Включение Microsoft Defender для контейнеров

Microsoft Defender для контейнеров — это собственное облачное решение для защиты контейнеров.

Defender для контейнеров защищает кластеры независимо от того, запущены ли они в:

• Служба Azure Kubernetes (AKS). Это управляемая служба Майкрософт для разработки и развертывания контейнерных приложений, а также управления ими.

• Службе Amazon Elastic Kubernetes (EKS) в подключенной учетной записи Amazon Web Services (AWS). Это управляемая служба Amazon для запуска Kubernetes на AWS без установки, обработки и обслуживания собственного уровня управления и узлов Kubernetes.

• Google Kubernetes Engine (GKE) в подключенном проекте Google Cloud Platform (GCP) — это управляемая среда Google для развертывания, администрирования и масштабирования приложений с помощью инфраструктуры GCP.

• Другие распределения Kubernetes (с использованием Kubernetes с поддержкой Azure Arc) — это сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF), которые размещены в локальной среде или в IaaS. Дополнительные сведения см. в разделе Локальное или IaaS (ARC) статьи Поддерживаемые функции в разных средах.

Дополнительные сведения об этом плане см. в статье Обзор Microsoft Defender для контейнеров.

Вы можете узнать больше, посмотрев эти видео из серии "Defender для облака на практике":

• Microsoft Defender для контейнеров в многооблачной среде
• Защита контейнеров в GCP с помощью Defender для контейнеров

Примечание

Поддержка Defender для контейнеров для кластеров Kubernetes с поддержкой Arc, AWS EKS и GCP GKE. Это ознакомительная версия функции.

Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.

Требования к сети

Проверьте, настроены ли следующие конечные точки для исходящего доступа, чтобы профиль Defender мог подключаться к Microsoft Defender для облака для отправки данных и событий безопасности:

См. необходимые правила полного доменного имени или приложения для Microsoft Defender для контейнеров.

По умолчанию кластеры AKS имеют неограниченный исходящий доступ к Интернету.

Требования к сети

Проверьте настроены ли параметры конечных точек для исходящего доступа, чтобы расширение Defender могло подключаться к Microsoft Defender для облака для отправки данных и событий безопасности:

Чтобы выполнить развертывания в общедоступном облаке Azure:

Домен	Порт
*.ods.opinsights.azure.com	443
*.oms.opinsights.azure.com	443
login.microsoftonline.com	443

Кроме того, вам потребуется проверить требования к сети для Kubernetes с поддержкой Azure Arc.

Включение плана

Включение плана:

1. В меню Defender для облака откройте страницу "Параметры среды" и выберите соответствующую подписку.

2. На странице "Планы Defender"включите Defender для контейнеров

   Совет

   Если в подписке уже есть Defender для Kubernetes и (или) включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.

   

3. По умолчанию при включении плана с помощью портала Azure служба Microsoft Defender для контейнеров настраивается для автоматической подготовки (автоматической установки) необходимых компонентов, чтобы обеспечить механизмы защиты, предоставляемые планом, включая назначение рабочей области по умолчанию.

   Если вы хотите отключить автоматическую подготовку во время подключения, выберите Изменить конфигурацию для плана Контейнеры. Откроется окно "Дополнительные параметры", где можно отключить автоматическую подготовку для каждого компонента.

   Кроме того, вы можете изменить эту конфигурацию на странице Планы Defender или на странице Автоматическая подготовка в строке Компоненты Microsoft Defender для контейнеров:

   

   Примечание

   Если вы решили отключить план после его включения на портале, как показано выше, вам потребуется вручную удалить компоненты Defender для контейнеров, развернутые в ваших кластерах.

   Вы можете назначить рабочую область с помощью Политики Azure.

4. Если отключить автоматическую подготовку любого компонента, можно легко развернуть компонент в одном или нескольких кластерах, используя соответствующую рекомендацию:

   • Надстройка для Kubernetes — В кластерах Службы Azure Kubernetes должна быть установлена надстройка "Политика Azure" для Kubernetes
   • Профиль Службы Azure Kubernetes — В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
   • Расширение Kubernetes с поддержкой Azure Arc — В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender

   Примечание

   Microsoft Defender для контейнеров настроен для автоматической защиты всех облаков. При установке всех необходимых компонентов и включении всех возможностей автоматической подготовки.

   Если вы решили отключить все доступные параметры конфигурации автоматической подготовки, агенты или компоненты не будут развертываться в ваших кластерах. Защита будет ограничена только функциями без агентов. Сведения о функциях, которые не являются агентами в разделе Доступность для Defender для контейнеров.

Развертывание профиля Defender

Вы можете включить Defender для контейнеров и развернуть все соответствующие компоненты из портала Azure, REST API или с помощью шаблона Resource Manager. Для получения подробных инструкций выберите соответствующую вкладку.

После развертывания профиля Defender автоматически назначается рабочая область по умолчанию. Вы можете назначить настраиваемую рабочую область вместо рабочей области по умолчанию с помощью Политики Azure.

Примечание

Профиль Defender, развернутый в каждом узле, обеспечивает защиту среды выполнения и выполняет сбор сигналов из узлов с помощью технологии eBPF.

Портал Azure

Использование кнопки "Исправить" в рекомендации Defender для облака

Упрощенный, слаженный процесс позволяет использовать страницы портала Azure, чтобы включить план Defender для облака и настроить автоматическую подготовку всех необходимых компонентов для защиты кластеров Kubernetes в масштабе.

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость кластеров с развернутым профилем Defender
• Кнопка Исправить для развертывания на этих кластерах без расширения

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.

2. Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Службы Azure Kubernetes должен быть включен профиль Defender.

   Совет

   Обратите внимание на значок Исправление в столбце действий

3. Выберите кластеры, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с профилем и без него.

4. В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с подтверждением исправления.

5. Выберите Исправить [x] ресурсы.

Use the Application Insights REST API to build custom solutions

Развертывание профиля Defender с помощью REST API

Чтобы установить 'SecurityProfile' в существующем кластере с REST API, выполните следующую команду PUT:

PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

URI запроса: https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Параметры запроса:

Имя	Описание	Обязательный
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Номер версии API должен быть >= 2022-06-01	Да

Тело запроса:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

Параметры текста запроса:

Имя	Описание	Обязательный
location	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да
properties.securityProfile.defender.logAnalyticsWorkspaceResourceId	Идентификатор ресурса Azure рабочей области Log Analytics	Да

Azure CLI

Развертывание расширения Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Важно!

   Убедитесь, что вы используете тот же идентификатор подписки для <your-subscription-id>, что и идентификатор, связанный с вашим кластером AKS.

2. Включите флаг функции в CLI:

   az feature register --namespace Microsoft.ContainerService --name AKS-AzureDefender
   

3. Включите профиль Defender в контейнерах:

   • Выполните следующую команду, чтобы создать новый кластер с включенным профилем Defender:

     az aks create --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   • Выполните следующую команду, чтобы включить профиль Defender в существующем кластере:

     az aks update --enable-defender --resource-group <your-resource-group> --name <your-cluster-name>
     

   Ниже приведено описание всех поддерживаемых параметров конфигурации для типа расширения Defender:

   Свойство

   Описание

   logAnalyticsWorkspaceResourceID

   Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если этот параметр не указан, будет использоваться рабочая область по умолчанию для региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис. /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Узнайте о рабочих областях Log Analytics

   Эти параметры можно включить в JSON-файл и указать JSON-файл в az aks createaz aks update команде с помощью этого параметра:--defender-config <path-to-JSON-file> Формат JSON-файла должен быть:

   {"logAnalyticsWorkspaceResourceID": "<workspace-id>"}
   

   Дополнительные сведения о командах ИНТЕРФЕЙСА командной строки AKS см. в az aks.

4. Чтобы убедиться, что профиль успешно добавлен, выполните следующую команду на компьютере с файлом, указывающим kubeconfig на кластер:

   kubectl get pods -n kube-system
   

   При добавлении профиля вы увидите модуль pod, вызываемый azuredefender-XXXXX в Running состоянии. Добавление модулей может занять несколько минут.

Resource Manager

Использование Azure Resource Manager для развертывания профиля Defender

Чтобы использовать Azure Resource Manager для развертывания профиля Defender, вам потребуется наличие рабочей области Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

Чтобы установить 'SecurityProfile' в существующем кластере с использованием Resource Manager:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": “logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

Включение плана

Включение плана:

1. В меню Defender для облака откройте страницу "Параметры среды" и выберите соответствующую подписку.

2. На странице "Планы Defender"включите Defender для контейнеров.

   Совет

   Если в подписке уже есть Defender для Kubernetes или включен Defender для реестров контейнеров, отображается уведомление об обновлении. В противном случае единственным параметром будет Defender для контейнеров.

   

3. По умолчанию при включении плана с помощью портала Azure служба Microsoft Defender для контейнеров настраивается для автоматической подготовки (автоматической установки) необходимых компонентов, чтобы обеспечить механизмы защиты, предоставляемые планом, включая назначение рабочей области по умолчанию.

   Если вы хотите отключить автоматическую подготовку во время подключения, выберите Изменить конфигурацию для плана Контейнеры. Откроется окно "Дополнительные параметры", где можно отключить автоматическую подготовку для каждого компонента.

   Кроме того, вы можете изменить эту конфигурацию на странице Планы Defender или на странице Автоматическая подготовка в строке Компоненты Microsoft Defender для контейнеров:

   

   Примечание

   Если вы решили отключить план после его включения на портале, как показано выше, вам потребуется вручную удалить компоненты Defender для контейнеров, развернутые в ваших кластерах.

   Вы можете назначить рабочую область с помощью Политики Azure.

4. Если отключить автоматическую подготовку любого компонента, можно легко развернуть компонент в одном или нескольких кластерах, используя соответствующую рекомендацию:

   • Надстройка для Kubernetes — В кластерах Службы Azure Kubernetes должна быть установлена надстройка "Политика Azure" для Kubernetes
   • Профиль Службы Azure Kubernetes — В кластерах Службы Azure Kubernetes должен быть включен профиль Defender
   • Расширение Kubernetes с поддержкой Azure Arc — В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender

Предварительные требования

Перед развертыванием расширения убедитесь, что вы:

• Подключили кластер Kubernetes к Azure Arc
• Вы выполнили предварительные требования, перечисленные в обобщенной документации по расширениям кластеров.

Развернули расширение Defender

Расширение Defender можно развернуть с помощью ряда методов. Для получения подробных инструкций выберите соответствующую вкладку.

Портал Azure

Использование кнопки "Исправить" в рекомендации Defender для облака

Специальная рекомендация для Defender для облака предоставляет следующие сведения:

• Видимость кластеров с развернутым расширением Azure Defender для Kubernetes
• Кнопка Исправить для развертывания на этих кластерах без расширения

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите расширенную безопасность.

2. Используйте фильтр, чтобы найти рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.

   

   Совет

   Обратите внимание на значок Исправление в столбце действий

3. Выберите расширение, чтобы просмотреть сведения о работоспособных и неработоспособных ресурсах — кластерах с расширением и без него.

4. В списке неработоспособных ресурсов выберите кластер и нажмите Исправить, чтобы открыть область с параметрами исправления.

5. Выберите соответствующую рабочую область Log Analytics и выберите Исправить ресурс Х.

   

Azure CLI

Развертывание расширения Defender с помощью Azure CLI

1. Войдите в Azure.

   az login
   az account set --subscription <your-subscription-id>
   

   Важно!

   Убедитесь, что для <your-subscription-id> используется тот же идентификатор подписки, что и при подключении кластера к службе Azure Arc.

2. Выполните следующую команду, чтобы развернуть расширение на кластере Kubernetes с поддержкой Azure Arc:

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes
   

   Ниже приведено описание всех поддерживаемых параметров конфигурации для типа расширения Defender:

   Свойство	Описание
   logAnalyticsWorkspaceResourceID	Необязательно. Полный идентификатор ресурса собственной рабочей области Log Analytics. Если этот параметр не указан, будет использоваться рабочая область по умолчанию для региона. Чтобы получить полный идентификатор ресурса, выполните следующую команду, чтобы отобразить список рабочих областей в ваших подписках (по умолчанию в формате JSON): az resource list --resource-type Microsoft.OperationalInsights/workspaces -o json Идентификатор ресурса рабочей области Log Analytics имеет следующий синтаксис. /subscriptions/{your-subscription-id}/resourceGroups/{your-resource-group}/providers/Microsoft.OperationalInsights/workspaces/{your-workspace-name}. Узнайте о рабочих областях Log Analytics
   auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Если этот параметр не указан, будет использоваться путь по умолчанию /var/log/kube-apiserver/audit.log. Для ядра AKS стандартный путь /var/log/kubeaudit/audit.log

   Приведенная ниже команда показывает пример использования всех необязательных полей.

   az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --extension-type microsoft.azuredefender.kubernetes --configuration-settings logAnalyticsWorkspaceResourceID=<log-analytics-workspace-resource-id> auditLogPath=<your-auditlog-path>
   

Resource Manager

Развертывание расширения Defender с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для развертывания расширения Defender, вам потребуется наличие рабочей области Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Можно использовать шаблон Resource Manager azure-defender-extension-arm-template.json из примеров установки Defender для облака.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

Use the Application Insights REST API to build custom solutions

Развертывание расширения Defender с помощью REST API

Чтобы использовать REST API для развертывания расширения Defender, вам потребуется наличие рабочей области Log Analytics в подписке. Узнайте о рабочих областях Log Analytics.

Совет

Самый простой способ использовать API для развертывания расширения Defender — это с помощью приведенной в примерах установкиDefender для облака JSON Коллекции Postman.

• Чтобы изменить JSON Коллекции Postman или вручную развернуть расширение посредством REST API, выполните следующую команду PUT.

  PUT https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
  

  Где:

  Имя	В	Обязательно	Тип	Описание
  Идентификатор подписки	Путь	True	Строка	Идентификатор вашей подписки ресурса Kubernetes с поддержкой Azure Arc
  Группа ресурсов	Путь	True	Строка	Имя группы ресурсов, содержащей ваш ресурс Kubernetes с поддержкой Azure Arc
  Имя кластера,	Путь	True	Строка	Имя вашего ресурса Kubernetes с поддержкой Azure Arc

  Для проверки подлинности заголовок должен иметь токен носителя (как и для других API-интерфейсах Azure). Чтобы получить токен носителя, выполните следующую команду.

  az account get-access-token --subscription <your-subscription-id> Используйте следующую структуру для текста сообщения.

  { 
  "properties": { 
      "extensionType": "microsoft.azuredefender.kubernetes",
  "con    figurationSettings": { 
          "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
      // ,    "auditLogPath":"PATH/TO/AUDITLOG"
      },
      "configurationProtectedSettings": {
          "logAnalytics.key":"YOUR-WORKSPACE-KEY"
      }
      }
  } 
  

  Ниже приведено описание свойств.

  Свойство	Описание
  logAnalytics.workspaceId	Идентификатор рабочего пространства ресурса Log Analytics
  logAnalytics.key	Ключ ресурса Log Analytics
  auditLogPath	Необязательно. Полный путь к файлам журнала аудита. Значение по умолчанию — /var/log/kube-apiserver/audit.log

Проверка развертывания

Чтобы убедиться, что в кластере установлено расширение Defender, выполните действия, приведенные на одной из вкладок ниже:

Портал Azure — Defender для облака

Использование рекомендаций Defender для облака для проверки состояния расширения

1. На странице рекомендаций Microsoft Defender для облака откройте элемент управления безопасностью Включите Microsoft Defender для облака.

2. Выберите рекомендацию с именем На кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Defender для облака.

   

3. Убедитесь, что кластер, в котором вы развернули расширение, помечен как работоспособный.

Портал Azure — Azure Arc

Использование страниц Azure Arc для проверки состояния расширения

1. На портале Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes, а затем конкретный кластер.

3. Откройте страницу расширений. В списке перечислены расширения кластера. Проверьте столбец Состояние установки, чтобы убедиться, что расширение Defender установлено правильно.

   

4. Для получения дополнительных сведений выберите расширение.

   

Azure CLI

Использование Azure CLI для проверки развертывания расширения

1. Выполните следующую команду в Azure CLI.

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

2. В ответе найдите "extensionType": "microsoft.azuredefender.kubernetes" и "installState": "Installed".

   Примечание

   В течение первых нескольких минут может отображаться "installState": "Pending".

3. Если состояние Установлено, выполните следующую команду на компьютере с файлом kubeconfig, который указывает на ваш кластер, чтобы проверить, что модуль "azuredefender-XXXXX" находится в состоянии "Выполняется".

   kubectl get pods -n azuredefender
   

Use the Application Insights REST API to build custom solutions

Использование REST API для проверки развертывания расширения

Чтобы подтвердить успешность развертывания или проверить состояние вашего расширения в любое время, выполните следующие действия.

1. Выполните следующую команду GET.

   GET https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview
   

2. В ответе найдите в "extensionType": "microsoft.azuredefender.kubernetes" фразу "installState": "Installed".

   Совет

   В течение первых нескольких минут может отображаться "installState": "Pending".

3. Если состояние Установлено, выполните следующую команду на компьютере с файлом kubeconfig, который указывает на ваш кластер, чтобы проверить, что модуль "azuredefender-XXXXX" находится в состоянии "Выполняется".

   kubectl get pods -n azuredefender
   

Защита кластеров Amazon Elastic Kubernetes Service

Важно!

Подключите свои учетные записи AWS к Microsoft Defender для облака, если вы этого еще не сделали.

Чтобы защитить кластеры EKS, включите план контейнеров в соответствующем соединителе учетной записи:

1. В меню Defender for Cloud выберите Параметры среды.

2. Выберите соединитель AWS.

   

3. Установите переключатель для плана контейнеров в положение Вкл.

   

4. (Необязательно) Чтобы изменить период хранения для журналов аудита, выберите элемент Настроить, введите нужный интервал времени и нажмите кнопку Сохранить.

   

   Примечание

   Если отключить эту конфигурацию, функция Threat detection (control plane) будет отключена. См. дополнительные сведения о доступности функций.

5. Перейдите к оставшимся страницам мастера соединителя.

6. Kubernetes с поддержкой Azure Arc, расширения Defender и "Политика Azure" должны быть установлены и работать в кластерах EKS. Далее приведены две специальные рекомендации Defender для облака по установкн этих расширений (а при необходимости — Azure Arc):

   • EKS clusters should have Microsoft Defender's extension for Azure Arc installed
   • EKS clusters should have the Azure Policy extension installed

   Для каждой из рекомендаций выполните следующие действия, чтобы установить необходимые расширения.

   Чтобы установить необходимые расширения:

   1. На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.

   2. Выберите неработоспособный кластер.

      Важно!

      Необходимо выбирать кластеры по одному за раз.

      Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

   3. Выберите элемент Исправить.

   4. Defender для облака создает скрипт на выбранном вами языке: выберите Bash (для Linux) или PowerShell (для Windows).

   5. Выберите элемент Download remediation logic (Скачать логику исправления).

   6. Запустите созданный скрипт в кластере.

   7. Повторите шаги "a" до "f" для второй рекомендации.

   

Просмотр рекомендаций и оповещений для кластеров EKS

Совет

Вы можете имитировать оповещения для контейнеров, выполнив инструкции в этой записи блога.

Чтобы просмотреть оповещения и рекомендации для кластеров EKS, используйте фильтры на страницах оповещений, рекомендаций и инвентаризации для фильтрации по типу ресурса AWS EKS cluster (Кластер AWS EKS).

Защита кластеров Google Kubernetes Engine (GKE)

Важно!

Подключите свои проекты GCP к Microsoft Defender для облака, если вы этого еще не сделали.

Чтобы защитить кластеры GKE, необходимо включить план контейнеров в соответствующем проекте GCP.

Чтобы защитить кластеры Google Kubernetes Engine (GKE):

1. Войдите на портал Azure.

2. Перейдите к разделу Microsoft Defender для облака>Параметры среды.

3. Выберите соответствующий соединитель GCP

   

4. Нажмите кнопку Next: Select Plans > (Далее: выбор планов).

5. Убедитесь, что переключатель плана контейнеров находится в положении On (Вкл.).

   

6. (Необязательно) Настройка плана для контейнеров.

7. Нажмите кнопку Copy (Копировать).

   

8. Нажмите кнопку GCP Cloud Shell >.

9. Вставьте сценарий в терминал Cloud Shell и выполните его.

Соединитель будет обновлен после выполнения сценария. Выполнение этого процесса может занять до 6 – 8 часов.

Развертывание решения в определенных кластерах

Если вы отключили любой параметр из конфигурации автоматической подготовки по умолчанию, переведя переключатель в положение "Off" (Выкл.), в процессе регистрации соединителя GCP или позже. Чтобы получить полное значение безопасности из Defender для контейнеров, потребуется вручную установить Kubernetes с поддержкой Azure Arc, расширение Defender и расширения "Политика Azure" для каждого из ваших кластеров GKE.

Далее приведены 2 специальные рекомендации Defender для облака для установки этих расширений (а при необходимости — Arc):

• GKE clusters should have Microsoft Defender's extension for Azure Arc installed
• GKE clusters should have the Azure Policy extension installed

Чтобы развернуть решение в определенных кластерах:

1. Войдите на портал Azure.

2. Перейдите в Microsoft Defender для облака>Рекомендации.

3. На странице Рекомендации в Defender для облака найдите одну из рекомендаций по имени.

   

4. Выберите неработоспособный кластер GKE.

   Важно!

   Необходимо выбирать кластеры по одному за раз.

   Не выбирайте кластеры по именам гиперссылок: делайте выбор по любому другому элементу в соответствующей строке.

5. Выберите имя неработоспособного ресурса.

6. Выберите элемент Исправить.

   

7. Defender для облака создаст сценарий на языке по вашему выбору:

   • Для Linux выберите Bash.
   • Для Windows выберите PowerShell.

8. Выберите элемент Download remediation logic (Скачать логику исправления).

9. Запустите созданный скрипт в кластере.

10. Повторите шаги "3" до "8" для второй рекомендации.

Просмотр оповещений кластера GKE

1. Войдите на портал Azure.

2. Перейдите Microsoft Defender для облака>Оповещения системы безопасности.

3. Нажмите кнопку .

4. В раскрывающемся меню "Фильтр" выберите Тип ресурса.

5. В раскрывающемся меню "Значение" выберите Кластер GCP GKE.

6. Щелкните ОК.

Моделирование оповещений системы безопасности из Microsoft Defender для контейнеров

Полный список поддерживаемых оповещений доступен в справочной таблице всех оповещений системы безопасности Defender для облака.

1. Чтобы смоделировать оповещение системы безопасности, выполните следующую команду в кластере:

   kubectl get pods --namespace=asc-alerttest-662jfi039n
   

   Ожидаемый ответ: "Не найден ресурс".

   В течение 30 минут Defender для облака определит это действие и запустит оповещение системы безопасности.

2. На портале Azure откройте страницу оповещений системы безопасности Microsoft Defender для облака и найдите оповещение о соответствующем ресурсе:

   

Удаление расширения Defender

Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.

Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.

Расширение можно удалить с помощью портала Azure, Azure CLI или REST API, как описано на приведенных ниже вкладках.

Портал Azure — Arc

Удаление расширения с помощью портала Azure

1. На портале Azure откройте Azure Arc.

2. В списке инфраструктуры выберите кластеры Kubernetes, а затем конкретный кластер.

3. Откройте страницу расширений. В списке перечислены расширения кластера.

4. Выберите кластер и нажмите кнопку Удалить.

   

Azure CLI

Удаление расширения Defender с помощью Azure CLI

1. Удалите расширение Microsoft Defender для Kubernetes Arc с помощью следующих команд:

   az login
   az account set --subscription <subscription-id>
   az k8s-extension delete --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes --yes
   

   Удаление расширения может занять несколько минут. Рекомендуется подождать, прежде чем пытаться проверить успешность их выполнения.

2. Чтобы убедиться, что расширение успешно удалено, выполните следующие команды.

   az k8s-extension show --cluster-type connectedClusters --cluster-name <your-connected-cluster-name> --resource-group <your-rg> --name microsoft.azuredefender.kubernetes
   

   При удалении ресурса расширения из Azure Resource Manager не должно быть задержки. После этого убедитесь, что в кластере нет модулей Pod с именем "azuredefender-XXXXX", выполнив следующую команду с файлом kubeconfig, который указывает на ваш кластер.

   kubectl get pods -n azuredefender
   

   Удаление модулей может занять несколько минут.

Use the Application Insights REST API to build custom solutions

Удаление расширения Defender с помощью REST API

Чтобы удалить расширение с помощью REST API, выполните следующую команду DELETE.

DELETE https://management.azure.com/subscriptions/{{Subscription Id}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

Имя	В	Обязательно	Тип	Описание
Идентификатор подписки	Путь	True	Строка	Идентификатор вашей подписки кластера Kubernetes с поддержкой Azure Arc
Группа ресурсов	Путь	True	Строка	Ваша группа ресурсов кластера Kubernetes с поддержкой Azure Arc
Имя кластера,	Путь	True	Строка	Имя вашего кластера Kubernetes с поддержкой Azure Arc

Для проверки подлинности заголовок должен иметь токен носителя (как и для других API-интерфейсах Azure). Чтобы получить токен носителя, выполните следующую команду.

az account get-access-token --subscription <your-subscription-id>

На выполнение этого запроса может потребоваться несколько минут.

Рабочая область Log Analytics для AKS по умолчанию

Рабочая область Log Analytics используется профилем Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в самой рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.

Профиль Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке профиля Defender. Рабочая область по умолчанию создается на основе региона.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики64def556-fbad-4622-930e-72d1d5589bf5.

   

5. Выберите Настройка кластеров Службы Azure Kubernetes для активации профиля Defender.

6. Выберите Назначение.

   

7. Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.

Создание нового назначения с настраиваемой рабочей областью

Если политика не назначена, отображается Assignments (0).

Чтобы назначить пользовательскую рабочую область:

1. Выберите Назначить.

2. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

3. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление нового назначения с настраиваемой рабочей областью

Если политика уже назначена рабочей области, отображается Assignments (1).

Примечание

Если у вас более одной подписки, число может быть больше.

Чтобы назначить пользовательскую рабочую область:

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

4. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

5. Выберите Review + create (Просмотреть и создать).

6. Нажмите кнопку создания.

Рабочая область Log Analytics для Arc по умолчанию

Рабочая область Log Analytics используется расширением Defender в качестве конвейера данных для отправки данных из кластера в Defender для облака без сохранения данных в самой рабочей области Log Analytics. В результате в этом случае плата за пользователей не взимается.

Расширение Defender использует рабочую область Log Analytics по умолчанию. Если у вас еще нет рабочей области Log Analytics по умолчанию, Defender для облака создаст новую группу ресурсов и рабочую область по умолчанию при установке расширения Defender. Рабочая область по умолчанию создается на основе региона.

Соглашение об именах для рабочей области и группы ресурсов Log Analytics по умолчанию:

• Рабочая область: DefaultWorkspace--[subscription-ID]-[geo]
• Группа ресурсов: DefaultResourceGroup-[geo]

Назначение пользовательской рабочей области

При включении параметра автоматической подготовки рабочая область по умолчанию будет назначена автоматически. Вы можете назначить рабочую область с помощью Политики Azure.

Чтобы проверить, назначена ли рабочая область, выполните следующие действия.

1. Войдите на портал Azure.

2. Найдите в поиске и выберите пункт Политика.

   

3. Выберите элемент Определения.

4. Поиск идентификатора политики708b60a6-d253-4fe0-9114-4be4c00f012c.

   

5. Выберите Настройка кластеров Kubernetes с поддержкой Azure Arc для установки расширения Microsoft Defender для облака.

6. Выберите Назначения.

   

7. Если политика еще не назначена соответствующей области, выполните инструкции по созданию нового назначения с настраиваемой рабочей областью. Или же выполните инструкции по обновлению назначения с настраиваемой рабочей областью, если политика уже назначена и вы хотите изменить ее так, чтобы она использовала настраиваемую рабочую область.

Создание нового назначения с настраиваемой рабочей областью

Если политика не назначена, отображается Assignments (0).

Чтобы назначить пользовательскую рабочую область:

1. Выберите Назначить.

2. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

3. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

4. Выберите Review + create (Просмотреть и создать).

5. Нажмите кнопку создания.

Обновление нового назначения с настраиваемой рабочей областью

Если политика уже назначена рабочей области, отображается Assignments (1).

Примечание

Если у вас более одной подписки, число может быть больше. Если число больше или равно 1, назначение все еще может не находиться в надлежащей области. В этом случае потребуется выполнить инструкции по созданию нового назначения с настраиваемой рабочей областью.

Чтобы назначить пользовательскую рабочую область:

1. Выберите соответствующее назначение.

   

2. Выберите Изменить назначение.

3. На вкладке Параметры снимите флажок с Показывать только те параметры, которые требуют ввода или проверки.

4. Выберите идентификатор LogAnalyticsWorkspaceResource в раскрывающемся меню.

   

5. Выберите Review + create (Просмотреть и создать).

6. Нажмите кнопку создания.

Удаление профиля Defender

Для удаления этого или любого расширения Defender для облака недостаточно отключить автоматическую подготовку:

• Включение автоматической подготовки, потенциально влияет на существующие и будущие компьютеры.
• Отключение автоматической подготовки для расширения влияет только на будущие компьютеры — ничто не удаляется путем отключения автоматической подготовки.

Тем не менее, чтобы автоматическая подготовка компонентов Defender для контейнеров для ваших ресурсов в дальнейшем не выполнялась, отключите автоматическую подготовку расширений, как описано в статье Настройка автоматической подготовки для агентов и расширений в Microsoft Defender для облака.

Вы можете удалить профиль с помощью REST API или шаблона Resource Manager, как описано на вкладках ниже.

Use the Application Insights REST API to build custom solutions

Удаление профиля Defender из AKS с помощью REST API

Чтобы удалить профиль с помощью REST API, выполните следующую команду PUT:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

Имя	Описание	Обязательный
SubscriptionId	ИД подписки кластера	Да
ResourceGroup	Группа ресурсов кластера	Да
ClusterName	Имя кластера	Да
ApiVersion	Номер версии API должен быть >= 2022-06-01	Да

Текст запроса:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Параметры текста запроса:

Имя	Описание	Обязательный
location	Расположение кластера	Да
properties.securityProfile.defender.securityMonitoring.enabled	Определяет, следует ли включить или отключить Microsoft Defender для контейнеров в кластере	Да

Azure CLI

Удаление профиля Defender с помощью Azure CLI

1. Удалите расширение Microsoft Defender с помощью следующих команд:

   az login
   az account set --subscription <subscription-id>
   az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>
   

   Удаление профиля может занять несколько минут.

2. Чтобы убедиться, что профиль успешно удален, выполните следующие команды:

   kubectl get pods -n azuredefender
   

   При удалении профиля вы увидите, что в команде get pods не возвращаются модули pod. Удаление модулей может занять несколько минут.

Resource Manager

Удаление профиля Defender из AKS с помощью Azure Resource Manager

Чтобы использовать Azure Resource Manager для удаления профиля Defender, вам потребуется наличие рабочей области Log Analytics в вашей подписке. Узнайте о рабочих областях Log Analytics.

Совет

Если вы не знакомы с шаблонами Resource Manager, начните здесь: что такое шаблоны Azure Resource Manager?

Необходимый шаблон и параметры для удаления профиля Defender из AKS:

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

Вопросы и ответы

• Как использовать имеющуюся рабочую область Log Analytics?
• Можно ли удалить рабочие области по умолчанию, созданные Microsoft Defender for Cloud?
• Как вернуть рабочую область по умолчанию?
• Где создается рабочая область Log Analytics по умолчанию?
• В моей организации требуется добавлять к ресурсам теги, и выполнить автоматическую подготовку не удалось, что пошло не так?

Как использовать имеющуюся рабочую область Log Analytics?

Вы можете использовать существующую рабочую область Log Analytics, выполнив действия, описанные в разделе Назначение настраиваемой рабочей области этой статьи.

Можно ли удалить рабочие области по умолчанию, созданные Microsoft Defender for Cloud?

Мы не рекомендуем удалять рабочие области по умолчанию. Defender для контейнеров использует рабочие области по умолчанию для сбора данных безопасности с ваших кластеров. Defender для контейнеров не сможет собирать данные, а некоторые рекомендации по безопасности и оповещения будут недоступны при удалении рабочей области по умолчанию.

Как вернуть рабочую область по умолчанию?

Чтобы восстановить рабочую область по умолчанию, необходимо удалить профиль/ расширение Defender и переустановить агента. При переустановке профиля/расширения Defender создается новая рабочая область по умолчанию.

Где создается рабочая область Log Analytics по умолчанию?

В зависимости от вашего региона рабочая область Log Analytics по умолчанию будет расположена в разных местах. Чтобы проверить регион, просмотрите, где создана рабочая область Log Analytics по умолчанию

В моей организации требуется добавлять к ресурсам теги, и выполнить автоматическую подготовку не удалось, что пошло не так?

Агент Defender использует рабочую область Log Analytics для отправки данных из кластеров Kubernetes в Defender для облака. Функция автоматической подготовки Defender для облака с помощью встроенной политики добавляет рабочую область Log Analytics и группу ресурсов в качестве параметра, который будет использовать агент.

Однако если политика вашей организации требует добавления к ресурсам определенного тега, это может привести к сбою автоматической подготовки на этапе создания группы ресурсов или рабочей области по умолчанию. В случае сбоя можно выполнить одно из следующих действий.

• Назначить настраиваемую рабочую область и добавить любой тег, требуемый вашей организацией.

  или

• Если в вашей компании требуется добавлять к ресурсу тег, перейдите к этой политике и исключите следующие ресурсы.

  1. Группа ресурсов DefaultResourceGroup-<RegionShortCode>.
  2. Рабочая область DefaultWorkspace-<sub-id>-<RegionShortCode>.

  RegionShortCode — это строка из 2–4 букв.

Подробнее

См. следующие блоги:

• Защитите рабочие нагрузки Google Cloud с помощью Microsoft Defender для облака
• Представляем Microsoft Defender для контейнеров
• Новое название системы безопасности для защиты многооблачной среды: Microsoft Defender для облака

Дальнейшие шаги

Использование Defender для контейнеров с целью проверки образов ACR на наличие уязвимостей.