验证 Azure 上的 Defender for Containers 部署（AKS）

启用 Defender for Containers 后，请使用本指南验证所有组件是否正常运行。

验证清单

按顺序完成以下验证步骤：

1. Defender 计划显示为已启用
2. Defender传感器模块正在运行
3. 已启用 Azure Policy 加载项
4. 测试成功生成的安全警报

验证计划生效

使用 Azure 门户

1. 转到 Microsoft Defender for Cloud>环境设置。
2. 选择订阅。
3. 验证 容器 是否显示为 已开启。
4. 选择“容器”旁边的 “设置” ，并验证是否已启用所有扩展。

使用 Azure CLI

az aks show \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --query "securityProfile.defender"

输出应该将securityMonitoring.enabled显示为true。

验证传感器部署

检查 Defender 传感器 Pod 是否正在运行：

kubectl get ds microsoft-defender-collector-ds -n kube-system

所有 Pod 的状态应该显示为 Running。

验证 Azure Policy 插件

az aks show \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --query addonProfiles.azurepolicy

输出应显示 enabled: true。

安全检测测试

若要验证 Defender for Containers 部署是否正常工作，可以模拟安全警报。 这些模拟会触发实际警报，而不会对群集造成损害。

有关生成测试警报和模拟各种威胁方案的详细说明，请参阅 Kubernetes 警报模拟工具。

常见验证问题

传感器 Pod 未运行

如果传感器 Pod 未运行，请按以下步骤操作：

1. 检查 Pod 事件：kubectl get ds microsoft-defender-collector-ds -n kube-system
2. 验证资源可用性： kubectl top nodes

常见原因：

• 资源不足：增加节点大小或添加节点
• 网络策略：确保允许出口到 Azure 终结点
• RBAC 问题：验证群集是否具有适当的权限

缺少建议

如果缺少建议：

1. 检查是否已启用 Azure Policy 加载项。
2. 等待最多 24 小时进行初始评估。
3. 验证是否已启用无代理发现。
4. 请确保您没有通过标记排除群集。

无漏洞扫描结果

如果缺少漏洞扫描：

1. 检查是否已配置 ACR 集成。
2. 验证您最近推送的镜像。
3. 请确保已启用漏洞评估。
4. 等待最多四个小时进行初始扫描。

相关内容

• 配置高级设置
• 删除 Defender for Containers