van alle ondersteunde configuratie-instellingen voor het type Defender-extensie:

   Eigenschap

   Beschrijving

   logAnalyticsWorkspaceResourceId

   Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Wanneer deze niet is opgegeven, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Meer informatie in Log Analytics-werkruimten

   U kunt deze instellingen opnemen in een JSON-bestand en het JSON-bestand opgeven in de az aks create en az aks update opdrachten met deze parameter: --defender-config <path-to-JSON-file>. De indeling van het JSON-bestand moet zijn:

   {"logAnalyticsWorkspaceResourceId": "<workspace-id>"}
   

   Meer informatie over AKS CLI-opdrachten in az aks.

4. Als u wilt controleren of het profiel is toegevoegd, voert u de volgende opdracht uit op uw computer met het kubeconfig bestand dat naar het cluster wijst:

   kubectl get pods -n kube-system
   

   Wanneer het profiel wordt toegevoegd, ziet u een pod azuredefender-XXXXX met de status Running . Het kan enkele minuten duren voordat pods zijn toegevoegd.

Resource Manager

Azure Resource Manager gebruiken om het Defender-profiel te implementeren

Als u Azure Resource Manager wilt gebruiken om het Defender-profiel te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

De 'SecurityProfile' installeren op een bestaand cluster met Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Het plan inschakelen

Het plan inschakelen:

1. Open in het menu van Defender for Cloud de pagina Omgevingsinstellingen en selecteer het relevante abonnement.

2. Schakel Defender for Containers in op de pagina Defender-abonnementen.

   Tip

   Als defender voor Kubernetes of Defender voor containerregisters al is ingeschakeld voor het abonnement, wordt er een updatemelding weergegeven. Anders is de enige optie Defender for Containers.

   

3. Bij het inschakelen van het plan via de Azure Portal wordt Microsoft Defender for Containers standaard geconfigureerd voor het automatisch inrichten (automatisch installeren) van vereiste onderdelen om de beveiligingen te bieden die worden aangeboden door een plan, inclusief de toewijzing van een standaardwerkruimte.

   Als u automatische inrichting tijdens het onboardingproces wilt uitschakelen, selecteert u Configuratie bewerken voor het containerplan . De geavanceerde opties worden weergegeven en u kunt automatische inrichting voor elk onderdeel uitschakelen.

   Daarnaast kunt u deze configuratie wijzigen op de pagina Defender-abonnementen of op de pagina Voor automatisch inrichten in de onderdelenrij van Microsoft Defender for Containers :

   

   Notitie

   Als u ervoor kiest om het plan op elk gewenst moment uit te schakelen nadat u dit hebt ingeschakeld via de portal, zoals hierboven wordt weergegeven, moet u de onderdelen van Defender for Containers die zijn geïmplementeerd op uw clusters handmatig verwijderen.

   U kunt een aangepaste werkruimte toewijzen via Azure Policy.

4. Als u de automatische inrichting van een onderdeel uitschakelt, kunt u het onderdeel eenvoudig implementeren in een of meer clusters met behulp van de juiste aanbeveling:

   • Beleidsinvoegtoepassing voor Kubernetes : Azure Kubernetes Service clusters moeten de Azure Policy invoegtoepassing voor Kubernetes hebben geïnstalleerd
   • Azure Kubernetes Service-profiel: Azure Kubernetes Service clusters moeten Defender-profiel hebben ingeschakeld
   • Kubernetes-extensie met Azure Arc - Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd

Vereisten

Voordat u de extensie implementeert, moet u het volgende doen:

• Het Kubernetes-cluster verbinden met Azure Arc
• Voltooi de vereisten die worden vermeld in de documentatie voor algemene clusterextensies.

De Defender-extensie implementeren

U kunt de Defender-extensie implementeren met behulp van een reeks methoden. Selecteer het relevante tabblad voor gedetailleerde stappen.

Azure Portal

Gebruik de knop Fix van de aanbeveling Defender for Cloud

Een speciale aanbeveling voor Defender for Cloud biedt:

• Zichtbaarheid over welke van uw clusters de Defender for Kubernetes-extensie heeft geïmplementeerd
• Knop Herstellen om deze te implementeren in deze clusters zonder de extensie

1. Open op de aanbevelingenpagina van Microsoft Defender voor Cloud het verbeterde beveiligingsbeheer inschakelen .

2. Gebruik het filter om de aanbeveling met de naam Kubernetes-clusters met Azure Arc te vinden, moet defender voor cloud-extensie zijn geïnstalleerd.

   

   Tip

   Let op het pictogram Fix in de kolom Acties

3. Selecteer de extensie om de details van de resources in orde en beschadigd weer te geven: clusters met en zonder de extensie.

4. Selecteer een cluster in de lijst met beschadigde resources en selecteer Herstellen om het deelvenster te openen met de herstelopties.

5. Selecteer de relevante Log Analytics-werkruimte en selecteer X-resource herstellen.

   

Azure CLI

Azure CLI gebruiken om de Defender-extensie te implementeren

1. Meld u aan bij Azure:

   az login
   az account set --subscription <your-subscription-id>
   

   Belangrijk

   Zorg ervoor dat u dezelfde abonnements-id gebruikt als <your-subscription-id> de id die is gebruikt bij het verbinden van uw cluster met Azure Arc.

2. Voer de volgende opdracht uit om de extensie boven op uw Kubernetes-cluster met Azure Arc te implementeren:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Hieronder vindt u een beschrijving van alle ondersteunde configuratie-instellingen voor het type Defender-extensie:

   Eigenschap	Beschrijving
   logAnalyticsWorkspaceResourceID	Optioneel. Volledige resource-id van uw eigen Log Analytics-werkruimte. Wanneer deze niet is opgegeven, wordt de standaardwerkruimte van de regio gebruikt. Als u de volledige resource-id wilt ophalen, voert u de volgende opdracht uit om de lijst met werkruimten in uw abonnementen weer te geven in de standaard-JSON-indeling: az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json De resource-id van de Log Analytics-werkruimte heeft de volgende syntaxis: /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Meer informatie in Log Analytics-werkruimten
   auditLogPath	Optioneel. Het volledige pad naar de auditlogboekbestanden. Wanneer dit niet is opgegeven, wordt het standaardpad /var/log/kube-apiserver/audit.log gebruikt. Voor AKS Engine is het standaardpad /var/log/kubeaudit/audit.log

   In de onderstaande opdracht ziet u een voorbeeld van het gebruik van alle optionele velden:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Azure Resource Manager gebruiken om de Defender-extensie te implementeren

Als u Azure Resource Manager wilt gebruiken om de Defender-extensie te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

U kunt de sjabloon azure-defender-extension-arm-template.json Resource Manager uit de installatievoorbeelden van Defender for Cloud gebruiken.

Tip

Als u geen toegang hebt tot Resource Manager sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

REST API

REST API gebruiken om de Defender-extensie te implementeren

Als u de REST API wilt gebruiken om de Defender-extensie te implementeren, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

De eenvoudigste manier om de API te gebruiken om de Defender-extensie te implementeren, is met het opgegeven JSON-voorbeeld van Postman Collection uit de installatievoorbeelden van Defender for Cloud.

• Als u de JSON van de Postman Collection wilt wijzigen of de extensie handmatig wilt implementeren met de REST API, voert u de volgende PUT-opdracht uit:

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Waar:

  Name	In	Vereist	Type	Beschrijving
  Abonnements-id	Pad	Waar	Tekenreeks	De abonnements-id van uw Kubernetes-resource met Azure Arc
  Resourcegroep	Pad	Waar	Tekenreeks	Naam van de resourcegroep met uw Kubernetes-resource met Azure Arc
  Clusternaam	Pad	Waar	Tekenreeks	Naam van uw Kubernetes-resource met Azure Arc

  Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een bearer-token op te halen:

  az account get-access-token --subscription <your-subscription-id> Gebruik de volgende structuur voor de hoofdtekst van uw bericht:

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Beschrijving van de eigenschappen wordt hieronder gegeven:

  Eigenschap	Beschrijving
  logAnalytics.workspaceId	Werkruimte-id van de Log Analytics-resource
  logAnalytics.key	Sleutel van de Log Analytics-resource
  auditLogPath	Optioneel. Het volledige pad naar de auditlogboekbestanden. De standaardwaarde is /var/log/kube-apiserver/audit.log

De implementatie controleren

Als u wilt controleren of de Defender-extensie op het cluster is geïnstalleerd, volgt u de stappen in een van de onderstaande tabbladen:

Azure Portal - Defender for Cloud

Defender for Cloud-aanbeveling gebruiken om de status van uw extensie te controleren

1. Open op de aanbevelingenpagina van Microsoft Defender for Cloud het besturingselement Microsoft Defender for Cloud-beveiliging inschakelen .

2. Selecteer de aanbeveling met de naam Kubernetes-clusters met Azure Arc als microsoft Defender for Cloud-extensie moet zijn geïnstalleerd.

   

3. Controleer of het cluster waarop u de extensie hebt geïmplementeerd, wordt weergegeven als In orde.

Azure Portal - Azure Arc

De Azure Arc-pagina's gebruiken om de status van uw extensie te controleren

1. Open Azure Arc vanuit de Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina extensies. De extensies op het cluster worden vermeld. Controleer de kolom Installatiestatus om te controleren of de Defender-extensie juist is geïnstalleerd.

   

4. Selecteer de extensie voor meer informatie.

   

Azure CLI

Azure CLI gebruiken om te controleren of de extensie is geïmplementeerd

1. Voer de volgende opdracht uit in Azure CLI:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. Zoek in het antwoord naar 'extensionType': 'microsoft.azuredefender.kubernetes' en 'installState': 'Installed'.

   Notitie

   Mogelijk wordt 'installState': 'In behandeling' weergegeven voor de eerste paar minuten.

3. Als de status Geïnstalleerd wordt weergegeven, voert u de volgende opdracht uit op uw computer, waarbij het kubeconfig bestand naar uw cluster wijst om te controleren of een pod met de naam 'azuredefender-XXXXX' de status Actief heeft:

   kubectl get pods -n azuredefender
   

REST API

De REST API gebruiken om te controleren of de extensie is geïmplementeerd

Ga als volgt te werk om een geslaagde implementatie te bevestigen of om de status van uw extensie op elk gewenst moment te valideren:

1. Voer de volgende GET-opdracht uit:

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. Zoek in het antwoord in 'extensionType': 'microsoft.azuredefender.kubernetes' voor 'installState': 'Installed'.

   Tip

   Mogelijk wordt 'installState': 'In behandeling' weergegeven voor de eerste paar minuten.

3. Als de status Geïnstalleerd wordt weergegeven, voert u de volgende opdracht uit op uw computer, waarbij het kubeconfig bestand naar uw cluster wijst om te controleren of een pod met de naam 'azuredefender-XXXXX' de status Actief heeft:

   kubectl get pods -n azuredefender
   

Amazon Elastic Kubernetes Service-clusters beveiligen

Belangrijk

Als u nog geen AWS-account hebt verbonden, verbindt u uw AWS-accounts met Microsoft Defender voor Cloud.

Als u uw EKS-clusters wilt beveiligen, schakelt u het containersplan in op de relevante accountconnector:

1. Open de omgevingsinstellingen in het menu van Defender for Cloud.

2. Selecteer de AWS-connector.

   

3. Stel de wisselknop voor containers inop Aan.

   

4. (Optioneel) Als u de bewaarperiode voor uw auditlogboeken wilt wijzigen, selecteert u Configureren, voert u het vereiste tijdsbestek in en selecteert u Opslaan.

   

   Notitie

   Als u deze configuratie uitschakelt, wordt de Threat detection (control plane) functie uitgeschakeld. Meer informatie over de beschikbaarheid van functies.

5. Ga door naar de resterende pagina's van de wizard Connector.

6. Kubernetes met Azure Arc, de Defender-extensie en de Azure Policy-extensie moeten worden geïnstalleerd en uitgevoerd op uw EKS-clusters. Er zijn twee speciale Defender for Cloud-aanbevelingen om deze extensies te installeren (en Azure Arc indien nodig):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
   • EKS clusters should have the Azure Policy extension installed

   Volg voor elk van de aanbevelingen de onderstaande stappen om de vereiste extensies te installeren.

   De vereiste extensies installeren:

   1. Zoek op de pagina Aanbevelingen van Defender for Cloud naar een van de aanbevelingen op naam.

   2. Selecteer een beschadigd cluster.

      Belangrijk

      U moet de clusters één voor één selecteren.

      Selecteer de clusters niet op basis van de hyperlinknamen: selecteer ergens anders in de relevante rij.

   3. Selecteer Fix.

   4. Defender for Cloud genereert een script in de taal van uw keuze: selecteer Bash (voor Linux) of PowerShell (voor Windows).

   5. Selecteer Herstellogica downloaden.

   6. Voer het gegenereerde script uit op uw cluster.

   7. Herhaal de stappen a tot en met f voor de tweede aanbeveling.

   

Aanbevelingen en waarschuwingen voor uw EKS-clusters weergeven

Tip

U kunt containerwaarschuwingen simuleren door de instructies in dit blogbericht te volgen.

Als u de waarschuwingen en aanbevelingen voor uw EKS-clusters wilt weergeven, gebruikt u de filters op de waarschuwingen, aanbevelingen en inventarispagina's om te filteren op AWS EKS-cluster van het resourcetype.

GKE-clusters (Google Kubernetes Engine) beveiligen

Belangrijk

Als u nog geen GCP-project hebt verbonden, verbindt u uw GCP-projecten met Microsoft Defender voor Cloud.

Als u uw GKE-clusters wilt beveiligen, moet u het containersplan inschakelen voor het relevante GCP-project.

GKE-clusters (Google Kubernetes Engine) beveiligen:

1. Meld u aan bij de Azure-portal.

2. Navigeer naar microsoft Defender voor Cloud>Environment-instellingen.

3. Selecteer de relevante GCP-connector

   

4. Selecteer de knop Volgende: Knop Plannen >selecteren.

5. Zorg ervoor dat het containersplan is ingeschakeld op Aan.

   

6. (Optioneel) Configureer het containersplan.

7. Selecteer de knop Kopiëren .

   

8. Selecteer de knop GCP Cloud Shell>.

9. Plak het script in de Cloud Shell terminal en voer het uit.

De connector wordt bijgewerkt nadat het script is uitgevoerd. Dit proces kan maximaal 6-8 uur duren.

De oplossing implementeren in specifieke clusters

Als u een van de standaardconfiguraties voor automatische inrichting hebt uitgeschakeld op Uit, tijdens het onboardingproces van de GCP-connector of daarna. U moet Kubernetes, de Defender-extensie en de Azure Policy-extensies voor elk van uw GKE-clusters handmatig installeren om de volledige beveiligingswaarde van Defender for Containers op te halen.

Er zijn twee speciale Defender for Cloud-aanbevelingen die u kunt gebruiken om de extensies te installeren (en Arc indien nodig):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

De oplossing implementeren in specifieke clusters:

1. Meld u aan bij de Azure-portal.

2. Navigeer naar Microsoft Defender voor Cloud-aanbevelingen>.

3. Zoek op de pagina Aanbevelingen van Defender for Cloud naar een van de aanbevelingen op naam.

   

4. Selecteer een beschadigd GKE-cluster.

   Belangrijk

   U moet de clusters één voor één selecteren.

   Selecteer de clusters niet op basis van de hyperlinknamen: selecteer ergens anders in de relevante rij.

5. Selecteer de naam van de beschadigde resource.

6. Selecteer Fix.

   

7. Defender voor Cloud genereert een script in de taal van uw keuze:

   • Selecteer voor Linux Bash.
   • Selecteer PowerShell voor Windows.

8. Selecteer Herstellogica downloaden.

9. Voer het gegenereerde script uit op uw cluster.

10. Herhaal stap 3 tot en met 8 voor de tweede aanbeveling.

Uw GKE-clusterwaarschuwingen weergeven

1. Meld u aan bij de Azure-portal.

2. Navigeer naar Microsoft Defender voor Cloud>Security-waarschuwingen.

3. Selecteer de knop .

4. Selecteer resourcetype in de vervolgkeuzelijst Filter.

5. Selecteer GCP GKE-cluster in de vervolgkeuzelijst Waarde.

6. Selecteer OK.

Beveiligingswaarschuwingen van Microsoft Defender for Containers simuleren

Een volledige lijst met ondersteunde waarschuwingen is beschikbaar in de referentietabel van alle Defender for Cloud-beveiligingswaarschuwingen.

1. Als u een beveiligingswaarschuwing wilt simuleren, voert u de volgende opdracht uit vanuit het cluster:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Het verwachte antwoord is 'Geen resource gevonden'.

   Binnen 30 minuten detecteert Defender for Cloud deze activiteit en activeert een beveiligingswaarschuwing.

2. Open in de Azure Portal de pagina beveiligingswaarschuwingen van Microsoft Defender voor Cloud en zoek de waarschuwing op de relevante resource:

   

De Defender-extensie verwijderen

Als u dit wilt verwijderen , of een - Defender voor Cloud-extensie, is het niet voldoende om automatische inrichting uit te schakelen:

• Het inschakelen van automatische inrichting heeft mogelijk invloed op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie, is alleen van invloed op de toekomstige machines. Er wordt niets verwijderd door automatische inrichting uit te schakelen.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals wordt uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender voor Cloud.

U kunt de extensie verwijderen met behulp van Azure Portal, Azure CLI of REST API, zoals wordt uitgelegd in de onderstaande tabbladen.

Azure Portal - Arc

Gebruik Azure Portal om de extensie te verwijderen

1. Open Azure Arc vanuit de Azure Portal.

2. Selecteer Kubernetes-clusters in de lijst met infrastructuur en selecteer vervolgens het specifieke cluster.

3. Open de pagina extensies. De extensies op het cluster worden vermeld.

4. Selecteer het cluster en selecteer Verwijderen.

   

Azure CLI

Azure CLI gebruiken om de Defender-extensie te verwijderen

1. Verwijder de Microsoft Defender for Kubernetes Arc-extensie met de volgende opdrachten:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Het verwijderen van de extensie kan enkele minuten duren. U wordt aangeraden te wachten voordat u probeert te controleren of het is gelukt.

2. Voer de volgende opdrachten uit om te controleren of de extensie is verwijderd:

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   Er mag geen vertraging optreden in de extensieresource die wordt verwijderd uit Azure Resource Manager. Controleer daarna of er geen pods met de naam 'azuredefender-XXXXX' in het cluster zijn door de volgende opdracht uit te voeren met het bestand dat naar uw kubeconfig cluster verwijst:

   kubectl get pods -A --selector app=defender
   

   Het kan enkele minuten duren voordat de pods zijn verwijderd.

REST API

REST API gebruiken om de Defender-extensie te verwijderen

Als u de extensie wilt verwijderen met behulp van de REST API, voert u de volgende delete-opdracht uit:

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Name	In	Vereist	Type	Beschrijving
Abonnements-id	Pad	Waar	Tekenreeks	De abonnements-id van uw Kubernetes-cluster met Azure Arc
Resourcegroep	Pad	Waar	Tekenreeks	De resourcegroep van uw Kubernetes-cluster met Azure Arc
Clusternaam	Pad	Waar	Tekenreeks	De naam van uw Kubernetes-cluster met Azure Arc

Voor verificatie moet uw header een Bearer-token hebben (net als bij andere Azure-API's). Voer de volgende opdracht uit om een bearer-token op te halen:

az account get-access-token --subscription <your-subscription-id>

Het kan enkele minuten duren voordat de aanvraag is voltooid.

Standaard Log Analytics-werkruimte voor AKS

De Log Analytics-werkruimte wordt door het Defender-profiel gebruikt als een gegevenspijplijn om gegevens van het cluster naar Defender for Cloud te verzenden zonder gegevens in de Log Analytics-werkruimte zelf te bewaren. Als gevolg hiervan worden gebruikers in dit gebruiksvoorbeeld niet gefactureerd.

Het Defender-profiel maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en standaardwerkruimte wanneer het Defender-profiel is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij de Azure-portal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Selecteer Azure Kubernetes Service-clusters configureren om Defender-profiel in te schakelen.

6. Selecteer Toewijzing.

   

7. Volg de stappen Een nieuwe toewijzing maken met aangepaste werkruimtestappen als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de toewijzing Bijwerken met aangepaste werkruimtestappen als het beleid al is toegewezen en u dit wilt wijzigen om een aangepaste werkruimte te gebruiken.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters deselecteer de selectie alleen de parameters weer die invoer of beoordelingsoptie nodig hebben .

3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Notitie

Als u meer dan één abonnement hebt, is het aantal mogelijk hoger.

Aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters deselecteer de selectie alleen de parameters weer die invoer of beoordelingsoptie nodig hebben .

4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

5. Selecteer Controleren + maken.

6. Selecteer Maken.

Standaard Log Analytics-werkruimte voor Arc

De Log Analytics-werkruimte wordt door de Defender-extensie gebruikt als een gegevenspijplijn om gegevens van het cluster naar Defender for Cloud te verzenden zonder gegevens in de Log Analytics-werkruimte zelf te bewaren. Als gevolg hiervan worden gebruikers in dit gebruiksvoorbeeld niet gefactureerd.

De Defender-extensie maakt gebruik van een standaard Log Analytics-werkruimte. Als u nog geen standaard Log Analytics-werkruimte hebt, maakt Defender voor Cloud een nieuwe resourcegroep en standaardwerkruimte wanneer de Defender-extensie is geïnstalleerd. De standaardwerkruimte wordt gemaakt op basis van uw regio.

De naamconventie voor de standaard Log Analytics-werkruimte en -resourcegroep is:

• Werkruimte: DefaultWorkspace-[subscription-ID]-[geo]
• Resourcegroep: DefaultResourceGroup-[geo]

Een aangepaste werkruimte toewijzen

Wanneer u de optie voor automatisch inrichten inschakelt, wordt automatisch een standaardwerkruimte toegewezen. U kunt een aangepaste werkruimte toewijzen via Azure Policy.

Controleren of er een werkruimte is toegewezen:

1. Meld u aan bij de Azure-portal.

2. Zoek en selecteer Beleid.

   

3. Selecteer Definities.

4. Zoek naar beleids-id 708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Selecteer Kubernetes-clusters met Azure Arc configureren om de Microsoft Defender for Cloud-extensie te installeren.

6. Selecteer Toewijzingen.

   

7. Volg de stappen Een nieuwe toewijzing maken met aangepaste werkruimtestappen als het beleid nog niet is toegewezen aan het relevante bereik. Of volg de toewijzing Bijwerken met aangepaste werkruimtestappen als het beleid al is toegewezen en u dit wilt wijzigen om een aangepaste werkruimte te gebruiken.

Een nieuwe toewijzing maken met een aangepaste werkruimte

Als het beleid niet is toegewezen, ziet Assignments (0)u .

Aangepaste werkruimte toewijzen:

1. Selecteer Toewijzen.

2. Schakel op het tabblad Parameters deselecteer de selectie alleen de parameters weer die invoer of beoordelingsoptie nodig hebben .

3. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

4. Selecteer Controleren + maken.

5. Selecteer Maken.

Toewijzing bijwerken met aangepaste werkruimte

Als het beleid al is toegewezen aan een werkruimte, ziet Assignments (1)u .

Notitie

Als u meer dan één abonnement hebt, is het aantal mogelijk hoger. Als u een getal 1 of hoger hebt, bevindt de toewijzing zich mogelijk nog steeds niet in het relevante bereik. Als dit het geval is, volgt u de opdracht Een nieuwe toewijzing maken met aangepaste werkruimtestappen .

Aangepaste werkruimte toewijzen:

1. Selecteer de relevante opdracht.

   

2. Selecteer Opdracht bewerken.

3. Schakel op het tabblad Parameters deselecteer de selectie alleen de parameters weer die invoer of beoordelingsoptie nodig hebben .

4. Selecteer een LogAnalyticsWorkspaceResource-id in de vervolgkeuzelijst.

   

5. Selecteer Controleren + maken.

6. Selecteer Maken.

Het Defender-profiel verwijderen

Als u dit wilt verwijderen , of een - Defender voor Cloud-extensie, is het niet voldoende om automatische inrichting uit te schakelen:

• Het inschakelen van automatische inrichting heeft mogelijk invloed op bestaande en toekomstige machines.
• Het uitschakelen van automatische inrichting voor een extensie, is alleen van invloed op de toekomstige machines. Er wordt niets verwijderd door automatische inrichting uit te schakelen.

Om ervoor te zorgen dat de onderdelen van Defender for Containers vanaf nu niet automatisch worden ingericht voor uw resources, schakelt u automatische inrichting van de extensies uit, zoals wordt uitgelegd in Automatische inrichting configureren voor agents en extensies van Microsoft Defender voor Cloud.

U kunt het profiel verwijderen met behulp van de REST API of een Resource Manager-sjabloon, zoals wordt uitgelegd in de onderstaande tabbladen.

REST API

REST API gebruiken om het Defender-profiel te verwijderen uit AKS

Voer de volgende PUT-opdracht uit om het profiel te verwijderen met behulp van de REST API:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Naam	Beschrijving	Verplicht
SubscriptionId	Abonnements-id van cluster	Yes
ResourceGroup	Resourcegroep van cluster	Yes
Clusternaam	Clusternaam	Yes
ApiVersion	API-versie moet = 2022-06-01 zijn >	Yes

Aanvraagtekst:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Parameters voor aanvraagbody:

Naam	Beschrijving	Verplicht
location	Locatie van cluster	Yes
properties.securityProfile.defender.securityMonitoring.enabled	Bepaalt of Microsoft Defender for Containers moet worden ingeschakeld of uitgeschakeld in het cluster	Yes

Azure CLI

Azure CLI gebruiken om het Defender-profiel te verwijderen

1. Verwijder Microsoft Defender voor met de volgende opdrachten:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Het verwijderen van het profiel kan enkele minuten duren.

2. Voer de volgende opdracht uit om te controleren of het profiel is verwijderd:

   kubectl get pods -n azuredefender
   

   Wanneer het profiel wordt verwijderd, ziet u dat er geen pods worden geretourneerd in de get pods opdracht. Het kan enkele minuten duren voordat de pods zijn verwijderd.

Resource Manager

Azure Resource Manager gebruiken om het Defender-profiel uit AKS te verwijderen

Als u Azure Resource Manager wilt gebruiken om het Defender-profiel te verwijderen, hebt u een Log Analytics-werkruimte voor uw abonnement nodig. Meer informatie in Log Analytics-werkruimten.

Tip

Als u geen toegang hebt tot Resource Manager sjablonen, begint u hier: Wat zijn Azure Resource Manager-sjablonen?

De relevante sjabloon en parameters voor het verwijderen van het Defender-profiel uit AKS zijn:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Veelgestelde vragen

• Hoe kan ik mijn bestaande Log Analytics-werkruimte gebruiken?
• Kan ik de standaardwerkruimten verwijderen die zijn gemaakt door Defender for Cloud?
• Ik heb mijn standaardwerkruimte verwijderd. Hoe kan ik deze terughalen?
• Waar bevindt zich de standaard Log Analytics-werkruimte?
• Mijn organisatie vereist dat ik mijn resources taggen en automatisch inrichten is mislukt, wat is er misgegaan?

Hoe kan ik mijn bestaande Log Analytics-werkruimte gebruiken?

U kunt uw bestaande Log Analytics-werkruimte gebruiken door de stappen te volgen in de sectie Een aangepaste werkruimte-werkruimte toewijzen van dit artikel.

Kan ik de standaardwerkruimten verwijderen die zijn gemaakt door Defender for Cloud?

We raden u niet aan om de standaardwerkruimte te verwijderen. Defender for Containers gebruikt de standaardwerkruimten om beveiligingsgegevens van uw clusters te verzamelen. Defender for Containers kan geen gegevens verzamelen en sommige beveiligingsaanbeveling en -waarschuwingen zijn niet beschikbaar als u de standaardwerkruimte verwijdert.

Ik heb mijn standaardwerkruimte verwijderd. Hoe kan ik deze terughalen?

Als u uw standaardwerkruimte wilt herstellen, moet u het Defender-profiel/de extensie verwijderen en de agent opnieuw installeren. Als u het Defender-profiel/de extensie opnieuw installeert, wordt er een nieuwe standaardwerkruimte gemaakt.

Waar bevindt zich de standaard Log Analytics-werkruimte?

Afhankelijk van uw regio bevindt de standaard Log Analytics-werkruimte zich op verschillende locaties. Zie Waar is de standaard Log Analytics-werkruimte gemaakt om uw regio te controleren?

Mijn organisatie vereist dat ik mijn resources taggen en automatisch inrichten is mislukt. Wat is er misgegaan?

De Defender-agent gebruikt de Log Analytics-werkruimte om gegevens van uw Kubernetes-clusters te verzenden naar Defender for Cloud. De functie voor automatische inrichting van Defender for Cloud via het ingebouwde beleid, voegt de loganalysewerkruimte en de resourcegroep toe als parameter die de agent kan gebruiken.

Als uw organisatie echter een beleid heeft dat een specifieke tag voor uw resources vereist, kan het automatisch inrichten mislukken tijdens de resourcegroep of de standaardfase voor het maken van werkruimten. Als dit mislukt, kunt u het volgende doen:

• Wijs een aangepaste werkruimte toe en voeg een tag toe die uw organisatie nodig heeft.

  of

• Als uw bedrijf vereist dat u uw resource tagt, moet u naar dat beleid navigeren en de volgende resources uitsluiten:

  1. De resourcegroep DefaultResourceGroup-<RegionShortCode>
  2. De werkruimte DefaultWorkspace-<sub-id>-<RegionShortCode>

  RegionShortCode is een tekenreeks van 2-4 letters.

Meer informatie

U kunt de volgende blogs bekijken:

• Uw Google Cloud-workloads beveiligen met Microsoft Defender for Cloud
• Inleiding tot Microsoft Defender voor containers
• Een nieuwe naam voor beveiliging met meerdere clouds: Microsoft Defender voor Cloud

Volgende stappen

Gebruik Defender for Containers om uw ACR-installatiekopieën te scannen op beveiligingsproblemen.