Share via

設定適用於容器的 Microsoft Defender 元件

  • 發行項

適用於容器的 Microsoft Defender 是用來保護容器的雲端原生解決方案。

適用於容器的 Defender 可保護您的叢集,無論叢集是在下列哪些服務上執行:

  • Azure Kubernetes Service (AKS) - Microsoft 受管理的服務,可用來開發、部署和管理容器化應用程式。

  • 連結的 Amazon Web Services (AWS) 帳戶中的 Amazon Elastic Kubernetes Service (EKS) - Amazon 在 AWS 上執行 Kubernetes 的受管理的服務,不須安裝、操作和維護您自己的 Kubernetes 控制平面或節點。

  • 已連線 Google Cloud Platform (GCP) 專案的 Google Kubernetes Engine (GKE):Google 使用 GCP 基礎結構部署、管理和調整應用程式的受控環境。

  • 其他 Kubernetes 散發套件 (使用已啟用 Azure Arc 的 Kubernetes) - 雲端原生運算基礎 (CNCF) 所認證的 Kubernetes 叢集所裝載於內部部署或 IaaS 上。 如需詳細資訊,請參閱環境所支援功能內部部署/Iaas (Arc)章節。

適用於容器的 Microsoft Defender 概觀中了解此計畫。

您可以先在下列文章中了解如何連線及保護容器:

您也可以觀看現場影片系列中這些適用於雲端的 Defender 影片來深入了解:

注意

適用於容器的Defender支援已啟用Arc的 Kubernetes 叢集是預覽功能。 預覽功能可透過自助服務,以加入方式使用。

預覽版會以「現狀」和「可供使用時」提供,不受服務等級協定和有限瑕疵擔保所保護。

若要深入了解支援的作業系統、功能可用性、輸出 Proxy 等等,請參閱適用於容器的 Defender 功能可用性

網路需求

驗證下列端點已設定為輸出存取,讓 Defender 感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

請參閱適用於容器的 Microsoft Defender 所需的 FQDN/應用程式規則

根據預設,AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

網路需求

警告

本文參考 CentOS,即接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導

驗證下列端點已設定為輸出存取,讓 Defender 感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:

針對公用雲端部署:

Azure 網域 Azure Government 網域 由 21Vianet 營運的 Microsoft Azure 網域 連接埠
*.ods.opinsights.azure.com *.ods.opinsights.azure.us *.ods.opinsights.azure.cn 443
*.oms.opinsights.azure.com *.oms.opinsights.azure.us *.oms.opinsights.azure.cn 443
login.microsoftonline.com login.microsoftonline.us login.chinacloudapi.cn 443

您也必須驗證已啟用 Azure Arc 的 Kubernetes 網路需求

啟用方案

若要啟用方案

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 分頁,然後選取相關訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender] ,然後選取 [設定]

    Defender 方案頁面的螢幕快照。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 和/或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項將是 [適用於容器的 Defender]

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案,其中顯示「已淘汰」和升級資訊。

  3. 開啟相關元件以加以啟用。

    開啟元件的螢幕快照。

    注意

    • 在 2023 年 8 月前加入,且在啟用方案時未於 Defender CSPM 中啟用「Kubernetes 的無代理程式探索」的適用於容器的 Defender 客戶,必須在適用於容器的 Defender 方案內手動啟用「Kubernetes 的無代理程式探索」延伸模組。
    • 當您關閉適用於容器的 Defender 時,元件會設定為 [關閉],而且不會部署到任何其他容器,但不會從已安裝的容器中移除這些容器。

每個功能的啟用方法

依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動啟用所有功能並安裝所有必要元件,以提供方案所提供的保護,包括預設工作區的指派。

如果您不想啟用方案的所有功能,則可以透過選取 [容器] 方案的 [編輯組態] 來手動選取要啟用的特定功能。 然後,在 [設定與監視] 頁面中,選取您想要啟用的功能。 此外,您還可以在設定方案的初始組態後,從 Defender 方案頁面修改此組態。

如需每個功能的啟用方法詳細資訊,請參閱支援矩陣

角色和權限

深入了解用來佈建適用於容器的 Defender 延伸模組的角色

指派 Defender 感測器的自定義工作區

您可以透過 Azure 原則指派自訂工作區

手動部署Defender感測器或 Azure 原則代理程式,而不需使用建議自動布建

您也可以使用適當的建議,在一或多個 Kubernetes 叢集上部署需要感測器安裝的功能:

Sensor 建議
適用於 Kubernetes 的 Defender 感測器 Azure Kubernetes Service 叢集應已啟用 Defender 設定檔
已啟用 Arc 的 Defender 感測器 Kubernetes 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 延伸模組
適用於 Kubernetes 的 Azure 原則代理程式 Azure Kubernetes Service 叢集應安裝適用於 Kubernetes 的 Azure 原則附加元件
適用於已啟用 Arc 的 Kubernetes 的 Azure 原則代理程式 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組

執行下列步驟,以在特定叢集上執行Defender感測器的部署:

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強式安全性] 安全性控制,或直接搜尋上述其中一項建議 (或使用上述連結直接開啟建議)

  2. 透過狀況不良索引標籤視沒有感測器的所有叢集。

  3. 選取要部署所需感測器的叢集,然後選取 [ 修正]。

  4. 選取 [修正 X 資源]

部署 Defender 感測器 - 所有選項

您可以啟用適用於容器的 Defender 方案,並從 Azure 入口網站、REST API 或使用 Resource Manager 範本部署所有相關元件。 如需詳細步驟,請選取相關的索引標籤。

部署Defender感測器之後,系統會自動指派預設工作區。 您可以透過 Azure 原則,指派自訂工作區來取代預設工作區。

注意

Defender 感測器會部署到每個節點,以提供運行時間保護,並使用 eBPF 技術從這些節點收集訊號。

使用適用於雲端的 Defender 建議修正按鈕

簡化、流暢的流程可讓您使用 Azure 入口網站頁面啟用適用於於端的 Defender 方案,並設定自動佈建所有必要元件以大規模防禦 Kubernetes 叢集。

專用適用於雲端的 Defender 建議提供下列項目:

  • 哪些叢集已部署Defender感測器的可見度
  • 修正 按鈕以將它部署到沒有感測器的叢集

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強型安全性] 安全性控制。

  2. 使用篩選來尋找名為 Azure Kubernetes Service 叢集的建議,應該已啟用 Defender 設定檔

    提示

    請注意動作資料行中的 [修正] 圖示

  3. 選取叢集以查看狀況良好且狀況不良資源的詳細數據 - 具有和沒有感測器的叢集。

  4. 從狀況不良的資源清單中,選取叢集然後選取 [補救] 以開啟具有補救確認的窗格。

  5. 選取 [修正 X 資源]

啟用方案

若要啟用方案

  1. 從適用於雲端的 Defender 功能表中,開啟 [設定] 分頁,然後選取相關訂用帳戶。

  2. 在 [Defender 方案] 頁面中,選取 [適用於容器的 Defender] ,然後選取 [設定] Defender 方案頁面的螢幕快照。

    提示

    如果訂用帳戶已啟用適用於 Kubernetes 的 Defender 或適用於容器登錄的 Defender,則會顯示更新通知。 否則,唯一的選項將是 [適用於容器的 Defender]

    適用於容器登錄的 Defender 和適用於 Kubernetes 的 Defender 方案,其中顯示「已淘汰」和升級資訊。

  3. 開啟相關元件以加以啟用。

    開啟元件的螢幕快照。

    注意

    當您關閉適用於容器的 Defender 時,元件會設定為 [關閉],而且不會部署到任何其他容器,但不會從已安裝的容器中移除這些容器。

依預設,透過 Azure 入口網站啟用方案時,適用於容器的 Microsoft Defender 會設定為自動安裝必要元件以提供方案所提供的保護,包括指派預設工作區。

如果您想要在上線程序期間停用自動安裝,請選取 [容器] 方案的 [編輯設定] 。 這會顯示 [進階] 選項,您可以在其中停用每個元件的自動安裝。

此外,您可以從 [Defender 方案] 分頁修改此設定。

注意

透過入口網站啟用方案 (如上所示) 之後,如果您選擇隨時「停用方案」,則您必須手動停用已部署在叢集上適用於容器的 Defender 元件。

您可以透過 Azure 原則指派自訂工作區

如果您停用任何元件的自動安裝,可以使用適當的建議,輕鬆地將元件部署至一或多個叢集:

深入了解用來佈建適用於容器的 Defender 延伸模組的角色

必要條件

部署感測器之前,請確定您:

部署Defender感測器

您可以使用各種方法來部署Defender感測器。 如需詳細步驟,請選取相關的索引標籤。

使用適用於雲端的 Defender 建議修正按鈕

專用適用於雲端的 Defender 建議提供下列項目:

  • 哪些叢集已部署Defender感測器的可見度
  • 修正 按鈕以將它部署到沒有感測器的叢集

  1. 從適用於雲端的 Microsoft Defender 建議頁面,開啟 [啟用增強型安全性] 安全性控制。

  2. 使用篩選來尋找名為已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Defender 延伸模組的建議。

    適用於雲端的 Microsoft Defender 針對已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感測器的建議。

    提示

    請注意動作資料行中的 [修正] 圖示

  3. 選取感測器以查看狀況良好且狀況不良資源的詳細數據 - 具有和沒有感測器的叢集。

  4. 從狀況不良的資源清單中,選取叢集然後選取 [補救] 以開啟具有補救選項的窗格。

  5. 選取相關的 Log Analytics 工作區,然後選取 [補救 x 資源]

    使用 適用於雲端的 Defender 的 [修正] 選項部署適用於 Azure Arc 的 Defender 感測器。

檢查部署

若要確認叢集已安裝Defender感測器,請遵循下列其中一個索引標籤中的步驟:

使用 適用於雲端的 Defender 建議來驗證感測器的狀態

  1. 從適用於雲端的 Microsoft Defender 的建議頁面,開啟 [啟用適用於雲端的 Microsoft Defender] 安全性控制。

  2. 選取名為已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組的建議。

    適用於雲端的 Microsoft Defender 針對已啟用 Azure Arc 的 Kubernetes 叢集部署 Defender 感測器的建議。

  3. 檢查您部署感測器所在的叢集是否列為 狀況良好

啟用方案

重要

若要保護您的 EKS 叢集,請在相關的帳戶連接器上啟用容器方案:

  1. 從適用於雲端的 Defender 功能表中,開啟 [環境設定]

  2. 選取 AWS 連接器。

    顯示 AWS 連接器之 適用於雲端的 Defender 環境設定頁面的螢幕快照。

  3. 確認 [容器] 方案的切換開關已設定為 [開啟]

    為 AWS 連接器啟用適用於容器的 Defender 螢幕快照。

  4. 若要變更方案的選擇性組態,請選取 [設定]

    適用於雲端的 Defender 環境設定頁面的螢幕快照,其中顯示容器方案的設定。

    • 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]。若要變更稽核記錄的保留期間,請輸入所需的時間範圍。

      注意

      如果您停用此設定,則將會停用 Threat detection (control plane) 功能。 深入了解功能可用性

    • Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]

    • 無代理程式容器弱點評量會針對儲存在 ECR 中的映像以及 EKS 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評估] 功能,請將設定切換為 [開啟]

  5. 繼續進行連接器精靈的剩餘頁面。

  6. 如果您要啟用 [Kubernetes 的無代理程式探索] 功能,則必須授與叢集上的控制平面權限。 您可以利用下列其中一種方式來執行此作業:

    • 請執行此 Python 指令碼來授與權限。 此指令碼會將適用於雲端的 Defender 角色 MDCContainersAgentlessDiscoveryK8sRole 新增至您想要上線之 EKS 叢集的 aws-auth ConfigMap

    • 向每個 Amazon EKS 叢集授與能與叢集互動的 MDCContainersAgentlessDiscoveryK8sRole 角色。 使用 eksctl 登入所有現有和新建的叢集,然後執行下列指令碼:

          eksctl create iamidentitymapping \ 
    --cluster my-cluster \ 
    --region region-code \ 
    --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
    --group system:masters\ 
    --no-duplicate-arns

      如需詳細資訊,請參閱為 IAM 主體啟用叢集存取權

  7. 已啟用 Azure Arc 的 Kubernetes、Defender 感測器和適用於 Kubernetes 的 Azure 原則 應該安裝在 EKS 叢集上並執行。 有適用於雲端的 Defender 專用建議,用於安裝延伸模組 (如有需要也可安裝 Azure Arc):

    • EKS clusters should have Microsoft Defender's extension for Azure Arc installed

    針對每個建議,請遵循下列步驟來安裝必要的延伸模組。

    若要安裝必要的延伸模組

    1. 從適用於雲端的 Defender [建議]頁面中,依名稱搜尋其中一項建議。

    2. 選取狀況不良的叢集。

      重要

      您必須一次選取一個叢集。

      請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。

    3. 選取 [修正]

    4. 適用於雲端的 Defender 會以您所選語言產生指令碼:(針對 Linux) 選取 Bash,或 (針對 Windows 則) 選取 PowerShell。

    5. 選取 [下載補救邏輯]

    6. 在叢集上執行產生的指令碼。

    7. 重複步驟 "a" 到 "f" 來取得第二個建議。

    如何使用 適用於雲端的 Defender 建議為啟用 Azure Arc 擴充功能的 EKS 叢集產生腳本的影片。

檢視 EKS 叢集的建議和警示

提示

您可以依照此部落格文章中的指示來模擬容器警示。

若要檢視 EKS 叢集的警示和建議,請使用警示、建議和清查頁面,依資源類型 AWS EKS 叢集進行篩選。

如何在 適用於雲端的 Microsoft Defender 的安全性警示頁面上使用篩選的螢幕快照,以檢視與 AWS EKS 叢集相關的警示。

部署Defender感測器

若要在 AWS 叢集上部署 Defender 感測器,請遵循下列步驟:

  1. 移至 適用於雲端的 Microsoft Defender -Environment settings ->Add environment ->Amazon Web Services。>

    如何在 適用於雲端的 Microsoft Defender 中新增 AWS 環境的螢幕快照。

  2. 填寫帳戶詳細數據。

    在 適用於雲端的 Microsoft Defender 中填入 AWS 環境的帳戶詳細數據的表單螢幕快照。

  3. 移至 [ 選取方案],開啟 [容器] 方案,並確定 [自動布建適用於 Azure Arc 的 Defender 感測器] 設定為 [開啟]。

    如何在 適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感測器螢幕快照。

  4. 移至 [ 設定存取 權],然後遵循該處的步驟。

    如何在 適用於雲端的 Microsoft Defender 中設定 AWS 環境的存取權螢幕快照。

  5. 成功部署雲端形成範本之後,請選取 [ 建立]。

注意

您可以將特定 AWS 叢集從自動布建中排除。 針對感測器部署,請使用 ms_defender_container_exclude_agentstrue在資源上套用標記。 針對無代理程式部署,請使用 ms_defender_container_exclude_agentlesstrue在資源上套用標記。

啟用方案

重要

如果您尚未連線 GCP 專案,請將 GCP 專案連線至適用於雲端的 Microsoft Defender

若要保護您的 GKE 叢集,您必須在相關的 GCP 專案上啟用容器方案。

注意

確認您沒有任何會防止 Arc 安裝的 Azure 原則。

保護 Google Kubernetes Engine (GKE) 叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[環境設定]

  3. 選取相關的 GCP 連接器

    顯示範例 GCP 連接器的螢幕快照。

  4. 選取 [下一步:選取方案 >] 按鈕。

  5. 確定 [容器] 方案已切換為 [開啟]

    顯示容器計劃的螢幕快照已切換為開啟。

  6. 若要變更方案的選擇性組態,請選取 [設定]

    適用於雲端的 Defender 環境設定頁面的螢幕快照,其中顯示容器方案的設定。

    • Kubernetes 稽核記錄至適用於雲端的 Defender:預設為啟用。 此組態僅適用於 GCP 專案層級。 其會透過 GCP 雲端記錄對適用於雲端的 Microsoft Defender 後端提供稽核記錄資料的無代理程式收集,以進行進一步的分析。 適用於容器的 Defender 需要控制平面稽核記錄,以提供執行階段威脅防護。 若要將 Kubernetes 稽核記錄傳送至 Microsoft Defender,請將設定切換為 [開啟]

      注意

      如果您停用此設定,則將會停用 Threat detection (control plane) 功能。 深入了解功能可用性

    • 自動布建適用於 Azure Arc 的 Defender 感測器,以及 Azure Arc 的自動布建 Azure 原則 延伸模組:預設為啟用。 您可以透過三種方式在 GKE 叢集上安裝已啟用 Azure Arc 的 Kubernetes 及其延伸模組:

    • Kubernetes 的無代理程式探索可讓您透過 API 來探索 Kubernetes 叢集。 若要啟用 [Kubernetes 的無代理程式探索] 功能,請將設定切換為 [開啟]

    • 無代理程式容器弱點評估會針對儲存在 Google Registries (GAR 和 GCR) 中的映像以及 GKE 叢集上的執行中映像提供弱點管理。 若要啟用 [無代理程式容器弱點評估] 功能,請將設定切換為 [開啟]

  7. 選取 [複製] 按鈕。

    顯示複製按鈕位置的螢幕快照。

  8. 選取 [GCP Cloud Shell >]按鈕。

  9. 將指令碼貼上至 Cloud Shell 終端機,然後執行此項目。

在指令碼執行後,連接器將會更新。 此流程最多可能需要 6-8 小時才能完成。

將解決方案部署至特定叢集

如果您已將任何預設的自動佈建組態設定為 [關閉],請在 GCP 連接器上執行緒序期間或之後停用。 您必須將已啟用 Azure Arc 的 Kubernetes、Defender 感測器和適用於 Kubernetes 的 Azure 原則 手動安裝到每個 GKE 叢集,以取得適用於容器的 Defender 的完整安全性值。

有 2 個專用的適用於雲端的 Defender 建議,您可將此用於安裝延伸模組 (如有需要也可安裝 Arc):

  • GKE clusters should have Microsoft Defender's extension for Azure Arc installed
  • GKE clusters should have the Azure Policy extension installed

注意

在安裝 Arc 延伸模組時,必須確認所提供的 GCP 專案與相關連接器中的專案相同。

要將解決方案部署至特定叢集

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[建議]

  3. 從適用於雲端的 Defender [建議]頁面中,依名稱搜尋其中一項建議。

    顯示如何搜尋建議的螢幕快照。

  4. 選取狀況不良的 GKE 叢集。

    重要

    您必須一次選取一個叢集。

    請勿依其超連結名稱選取叢集:請選取相關資料列中的任何其他位置。

  5. 選取狀況不良資源的名稱。

  6. 選取 [修正]

    顯示修正按鈕位置的螢幕快照。

  7. 適用於雲端的 Defender 會以您所選語言產生指令碼:

    • 針對 Linux,選取 [Bash]
    • 針對 Windows,選取 [PowerShell]

  8. 選取 [下載補救邏輯]

  9. 在叢集上執行產生的指令碼。

  10. 重複步驟 3 到 8 來取得第二個建議。

檢視 GKE 叢集警示

  1. 登入 Azure 入口網站

  2. 瀏覽至 [適用於雲端的 Microsoft Defender]>[安全性警示]

  3. 選取 按鈕。

  4. 在 [篩選] 下拉式功能表中,選取 [資源類型]

  5. 在 [值] 下拉式功能表中,選取 [GCP GKE 叢集]

  6. 選取 [確定]

部署Defender感測器

若要在 GCP 叢集上部署 Defender 感測器,請遵循下列步驟:

  1. 移至 適用於雲端的 Microsoft Defender -環境設定 ->新增環境 ->Google Cloud Platform。>

    如何在 適用於雲端的 Microsoft Defender 中新增 GCP 環境的螢幕快照。

  2. 填寫帳戶詳細數據。

    在 適用於雲端的 Microsoft Defender 中填入 GCP 環境的帳戶詳細數據的表單螢幕快照。

  3. 移至 [ 選取方案],開啟 [容器] 方案,並確定 [自動布建適用於 Azure Arc 的 Defender 感測器] 設定為 [開啟]。

    如何在 適用於雲端的 Microsoft Defender 中啟用適用於 Azure Arc 的 Defender 感測器的螢幕快照。

  4. 移至 [ 設定存取 權],然後遵循該處的步驟。

    如何在 適用於雲端的 Microsoft Defender 中設定 GCP 環境的存取權螢幕快照。

  5. 成功執行 gcloud 腳本之後,選取 [ 建立]。

注意

您可以從自動布建中排除特定的 GCP 叢集。 針對感測器部署,請使用 ms_defender_container_exclude_agentstrue在資源上套用標籤。 針對無代理程式部署,請使用 ms_defender_container_exclude_agentlesstrue在資源上套用標籤。

模擬適用於容器的 Microsoft Defender 安全性警示

所有適用於雲端的 Defender 安全性警示的參考資料表中均有支援警示的完整清單。

  1. 若要模擬安全性警示,請透過叢集執行下列命令:

    kubectl get pods --namespace=asc-alerttest-662jfi039n

    預期的回應為 No resource found

    在 30 分鐘內,適用於雲端的 Defender 會偵測此活動並觸發安全性警示。

    注意

    若要模擬適用於容器的 Defender 的無代理程式警示,Azure Arc 並非必要條件。

  2. 在 Azure 入口網站中,開啟適用於雲端的 Microsoft Defender 安全性警示頁面,並尋找相關資源的警示:

    適用於 Kubernetes 的 Microsoft Defender 範例警示。

移除 Defender 感應器

若移除此專案或任何適用於雲端的 Defender 延伸模組,這樣不足以關閉自動佈建:

  • 啟用自動佈建,可能會影響現有未來的機器。
  • 停用延伸模組的自動佈建,僅會影響未來機器,停用自動佈建不會解除安裝任何項目。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定] 並停用適用於容器Microsoft Defender 方案。

不過,若要確保目前不會將適用於容器的 Defender 元件佈建到您的資源上,請停用延伸模組自動佈建功能,如透過適用於雲端的 Microsoft Defender 設定代理程式和延伸模組的自動佈建

您可以使用 Azure 入口網站、Azure CLI 或 REST API 來移除延伸模組,如下列索引標籤所述。

使用 Azure 入口網站移除延伸模組

  1. 從 Azure 入口網站,開啟 [Azure Arc]。

  2. 從基礎結構清單中,選取 [Kubernetes 叢集],然後選取特定叢集。

  3. 開啟延伸模組頁面。 叢集上的延伸模組會列出。

  4. 選取叢集,然後選取 [解除安裝]

    從已啟用Arc的 Kubernetes 叢集移除延伸模組。

AKS 的預設 Log Analytics 工作區

Defender 感測器會使用Log Analytics工作區作為資料管線,將數據從叢集傳送至 適用於雲端的 Defender,而不需要保留Log Analytics工作區本身的任何數據。 因此,在這樣的使用案例中,不會對使用者計費。

Defender 感測器會使用預設的Log Analytics工作區。 如果您還沒有預設 Log Analytics 工作區,適用於雲端的 Defender 會在安裝 Defender 感測器時建立新的資源群組和預設工作區。 預設工作區會根據您的區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例如下:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    顯示如何尋找原則頁面的螢幕快照。

  3. 選取 [定義]

  4. 搜尋原則識別碼 64def556-fbad-4622-930e-72d1d5589bf5

    顯示依標識子搜尋原則的位置螢幕快照。

  5. 選取 [設定 Azure Kubernetes Service 叢集以啟用 Defender 設定檔]

  6. 選取 [指派]

    顯示 [指派] 索引標籤位置的螢幕快照。

  7. 如果尚未將原則指派給相關範圍,請遵循建立自訂工作區的新指派中的步驟。 或者,如果已指派原則,而您想要變更以使用自定工作區,則請遵循更新自訂工作區的指派中的步驟。

建立自訂工作區的新指派

如果尚未指派原則,您會看到 Assignments (0)

顯示未指派工作區的螢幕快照。

若要指派自訂工作區

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示下拉功能表所在位置的螢幕快照。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

更新自訂工作區的指派

如果已將原則指派給工作區,您會看到 Assignments (1)

顯示 [指派] (1) 的螢幕快照,表示已指派工作區。

注意

如果您有一個以上的訂用帳戶,則數目可能會更高。

若要指派自訂工作區

  1. 請選取相關指派。

    顯示從何處選取相關指派的螢幕快照。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示下拉功能表所在位置的螢幕快照。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

Arc 的預設 Log Analytics 工作區

Defender 感測器會使用Log Analytics工作區作為資料管線,將數據從叢集傳送至 適用於雲端的 Defender,而不需要保留Log Analytics工作區本身的任何數據。 因此,在這樣的使用案例中,不會對使用者計費。

Defender 感測器會使用預設的Log Analytics工作區。 如果您還沒有預設的Log Analytics工作區,適用於雲端的 Defender會在安裝Defender感測器時建立新的資源群組和預設工作區。 預設工作區會根據您的區域建立。

預設 Log Analytics 工作區和資源群組的命名慣例如下:

  • 工作區:DefaultWorkspace-[subscription-ID]-[geo]
  • 資源群組:DefaultResourceGroup-[geo]

指派自訂工作區

當您啟用自動佈建選項時,會自動指派預設工作區。 您可以透過 Azure 原則指派自訂工作區。

若要檢查您是否已指派工作區

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [原則]

    顯示如何尋找Arc原則頁面的螢幕快照。

  3. 選取 [定義]

  4. 搜尋原則識別碼 708b60a6-d253-4fe0-9114-4be4c00f012c

    顯示依Arc標識符搜尋原則的位置螢幕快照。

  5. 選取 [設定啟用 Azure Arc 的 Kubernetes 叢集以安裝適用於雲端延伸模組的 Microsoft Defender]

  6. 選取 [指派]

    顯示 Arc 指派索引標籤所在位置的螢幕快照。

  7. 如果尚未將原則指派給相關範圍,請遵循建立自訂工作區的新指派中的步驟。 或者,如果已指派原則,而您想要變更以使用自定工作區,則請遵循更新自訂工作區的指派中的步驟。

建立自訂工作區的新指派

如果尚未指派原則,您會看到 Assignments (0)

顯示 Arc 未指派工作區的螢幕快照。

若要指派自訂工作區

  1. 選取指派

  2. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  3. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示 Arc 下拉功能表所在位置的螢幕快照。

  4. 選取 [檢閱 + 建立]。

  5. 選取 建立

更新自訂工作區的指派

如果已將原則指派給工作區,您會看到 Assignments (1)

注意

如果您有一個以上的訂用帳戶,則數目可能會更高。 如果您有數目 1 或更高數目,指派可能仍未在相關範圍內。 如果是這種情況,您可能會想要遵循建立自訂工作區的新指派中的步驟。

顯示工作分派 (1) 的螢幕快照,表示已為 Arc 指派工作區。

若要指派自訂工作區

  1. 請選取相關指派。

    顯示從何處選取Arc相關指派的螢幕快照。

  2. 選取 [編輯指派]

  3. 在 [參數] 索引標籤中,取消選取 [只顯示需要輸入或檢閱的參數] 選項。

  4. 從下拉式功能表中選取 LogAnalyticsWorkspaceResource 識別碼。

    顯示 Arc 下拉功能表所在位置的螢幕快照。

  5. 選取 [檢閱 + 儲存]

  6. 選取 [儲存]。

移除 Defender 感應器

若移除此專案或任何適用於雲端的 Defender 延伸模組,這樣不足以關閉自動佈建:

  • 啟用自動佈建,可能會影響現有未來的機器。
  • 停用延伸模組的自動佈建,僅會影響未來機器,停用自動佈建不會解除安裝任何項目。

注意

若要完全關閉適用於容器的 Defender 方案,請移至 [環境設定] 並停用適用於容器Microsoft Defender 方案。

不過,若要確保目前不會將適用於容器的 Defender 元件佈建到您的資源上,請停用延伸模組自動佈建功能,如透過適用於雲端的 Microsoft Defender 設定代理程式和延伸模組的自動佈建

您可以使用 REST API 或 Resource Manager 範本來移除代理程式,如下列索引標籤中所述。

使用 REST API 從 AKS 移除 Defender 感測器

若要使用 REST API 移除延伸模組,請執行下列 PUT 命令:

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}
名稱 描述 必要
SubscriptionId 叢集的訂用帳戶識別碼 Yes
ResourceGroup 叢集的資源群組 Yes
ClusterName 叢集的名稱 Yes
ApiVersion API 版本,必須是 >= 2022-06-01 版 Yes

要求本文:

{
  "location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

要求本文參數:

名稱 描述 必要
location 叢集的位置 Yes
properties.securityProfile.defender.securityMonitoring.enabled 決定是否要在叢集上啟用或停用適用於容器的 Microsoft Defender Yes

深入了解

您可以查看下列部落格:

下一步

現在您已啟用適用於容器的 Defender,您可以: