Aktivieren von Defender für Container in Microsoft Defender for Cloud

Melden Sie sich im Azure-Portal an.

Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

Wählen Sie das Abonnement aus, in dem sich Ihre AKS-Cluster befinden.

Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".

Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.

Umschalten zwischen Ein und Aus der relevanten Defender für Container-Komponenten:

• Agentenloses Scannen für Maschinen
  Führt agentlose Schwachstellen- und Geheimnis-Scans auf Kubernetes-Knoten durch.

  • Um Computer von der agentlosen Überprüfung auszuschließen, fügen Sie den Namen und den Wert des Ausschlusstags hinzu.To exclude machines from agentless scanning, add the exclusion tag name and value.

• Defender-Sensor
  Stellt den Defender Sensor auf Clusterknoten bereit, um Laufzeitsicherheits-Telemetrie zu sammeln, die für die Bedrohungserkennung verwendet wird.

  • Enable Defender Security Gating: Fügt eine Admission Control Layer hinzu, die Bereitstellungen anhand von Sicherheitsrichtlinien auswertet, bevor Arbeitslasten im Cluster ausgeführt werden.
  • Enable Defender Runtime Anti Malware: Ermöglicht die Laufzeit-Schadsoftwareerkennung für Kubernetes-Hosts und -Container und kann optional die Ausführung bösartiger Dateien in Echtzeit blockieren.

• Azure-Richtlinie
  Stellt die Azure Policy für Kubernetes-Add-On bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.

• Kubernetes-API-Zugriff
  Ermöglicht Defender for Cloud den Zugriff auf die Kubernetes-API für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten basieren.

• Registrierungszugriff
  Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in verbundenen Registrierungen gespeichert sind.

  • Sicherheitsergebnisse: Generiert Ergebnisse und verknüpft sie mit Containerimages, wenn neue Images verschoben werden oder vorhandene Images aktualisiert werden.

Wählen Sie Weiter.

Wählen Sie "Speichern" aus.

Melden Sie sich im Azure-Portal an.

Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

Wählen Sie den relevanten AWS-Connector aus.

Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".

Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.

Schalten Sie On den relevanten Defender für Containerkomponenten um:

• Agentenloser Bedrohungsschutz
  Erfasst Überwachungsprotokolle der Kubernetes-Steuerebene und analysiert sie zur Erkennung von Bedrohungen der Steuerebene. Protokolle werden über AWS-Dienste (z. B. CloudWatch, S3, Kinesis und SQS) weitergeleitet.

  • Wenn diese Option aktiviert ist, legen Sie den Aufbewahrungszeitraum für Überwachungsprotokolle (in Tagen) fest, um zu steuern, wie lange Überwachungsprotokolle der Kontrollebene gespeichert werden.

• Automatische Bereitstellung der Defender-Sensoren für Azure Arc
  Stellt den Defender Sensor als Azure Arc Kubernetes-Erweiterung bereit. Der Sensor wird als DaemonSet auf Clusterknoten ausgeführt und stellt die Erkennung von Laufzeitbedrohungen basierend auf Knoten- und Workload-Telemetrie bereit.

  Note

  Wenn die automatische Bereitstellung aktiviert ist, wird der Defender-Sensor installiert, nachdem der Cluster erkannt wird, was bis zu mehreren Stunden dauern kann, bis der Vorgang abgeschlossen ist.

• Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc
  Stellt die Azure Policy Erweiterung für den Cluster bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.

• Kubernetes-API-Zugriff
  Ermöglicht Defender for Cloud den Zugriff auf den Kubernetes-API-Server für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten und -Zustand basieren.

• Registrierungszugriff Aktiviert die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages in Amazon ECR. An ECR übertragene Bilder werden automatisch gescannt (in der Regel innerhalb von 24 Stunden).

  • Sicherheitsergebnisse: Generiert Ergebnisse und verknüpft sie mit Containerimages, wenn neue Images verschoben werden oder vorhandene Images aktualisiert werden.

Wählen Sie "Speichern" aus.

Wählen Sie "Weiter" aus: Zugriff >konfigurieren.

Generieren Und aktualisieren Sie die AWS CloudFormation-Vorlage, um die erforderlichen Berechtigungen für die aktivierten Komponenten anzuwenden.

Wählen Sie "Weiter" aus: Überprüfen und generieren Sie >.

Klicken Sie auf Aktualisieren.

Melden Sie sich im Azure-Portal an.

Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

Wählen Sie den relevanten GCP-Connector aus.

Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".

Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.

Schalten Sie On den relevanten Defender für Containerkomponenten um:

• Agentenloser Bedrohungsschutz
  Erfasst Überwachungsprotokolle der Kubernetes-Steuerebene und analysiert sie zur Erkennung von Bedrohungen der Steuerebene. Protokolle werden von GKE in Ihr Google Cloud-Projekt exportiert.

• Automatische Bereitstellung der Defender-Sensoren für Azure Arc
  Stellt den Defender Sensor als Azure Arc Kubernetes-Erweiterung bereit. Der Sensor wird als DaemonSet auf Clusterknoten ausgeführt und stellt die Erkennung von Laufzeitbedrohungen basierend auf Knoten- und Workload-Telemetrie bereit.

  • Aktivieren der Defender-Sicherheitsbeschränkung
    Fügt eine Zugriffskontrollschicht hinzu, die Bereitstellungen anhand von Sicherheitsrichtlinien evaluiert, bevor Arbeitslasten im Cluster ausgeführt werden.

  Note

  Wenn die automatische Bereitstellung aktiviert ist, wird der Defender-Sensor installiert, nachdem der Cluster erkannt wird, was bis zu mehreren Stunden dauern kann, bis der Vorgang abgeschlossen ist.

• Automatische Bereitstellung der Azure Policy-Erweiterung für Azure Arc
  Stellt die Azure Policy Erweiterung für den Cluster bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.

• Kubernetes-API-Zugriff
  Ermöglicht Defender for Cloud den Zugriff auf den Kubernetes-API-Server für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten und Clusterstatus basieren.

• Registrierungszugriff
  Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in der Google Container Registry (GCR) und Artifact Registry gespeichert sind.

  • Sicherheitsergebnisse: Generiert Ergebnisse und verknüpft sie mit Containerimages, wenn neue Images verschoben werden oder vorhandene Images aktualisiert werden.

Wählen Sie "Speichern" aus.

Wählen Sie "Weiter" aus: Zugriff >konfigurieren.

Generieren Sie das Onboardingskript in Ihrem GCP-Projekt neu, und stellen Sie es erneut bereit, um die erforderlichen Berechtigungen für die aktivierten Komponenten anzuwenden.

Wählen Sie "Weiter" aus: Überprüfen und generieren Sie >.

Klicken Sie auf Aktualisieren.

Melden Sie sich im Azure-Portal an.

Wechseln Sie zu Microsoft Defender for Cloud>Umgebungseinstellungen.

Wählen Sie das Azure-Abonnement aus, das die Azure Arc-fähige Kubernetes-Clusterressource enthält.

Suchen Sie auf der Seite "Defender-Pläne" die Zeile "Container ", und schalten Sie den Status auf "Ein".

Wählen Sie "Einstellungen" in der Zeile "Containerplan" aus.

Schalten Sie On den relevanten Defender für Containerkomponenten um:

• Agentenloses Scannen für Maschinen
  Führt agentlose Schwachstellen- und Geheimnis-Scans auf Kubernetes-Knoten durch.

• Defender-Sensor
  Stellt den Defender Sensor auf Clusterknoten bereit, um Laufzeitsicherheits-Telemetrie zu sammeln, die für die Bedrohungserkennung verwendet wird.

• Azure-Richtlinie
  Stellt die Azure Policy für Kubernetes-Add-On bereit, um Kubernetes Sicherheitsstatusbewertungen und zugehörige Sicherheitsempfehlungen zu ermöglichen.

• Kubernetes-API-Zugriff
  Ermöglicht Defender for Cloud den Zugriff auf die Kubernetes-API für clusterinventar, konfigurationsanalyse und -funktionen, die auf Kubernetes-Metadaten basieren.

• Registrierungszugriff
  Ermöglicht die Bewertung der agentlosen Sicherheitsanfälligkeit für Containerimages, die in verbundenen Registrierungen gespeichert sind.

Wählen Sie "Speichern" aus.