コンテナーのMicrosoft Defenderの展開計画

この記事は、Kubernetes 環境間でコンテナーのMicrosoft Defenderをデプロイする方法を計画するのに役立ちます。 ここでは、Kubernetes クラスターにデプロイされるコンテナー コンポーネントのDefenderに重点を置いています。これには、Defender センサーや Kubernetes のAzure Policyが含まれます。

レジストリ アクセス、Kubernetes API アクセス、エージェントレス脅威保護などのその他の機能は、Defender for Containers プランまたはコネクタ設定によって有効になります。

環境のオンボード

Defender for Containers でクラスター コンポーネントをデプロイする前に、Kubernetes 環境を Microsoft Defender for Cloud に接続する必要があります。

展開オプション

自動プロビジョニング

自動プロビジョニングを有効にすると、Microsoft Defender for Cloudでは、コンテナーのDefenderプランと関連する設定が有効になった後に、サポートされているクラスター コンポーネントがインストールされます。

AKS クラスターの場合、Defender センサーのデプロイでは、Defender AKS アドオンが使用されます。 EKS および GKE クラスターのデプロイでは、AWS または GCP コネクタ フローを介して作成された Arc 対応 Kubernetes リソースに対して、Azure Arc Kubernetes 拡張機能が使用されます。

Azure Arcに直接接続されているオンプレミスおよびその他の Kubernetes クラスターの場合は、まずクラスターを Azure Arc に接続する必要があります。その後、コンテナーの関連するDefender設定が有効になった後、デプロイでは kubernetes 拡張機能Azure Arc使用されます。

コンテナーのDefenderプランを有効にしてから、センサーを手動でデプロイする前に、タグを使用して特定のクラスターを除外することで、Defenderセンサーの自動プロビジョニングをカスタマイズできます。

自動プロビジョニングでは、クラスターが検出された後にDefender センサーがインストールされ、完了までに数時間かかることがあります。

手動デプロイを使用するか、自動Defender センサー プロビジョニングから特定のクラスターを除外し、センサーを手動でデプロイして、Defender センサーを直ちにインストールします。

手動デプロイ

自動プロビジョニングが無効になっている場合、サポートされているクラスター コンポーネントは自動的にデプロイされません。 サポートされているコンポーネントは手動でデプロイできます。

手動デプロイは、自動Defender センサー プロビジョニングから除外されるクラスターでのDefender センサーのデプロイにも使用できます。

次のいずれかの方法を使用して、コンポーネントを手動でデプロイできます。

• Azure CLI

• Helm を使用して Defender for Containers センサーをインストールします

デプロイ後の手順

デプロイ後、Defenderコンポーネントが正しく実行されていることを確認し、問題に対処します。

• Defender for Containers の展開を確認する

• Defender for Containers のデプロイのトラブルシューティング

関連するコンテンツ

• Defender for Containers を有効にする:

• 自動Defender センサー プロビジョニングからクラスターを除外します