Ativar o Microsoft Defender para Contentores

O Microsoft Defender for Containers é a solução nativa da nuvem para proteger os seus contentores.

O Defender for Containers protege os seus aglomerados quer estejam a funcionar:

  • Azure Kubernetes Service (AKS) - O serviço gerido pela Microsoft para desenvolver, implantar e gerir aplicações contentorizadas.

  • Amazon Elastic Kubernetes Service (EKS) numa conta conectada da Amazon Web Services (AWS) - o serviço gerido pela Amazon para executar Kubernetes em AWS sem precisar de instalar, operar e manter o seu próprio avião ou nós de controlo Kubernetes.

  • Google Kubernetes Engine (GKE) num projeto conectado da Google Cloud Platform (GCP) - o ambiente gerido da Google para implementar, gerir e escalar aplicações usando a infraestrutura GCP.

  • Outras distribuições de Kubernetes (utilizando Kubernetes ativados pelo Arco Azure) - Clusters kubernetes certificados da Cloud Native Computing (CNCF) hospedados no local ou em IaaS. Para obter mais informações, consulte a secção On-prem/IaaS (Arc) de funcionalidades suportadas por ambiente.

Conheça este plano em Visão Geral do Microsoft Defender para Contentores.

Pode saber mais assistindo a estes vídeos da série de vídeos Defender for Cloud in the Field:

Nota

Suporte do Defender para contentores para clusters Kubernetes, AWS EKS e GCP GKE. Esta é uma funcionalidade em pré-visualização.

Para saber mais sobre os sistemas operativos suportados, funcionalidade de disponibilidade, procuração de saída e mais consulte a disponibilidade do Defender for Containers.

Requisitos de rede - AKS

Validar os seguintes pontos finais são configurados para acesso de saída para que o perfil Defender possa ligar-se ao Microsoft Defender para cloud para enviar dados de segurança e eventos:

Consulte as regras de aplicação fQDN/aplicação necessárias para o Microsoft Defender para contentores.

Por padrão, os clusters AKS têm acesso ilimitado à internet de saída (saída).

Requisitos da rede

Validar os seguintes pontos finais são configurados para acesso de saída para que a extensão Do Defender possa ligar-se ao Microsoft Defender para cloud para enviar dados de segurança e eventos:

Para as missões de nuvem pública de Azure:

Domain Porta
*.ods.opinsights.azure.com 443
*.oms.opinsights.azure.com 443
login.microsoftonline.com 443

Os seguintes domínios só são necessários se estiver a utilizar um sistema operativo relevante. Por exemplo, se tiver clusters EKS em execução em AWS, então só precisa de aplicar o Amazon Linux 2 (Eks): Domain: "amazonlinux.*.amazonaws.com/2/extras/*" domínio.

Domain Porta Sistemas operativos anfitriões
amazonlinux.*.amazonaws.com/2/extras/* 443 Amazon Linux 2
repositórios yum padrão - RHEL / Centos
repositórios apt predefinidos - Debian

Também terá de validar os requisitos da rede Kubernetes ativados pelo Arco Azure.

Ativar o plano

Para ativar o plano:

  1. A partir do menu Defender for Cloud, abra a página de definições ambiente e selecione a subscrição relevante.

  2. Na página de planos do Defender, ativar o Defender para contentores

    Dica

    Se a subscrição já tiver o Defender de Kubernetes e/ou Defender para registos de contentores ativados, é apresentado um aviso de atualização. Caso contrário, a única opção será Defender para Contentores.

    Defender para registos de contentores e Defender para planos Kubernetes mostrando 'Deprecado' e atualizar informações.

  3. Por predefinição, ao permitir o plano através do portal do Azure, o Microsoft Defender for Containers está configurado para a oferta automática (instalar automaticamente) componentes necessários para fornecer as proteções oferecidas por plano, incluindo a atribuição de um espaço de trabalho predefinido.

    Se pretender desativar o fornecimento automático durante o processo de embarque, selecione a configuração de Editar para o plano Desativar . Isto abre as opções Advanced, onde pode desativar o provisionamento automático para cada componente.

    Além disso, pode modificar esta configuração a partir da página de planos Defender ou da página de provisionamento Automático na linha Microsoft Defender for Containers:

    Screenshot das opções de provisionamento automático para o Microsoft Defender para contentores.

    Nota

    Se optar por desativar o plano a qualquer momento depois de o ativar através do portal, como mostrado acima, terá de remover manualmente o Defender para os componentes dos contentores implantados nos seus agrupamentos.

    Você pode atribuir um espaço de trabalho personalizado através de Azure Policy.

  4. Se desativar o fornecimento automático de qualquer componente, pode facilmente implantar o componente num ou mais clusters utilizando a recomendação adequada:

    Nota

    O Microsoft Defender for Containers está configurado para defender todas as suas nuvens automaticamente. Quando instalar todos os pré-requisitos necessários e ativar todas as capacidades de provisionamento automático.

    Se optar por desativar todas as opções de configuração de provisão automática, nenhum agente ou componentes será implantado nos seus clusters. A proteção será limitada apenas às funcionalidades Agentless. Saiba quais as funcionalidades que são desagramos na secção de disponibilidade do Defender para Contentores.

Implementar o perfil defender

Pode ativar o plano Do Defender para Contentores e implementar todos os componentes relevantes a partir do portal do Azure, da API REST ou com um modelo de Resource Manager. Para etapas detalhadas, selecione o separador relevante.

Uma vez implantado o perfil Defender, será automaticamente atribuído um espaço de trabalho predefinido. Você pode atribuir um espaço de trabalho personalizado no lugar do espaço de trabalho padrão através de Azure Policy.

Nota

O perfil Defender é implantado em cada nó para fornecer as proteções de tempo de execução e recolher sinais desses nós utilizando a tecnologia eBPF.

Utilize o botão de correção da recomendação Defender for Cloud

Um processo simplificado, sem atritos, permite-lhe utilizar as páginas portal do Azure para ativar o plano Defender para cloud e configurar o fornecimento automático de todos os componentes necessários para defender os seus clusters Kubernetes em escala.

Uma recomendação dedicada do Defender for Cloud fornece:

  • Visibilidade sobre qual dos seus clusters tem o perfil Defender implantado
  • Fixe o botão para implantá-lo para os clusters sem a extensão
  1. A partir da página de recomendações do Microsoft Defender para a Cloud, abra o controlo de segurança reforçado ativar .

  2. Utilize o filtro para encontrar a recomendação denominada Azure Kubernetes Service os clusters devem ter o perfil do Defender ativado.

    Dica

    Note o ícone 'Corrigir' na coluna de ações

  3. Selecione os clusters para ver os detalhes dos recursos saudáveis e insalubres - clusters com e sem perfil.

  4. A partir da lista de recursos não saudáveis, selecione um cluster e selecione Remediate para abrir o painel com a confirmação de reparação.

  5. Selecione Recursos Fixo [x].

Ativar o plano

Para ativar o plano:

  1. A partir do menu Defender for Cloud, abra a página de definições ambiente e selecione a subscrição relevante.

  2. Na página de planos do Defender, ative o Defender para contentores.

    Dica

    Se a subscrição já tiver o Defender de Kubernetes ou Defender para registos de contentores ativados, é apresentado um aviso de atualização. Caso contrário, a única opção será Defender para Contentores.

    Defender para registos de contentores e Defender para planos Kubernetes mostrando 'Deprecado' e atualizar informações.

  3. Por predefinição, ao permitir o plano através do portal do Azure, o Microsoft Defender for Containers está configurado para a oferta automática (instalar automaticamente) componentes necessários para fornecer as proteções oferecidas por plano, incluindo a atribuição de um espaço de trabalho predefinido.

    Se pretender desativar o fornecimento automático durante o processo de embarque, selecione a configuração de Editar para o plano Desativar . As opções Avançadas aparecerão e pode desativar o provisionamento automático para cada componente.

    Além disso, pode modificar esta configuração a partir da página de planos Defender ou da página de provisionamento Automático na linha Microsoft Defender for Containers:

    Screenshot das opções de provisionamento automático para o Microsoft Defender para contentores.

    Nota

    Se optar por desativar o plano a qualquer momento depois de o ativar através do portal, como mostrado acima, terá de remover manualmente o Defender para os componentes dos contentores implantados nos seus agrupamentos.

    Você pode atribuir um espaço de trabalho personalizado através de Azure Policy.

  4. Se desativar o fornecimento automático de qualquer componente, pode facilmente implantar o componente num ou mais clusters utilizando a recomendação adequada:

Pré-requisitos

Antes de implementar a extensão, certifique-se de:

Implementar a extensão do Defender

Pode implantar a extensão Defender utilizando uma gama de métodos. Para etapas detalhadas, selecione o separador relevante.

Utilize o botão de correção da recomendação Defender for Cloud

Uma recomendação dedicada do Defender for Cloud fornece:

  • Visibilidade sobre qual dos seus clusters tem a extensão do Defender para Kubernetes implantada
  • Fixe o botão para implantá-lo para os clusters sem a extensão
  1. A partir da página de recomendações do Microsoft Defender para a Cloud, abra o controlo de segurança reforçado ativar .

  2. Utilize o filtro para encontrar a recomendação chamada clusters Kubernetes ativados pelo Arco Azure deve ter o Defender para a extensão da Cloud instalada.

    A recomendação do Microsoft Defender para a Cloud para implementar a extensão Defender para clusters Kubernetes ativados pelo Arco Azure.

    Dica

    Note o ícone 'Corrigir' na coluna de ações

  3. Selecione a extensão para ver os detalhes dos recursos saudáveis e insalubres - clusters com e sem a extensão.

  4. A partir da lista de recursos não saudáveis, selecione um cluster e selecione Remediate para abrir o painel com as opções de reparação.

  5. Selecione o espaço de trabalho do Log Analytics relevante e selecione Remediate x recurso.

    Implementar a extensão do Defender para O Arco Azure com o Defender para a opção 'fix' da Cloud.

Verificar a implementação

Para verificar se o seu cluster tem a extensão do Defender instalada nele, siga os passos de um dos separadores abaixo:

Utilize recomendação do Defender para cloud para verificar o estado da sua extensão

  1. A partir da página de recomendações do Microsoft Defender para a Cloud, abra o Ative Microsoft Defender para controlo de segurança cloud.

  2. Selecione a recomendação chamada clusters Kubernetes ativados por Azure Arc deve ter o Microsoft Defender para a extensão da Cloud instalada.

    A recomendação do Microsoft Defender para a Cloud para implementar a extensão Defender para clusters Kubernetes ativados pelo Arco Azure.

  3. Verifique se o cluster em que implementou a extensão está listado como Healthy.

Proteja os clusters de serviços da Amazon Elastic Kubernetes

Importante

Se ainda não ligou uma conta AWS, ligue as suas contas AWS ao Microsoft Defender for Cloud.

Para proteger os seus clusters EKS, ative o plano de Contentores no conector de conta relevante:

  1. Do menu Defender for Cloud, abra as definições de Ambiente.

  2. Selecione o conector AWS.

    Screenshot da página de definições de ambiente do Defender para cloud mostrando um conector AWS.

  3. Deite o toggle para o plano de Recipientes para On.

    Screenshot de ativar o Defender para contentores para um conector AWS.

  4. (Opcional) Para alterar o período de retenção dos seus registos de auditoria, selecione Configure, introduza o prazo necessário e selecione Guardar.

    Screenshot de ajustar o período de retenção para os registos do painel de controlo EKS.

    Nota

    Se desativar esta configuração, a Threat detection (control plane) funcionalidade será desativada. Saiba mais sobre a disponibilidade de funcionalidades.

  5. Continue através das páginas restantes do assistente de conector.

  6. Kubernetes ativado pelo Arco Azure, a extensão Defender e a extensão Azure Policy devem ser instalados e em funcionamento nos seus clusters EKS. Existem duas recomendações dedicadas do Defender para a Cloud para instalar estas extensões (e Azure Arc, se necessário):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
    • EKS clusters should have the Azure Policy extension installed

    Para cada uma das recomendações, siga os passos abaixo para instalar as extensões necessárias.

    Para instalar as extensões necessárias:

    1. Na página de Recomendações do Defender for Cloud, procure uma das recomendações pelo nome.

    2. Selecione um aglomerado insalubre.

      Importante

      Deve selecionar os agrupamentos um de cada vez.

      Não selecione os clusters pelos seus nomes hiperligados: selecione em qualquer outro lugar da linha relevante.

    3. Selecione Fix.

    4. O Defender for Cloud gera um script no idioma à sua escolha: selecione Bash (para Linux) ou PowerShell (para Windows).

    5. Selecione Baixar a lógica de remediação.

    6. Executar o script gerado no seu cluster.

    7. Repita os passos "a" através de "f" para a segunda recomendação.

    Vídeo de como usar a recomendação do Defender for Cloud para gerar um script para os seus clusters EKS que permite a extensão do Arco Azure.

Ver recomendações e alertas para os seus clusters EKS

Dica

Pode simular alertas de contentores seguindo as instruções neste post de blog.

Para visualizar os alertas e recomendações para os seus clusters EKS, utilize os filtros nos alertas, recomendações e páginas de inventário para filtrar pelo cluster AWS EKS do tipo de recurso.

Screenshot de como usar filtros no Microsoft Defender para a página de alertas da Cloud para ver alertas relacionados com clusters AWS EKS.

Proteja os clusters do Motor Do Google Kubernetes (GKE)

Importante

Se ainda não ligou um projeto GCP, ligue os seus projetos GCP ao Microsoft Defender for Cloud.

Para proteger os seus clusters GKE, terá de ativar o plano de Contentores no projeto GCP relevante.

Para proteger os clusters do Motor Do Google Kubernetes (GKE):

  1. Inicie sessão no portal do Azure.

  2. Navegue para asdefiniçõesdo Microsoft Defender para Cloud> Environment.

  3. Selecione o conector GCP relevante

    Screenshot mostrando um conector GCP exemplo.

  4. Selecione o seguinte: Selecione o botão planos > .

  5. Certifique-se de que o plano de contentores está ligado.

    Screenshot que mostra o plano dos contentores é ligado.

  6. (Opcional) Configurar o plano dos contentores.

  7. Selecione o botão Copiar .

    Screenshot mostrando a localização do botão de cópia.

  8. Selecione o botão GCP Cloud Shell>.

  9. Cole o guião no terminal Cloud Shell e passe-o.

O conector atualizar-se-á após a execução do script. Este processo pode demorar até 6-8 horas até ser concluído.

Implementar a solução para clusters específicos

Se desativou alguma das configurações de provisionamento automático predefinidos para Off, durante o processo de ligação GCP a bordo ou depois. Terá de instalar manualmente Kubernetes ativados por Arco Azure, a extensão Defender e as extensões Azure Policy a cada um dos seus clusters GKE para obter o valor de segurança total do Defender para contentores.

Existem 2 recomendações dedicadas do Defender para cloud que pode utilizar para instalar as extensões (e arc se necessário):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

Para implementar a solução para clusters específicos:

  1. Inicie sessão no portal do Azure.

  2. Navegue para o Microsoft Defender pararecomendações na nuvem>.

  3. Na página de Recomendações do Defender for Cloud, procure uma das recomendações pelo nome.

    Screenshot mostrando como procurar a recomendação.

  4. Selecione um cluster GKE pouco saudável.

    Importante

    Deve selecionar os agrupamentos um de cada vez.

    Não selecione os clusters pelos seus nomes hiperligados: selecione em qualquer outro lugar da linha relevante.

  5. Selecione o nome do recurso insalubre.

  6. Selecione Fix.

    Screenshot mostrando a localização do botão de correção.

  7. O Defender for Cloud gerará um script na linguagem à sua escolha:

    • Para Linux, selecione Bash.
    • Para Windows, selecione PowerShell.
  8. Selecione Baixar a lógica de remediação.

  9. Executar o script gerado no seu cluster.

  10. Repita os passos 3 a 8 para a segunda recomendação.

Veja os seus alertas de cluster GKE

  1. Inicie sessão no portal do Azure.

  2. Navegue para o Microsoft Defender paraalertas de Segurança na Nuvem>.

  3. Selecione o botão .

  4. No menu de entrega do filtro, selecione o tipo de recurso.

  5. No menu de dropdown Value, selecione GCP GKE Cluster.

  6. Selecione OK.

Simular alertas de segurança do Microsoft Defender para contentores

Uma lista completa de alertas suportados está disponível na tabela de referência de todos os alertas de segurança do Defender para Cloud.

  1. Para simular um alerta de segurança, executar o seguinte comando a partir do cluster:

    kubectl get pods --namespace=asc-alerttest-662jfi039n
    

    A resposta esperada é "Nenhum recurso encontrado".

    Dentro de 30 minutos, o Defender for Cloud detetará esta atividade e desencadeará um alerta de segurança.

  2. Na página portal do Azure, abra o Microsoft Defender para a página de alertas de segurança da Cloud e procure o alerta no recurso relevante:

    Alerta de amostra do Microsoft Defender para Kubernetes.

Remover a extensão do Defender

Para remover esta extensão - ou qualquer outra - Defender para a extensão cloud, não é suficiente para desligar o fornecimento automático:

  • Habilitando o fornecimento automático, potencialmente impacta máquinas existentes e futuras .
  • A desativação do fornecimento automático para uma extensão, afeta apenas as futuras máquinas - nada é desinstalado ao desativar o fornecimento automático.

No entanto, para garantir que os componentes do Defender para contentores não sejam automaticamente a provisionados aos seus recursos a partir de agora, desative o fornecimento automático das extensões, conforme explicado no fornecimento automático de agentes e extensões do Microsoft Defender for Cloud.

Pode remover a extensão utilizando portal do Azure, Azure CLI ou REST API, conforme explicado nos separadores abaixo.

Utilize portal do Azure para remover a extensão

  1. Do portal do Azure, abra o Arco Azure.

  2. Na lista de infraestruturas, selecione os clusters Kubernetes e, em seguida, selecione o cluster específico.

  3. Abra a página de extensões. As extensões do cluster estão listadas.

  4. Selecione o cluster e selecione Desinstalar.

    Remover uma extensão do seu cluster Kubernetes ativado pelo Arco.

Log Analytics padrão espaço de trabalho para AKS

O espaço de trabalho Log Analytics é utilizado pelo perfil Defender como um pipeline de dados para enviar dados do cluster para Defender para cloud sem reter quaisquer dados no próprio espaço de trabalho do Log Analytics. Como resultado, os utilizadores não serão cobrados neste caso de utilização.

O perfil Defender utiliza um espaço de trabalho de Log Analytics predefinido. Se ainda não tiver um espaço de trabalho padrão do Log Analytics, o Defender for Cloud criará um novo grupo de recursos e um espaço de trabalho predefinido quando o perfil Defender estiver instalado. O espaço de trabalho predefinido é criado com base na sua região.

A convenção de nomeação para o espaço de trabalho e grupo de recursos padrão Do Log Analytics é:

  • Espaço de trabalho: DefaultWorkspace-[subscrição-ID]-[geo]
  • Grupo de Recursos: DefaultResourceGroup-[geo]

Atribua um espaço de trabalho personalizado

Quando ativar a opção de fornecimento automático, será automaticamente atribuído um espaço de trabalho predefinido. Você pode atribuir um espaço de trabalho personalizado através de Azure Policy.

Para verificar se tem um espaço de trabalho atribuído:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Política.

    Screenshot que mostra como localizar a página de política.

  3. Selecione Definições.

  4. Procure identificação de 64def556-fbad-4622-930e-72d1d5589bf5política.

    Screenshot que mostra onde procurar a apólice por número de identificação.

  5. Selecione configurar Azure Kubernetes Service clusters para ativar o perfil do Defender.

  6. Selecione Atribuição.

    Screenshot mostrando onde localizar o separador de atribuições.

  7. Siga a Criação de uma nova atribuição com passos personalizados do espaço de trabalho se a política ainda não tiver sido atribuída ao âmbito relevante. Ou, siga a atribuição de Atualização com etapas personalizadas do espaço de trabalho se a política já estiver atribuída e pretender alterá-la para utilizar um espaço de trabalho personalizado.

Criar uma nova atribuição com espaço de trabalho personalizado

Se a apólice não for atribuída, verá Assignments (0).

Screenshot mostrando que nenhum espaço de trabalho foi atribuído.

Para atribuir espaço de trabalho personalizado:

  1. Selecione Atribuir.

  2. No separador Parâmetros , desseleccione os parâmetros de exibição Única que necessitam de opção de entrada ou revisão .

  3. Selecione um ID LogAnalyticsWorkspaceResource do menu suspenso.

    Screenshot mostrando onde está localizado o menu dropdown.

  4. Selecione Rever + criar.

  5. Selecione Criar.

Atribuição de atualização com espaço de trabalho personalizado

Se a apólice já tiver sido atribuída a um espaço de trabalho, verá Assignments (1).

Screenshot que mostra Atribuição (1), o que significa que um espaço de trabalho já foi atribuído.

Nota

Se tiver mais de uma subscrição, o número pode ser maior.

Para atribuir espaço de trabalho personalizado:

  1. Selecione a atribuição relevante.

    Screenshot que mostra onde selecionar a atribuição relevante.

  2. Selecione a atribuição de Editar.

  3. No separador Parâmetros , desseleccione os parâmetros de exibição Única que necessitam de opção de entrada ou revisão .

  4. Selecione um ID LogAnalyticsWorkspaceResource do menu suspenso.

    Screenshot mostrando onde está localizado o menu dropdown.

  5. Selecione Rever + criar.

  6. Selecione Criar.

Log Analytics padrão espaço de trabalho para Arc

O espaço de trabalho Log Analytics é utilizado pela extensão Do Defender como um pipeline de dados para enviar dados do cluster para Defender para cloud sem reter quaisquer dados no próprio espaço de trabalho do Log Analytics. Como resultado, os utilizadores não serão cobrados neste caso de utilização.

A extensão Do Defender utiliza um espaço de trabalho de Log Analytics predefinido. Se ainda não tiver um espaço de trabalho padrão do Log Analytics, o Defender for Cloud criará um novo grupo de recursos e um espaço de trabalho predefinido quando a extensão Do Defender estiver instalada. O espaço de trabalho predefinido é criado com base na sua região.

A convenção de nomeação para o espaço de trabalho e grupo de recursos padrão Do Log Analytics é:

  • Espaço de trabalho: DefaultWorkspace-[subscrição-ID]-[geo]
  • Grupo de Recursos: DefaultResourceGroup-[geo]

Atribua um espaço de trabalho personalizado

Quando ativar a opção de fornecimento automático, será automaticamente atribuído um espaço de trabalho predefinido. Você pode atribuir um espaço de trabalho personalizado através de Azure Policy.

Para verificar se tem um espaço de trabalho atribuído:

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Política.

    Screenshot que mostra como localizar a página de política para ARC.

  3. Selecione Definições.

  4. Procure identificação de 708b60a6-d253-4fe0-9114-4be4c00f012cpolítica.

    Screenshot que mostra onde procurar a política por número de ID para ARC.

  5. Selecione Configure Azure Arc permitiu que os clusters de Kubernetes instalassem o Microsoft Defender para a extensão Cloud..

  6. Selecione Atribuições.

    Screenshot que mostra onde o separador de atribuições é para ARC.

  7. Siga a Criação de uma nova atribuição com passos personalizados do espaço de trabalho se a política ainda não tiver sido atribuída ao âmbito relevante. Ou, siga a atribuição de Atualização com etapas personalizadas do espaço de trabalho se a política já estiver atribuída e pretender alterá-la para utilizar um espaço de trabalho personalizado.

Criar uma nova atribuição com espaço de trabalho personalizado

Se a apólice não for atribuída, verá Assignments (0).

Screenshot mostrando que nenhum espaço de trabalho foi atribuído para ARC.

Para atribuir espaço de trabalho personalizado:

  1. Selecione Atribuir.

  2. No separador Parâmetros , desseleccione os parâmetros de exibição Única que necessitam de opção de entrada ou revisão .

  3. Selecione um ID LogAnalyticsWorkspaceResource do menu suspenso.

    Screenshot mostrando onde o menu dropdown está localizado para ARC.

  4. Selecione Rever + criar.

  5. Selecione Criar.

Atribuição de atualização com espaço de trabalho personalizado

Se a apólice já tiver sido atribuída a um espaço de trabalho, verá Assignments (1).

Nota

Se tiver mais de uma subscrição, o número pode ser maior. Se tiver um número 1 ou superior, a atribuição pode ainda não estar no âmbito relevante. Se for esse o caso, irá querer seguir a Criação de uma nova atribuição com passos personalizados do espaço de trabalho .

Screenshot que mostra Atribuição (1), o que significa que um espaço de trabalho já foi atribuído para ARC.

Para atribuir espaço de trabalho personalizado:

  1. Selecione a atribuição relevante.

    Screenshot que mostra onde selecionar a atribuição relevante para ARC.

  2. Selecione a atribuição de Editar.

  3. No separador Parâmetros , desseleccione os parâmetros de exibição Única que necessitam de opção de entrada ou revisão .

  4. Selecione um ID LogAnalyticsWorkspaceResource do menu suspenso.

    Screenshot mostrando onde o menu dropdown está localizado para ARC.

  5. Selecione Rever + criar.

  6. Selecione Criar.

Remova o perfil do Defender

Para remover esta extensão - ou qualquer outra - Defender para a extensão cloud, não é suficiente para desligar o fornecimento automático:

  • Habilitando o fornecimento automático, potencialmente impacta máquinas existentes e futuras .
  • A desativação do fornecimento automático para uma extensão, afeta apenas as futuras máquinas - nada é desinstalado ao desativar o fornecimento automático.

No entanto, para garantir que os componentes do Defender para contentores não sejam automaticamente a provisionados aos seus recursos a partir de agora, desative o fornecimento automático das extensões, conforme explicado no fornecimento automático de agentes e extensões do Microsoft Defender for Cloud.

Pode remover o perfil utilizando a API REST ou um modelo de Resource Manager conforme explicado nos separadores abaixo.

Use a API REST para remover o perfil do Defender da AKS

Para remover o perfil utilizando a API REST, executar o seguinte comando PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
Nome Descrição Obrigatório
SubscriptionId ID de assinatura do Cluster Yes
ResourceGroup Grupo de recursos do Cluster Yes
ClusterName Nome do Cluster Yes
ApiVersion Versão API, deve ser >= 2022-06-01 Yes

Corpo do pedido:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Solicitar parâmetros corporais:

Nome Descrição Obrigatório
localização Localização do Cluster Yes
propriedades.securityProfile.defender.securityMonitoring.enabled Determina se permite ou desativa o Microsoft Defender para contentores no cluster Yes

FAQ

Como posso usar o meu espaço de trabalho log analytics existente?

Pode utilizar o seu espaço de trabalho log analytics existente seguindo os passos na secção de espaço de trabalho personalizado deste artigo.

Posso eliminar os espaços de trabalho predefinidos criados pelo Defender for Cloud?

Não recomendamos a eliminação do espaço de trabalho predefinido. O Defender for Containers utiliza os espaços de trabalho predefinidos para recolher dados de segurança dos seus clusters. O Defender para Contentores não poderá recolher dados, e algumas recomendações de segurança e alertas ficarão indisponíveis se eliminar o espaço de trabalho predefinido.

Apaguei o meu espaço de trabalho predefinido, como posso recuperá-lo?

Para recuperar o seu espaço de trabalho predefinido, é necessário remover o perfil/extensão do Defender e reinstalar o agente. Reinstalar o perfil/extensão do Defender cria um novo espaço de trabalho predefinido.

Onde está o espaço de trabalho padrão do Log Analytics?

Dependendo da sua região, o espaço de trabalho padrão do Log Analytics localizado será localizado em vários locais. Para verificar a sua região, onde é criado o espaço de trabalho padrão do Log Analytics?

A minha organização exige que marque os meus recursos, e a provisão automática falhou, o que correu mal?

O agente Defender utiliza o espaço de trabalho de análise de log para enviar dados dos seus clusters Kubernetes para Defender para Cloud. O recurso de provisão automática do Defender for Cloud através da política incorporada, adiciona o espaço de trabalho analítico log e o grupo de recursos como um parâmetro para o agente usar.

No entanto, se a sua organização tiver uma política que exija uma etiqueta específica nos seus recursos, pode fazer com que o fornecimento automático falhe durante o grupo de recursos ou a fase de criação do espaço de trabalho predefinido. Se falhar, pode:

  • Atribua um espaço de trabalho personalizado e adicione qualquer etiqueta que a sua organização necessite.

    ou

  • Se a sua empresa exigir que marque o seu recurso, deverá navegar para essa política e excluir os seguintes recursos:

    1. O grupo de recursos DefaultResourceGroup-<RegionShortCode>
    2. O espaço de trabalho DefaultWorkspace-<sub-id>-<RegionShortCode>

    RegionShortCode é uma cadeia de letras de 2-4.

Saiba Mais

Pode consultar os seguintes blogs:

Passos seguintes

Utilize o Defender para obter vulnerabilidades nas suas imagens ACR.