Résoudre les problèmes de Microsoft Defender pour les conteneurs

Problèmes de déploiement courants

• L'installation du capteur Defender échoue

  • Symptoms :kubectl get pods -n kube-system -l app=defender affiche les modules de capteur Defender dans Pending, CrashLoopBackOff ou Error.
  • Résolution :
    • Ressources insuffisantes : Vérifiez la capacité du nœud. Utilisez kubectl top nodes pour vérifier si les nœuds ont suffisamment de CPU et de mémoire pour que le capteur puisse être planifié.
    • Sortie réseau : Vérifiez que votre pare-feu de cluster ou groupe de sécurité réseau autorise le trafic sortant vers les noms de domaine complets requis.
    • Taints et Tolerations : Vérifiez que les taints de nœud n’empêchent pas les pods d’être planifiés dans des pools de nœuds particuliers.

• Recommandations manquantes

  • Symptoms : Les clusters apparaissent comme « En bonne santé », mais des recommandations spécifiques telles que « Les clusters AKS doivent avoir le profil Defender activé » sont manquantes.
  • Résolution :
    • Temps d’attente : Les analyses d’évaluation peuvent prendre jusqu’à 24 heures pour refléter dans le tableau de bord.
    • Balises d’exclusion : Vérifiez si la ressource a la balise ms_defender_container_exclude_sensors = true.
    • Policy Add-on : Vérifiez que le module complémentaire Azure Policy est installé ; sans cela, les recommandations basées sur la configuration ne se déclenchent pas.

Problèmes d’analyse des vulnérabilités

• Résultats de vulnérabilités manquants pour les images dans Azure Container Registry

  • Symptoms : Les résultats des vulnérabilités n'apparaissent pas pour les images stockées dans Azure Container Registry.
  • Résolution :
    • Analyse du registre : Vérifiez que la fonctionnalité d’analyse du Registre appropriée est activée pour Defender pour conteneurs. Dans le portail Azure, vérifiez que l'accès du registre est activé pour la portée concernée.
    • Examen approfondi : Si l’analyse du Registre est activée et que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du Registre, le nom de l’image, la synthèse des images et les détails de recherche attendus.

• Découvertes des vulnérabilités manquantes pour les images s’exécutant sur des clusters AKS

  • Symptômes: Les résultats des vulnérabilités n’apparaissent pas pour les images qui s’exécutent actuellement dans les environnements de travail AKS.
  • Résolution :
    • Analyse des vulnérabilités : Vérifiez que la capacité d'analyse de vulnérabilités pertinente est activée pour Defender pour les Conteneurs. Les résultats des vulnérabilités du runtime dépendent des résultats d’analyse disponibles pour l’image en cours d’exécution, tels que l’analyse du Registre ou les résultats de l’analyse de disque.
    • Collection d’inventaire des pods : Vérifiez que la collecte d’inventaire des pods est activée pour le cluster. Pour AKS, l’inventaire des pods peut être collecté par le capteur Defender ou par collection sans agent, en fonction de la configuration du déploiement.
    • Examen approfondi : Si l’analyse des vulnérabilités et la collecte d’inventaire des pods sont activées, mais que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du cluster, l’espace de noms, le nom de la charge de travail, le nom de l’image et la synthèse d’image.

Connecteur et découverte

• Connecteur AWS déconnecté

  • État CloudFormation : Vérifiez la console AWS CloudFormation pour vous assurer que la pile de configuration initiale est dans l’état CREATE_COMPLETE.
  • Autorisations: Vérifiez que le MDCContainersAgentlessDiscoveryK8sRole rôle n’a pas été modifié. Ce rôle est requis pour Defender for Cloud découvrir vos clusters via l’API EKS.

• Clusters EKS qui n’apparaissent pas dans l’inventaire

  • Accès à l’API Kubernetes : Vérifiez que ce composant est activé dans les paramètres du connecteur AWS.
  • AM identity mapping : Vérifiez que le aws-auth ConfigMap a été mis à jour pour inclure le rôle Defender for Cloud, ou qu’une entrée d’accès EKS a été créée pour le rôle.

Problèmes d’analyse des vulnérabilités

• Absence de découvertes de vulnérabilités pour les images dans Amazon Elastic Container Registry

  • Symptômes: Les résultats des vulnérabilités n’apparaissent pas pour les images stockées dans Amazon Elastic Container Registry.
  • Résolution :
    • Analyse du registre : Vérifiez que la fonctionnalité d’analyse du registre pertinente est activée pour Defender pour Containers. Dans les paramètres du connecteur AWS, vérifiez que l’accès au Registre est activé.
    • Examen approfondi : Si l’analyse du Registre est activée et que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du Registre, le nom de l’image, la synthèse des images et les détails de recherche attendus.

• Détection des vulnérabilités manquantes pour les images s’exécutant sur des clusters EKS

  • Symptômes: Les résultats des vulnérabilités n’apparaissent pas pour les images qui s’exécutent actuellement dans les charges de travail EKS.
  • Résolution :
    • analyse de vulnérabilités : Vérifiez que la capacité d'analyse des vulnérabilités pertinente est activée pour Defender pour les conteneurs. Les résultats des vulnérabilités du runtime dépendent des résultats d’analyse disponibles pour l’image en cours d’exécution, tels que l’analyse du Registre ou les résultats de l’analyse de disque.
    • Collection d’inventaire des pods : Vérifiez que la collecte d’inventaire des pods est activée pour le cluster. L’inventaire des pods peut être collecté par le capteur Defender ou par collection sans agent, en fonction de la configuration du déploiement.
    • Connecteur et autorisations : Vérifiez que le connecteur AWS et les autorisations cloud requises sont correctement configurés.
    • Examen approfondi : Si l’analyse des vulnérabilités, la collecte d’inventaire des pods et les autorisations de connecteur sont configurées, mais que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du cluster, l’espace de noms, le nom de la charge de travail, le nom de l’image et le digest d’image.

Alertes d’exécution

• Aucune alerte de plan de contrôle générée
  • Journalisation d’audit : Les journaux d’audit doivent être activés pour chaque cluster. Exécution : aws eks update-cluster-config --name <cluster-name> --logging '{"clusterLogging":[{"types":["audit","authenticator"],"enabled":true}]}'
  • Configuration SQS: Vérifiez que CloudTrail envoie correctement des logs à la file d’attente SQS utilisée par le connecteur. Vérifiez que l’ARN SQS est exact dans les paramètres du connecteur.

Posture et découverte

• Limitations de GKE Autopilot

  Important

  Sur les clusters GKE Autopilot, vous ne pouvez pas configurer ou remplacer manuellement les limites de ressources pour le capteur Defender. Le capteur est conçu pour demander automatiquement les ressources minimales requises par la planification spécialisée d’Autopilot.

• Erreurs de compte de service

  • Service Account Email : Confirmez que l'adresse e-mail du compte de service dans le portail Azure, correspond à l'adresse e-mail générée dans la console GCP.
  • Rôles IAM : Vérifiez que le compte de service dispose des rôles container.viewer et container.clusters.update au niveau du projet.

Problèmes d’évaluation du Registre

• Détection des vulnérabilités manquantes dans le Registre d’artefacts

  • Symptômes: Les résultats des vulnérabilités n’apparaissent pas pour les images stockées dans Google Artifact Registry.
  • Résolution :
    • Analyse du registre : Vérifiez que la fonctionnalité d’analyse du registre pertinente est activée pour Defender pour Containers. Dans les paramètres du connecteur GCP, vérifiez que l’accès au Registre est activé.
    • Examen approfondi : Si l’analyse du Registre est activée et que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du Registre, le nom de l’image, la synthèse des images et les détails de recherche attendus.

• Détection des vulnérabilités manquantes pour les images s’exécutant sur des clusters GKE

  • Symptômes: Les résultats des vulnérabilités n’apparaissent pas pour les images qui s’exécutent actuellement dans les charges de travail GKE.
  • Résolution :
    • analyse de vulnérabilités : Vérifiez que la capacité d'analyse des vulnérabilités pertinente est activée pour Defender pour les conteneurs. Les résultats des vulnérabilités du runtime dépendent des résultats d’analyse disponibles pour l’image en cours d’exécution, tels que l’analyse du Registre ou les résultats de l’analyse de disque.
    • Collection d’inventaire des pods : Vérifiez que la collecte d’inventaire des pods est activée pour le cluster. L’inventaire des pods peut être collecté par le capteur Defender ou par collection sans agent, en fonction de la configuration du déploiement.
    • Connecteur et autorisations : Vérifiez que le connecteur GCP et les autorisations cloud requises sont correctement configurés.
    • Examen approfondi : Si l’analyse des vulnérabilités et la collecte d’inventaire des pods sont activées, mais que les résultats sont toujours manquants, ouvrez un cas de support avec le nom du cluster, l’espace de noms, le nom de la charge de travail, le nom de l’image et la synthèse d’image.

Connectivité Arc

• État du cluster « Déconnecté »
  • Network Egress : Vérifiez que le cluster peut atteindre les points de terminaison de Azure Arc requis sur TCP 443.
  • Synchronisation de l’heure : Vérifiez que l’heure du système de nœud est exacte et synchronisée via NTP. Si l'horloge du nœud dérive de manière significative, le processus de handshake du certificat Arc échouera, ce qui empêchera le déploiement des composants.
  • Configuration du proxy : Si votre environnement utilise un proxy, vérifiez que les agents Arc sont configurés avec les paramètres corrects http_proxy et https_proxy pendant l’étape az connectedk8s connect.

Gestion des extensions

• Extension Defender bloqué dans « Création » ou « Échec »

  • Journaux d’activité de l’agent : Consultez les journaux d’activité de l’agent Arc pour obtenir des erreurs détaillées : kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent
  • Réinstallation: Si l’extension reste bloquée, supprimez-la et recréez-la via l’interface CLI : az k8s-extension delete --cluster-name <name> --resource-group <rg> --cluster-type connectedClusters --name microsoft.azuredefender.kubernetes

• Pod capteur Defender « ImagePullBackOff »

  • Symptômes: Les pods ne parviennent pas à démarrer avec une erreur d’extraction d’image.
  • Résolution :
    • connectivité MCR : Vérifier que les nœuds peuvent atteindre mcr.microsoft.com pour extraire l’image Defender.
    • Conflits d’espaces de noms : Vérifiez qu’aucune autre solution de sécurité ou contrôleurs d’admission n’interfèrent avec l’espace mdc de noms.