I den här artikeln beskrivs hur du inaktiverar Microsoft Defender för containrar och tar bort dess komponenter efter miljö.
Om du inaktiverar planen Defender för containrar eller avaktiverar automatisk etablering, stoppas framtida distributioner men avinstallerar inte de Defender-komponenter som redan har distribuerats till klustren. Dessa komponenter tas bort separat.
Vad slutar fungera efter borttagning
När du har tagit bort Defender för containrar-komponenter, från ett AKS-kluster:
Upptäckt av hot under körning baserat på Defender-sensordata pågår.
Kubernetes säkerhetsrekommendationer relaterade till Azure Policy för Kubernetes slutar uppdateras.
Aviseringar baserade på AKS-körningssignaler och Kubernetes-granskningsdata slutar genereras.
Nya sårbarhetsfynd för containeravbildningar i Azure Container Registry (ACR) genereras inte längre i denna miljö.
Inaktivera Defender-plan för containrar
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Välj den prenumeration som innehåller dina AKS-kluster.
På sidan Defender-planer slår du Containrar till Av.
Välj Spara.
Ta bort Defender tillägg från AKS-kluster
Ta bort profilen Defender för containrar från AKS-klustret
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
Inaktivera Azure Policy-tillägg
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
Verifiera borttagning
Kontrollera AKS-klusterpoddar
kubectl get pods -A | grep defender
Inga resurser ska returneras.
Verifiera planstatus
az security pricing show --name 'Containers'
Utdata ska visas pricingTier som Free.
Vad slutar fungera efter borttagning
Efter att du har tagit bort de Defender för containrar-komponenter från ett EKS-kluster:
Identifiering av hot under körning från Defender-sensorn som distribueras genom Azure Arc stoppas.
Kubernetes säkerhetsrekommendationer för klustret slutar att uppdateras.
Aviseringar baserade på Kubernetes körningstid och granskningssignaler upphör att genereras.
Sårbarhetsresultat för containerbilder i Amazon ECR slutar att uppdateras för den här miljön.
Agentlös identifiering och kontrollplansbaserade identifieringar stoppas om relaterade behörigheter och integreringar på AWS-sidan tas bort.
Ta bort Defender tillägg från EKS-kluster
Defender for Containers distribuerar komponenter till EKS-kluster med hjälp av Azure Arc-aktiverade Kubernetes. Följande steg tar bort dessa Arc-tillägg.
Ta bort Defender-tillägget
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Ta bort Azure Policy-tillägget (om det är installerat)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Koppla från kluster från Azure Arc
Note
Om du kopplar från ett kluster från Azure Arc tar du bort åtkomsten till alla Arc-tillägg, inte bara Defender för containrar.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Inaktivera Defender för Containers-plan på AWS-connectorn
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Välj relevant AWS-anslutning.
Välj inställningar.
Stäng av Containers till Av.
Välj Spara.
Ta bort AWS-anslutningstjänsten (valfritt)
Om du inte längre vill att Defender för molnet ska övervaka ditt AWS-konto:
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Hitta din AWS-anslutning.
Välj ellipsen (...).
Välj Ta bort.
Bekräfta borttagning.
Ta bort AWS-resurser som skapats för runtime-skydd (valfritt)
Ta endast bort dessa resurser om körningshotskyddet för EKS har aktiverats och du inte längre använder Defender för containrar för klustret.
Note
Dessa resurser skapas per kluster. Om du tar bort dem medan körningsskydd fortfarande är aktiverat kan datainsamlingen stoppas.
Ta bort AWS IAM-roller och identitetsprovidrar (valfritt)
Om du helt avregistrerar ditt AWS-konto från Microsoft Defender för molnet kan du manuellt ta bort de IAM-roller och identitetsprovidrar som skapades under registreringen.
Använd AWS-konsolen eller CLI för att ta bort följande roller om de finns:
MDCContainersImageAssessmentRoleMDCContainersK8sRoleMDCContainersK8sDataCollectionRoleMDCContainersK8sCloudWatchToKinesisRoleMDCContainersK8sKinesisToS3RoleNameMDCContainersAgentlessDiscoveryK8sRole
Varning
Ta bara bort ASCDefendersOIDCIdentityProvider OpenID Connect-providern om du tar bort all Defender för molnet komponenter från det här AWS-kontot. Om du tar bort den här delade komponenten påverkas andra Defender för molnet planer.
Verifiera borttagning
Kontrollera Azure Arc-tillägg
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Bekräfta att microsoft.azuredefender.kubernetes inte finns på listan.
Kontrollera EKS-klusterpoddar
kubectl get pods -n mdc
Inga resurser ska returneras.
Vad slutar fungera efter borttagning
När du har tagit bort Defender-komponenter för containrar från ett GKE-kluster:
Hotidentifiering vid körning från Defender-sensorn som distribueras via Azure Arc har stoppat.
Kubernetes säkerhetsrekommendationer för klustret slutar att uppdateras.
Aviseringar baserade på Kubernetes driftstid och granskningssignaler upphör att genereras.
Sårbarhetsresultat för containeravbildningar i Google Container Registry eller Artifact Registry slutar att uppdateras i den här miljön.
Ta bort Defender tillägg från GKE-kluster
Ta bort Defender-tillägget
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Ta bort Azure Policy-tillägget (om det är installerat)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Koppla från GKE-kluster från Azure Arc
Note
Om du kopplar från ett kluster från Azure Arc tar du bort åtkomsten till alla Arc-tillägg, inte bara Defender för containrar.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Inaktivera Defender for Containers på GCP-anslutningen
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Välj relevant GCP-koppling.
Välj inställningar.
Stäng av Containers till Av.
Välj Spara.
Ta bort GCP-anslutningsappen (valfritt)
Gå till Microsoft Defender för molnet>Miljöinställningar.
Hitta din GCP-kontakt.
Välj menyn ... (fler alternativ).
Välj Ta bort.
Bekräfta borttagning.
Ta bort GCP-resurser som skapats för skydd vid körning (valfritt)
Ta bara bort dessa resurser om körningshotskyddet för GKE har aktiverats och du inte längre använder Defender för containrar för projektet.
Ta bort GCP-tjänstkonton och roller (valfritt)
Om du helt avregistrerar ditt GCP-projekt från Microsoft Defender för molnet kan du manuellt ta bort de tjänstkonton och roller som skapades under registreringen.
Använd Google Cloud-konsolen eller gcloud CLI för att ta bort följande tjänstkonton:
ms-defender-containersms-defender-containers-streammdc-containers-k8s-operatormdc-containers-artifact-assess
Ta bort följande anpassade roller:
MicrosoftDefenderContainersDataCollectionRoleMicrosoftDefenderContainersRoleMDCGkeClusterWriteRole
Varning
Ta bara bort containers och containers-streams OIDC-leverantörer för arbetsbelastningsidentitetspool om du tar bort alla Defender för molnet-komponenter. Det här är delade komponenter. Se dessutom till att inga andra tjänster än Defender använder API:et logging.googleapis.com innan du inaktiverar det.
Verifiera borttagning
Kontrollera Azure Arc-tillägg
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Bekräfta att microsoft.azuredefender.kubernetes inte finns med i listan.
Kontrollera poddar i GKE-klustret
kubectl get pods -n mdc
Inga resurser ska returneras.
Kontrollera Azure-portalen
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Kontrollera att GCP-anslutningsappen har tagits bort eller visar Containrar som inaktiverade.
Kontrollera att inga GKE-relaterade rekommendationer visas.
Vad slutar fungera efter borttagning
När du har tagit bort komponenter för Defender för containrar från ett Arc-aktiverat Kubernetes-kluster:
Körningshotidentifiering från Defender-sensorn stoppas.
Kubernetes säkerhetsrekommendationer för klustret slutar att uppdateras.
Aviseringar baserade på Kubernetes-runtime och granskningssignaler upphör att genereras.
Azure Policy-baserade konfigurationsutvärderingar för Kubernetes-arbetsbelastningar stoppas om Azure Policy-tillägget tas bort.
Inaktivera Defender-plan för containrar
Logga in på Azure-portalen.
Gå till Microsoft Defender för molnet>Miljöinställningar.
Välj den prenumeration som innehåller dina Arc-aktiverade Kubernetes-kluster.
På sidan Defender-planer slår du Containrar till Av.
Välj Spara.
Ta bort Defender tillägg från Arc-aktiverade kluster
Ta bort Defender-tillägget
az k8s-extension delete \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Ta bort Azure Policy-tillägget (om det är installerat)
az k8s-extension delete \
--name azurepolicy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--yes
Koppla från klustret från Azure Arc (valfritt)
Note
Om du kopplar från ett kluster från Azure Arc tar du bort åtkomsten till alla Arc-tillägg, inte bara Defender för containrar.
az connectedk8s delete \
--name <cluster-name> \
--resource-group <resource-group> \
--yes
Verifiera borttagning
Kontrollera Azure Arc-tillägg
az k8s-extension list \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>
Bekräfta att microsoft.azuredefender.kubernetes inte finns med i listan.
Kontrollera Arc-aktiverade klusterpoddar
kubectl get pods -n mdc
Inga resurser ska returneras.