Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Defender for Containers-Komponenten in Ihren Amazon EKS-Clustern mithilfe von Befehlszeilentools und Automatisierungsmethoden bereitstellen.
Tipp
Eine geführte Portalerfahrung finden Sie unter "Aktivieren aller Komponenten über das Portal".
Voraussetzungen
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Für den ausgehenden Zugriff sind die Azure-Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain | Azure Government Domain | Domain für das von 21Vianet betriebene Azure | Hafen |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
Erforderliche Tools:
- Azure CLI (Version 2.40.0 oder höher)
- AWS CLI mit entsprechenden Anmeldeinformationen konfiguriert
-
kubectl, konfiguriert für Ihre EKS-Cluster
Aktivieren von Defender für Container
Informationen zum Aktivieren des Defender for Containers-Plans für Ihr Abonnement finden Sie unter "Aktivieren von Microsoft Defender für Cloud". Sie können den Plan über das Azure-Portal, die REST-API oder azure-Richtlinie aktivieren.
Herstellen einer Verbindung mit Ihrem AWS-Konto
Verbinden Sie vor der Bereitstellung des Defender-Sensors Ihr AWS-Konto mit Microsoft Defender für Cloud. Anweisungen finden Sie unter Verbinden Ihres AWS-Kontos.
Verbinden von EKS-Clustern mit Azure Arc
Verbinden Sie Ihre EKS-Cluster mit Azure Arc, um den Defender-Sensor bereitzustellen. Anweisungen finden Sie unter Verbinden eines vorhandenen Kubernetes-Clusters mit Azure Arc.
Bereitstellen des Defender-Sensors
Nachdem Sie Ihr AWS-Konto und EKS-Cluster mit Azure Arc verbunden haben, stellen Sie die Defender-Sensorerweiterung bereit.
Bereitstellen mithilfe des Installationsskripts
Das folgende Skript installiert den Defender for Containers-Sensor und entfernt alle vorhandenen Bereitstellungen, sofern vorhanden:
Legen Sie den Kubeconfig-Kontext auf den Zielcluster fest, und führen Sie das Skript aus:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Ersetzen Sie den Platzhaltertext durch Ihre eigenen Werte.
ARC_CLUSTER_RESOURCE_ID ist ein optionaler Parameter für vorhandene Cluster, die die Defender for Containers Arc-Erweiterung verwenden.
Die Ressourcen-ID des Sicherheitsconnectors abrufen
Um das Helm-Chart auf einem EKS-Cluster zu installieren, benötigen Sie die Security-Connector-Ressourcen-ID für das Konto, zu dem Ihr Cluster gehört. Führen Sie den folgenden Azure CLI-Befehl aus, um diesen Wert abzurufen:
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Ersetzen Sie den Platzhaltertext <connector-name>, <resource-group-name> und <subscription-id> durch Ihre Werte.
Parameterwerte
- Für
<RELEASE_TRAIN>verwenden Siepublicfür die öffentliche vorab Vorschauversionen (0.9.x) - Für
<VERSION>verwenden Sielatestoder eine bestimmte semantische Version - Für
<DISTRIBUTION>, verwenden Sieeks
Hinweis
Dieses Skript erstellt möglicherweise einen Log Analytics-Arbeitsbereich in Ihrem Azure-Konto.
Bereitstellen mittels Azure CLI
Alternativ können Sie die Defender-Sensorerweiterung mit Azure CLI bereitstellen:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Nach der Bereitstellung des Defender-Sensors können Sie zusätzliche Einstellungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren Sie den Defender for Containers-Sensor, der mit Helm bereitgestellt wird.
Bereitstellen der Azure-Richtlinienerweiterung
Stellen Sie die Azure-Richtlinienerweiterung bereit, um die Richtlinienerzwingung für Ihre EKS-Cluster zu aktivieren:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>