Defender for Containers on Azure (AKS) をプログラムでデプロイする

この記事では、Azure Kubernetes Service (AKS) クラスターに Microsoft Defender for Containers をプログラムでデプロイする方法について説明します。

ヒント

ガイド付きポータルエクスペリエンスについては、「ポータルを使用して Defender for Containers を有効にする」を参照してください。

[前提条件]

ネットワークの要件

Defender センサーは、セキュリティデータとイベントを送信するために Microsoft Defender for Cloud に接続する必要があります。必要なエンドポイントが送信アクセス用に構成されていることを確認します。

接続の要件

Defender センサーには、次の接続が必要です。

Microsoft Defender for Cloud (セキュリティデータとイベントの送信用)

既定で、AKS クラスターは、送信 (エグレス) インターネットアクセスが無制限です。

エグレスが制限されたクラスターでは、Microsoft Defender for Containers の特定の FQDN が正常に機能することを許可する必要があります。必要なエンドポイントについては、AKS 送信ネットワークドキュメントの「Microsoft Defender for Containers - Required FQDN/application rules 」を参照してください。

プライベートリンクの構成

クラスターからのイベントエグレスで Azure Monitor Private Link Scope (AMPLS) を使用する必要がある場合は、次の手順を実行します。

Container Insights と Log Analytics ワークスペースを使用してクラスターを定義する
クラスターの Log Analytics ワークスペースを AMPLS のリソースとして定義する
次の間の AMPLS に仮想ネットワークプライベートエンドポイントを作成します。
- クラスターの仮想ネットワーク
- Log Analytics リソース
仮想ネットワークプライベートエンドポイントは、プライベート DNS ゾーンと統合されます。

手順については、「 Azure Monitor プライベートリンクスコープの作成」を参照してください。

さらに、次のことを確認します。

Azure CLI バージョン 2.40.0 以降
適切な RBAC アクセス許可 (共同作成者またはセキュリティ管理者)

Defender for Containers プランを有効にする

サブスクリプションで Defender for Containers プランを有効にするには、「 Microsoft Defender for Cloud を有効にする」を参照してください。プランは、Azure portal、REST API、または Azure Policy を使用して有効にすることができます。

Defender センサーをデプロイする

Defender for Containers プランを有効にすると、Defender センサーは既定で AKS クラスターに自動的にデプロイされます。

自動プロビジョニングが無効になっている場合、またはセンサーを手動でデプロイする必要がある場合は、次のいずれかの方法を使用します。

Azure CLI
ARM テンプレート

Defender センサーを特定の AKS クラスターにデプロイするには:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

カスタム Log Analytics ワークスペースを使用してデプロイするには:

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

次の ARM テンプレートをデプロイして、AKS クラスターで Defender センサーを有効にします。

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

Azure CLI を使用してテンプレートをデプロイします。

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

Azure Policy アドオンをデプロイする

AKS 用 Azure Policy アドオンを使用すると、クラスターに大規模な適用と保護を一元化された一貫性のある方法で適用できます。

Azure Policy アドオンを有効にするには:

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

推奨事項を使用してコンポーネントをデプロイする

Defender for Cloud の推奨事項を使用して、機能を手動で展開することもできます。

センサー	勧告
Kubernetes 用 Defender センサー	Azure Kubernetes Service クラスターで Defender プロファイルを有効にする必要がある
Azure Arc 対応 Kubernetes 用 Defender センサー	Azure Arc 対応 Kubernetes クラスターには、Defender の拡張機能がインストールされている必要がある
Kubernetes 用 Azure Policy エージェント	Azure Kubernetes Service クラスターには Kubernetes 用の Azure Policy アドオンがインストールされている必要がある
Azure Arc 対応 Kubernetes 用 Azure Policy エージェント	Azure Arc 対応 Kubernetes クラスターに Azure Policy 拡張機能がインストールされている必要がある

次のステップ

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-12-04