Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u de Microsoft Defender for Containers-sensor installeert en configureert op AKS-, EKS- en GKE-clusters met behulp van Helm. U leert over vereisten, het inschakelen van Defender for Containers en stapsgewijze implementatie-instructies voor verschillende omgevingen.
Algemene vereisten
Zorg ervoor dat aan alle vereisten voor de Defender for Containers-sensor wordt voldaan, zoals beschreven in de vereisten voor het Defender-sensornetwerk.
Stap 1: Defender for Containers inschakelen
Als uw Defender for Containers-abonnement nog niet is ingeschakeld, voert u de volgende stappen uit:
Ga in Azure Portal naar Microsoft Defender voor Cloud en selecteer het abonnement voor de clusters waarop u de Helm-grafiek wilt installeren. Selecteer in EKS en GKE de omgeving met deze clusters (de beveiligingsconnector voor het EKS- of GKE-account met het cluster).
Zoek onder Cloud Workload Protection Platform (CWPP) het Containers-plan en stel de wisselknop in op Aan.
Selecteer Instellingen naast het plan Containers.
Controleer in het deelvenster Instellingen en bewaking of de volgende wisselknoppen zijn ingesteld op Aan:
- Defender-sensor
- Beveiligingsresultaten
- Registertoegang
Je bent nu klaar om de Defender for Containers-sensor in te stellen met Helm.
Stap 2: De Helm-sensorengrafiek installeren
Alleen voor AKS Automatisch
Voer de volgende opdracht uit voor AKS Automatic:
# Update Azure CLI to the latest version
az upgrade
# If you don't have the AKS preview extension installed yet
az extension add --name aks-preview
# Update the AKS extension specifically
az extension update --name aks-preview
Vereisten voor de installatie
Helm >= 3.8 (OCI-ondersteuning is algemeen beschikbaar)
Rol van eigenaar van resourcegroep voor het doelcluster (AKS) of beveiligingsconnector (EKS of GKE)
Azure-resource-id voor het doelcluster
Opmerking
Gebruik de volgende opdracht om een lijst met uw Azure-resource-id's van AKS-clusters te genereren op basis van een
<SUBSCRIPTION_ID>en<RESOURCE_GROUP>:az aks list \ --subscription <SUBSCRIPTION_ID> \ --resource-group <RESOURCE_GROUP> \ --query "[].id" \ -o tsv
AKS
Voordat u de sensor installeert, verwijdert u conflicterende beleidsregels. Deze beleidstoewijzingen zorgen ervoor dat de GA-versie van de sensor wordt geïmplementeerd in uw cluster. U vindt de lijst met beleidsdefinities voor uw abonnement op Policy - Microsoft Azure. De id voor het conflicterende beleid is 64def556-fbad-4622-930e-72d1d5589bf5.
Voer het volgende script uit om ze te verwijderen met behulp van Azure CLI:
delete_conflicting_policies.sh
Voer het script uit met de opdracht:
delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>
Opmerking
Met dit script verwijdert u beleidsregels op resourcegroep- en abonnementsniveau voor het instellen van de GA-versie van Defender for Containers, die van invloed kunnen zijn op andere clusters dan het cluster dat u configureert.
Met het volgende script wordt de Defender for Containers-sensor geïnstalleerd (en wordt een bestaande implementatie verwijderd, indien aanwezig):
install_defender_sensor_aks.sh
Voer het script uit met de opdracht:
install_defender_sensor_aks.sh <CLUSTER_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION>
Vervang in de volgende opdracht de tijdelijke aanduiding <CLUSTER_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, en <VERSION> door uw eigen waarden. Gebruik <RELEASE_TRAIN>'openbaar' voor de preview-versie (0.9.x) of 'privé' voor de preview-versie (0.10.x). Gebruik <VERSION>voor 'latest' of een specifieke semantische versie.
Opmerking
Met dit script stelt u een nieuwe kubeconfig-context in en maakt u mogelijk een Log Analytics-werkruimte in uw Azure-account.
EKS/GKE
Met het volgende script wordt de Defender for Containers-sensor geïnstalleerd (en wordt een bestaande implementatie verwijderd, indien aanwezig):
Stel de kubeconfig-context in op het doelcluster en voer het script uit met de opdracht:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Vervang in de volgende opdracht de tijdelijke aanduidingstekst <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>, <RELEASE_TRAIN>, <VERSION>, <DISTRIBUTION>, en <ARC_CLUSTER_RESOURCE_ID> door uw eigen waarden. Houd er rekening mee dat ARC_CLUSTER_RESOURCE_ID een optionele parameter is en alleen moet worden gebruikt voor bestaande clusters die al de Defender voor Containers arc-extensie gebruiken. Dit zal leiden tot het verwijderen van de arc-beheerde implementatie, waardoor wordt voorkomen dat twee conflicterende implementaties gelijktijdig worden ingeschakeld.
Voor <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>:
Een beveiligingsconnector instellen voor uw AWS- of GCP-account
Opmerking
Als u de Helm-grafiek wilt installeren op een EKS- of GKE-cluster, moet u ervoor zorgen dat het clusteraccount is verbonden met Microsoft Defender voor Cloud. Zie Uw AWS-account verbinden of uw GCP-project verbinden.
De Azure-resource-id ophalen
Opmerking
Als u de Helm-grafiek wilt installeren op een EKS- of GKE-cluster, hebt u de resource-id van de beveiligingsconnector nodig voor het account waartoe uw cluster behoort. Voer de opdracht az resource show CLI uit om deze waarde op te halen.
Voorbeeld:
az resource show \ --name <connector-name> \ --resource-group <resource-group-name> \ --resource-type "Microsoft.Security/securityConnectors" \ --subscription <subscription-id> \ --query id -o tsvVervang in dit voorbeeld de aanduidingen
<connector-name>,<resource-group-name>en<subscription-id>door uw waarden.
Gebruik 'openbaar' voor de openbare preview-releases (0.9.x). Gebruik <VERSION>voor 'latest' of een specifieke semantische versie. Voor <DISTRIBUTION>, gebruik eks of gke.
Opmerking
Dit script kan een Log Analytics-werkruimte maken in uw Azure-account.
Voer de volgende opdracht uit om te controleren of de installatie is geslaagd:
helm list --namespace mdc
Het veld STATUS moet uitgerold zijn.
Beveiligingsregels voor gated deployment
U kunt beveiligingsregels definiëren om te bepalen wat er mag worden geïmplementeerd in uw Kubernetes-clusters. Met deze regels kunt u containerinstallatiekopieën blokkeren of controleren op basis van beveiligingscriteria, zoals installatiekopieën met te veel beveiligingsproblemen.
Toegang tot beveiligingsregels
- Navigeer naar het MDC-dashboard (Microsoft Defender for Cloud).
- Selecteer omgevingsinstellingen in het linkernavigatiedeelvenster.
- Selecteer de tegel Beveiligingsregels .
Regels voor evaluatie van beveiligingsproblemen configureren
- Navigeer op de pagina Beveiligingsregels naar Evaluatie van beveiligingsproblemen onder de sectie Gated-implementatie .
- Maak of bewerk indien nodig uw beveiligingsregels.
Belangrijk
Voor Helm-installaties:
- Waarschuwing voor abonnementsondersteuning: bij het maken van regels kan uw geselecteerde abonnement worden gemarkeerd als 'niet ondersteund voor implementatie met gated'. Dit komt doordat u de Onderdelen van Defender for Containers hebt geïnstalleerd met behulp van Helm in plaats van via de automatische installatie van het dashboard.
- Automatische installatie overslaan: indien gevraagd om "gating" in te schakelen in het derde tabblad van het bewerkingsvenster van de beveiligingsregel, moet u op Skip drukken. Met deze optie kunt u automatisch installeren, wat in strijd is met uw bestaande Helm-implementatie.
Bestaande aanbeveling voor het inrichten van sensor
Opmerking
Als u Helm gebruikt om de sensor in te stellen, negeert u de bestaande aanbevelingen.
Voor AKS:
Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld - Microsoft Azure
Voor meerdere clouds:
Kubernetes-clusters met Azure Arc moeten de Defender-extensie hebben geïnstalleerd - Microsoft Azure
Een bestaande Helm-gebaseerde implementatie upgraden
Voer de volgende opdracht uit om een bestaande helm-implementatie bij te werken:
helm upgrade microsoft-defender-for-containers-sensor \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers-sensor \
--devel \
--reuse-values