Aktivieren Sie den Microsoft Defender für Containerplan in Microsoft Defender for Cloud, um Ihre Kubernetes-Cluster und Containerworkloads zu schützen.
Voraussetzungen
Stellen Sie Folgendes sicher, bevor Sie beginnen:
Aktivieren des Microsoft Defender for Containers-Plan
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie das Abonnement aus, in dem sich Ihre AKS-Cluster befinden.
Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".
Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.
Umschalten zwischen Ein und Aus der relevanten Defender für Container-Komponenten:
Agentenloses Scannen für Maschinen
Führt agentlose Schwachstellen- und Geheimnis-Scans auf Kubernetes-Knoten durch.
- Um Computer von der agentlosen Überprüfung auszuschließen, fügen Sie den Namen und den Wert des Ausschlusstags hinzu.To exclude machines from agentless scanning, add the exclusion tag name and value.
Defender-Sensor
Stellt den Defender Sensor auf Clusterknoten bereit, um Laufzeitsicherheits-Telemetrie zu sammeln, die für die Bedrohungserkennung verwendet wird.
-
Defenders Security Gating aktivieren: Fügt eine Schicht zur Zulassungssteuerung hinzu, die Bereitstellungen anhand von Sicherheitsrichtlinien evaluiert, bevor Workloads im Cluster ausgeführt werden.
-
Enable Defender Runtime Anti Malware: Ermöglicht die Laufzeit-Schadsoftwareerkennung für Kubernetes-Hosts und -Container und kann optional die Ausführung bösartiger Dateien in Echtzeit blockieren.
Azure-Richtlinie
Stellt die Azure Policy für Kubernetes-Add-On bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.
Kubernetes-API-Zugriff
Ermöglicht Defender for Cloud den Zugriff auf die Kubernetes-API für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten basieren.
Registrierungszugriff
Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in verbundenen Registrierungen gespeichert sind.
Wählen Sie "Weiter" aus.
Wählen Sie Speichern aus.
Voraussetzungen
Stellen Sie Folgendes sicher, bevor Sie beginnen:
Aktivieren des Microsoft Defender for Containers-Plan
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie den relevanten AWS-Connector aus.
Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".
Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.
Schalten Sie On den relevanten Defender für Containerkomponenten um:
Agentenloser Bedrohungsschutz
Erfasst Überwachungsprotokolle der Kubernetes-Steuerebene und analysiert sie zur Erkennung von Bedrohungen der Steuerebene. Protokolle werden über AWS-Dienste (z. B. CloudWatch, S3, Kinesis und SQS) weitergeleitet.
- Wenn diese Option aktiviert ist, legen Sie den Aufbewahrungszeitraum für Überwachungsprotokolle (in Tagen) fest, um zu steuern, wie lange Überwachungsprotokolle der Kontrollebene gespeichert werden.
Automatische Bereitstellung der Defender-Sensoren für Azure Arc
Stellt den Defender Sensor als Azure Arc Kubernetes-Erweiterung bereit. Der Sensor wird als DaemonSet auf Clusterknoten ausgeführt und stellt die Erkennung von Laufzeitbedrohungen basierend auf Knoten- und Workload-Telemetrie bereit.
Note
Wenn die automatische Bereitstellung aktiviert ist, wird der Defender-Sensor installiert, nachdem der Cluster erkannt wird, was bis zu mehreren Stunden dauern kann, bis der Vorgang abgeschlossen ist.
Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc
Stellt die Azure Policy Erweiterung für den Cluster bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.
Kubernetes-API-Zugriff
Ermöglicht Defender for Cloud den Zugriff auf den Kubernetes-API-Server für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten und -Zustand basieren.
Registrierungszugriff Aktiviert die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages in Amazon ECR. An ECR übertragene Bilder werden automatisch gescannt (in der Regel innerhalb von 24 Stunden).
Wählen Sie Speichern aus.
Wählen Sie "Weiter" aus: Zugriff >konfigurieren.
Generieren Sie die AWS-CloudFormation-Vorlage für den Konnektor erneut, und verwenden Sie sie, um den vorhandenen Stack in AWS CloudFormation zu aktualisieren.
Wählen Sie "Weiter" aus: Überprüfen und generieren Sie >.
Klicken Sie auf Aktualisieren.
Voraussetzungen
Stellen Sie Folgendes sicher, bevor Sie beginnen:
Aktivieren des Microsoft Defender for Containers-Plan
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie den relevanten GCP-Connector aus.
Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".
Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.
Schalten Sie On den relevanten Defender für Containerkomponenten um:
Agentenloser Bedrohungsschutz
Erfasst Überwachungsprotokolle der Kubernetes-Steuerebene und analysiert sie zur Erkennung von Bedrohungen der Steuerebene. Protokolle werden von GKE in Ihr Google Cloud-Projekt exportiert.
Automatische Bereitstellung der Defender-Sensoren für Azure Arc
Stellt den Defender Sensor als Azure Arc Kubernetes-Erweiterung bereit. Der Sensor wird als DaemonSet auf Clusterknoten ausgeführt und stellt die Erkennung von Laufzeitbedrohungen basierend auf Knoten- und Workload-Telemetrie bereit.
-
Aktivieren der Defender-Sicherheitsbeschränkung
Fügt eine Zugriffskontrollschicht hinzu, die Bereitstellungen anhand von Sicherheitsrichtlinien evaluiert, bevor Arbeitslasten im Cluster ausgeführt werden.
Note
Wenn die automatische Bereitstellung aktiviert ist, wird der Defender-Sensor installiert, nachdem der Cluster erkannt wird, was bis zu mehreren Stunden dauern kann, bis der Vorgang abgeschlossen ist.
Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc
Stellt die Azure Policy Erweiterung für den Cluster bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.
Kubernetes-API-Zugriff
Ermöglicht Defender for Cloud den Zugriff auf den Kubernetes-API-Server für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten und Clusterstatus basieren.
Registrierungszugriff
Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in der Google Container Registry (GCR) und Artifact Registry gespeichert sind.
Wählen Sie Speichern aus.
Wählen Sie "Weiter" aus: Zugriff >konfigurieren.
Generieren Sie das Onboarding-Skript in Ihrem GCP-Projekt neu, und führen Sie es erneut aus.
Wählen Sie "Weiter" aus: Überprüfen und generieren Sie >.
Klicken Sie auf Aktualisieren.
Voraussetzungen
Stellen Sie Folgendes sicher, bevor Sie beginnen:
Aktivieren des Microsoft Defender for Containers-Plan
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie das Azure-Abonnement aus, das die Azure Arc-fähige Kubernetes-Clusterressource enthält.
Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".
Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.
Schalten Sie On den relevanten Defender für Containerkomponenten um:
Agentenloses Scannen für Maschinen
Führt agentlose Schwachstellen- und Geheimnis-Scans auf Kubernetes-Knoten durch.
Defender-Sensor
Stellt den Defender Sensor auf Clusterknoten bereit, um Laufzeitsicherheits-Telemetrie zu sammeln, die für die Bedrohungserkennung verwendet wird.
Azure-Richtlinie
Stellt die Azure Policy für Kubernetes-Add-On bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.
Kubernetes-API-Zugriff
Ermöglicht Defender for Cloud den Zugriff auf die Kubernetes-API für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten basieren.
Registrierungszugriff
Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in verbundenen Registrierungen gespeichert sind.
Wählen Sie Speichern aus.
Überprüfen, ob der Plan aktiviert ist
Melden Sie sich im Azure-Portal an.
Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.
Wählen Sie das Abonnement aus.
Stellen Sie sicher, dass Container auf "Ein" festgelegt sind.
Wählen Sie "Einstellungen " neben "Container" aus, und bestätigen Sie, dass die erforderlichen Komponenten aktiviert sind.
Verwandte Inhalte