Configurar componentes do Microsoft Defender para contêineres

  • 3 minutos

O Microsoft Defender para contêineres é a solução nativa de nuvem para proteger contêineres.

O Defender para contêineres protege os clusters quando estão em execução em:

  • AKS (Serviço de Kubernetes do Azure) - serviço gerenciado da Microsoft para desenvolvimento, implantação e gerenciamento de aplicativos conteinerizados.
  • Amazon Elastic Kubernetes Service (EKS) em uma conta conectada do Amazon Web Services (AWS) - serviço gerenciado do Amazon para execução de Kubernetes no AWS sem precisar instalar, operar e manter um painel de controle ou nós de Kubernetes.
  • GKE (Google Kubernetes Engine) em um projeto GCP (Google Cloud Platform) conectado – o ambiente gerenciado do Google para implantar, gerenciar e dimensionar aplicativos usando a infraestrutura GCP.
  • Outras distribuições de Kubernetes (usando Kubernetes habilitados para Azure Arc) - clusters de Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) hospedados no local ou na IaaS.

Requisitos de rede

Valide se os seguintes pontos de extremidade estão configurados para acesso de saída para que o agente do Defender possa se conectar ao Microsoft Defender para Nuvem e enviar dados de segurança e eventos:

  • Valide o FQDN (nome de domínio totalmente qualificado)/regras de aplicativo para o Microsoft Defender para contêineres.
  • Por padrão, os clusters do AKS têm acesso irrestrito de internet de saída.

Habilitar o plano

Habilitar o plano:

  1. No menu do Defender para Nuvem, abra a página de configurações e selecione a assinatura relevante.

  2. Na página Planos do Defender, selecione Defender para Contêineres e Configurações.

    Captura de tela mostrando como habilitar o Defender para Contêineres na página Configurações.

    Dica

    Se a assinatura já incluir os registros do Defender para Kubernetes e/ou do Defender para contêiner habilitados, um aviso de atualização será mostrado. Caso contrário, a única opção será Defender para contêineres.

    Captura de tela mostrando que a assinatura já tem o Defender para Kubernetes e o Defender para registros de contêiner habilitados.

  3. Ative o componente relevante para habilitá-lo.

    Captura de tela mostrando como ativar o componente relevante.

Método de habilitação por capacidade

Por padrão, ao habilitar o plano por meio do portal do Azure, o Microsoft Defender para contêineres é configurado para habilitar automaticamente todos os recursos e instalar todos os componentes necessários para fornecer as proteções oferecidas pelo plano, incluindo a atribuição de um espaço de trabalho padrão.

Se você não quiser habilitar todos os recursos dos planos, poderá selecionar manualmente quais recursos específicos habilitar selecionando Editar configuração para o plano Contêineres plano. Em seguida, na página de Monitoramento e Configurações, selecione os recursos que deseja habilitar. Além disso, você pode modificar essa configuração na página planos do Defender após a configuração inicial do plano.

Atribuindo espaço de trabalho personalizado para o agente do Defender

Você pode atribuir um workspace personalizado por meio da Azure Policy.

Implantação manual do agente do Defender ou do agente de política do Azure sem provisionamento automático usando recomendações

Os recursos que exigem a instalação do agente também podem ser implantados em um ou mais clusters do Kubernetes, usando a recomendação apropriada:

Agente Recomendação
Agente de defesa para Kubernetes Os clusters de Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado
Agente do Defender para Kubernetes habilitado para Arc Os clusters do Kubernetes habilitados para o Azure Arc devem ter a extensão do Defender instalada
Agente de política do Azure para Kubernetes Os clusters do Serviço de Kubernetes do Azure devem ter o complemento do Azure Policy para Kubernetes instalado
Agente de política do Azure para Kubernetes habilitado para Arc Os clusters do Kubernetes habilitados para Azure Arc devem ter a extensão Azure Policy instalada

Execute as seguintes etapas para executar a implantação do agente do Defender em clusters específicos:

  1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle Habilitar segurança aprimorada ou pesquise diretamente uma das recomendações acima (ou use os links acima para abrir a recomendação diretamente)

  2. Exiba todos os clusters sem um agente por meio da guia não íntegro.

  3. Selecione os clusters nos quais implantar o agente desejado e selecione Corrigir.

  4. Selecione Corrigir recursos X.

    • Visibilidade sobre qual dos clusters tem o agente do Defender implantado
    • Botão de correção para implantar nesses clusters sem o agente
    • Workspace: DefaultWorkspace-[subscription-ID]-[geo]
    • Grupo de recursos: DefaultResourceGroup-[geo]
    • A habilitação do provisionamento automático pode afetar os computadores existentes e futuros.
    • A desabilitação do provisionamento automático para uma extensão afeta apenas os computadores futuros, nada é desinstalado ao desabilitar o provisionamento automático.

Implantando o agente do Defender - todas as opções

Você pode habilitar o plano do Defender para Contêineres e implantar todos os componentes relevantes do portal do Azure, da API REST ou usando um modelo do Resource Manager. Para obter etapas detalhadas, selecione a guia relevante.

Depois que o agente do Defender for implantado, um espaço de trabalho padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado, no lugar do workspace, padrão por meio da Azure Policy.

Use o botão corrigir da recomendação do Defender para Nuvem

Um processo simplificado e descomplicado permite que você use as páginas do portal do Azure para habilitar o plano do Defender para Nuvem e configurar o provisionamento automático de todos os componentes necessários para defender seus clusters de Kubernetes em escala.

Uma recomendação dedicada do Defender para Nuvem fornece:

  1. Na página de recomendações do Microsoft Defender para Nuvem, abra o controle Habilitar segurança aprimorada.

  2. Use o filtro para localizar a recomendação chamada Clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado.

    Observação

    Observe o botão Correção na coluna ações

  3. Selecione os clusters para ver os detalhes dos recursos íntegros e não íntegros: clusters com e sem o agente.

  4. Na lista de recursos não íntegros, selecione um cluster e selecione Corrigir para abrir o painel com a confirmação de correção.

  5. Selecione Corrigir recursos X.

Simular alertas de segurança do Microsoft Defender para contêineres

  1. Para simular um alerta de segurança, execute o seguinte comando no cluster: kubectl get pods --namespace=asc-alerttest-662jfi039n A resposta esperada é No resource found. Dentro de 30 minutos, o Defender para Nuvem vai detectar essa atividade e disparar um alerta de segurança.

    Observação

    Para simular alertas sem agente para o Defender para contêineres, o Azure Arc não é um pré-requisito.

  2. No portal do Azure, abra a página de alertas de segurança do Microsoft Defender para Nuvem e procure o alerta no recurso relevante:

    Captura de tela mostrando a página de alertas de segurança do Microsoft Defender para Nuvem.

Workspace do Log Analytics padrão para o AKS

O workspace do Log Analytics é usado pelo agente do Defender como um pipeline de dados para enviar dados do cluster para o Defender para Nuvem sem reter dados no próprio workspace do Log Analytics. Como resultado, os usuários não serão cobrados nesse caso de uso.

O agente do Defender usa um workspace do Log Analytics padrão. Se você ainda não tiver um workspace do Log Analytics padrão, o Defender para Nuvem criará um grupo de recursos e um workspace padrão quando o agente do Defender for instalado. O workspace padrão é criado com base em sua região.

A convenção de nomenclatura do grupo de recursos e do workspace padrão do Log Analytics é:

Atribuir um workspace personalizado

Quando você habilitar a opção de provisionamento automático, um workspace padrão será atribuído automaticamente. Você pode atribuir um workspace personalizado por meio da Azure Policy.

Para verificar se você tem um workspace atribuído:

  1. Entre no portal do Azure.

  2. Pesquise por Política e selecione essa opção.

    Captura de tela mostrando como atribuir um workspace personalizado por meio da política do Azure.

  3. Selecione Definições.

  4. Procure a ID da política 1aaaaaa1-2bb2-3cc3-4dd4-5eeeeeeeeee5.

    Captura de tela mostrando as atribuições configuradas na página de Definição de política.

  5. Siga a tarefa Criar uma atribuição com workspace personalizado se a política ainda não tiver sido atribuída ao escopo relevante. Ou siga a Atualizar atribuição com workspace personalizado se a política já estiver atribuída e você quiser alterá-la para usar um workspace personalizado.

Criar uma atribuição com workspace personalizado

Se a política não tiver sido atribuída, você verá Assignments (0).

Captura de tela mostrando como criar uma atribuição com workspace personalizado.

Para atribuir workspace personalizado:

  1. Selecione Atribuir.

  2. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

  3. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

    Captura de tela mostrando como selecionar uma ID de Recurso do Workspace do Log Analytics.

  4. Selecione Examinar + criar.

  5. Selecione Criar.

Atualizar atribuição com workspace personalizado

Se a política já tiver sido atribuída a um workspace, você verá Assignments (1).

Captura de tela mostrando que uma atribuição existente está habilitada na página de Definição de política.

Observação

Se você tiver mais de uma assinatura, esse número poderá ser maior.

Para atribuir workspace personalizado:

  1. Selecione a atribuição relevante.

    Captura de tela mostrando como atribuir uma atribuição de workspace personalizado na página de definição de política.

  2. Selecione Editar atribuição.

  3. Na guia Parâmetros, desmarque a opção Mostrar somente os parâmetros que precisam de entrada ou revisão.

  4. Selecione uma ID de LogAnalyticsWorkspaceResource no menu suspenso.

    Captura de tela mostrando como configurar parâmetros para um workspace do Log Analytics.

  5. Selecione Examinar + salvar.

  6. Selecione Salvar.

Remover o sensor do Defender

Para remover essa extensão – ou qualquer uma – do Defender para Nuvem, não é suficiente desativar o provisionamento automático:

Para desativar totalmente o plano do Defender para Contêineres, acesse as Configurações de Ambiente e desabilite o plano do Microsoft Defender para contêineres.

No entanto, para garantir que os componentes do Defender para Contêineres não sejam provisionados automaticamente para seus recursos de agora em diante, desabilite o provisionamento automático das extensões, conforme explicado em Configurar o provisionamento automático para agentes e extensões do Microsoft Defender para Nuvem.

Você pode remover a extensão usando a API REST ou um modelo do Resource Manager, conforme explicado nas guias abaixo.

Usar CLI do Azure para remover o sensor do Defender

  1. Remova o Microsoft Defender com os seguintes comandos:

    
az login az account set --subscription <subscription-id> az aks update --disable-defender --resource-group <your-resource-group> --name <your-cluster-name>

    A remoção da extensão pode levar alguns minutos.

  2. Para verificar se a extensão foi removida com sucesso, execute o seguinte comando: kubectl get pods -n kube-system | grep microsoft-defender Quando a extensão for removida, você verá que nenhum pod é retornado no comando get pods. Pode demorar alguns minutos para os pods serem excluídos.