Microsoft Defender for Containers コンポーネントを構成する

ネットワークの要件

Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データやセキュリティ イベントを送信できるように、次のエンドポイントが送信アクセス用に構成されていることを確認します。

Defender センサーは、構成された Azure Monitor の Log Analytics ワークスペースに接続する必要があります。 既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。 クラスターからのイベント エグレスで Azure Monitor Private Link Scope (AMPLS) を使用する必要がある場合は、次の手順を実行します。

• Container の分析情報と Log Analytics ワークスペースを使用してクラスターを定義する。
• クラスターの Log Analytics ワークスペースを AMPLS のリソースとして定義する。
• AMPLS で、クラスターの仮想ネットワークと Log Analytics リソースの間に仮想ネットワークのプライベート エンドポイントを作成する。 仮想ネットワーク プライベート エンドポイントは、プライベート DNS ゾーンと統合されます。

手順については、「Azure Monitor Private Link Scope を作成する」を参照してください。

ネットワークの要件

パブリック クラウド デプロイ向けの次のエンドポイントが送信アクセス用に構成されていることを確認します。 それらを送信アクセス用に構成することで、Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データやセキュリティ イベントを送信できるようになります。

また、Azure Arc 対応 Kubernetes ネットワークの要件も検証する必要があります。

プランを有効にする

1. Defender for Cloud で 、[環境設定] を選択し、関連するサブスクリプションを選択します。

2. [ Defender プラン ] ページで、コンテナー プランを [オン ] に切り替え、その [設定] リンクを選択します。

3. 関連するコンポーネントをオンにします。

   

   注

   • 2023 年 8 月より前に参加していて、計画を有効にしたときに、Defender クラウド セキュリティ体制管理 (CSPM) の一部として K8S API アクセス が有効になっていない Defender for Containers のお客様は、Defender for Containers プラン内で K8S API アクセス トグルを手動で有効にする必要があります。
   • Defender for Containers を無効にすると、コンポーネントはオフに設定されます。 以後はコンテナーにデプロイされることはありませんが、既にインストールされているコンテナーからは削除されません。

機能に応じた有効化方法

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers では、自動的にすべての機能が有効になり、すべての必要なコンポーネントをインストールして、プランで用意されている保護を提供するように構成されます。 この構成には、デフォルトのワークスペースの割り当てが含まれます。

プランのすべての機能を有効にしない場合は、コンテナー プランの [設定] リンクを選択して、有効にする特定の機能を手動で選択できます。 その後、[設定および監視] ページで、有効にしたい機能を選択します。

また、プランの初期設定後に Defender プラン ページからこの構成を変更することも可能です。

各機能を有効にする方法についての詳細は、「サポート マトリックス」を参照してください。

ロールとアクセス許可

Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

Defender センサー用のカスタム ワークスペースを割り当てる

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

推奨事項を用いて行う、自動プロビジョニングによらない Defender センサーまたは Azure Policy エージェントの手動デプロイ

センサーのインストールを必要とする機能は、1 つまたは複数の Kubernetes クラスターにデプロイすることもできます。 次の適切な推奨事項を使用します。

特定のクラスターに Defender センサーをデプロイするには、次の手順に従います。

1. Microsoft Defender for Cloud の推奨事項ページで、[強化されたセキュリティを有効にする] セキュリティ コントロールを開くか、前述の推奨事項のいずれかを検索します。 (上記のリンクを使用して、推奨事項を直接開くこともできます)。

2. [異常] タブを開いて、センサーのないすべてのクラスターを表示します。

3. センサーをデプロイするクラスターを選択して、[修正] を選択します。

4. [X 個のリソースの修正] を選択します。

Defender センサーのデプロイ: すべてのオプション

Defender for Containers プランを有効にし、Azure portal、REST API、または Azure Resource Manager テンプレートを使用して、関連するすべてのコンポーネントをデプロイできます。 詳細な手順については、該当するタブを選択してください。

Defender センサーをデプロイすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用して、既定のワークスペースの代わりにカスタム ワークスペースを割り当てることができます。

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

{
  "___location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "logAnalyticsWorkspaceResourceId": "{{LAWorkspaceResourceId}}",
                "securityMonitoring": {
                    "enabled": true,
                }
            }
        }
    }
}

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "___location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "logAnalyticsWorkspaceResourceId": "logAnalyticsWorkspaceResourceId",
                "securityMonitoring": {
                    "enabled": true
                }
            }
        }
    }
}

プランを有効にする

1. Defender for Cloud で、[設定] を選択し、関連するサブスクリプションを選択します。

2. Defender プランページで、[Containers]>[設定] の順に選択します。

3. 関連するコンポーネントをオンにします。

   

   注

   Defender for Containers を無効にすると、コンポーネントはオフに設定されます。 以後はコンテナーにデプロイされることはありませんが、既にインストールされているコンテナーからは削除されません。

既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、プランで用意されている保護を提供するのに必要なコンポーネントを自動的にインストールするように構成されます。 この構成には、デフォルトのワークスペースの割り当てが含まれます。

オンボード プロセス中の自動インストールを無効にする場合は、コンテナープランの [構成の編集] を選択します。 詳細オプションが表示され、各コンポーネントの自動インストールを無効にできます。

Defender プランページから、この構成を変更することもできます。

Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

任意のコンポーネントの自動インストールを無効にすると、適切な推奨事項を使用することで、コンポーネントを 1 つまたは複数のクラスターに容易にデプロイできます。

• Kubernetes 用 Azure Policy アドオン: Azure Kubernetes Service のクラスターには、Kubernetes 用 Azure Policy アドオンがインストールされている必要がある
• Azure Kubernetes Service プロファイル: Azure Kubernetes Service のクラスターで Defender プロファイルを有効にする必要がある
• Azure Arc 対応 Kubernetes の Defender 拡張機能: Azure Arc 対応 Kubernetes のクラスターには、Defender 拡張機能がインストールされている必要がある
• Azure Arc 対応 Kubernetes の Azure Policy 拡張機能: Azure Arc 対応 Kubernetes のクラスターには、Azure Policy 拡張機能がインストールされている必要がある

Defender for Containers の拡張機能のプロビジョニングに使用されるロールの詳細を確認してください。

前提条件

センサーをデプロイする前に、次のことを確認します。

• Kubernetes クラスターを Azure Arc に接続する。
• 汎用クラスター拡張機能のドキュメントに記載されている前提条件を満たしている。

Defender センサーをデプロイする

さまざまな方法を使って Defender センサーをデプロイできます。 詳細な手順については、該当するタブを選択してください。

PUT https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

{ 
"properties": { 
    "extensionType": "microsoft.azuredefender.kubernetes",
"con    figurationSettings": { 
        "logAnalytics.workspaceId":"YOUR-WORKSPACE-ID"
    // ,    "auditLogPath":"PATH/TO/AUDITLOG"
    },
    "configurationProtectedSettings": {
        "logAnalytics.key":"YOUR-WORKSPACE-KEY"
    }
    }
} 

デプロイを検証する

クラスターに Defender センサーがインストールされていることを確認するには、次のいずれかのタブの手順に従います。

プランを有効にする

EKS クラスターを保護するには、次の手順に沿って、該当するアカウントのコネクタで Defender for Containers プランを有効にします。

1. Defender for Cloud で、[環境設定] を開きます。

2. AWS コネクタを選択します。

   

3. [Defender プラン] ページを選択し、コンテナー プランの切り替えが [オン] に設定されていることを確認します。

4. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • エージェントレス脅威保護機能は、クラスター コンテナーにランタイム保護を提供します。 この機能により、Kubernetes 監査ログが Microsoft Defender に送信されます。 [エージェントレス脅威保護] トグルを [オン] に設定し、監査ログの保持期間を設定します。

     注

     この構成を無効にすると、コントロール プレーンの脅威検出は無効になります。 詳細については、機能の可用性に関する情報を参照してください。

   • K8S API アクセス は、Kubernetes クラスターの API ベースの検出を許可するアクセス許可を設定します。 有効にするには、 K8S API アクセス のトグルを [オン] に設定します。

   • レジストリ アクセスは、 ECR に格納されているイメージの脆弱性評価を許可するアクセス許可を設定します。 有効にするには、[ レジストリ アクセス ] トグルを [オン] に設定します。

5. コネクタ ウィザードの残りのページに進みます。

6. Kubernetes のエージェントレス検出機能を有効にする場合は、クラスターに対するコントロール プレーンのアクセス許可を付与する必要があります。 次のいずれかの方法で、アクセス許可を付与できます。

   • この Python スクリプトを実行します。 このスクリプトは、オンボード対象である EKS クラスターの MDCContainersAgentlessDiscoveryK8sRole に Defender for Cloud ロール aws-auth ConfigMap を追加します。

   • 各 Amazon EKS クラスターに、クラスターとやり取りする権限を持つ MDCContainersAgentlessDiscoveryK8sRole ロールを付与します。 eksctl を使用して、すべての既存のクラスターと新しく作成されたクラスターにサインインし、次のスクリプトを実行します。

         eksctl create iamidentitymapping \ 
         --cluster my-cluster \ 
         --region region-code \ 
         --arn arn:aws:iam::account:role/MDCContainersAgentlessDiscoveryK8sRole \ 
         --group system:masters\ 
         --no-duplicate-arns
     

     詳細については、Amazon EKS ユーザー ガイドの「EKS アクセスエントリを使用して Kubernetes へのアクセスを IAM ユーザーに許可する」を参照してください。

7. Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy がインストールされ、EKS クラスターで実行されている必要があります。 これらの拡張機能 (および必要に応じて Azure Arc) のインストールには、次の専用 Defender for Cloud の推奨事項があります: EKS クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要があります。

   レコメンデーションによって提供された修復手順に従ってください。

   

EKS クラスターのレコメンデーションとアラートを表示する

EKS クラスターのアラートと推奨事項を表示するには、アラート、推奨事項、インベントリのページのフィルターを使用して、リソースの種類 AWS EKS クラスターでフィルター処理します。

Defender センサーをデプロイする

AWS クラスターに Defender センサーをデプロイするには、次の手順に従います。

1. [Microsoft Defender for Cloud]>[環境設定]>[環境の追加]>[アマゾン ウェブ サービス] の順に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、[Containers] プランを開き、[Azure Arc 用の Defender のセンサー自動プロビジョニング] が [オン] に設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. Cloud Formation テンプレートが正常にデプロイされたら、[作成] を選択します。

プランを有効にする

GKE クラスターを保護するには、次の手順に沿って、該当する GCP プロジェクトで Defender for Containers プランを有効にします。

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[環境の設定] に移動します。

3. 該当する GCP コネクタを選択します。

   

4. [次: プランを選択]> ボタンを選択します。

5. [Containers] プランのトグルが [オン] になっていることを確認します。

   

6. プランのオプションの構成を変更するには、[設定] を選択してください。

   

   • エージェントレス脅威検出: 既定で有効になっています。 この構成は、GCP プロジェクト レベルでのみ利用可能です。 これにより、詳細な分析のために、GCP Cloud Logging を使用して、Microsoft Defender for Cloud のバックエンドに監査ログ データをエージェントレスで収集できます。 Defender for Containers では、実行時の脅威に対する保護を提供するためにコントロール プレーン監査ログが必要です。 Kubernetes の監査ログを Microsoft Defender に送信するには、トグルを [オン] に設定します。

     注

     この構成を無効にすると、コントロール プレーンの脅威検出機能も無効になります。 詳細については、機能の可用性に関する情報を参照してください。

   • [Azure Arc 用に Defender のセンサーを自動プロビジョニングする] および [Azure Arc 用に Azure Policy 拡張機能を自動プロビジョニングする]: 既定で有効になっています。 GKE クラスターに、Azure Arc 対応 Kubernetes とその拡張機能をインストールするには、次の 3 つの方法があります。

     • このセクションの手順で説明しているように、Defender for Containers の自動プロビジョニングをプロジェクト レベルで有効にします。 この方法をお勧めします。
     • クラスターごとのインストールには、Defender for Cloud の推奨事項を使用します。 これは Microsoft Defender for Cloud の [推奨事項] ページに表示されます。 特定のクラスターにソリューションをデプロイする方法を確認してください。
     • Azure Arc 対応 Kubernetes と拡張機能を手動でインストールします。

   • K8S API アクセス機能は、Kubernetes クラスターの API ベースの検出を提供します。 K8S API アクセスの切り替えを [オン] に設定します。

   • レジストリ アクセス機能は、Google レジストリ (Google Artifact Registry と Google Container Registry) に格納されているイメージと、GKE クラスター上で実行されているイメージの脆弱性管理を提供します。 [レジストリ アクセス] トグルを [オン] に設定します。

7. [コピー] ボタンを選択します。

   

8. [GCP Cloud Shell]> ボタンを選択します。

9. Cloud Shell ターミナルにスクリプトを貼り付けて実行します。

コネクタは、スクリプトの実行後に更新されます。 このプロセスの完了には最大で 8 時間かかる可能性があります。

特定のクラスターにソリューションをデプロイする

GCP コネクタのオンボード プロセス中、または以降に、既定の自動プロビジョニング構成を [オフ] に設定した場合、各 GKE クラスターに Azure Arc 対応 Kubernetes、Defender センサー、Kubernetes 用 Azure Policy を手動でインストールする必要があります。 これらをインストールすることで、Defender for Containers からセキュリティ値全般を取得できるようになります。

拡張機能 (および必要に応じて Azure Arc) のインストールには、専用の Defender for Cloud の次の 2 つの推奨事項を使用できます。

• GKE クラスターには、Azure Arc 用の Microsoft Defender の拡張機能をインストールする必要がある
• GKE クラスターには、Azure Policy 拡張機能がインストールされている必要がある

特定のクラスターにソリューションをデプロイするには:

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[推奨事項] の順に移動します。

3. Defender for Cloud の推奨事項ページで、いずれかの推奨事項を名前で検索します。

   

4. 正常ではない GKE クラスターを選択します。

   重要

   クラスターは一度に 1 つずつ選択する必要があります。

   ハイパーリンクされている名前でクラスターを選択しないでください。 該当する行の他の場所を選択します。

5. 異常なリソースの名前を選択します。

6. [修正] を選択します。

   

7. Defender for Cloud によって、ユーザーが選択した言語でスクリプトが生成されます。

   • Linux の場合は、[Bash] を選択します。
   • Windows の場合は、[PowerShell] を選択します。

8. [修復ロジックをダウンロードする] を選択します。

9. 生成されたスクリプトをクラスターで実行します。

10. その他の推奨事項について、手順の 3 から 8 を繰り返します。

GKE クラスターのアラートを表示する

1. Azure portal にサインインします。

2. [Microsoft Defender for Cloud]>[セキュリティ アラート] の順に移動します。

3. ボタンを選択します。

4. [フィルター] のドロップダウン メニューで、[リソースの種類] を選択します。

5. [値] のドロップダウン メニューで、[GCP GKE クラスター] を選択します。

6. [OK] を選択します。

Defender センサーをデプロイする

GCP クラスターに Defender センサーをデプロイするには、次の手順に従います。

1. [Microsoft Defender for Cloud]>[環境設定]>[環境の追加]>[Google Cloud Platform] の順に移動します。

   

2. アカウントの詳細を入力します。

   

3. [プランの選択] に移動し、[Containers] プランを開き、[Azure Arc 用の Defender のセンサー自動プロビジョニング] が [オン] に設定されていることを確認します。

   

4. [アクセスの構成] に移動し、表示される手順に従います。

   

5. gcloud スクリプトが正常に実行されたら、[作成] を選択します。

Defender センサーを削除する

次のタブで説明するように、Azure portal、Azure CLI、または REST API を使用して、現在実行中のマシンから拡張機能を削除することができます。

DELETE https://management.azure.com/subscriptions/{{Subscription ID}}/resourcegroups/{{Resource Group}}/providers/Microsoft.Kubernetes/connectedClusters/{{Cluster Name}}/providers/Microsoft.KubernetesConfiguration/extensions/microsoft.azuredefender.kubernetes?api-version=2020-07-01-preview

az account get-access-token --subscription <your-subscription-id>

AKS の既定の Log Analytics ワークスペースを設定する

Defender センサーは、Log Analytics ワークスペースをデータ パイプラインとして使用し、クラスターから Defender for Cloud にデータを送信します。 ワークスペースではデータを保持しません。 そのため、このユース ケースではユーザーは課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがない場合は、Defender センサーのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、選択するリージョンに基づきます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニングを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. ポリシーを検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 64def556-fbad-4622-930e-72d1d5589bf5 を検索します。

   

5. [Defender プロファイルを有効にするように Azure Kubernetes Service クラスターを構成する] を選択します。

6. [割り当て] を選択します。

   

7. 以下に沿って、この記事の次のセクションのいずれかを使用します。

   • ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースの新しい割り当てを作成する」の手順に従います。
   • ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースの割り当てを更新する」の手順に従います。

カスタム ワークスペースの新しい割り当てを作成する

ポリシーがまだ割り当てられていない場合、[割り当て] タブには数字の「0」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. [割り当て] を選択します。

2. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

4. [確認と作成] を選択します。

5. [作成] を選択します。

カスタム ワークスペースの割り当てを更新する

ワークスペースにポリシーが割り当てられている場合、[割り当て] タブには数字の「1」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Azure Arc の既定の Log Analytics ワークスペース

Defender センサーは、Log Analytics ワークスペースをデータ パイプラインとして使用し、クラスターから Defender for Cloud にデータを送信します。 ワークスペースではデータを保持しません。 そのため、このユース ケースではユーザーは課金されません。

Defender センサーでは、既定の Log Analytics ワークスペースが使われます。 既定の Log Analytics ワークスペースがない場合は、Defender センサーのインストール時に、Defender for Cloud によって新しいリソース グループと既定のワークスペースが作成されます。 既定のワークスペースは、選択するリージョンに基づきます。

既定の Log Analytics ワークスペースとリソース グループの命名規則は次のとおりです。

• ワークスペース: DefaultWorkspace-[subscription-ID]-[geo]
• リソース グループ: DefaultResourceGroup-[geo]

カスタム ワークスペースを割り当てる

自動プロビジョニングを有効にすると、既定のワークスペースが自動的に割り当てられます。 Azure Policy を使用してカスタム ワークスペースを割り当てることができます。

ワークスペースが割り当てられているかどうかを確認するには:

1. Azure portal にサインインします。

2. ポリシーを検索して選択します。

   

3. [定義] を選択します。

4. ポリシー ID 708b60a6-d253-4fe0-9114-4be4c00f012c を検索します。

   

5. [Azure Arc 対応 Kubernetes クラスターを構成して Microsoft Defender for Cloud 拡張機能をインストールする] を選択します。

6. [割り当て] を選択します。

   

7. 以下に沿って、この記事の次のセクションのいずれかを使用します。

   • ポリシーが関連するスコープにまだ割り当てられていない場合は、「カスタム ワークスペースの新しい割り当てを作成する」の手順に従います。
   • ポリシーが既に割り当てられていて、カスタム ワークスペースを使用するようにそのポリシーを変更する場合は、「カスタム ワークスペースの割り当てを更新する」の手順に従います。

カスタム ワークスペースの新しい割り当てを作成する

ポリシーがまだ割り当てられていない場合、[割り当て] タブには数字の「0」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. [割り当て] を選択します。

2. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

3. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

4. [確認と作成] を選択します。

5. [作成] を選択します。

カスタム ワークスペースの割り当てを更新する

ワークスペースにポリシーが割り当てられている場合、[割り当て] タブには数字の「1」が表示されます。

次の手順に沿って、カスタム ワークスペースを割り当てます。

1. 関連する割り当てを選択します。

   

2. [割り当ての編集] を選択します。

3. [パラメーター] タブで、[入力またはレビューが必要なパラメーターのみを表示する] オプションの選択を解除します。

4. ドロップダウン メニューから LogAnalyticsWorkspaceResourceId 値を選択します。

   

5. [確認と保存] を選択します。

6. [保存] を選択します。

Defender センサーを削除する

この (またはいずれかの) Defender for Cloud 拡張機能を削除するには、自動プロビジョニングを無効にするだけでは不十分です。

• 自動プロビジョニングを有効にすることは、既存のマシンにも将来のマシンにも影響する可能性があります。
• 拡張機能の自動プロビジョニングを無効にすることは、将来のマシンにのみ影響します。 自動プロビジョニングを無効にしても、何もアンインストールはされません。

ただし、リソースへの Defender for Containers コンポーネントの自動プロビジョニングが今後、確実に行われないようにするには、拡張機能の自動プロビジョニングを無効にします。

次のタブで説明するように、REST API、Azure CLI、または Resource Manager テンプレートを使用して、現在実行中のマシンから拡張機能を削除することができます。

https://management.azure.com/subscriptions/{{SubscriptionId}}/resourcegroups/{{ResourceGroup}}/providers/Microsoft.ContainerService/managedClusters/{{ClusterName}}?api-version={{ApiVersion}}

{
  "___location": "{{Location}}",
  "properties": {
    "securityProfile": {
            "defender": {
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}

{ 
    "type": "Microsoft.ContainerService/managedClusters", 
    "apiVersion": "2022-06-01", 
    "name": "string", 
    "___location": "string",
    "properties": {
        …
        "securityProfile": { 
            "defender": { 
                "securityMonitoring": {
                    "enabled": false
                }
            }
        }
    }
}