Microsoft Defender for Cloud でコンテナーのDefenderを有効にする

Azure ポータルにサインインします。

Microsoft Defender for Cloud>Environment settings に移動します。

AKS クラスターが配置されているサブスクリプションを選択します。

[Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。

[コンテナー プラン] 行で [設定] を 選択します。

コンテナー コンポーネントに関連するDefenderOn または Off を切り替えます。

• マシンのエージェントレス スキャン
  Kubernetes ノードでエージェントレスの脆弱性とシークレット スキャンを実行します。

  • エージェントレス スキャンからマシンを除外するには、除外タグの名前と値を追加します。

• Defender センサー:
  Defender センサーをクラスター ノードにデプロイして、脅威検出に使用されるランタイム セキュリティ テレメトリを収集します。

  • Enable Defender Security Gating: クラスターでワークロードを実行する前に、セキュリティ ポリシーに対してデプロイを評価するアドミッション制御レイヤーを追加します。
  • Enable Defender Runtime Anti Malware: Kubernetes ホストとコンテナーのランタイム マルウェア検出を有効にし、必要に応じて悪意のあるファイルの実行をリアルタイムでブロックできます。

• Azure Policy
  Kubernetes のAzure Policyアドオンをデプロイして、Kubernetes のセキュリティ体制の評価と関連するセキュリティに関する推奨事項を有効にします。

• Kubernetes API アクセス
  クラスター インベントリ、構成分析、および Kubernetes メタデータに依存する機能のために、Defender for Cloudが Kubernetes API にアクセスできるようにします。

• レジストリ アクセス
  接続されたレジストリに格納されているコンテナー イメージのエージェントレス脆弱性評価を有効にします。

  • セキュリティの結果: 新しいイメージがプッシュされるか、既存のイメージが更新されたときに、結果を生成し、コンテナー イメージにリンクします。

続行を選択します。

保存を選びます。

Azure ポータルにサインインします。

Microsoft Defender for Cloud>Environment settings に移動します。

関連する AWS コネクタを選択します。

[Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。

[コンテナー プラン] 行で [設定] を 選択します。

コンテナーの関連する Defenders for Containers コンポーネントの オン を切り替えます。

• エージェントを使用しない脅威保護
  Kubernetes コントロール プレーン監査ログを収集し、コントロール プレーンの脅威検出用に分析します。 ログは AWS サービス (CloudWatch、S3、Kinesis、SQS など) を介してルーティングされます。

  • 有効な場合は、監査ログの保持期間 (日数) を設定して、コントロール プレーン監査ログの保存期間を制御します。

• Azure Arc 用にDefenderのセンサーを自動プロビジョニングします
  Defender センサーを Azure Arc Kubernetes 拡張機能としてデプロイします。 このセンサーはクラスター ノード上で DaemonSet として実行され、ノードとワークロードテレメトリに基づく実行時の脅威検出を提供します。

  Note

  自動プロビジョニングを有効にすると、クラスターが検出された後にDefender センサーがインストールされ、完了までに数時間かかることがあります。

• Azure Arc に対する Azure Policy 拡張機能を自動プロビジョニングします
  kubernetes のセキュリティ体制評価と関連するセキュリティに関する推奨事項を有効にするために、Azure Policy拡張機能をクラスターにデプロイします。

• Kubernetes API アクセス
  クラスター インベントリ、構成分析、および Kubernetes のメタデータと状態に依存する機能のために、Defender for Cloudが Kubernetes API サーバーにアクセスできるようにします。

• レジストリ アクセス Amazon ECR のコンテナー イメージに対するエージェントレス脆弱性評価を有効にします。 ECR にプッシュされた画像は自動的にスキャンされます (通常は 24 時間以内)。

  • セキュリティの結果: 新しいイメージがプッシュされるか、既存のイメージが更新されたときに、結果を生成し、コンテナー イメージにリンクします。

保存を選びます。

[次へ - アクセスの構成]> を選択します。

AWS CloudFormation テンプレートを再生成して更新し、有効なコンポーネントに必要なアクセス許可を適用します。

「次へ: 確認して生成」を選択してください。

[ 更新] を選択します。

Azure ポータルにサインインします。

Microsoft Defender for Cloud>Environment settings に移動します。

該当する GCP コネクタを選択します。

[Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。

[コンテナー プラン] 行で [設定] を 選択します。

関連する Defender for Containers の コンポーネントをオンに切り替えます。

• エージェントを使用しない脅威保護
  Kubernetes コントロール プレーン監査ログを収集し、コントロール プレーンの脅威検出用に分析します。 ログは GKE から Google Cloud プロジェクトにエクスポートされます。

• Azure Arc 用にDefenderのセンサーを自動プロビジョニングします
  Defender センサーを Azure Arc Kubernetes 拡張機能としてデプロイします。 このセンサーはクラスター ノード上で DaemonSet として実行され、ノードとワークロードテレメトリに基づく実行時の脅威検出を提供します。

  • Defender セキュリティ ゲーティングを有効にする
    クラスターでワークロードを実行する前に、セキュリティ ポリシーに対してデプロイを評価するアドミッション制御レイヤーを追加します。

  Note

  自動プロビジョニングを有効にすると、クラスターが検出された後にDefender センサーがインストールされ、完了までに数時間かかることがあります。

• Azure Arc に対する Azure Policy 拡張機能を自動プロビジョニングします
  kubernetes のセキュリティ体制評価と関連するセキュリティに関する推奨事項を有効にするために、Azure Policy拡張機能をクラスターにデプロイします。

• Kubernetes API アクセス
  クラスター インベントリ、構成分析、および Kubernetes メタデータとクラスターの状態に依存する機能のために、Defender for Cloudが Kubernetes API サーバーにアクセスできるようにします。

• レジストリ アクセス
  Google Container Registry (GCR) と Artifact Registry に格納されているコンテナー イメージのエージェントレス脆弱性評価を有効にします。

  • セキュリティの結果: 新しいイメージがプッシュされるか、既存のイメージが更新されたときに、結果を生成し、コンテナー イメージにリンクします。

保存を選びます。

[次へ - アクセスの構成]> を選択します。

GCP プロジェクトでオンボード スクリプトを再生成して再デプロイし、有効なコンポーネントに必要なアクセス許可を適用します。

「次へ: 確認して生成」を選択してください。

[ 更新] を選択します。

Azure ポータルにサインインします。

Microsoft Defender for Cloud>Environment settings に移動します。

Azure Arcが有効な Kubernetes クラスター リソースを含むAzure サブスクリプションを選択します。

[Defender プラン] ページで、[ コンテナー ] 行を見つけて、状態を [オン] に切り替えます。

[コンテナー プラン] 行で [設定] を 選択します。

コンテナーの関連する Defenders for Containers コンポーネントの オン を切り替えます。

• マシンのエージェントレス スキャン
  Kubernetes ノードでエージェントレスの脆弱性とシークレット スキャンを実行します。

• Defender センサー:
  Defender センサーをクラスター ノードにデプロイして、脅威検出に使用されるランタイム セキュリティ テレメトリを収集します。

• Azure Policy
  Kubernetes のAzure Policyアドオンをデプロイして、Kubernetes のセキュリティ体制の評価と関連するセキュリティに関する推奨事項を有効にします。

• Kubernetes API アクセス
  クラスター インベントリ、構成分析、および Kubernetes メタデータに依存する機能のために、Defender for Cloudが Kubernetes API にアクセスできるようにします。

• レジストリ アクセス
  接続されたレジストリに格納されているコンテナー イメージのエージェントレス脆弱性評価を有効にします。

保存を選びます。