Microsoft Defender for Containers は、マルチクラウド環境とオンプレミス環境全体で、コンテナー化された資産 (Kubernetes クラスター、Kubernetes ノード、Kubernetes ワークロード、コンテナー レジストリ、コンテナー イメージなど) とそのアプリケーションのセキュリティを向上、監視、および維持するためのクラウドネイティブ ソリューションです。
詳細についてはMicrosoft Defender for Containers の概要を参照してください。
Defender for Container の価格の詳細については、価格に関するページを参照してください。 Defender for Cloud コスト計算ツールを使用してコストを見積もることもできます。
[前提条件]
Microsoft Azure サブスクリプションが必要です。 Azure サブスクリプションをお持ちでない場合は、無料サブスクリプションにサインアップすることができます。
Azure サブスクリプションで Microsoft Defender for Cloud を有効にしている必要があります。
Defender センサーが Microsoft Defender for Cloud に接続してセキュリティ データとイベントを送信できるように、必要な完全修飾ドメイン名 (FQDN) またはアプリケーション エンドポイントが発信アクセス用に構成されていることを確認します。
注
既定で、AKS クラスターは、送信 (エグレス) インターネット アクセスが無制限です。
Defender for Containers プランを有効にする
既定では、Azure portal からプランを有効にすると、Microsoft Defender for Containers は、既定のワークスペースの割り当てを含め、プランによって提供される保護の提供に必要なコンポーネントを自動的にインストールするように構成されます。
カスタム ワークスペースを割り当てる場合は、Azure Policy を使用して割り当てることができます。
サブスクリプションで Defender for Containers プランを有効にするには、次を行います。
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
Defender for Cloud のメニューで、[環境設定] を選択します。
適切な Azure サブスクリプションを選択します。
[Defender プラン] ページで、[Containers プラン] を [オン] に切り替えます。
![[Defender プラン] ページで、[Containers プラン] スイッチをオンに切り替える場所を示すスクリーンショット。](media/tutorial-enable-containers-azure/containers-enabled-aks.png)
保存 を選択します。
![[Defender プラン] ページで、[Containers プラン] スイッチをオンに切り替える場所を示すスクリーンショット。](media/tutorial-enable-containers-azure/containers-enabled-aks.png#lightbox)
Azure に Defender センサーをデプロイする
注
グローバルまたは特定のリソースに対して個々の Defender for Containers 機能を有効または無効にするには、「Microsoft Defender for Containers コンポーネントを有効にする方法」を参照してください。
Defender for Containers プランを有効にし、関連するすべてのコンポーネントをさまざまな方法でデプロイできます。 Azure portal を使用してこれを実現する手順について説明します。 REST API、Azure CLI、または Resource Manager テンプレートを使用して Defender センサーをデプロイする方法について説明します。
Von Bedeutung
Helm を使用した Defender センサーの展開: 自動プロビジョニングおよび自動的に更新される他のオプションとは異なり、Helm では Defender センサーを柔軟に展開できます。 このアプローチは、DevOps とコードとしてのインフラストラクチャのシナリオで特に役立ちます。 Helm を使用すると、CI/CD パイプラインにデプロイを統合し、すべてのセンサー更新を制御できます。 プレビューバージョンと GA バージョンを受け取ることもできます。 Helm を使用して Defender センサーをインストールする手順については、「Helm を使用した Defender for Containers センサーのインストール」を参照してください。
Azure に Defender センサーをデプロイするには:
Azure portal にサインインします。
「Microsoft Defender for Cloud」を検索して選択します。
[推奨事項] ページに移動します。
Azure Kubernetes Service clusters should have Defender profile enabled推奨事項を見つけて選択します。![[推奨事項] ページで Azure Kubernetes サービス クラスターの推奨事項を見つけて選択する場所を示すスクリーンショット。](media/tutorial-enable-containers-azure/recommendation-search.png)
関連する影響を受けるすべてのリソースを選択します。
[修正プログラム] を選択します。
![影響を受けたリソースが選択された [推奨事項] で、[修正] ボタンを選択する方法を示すスクリーンショット。](media/tutorial-enable-containers-azure/affected-fix.png)
![[推奨事項] ページで Azure Kubernetes サービス クラスターの推奨事項を見つけて選択する場所を示すスクリーンショット。](media/tutorial-enable-containers-azure/recommendation-search.png#lightbox)
![影響を受けたリソースが選択された [推奨事項] で、[修正] ボタンを選択する方法を示すスクリーンショット。](media/tutorial-enable-containers-azure/affected-fix.png#lightbox)
次のステップ
Defender for Containers の高度な有効化機能については、「Microsoft Defender for Containers を有効にする」ページを参照してください。