Zkoumání kontejnerových hrozeb a reakce na ně na portálu Microsoft Defender
Důležité
Některé informace v tomto článku se týkají předem vydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje žádné záruky vyjádřené ani předpokládané, pokud jde o zde uvedené informace
Operace zabezpečení teď můžou prošetřovat výstrahy související s kontejnery a reagovat na ně téměř v reálném čase na portálu Microsoft Defender s využitím integrace akcí odpovědí nativních pro cloud a protokolů šetření pro vyhledávání souvisejících aktivit. Dostupnost cest útoku může také analytikům pomoct okamžitě prošetřit a vyřešit kritické problémy zabezpečení, aby se zabránilo potenciálnímu porušení zabezpečení.
Vzhledem k tomu, že organizace používají kontejnery a Kubernetes na platformách, jako jsou Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) a ad Amazon Elastic Kubernetes Service (EKS), rozšiřuje se prostor pro útoky, což zvyšuje bezpečnostní výzvy. Na kontejnery můžou cílit také aktéři hrozeb a používat je ke škodlivým účelům.
Analytici soc (Security Operations Center) teď můžou snadno sledovat kontejnerové hrozby pomocí výstrah téměř v reálném čase a okamžitě na tyto hrozby reagovat izolováním nebo ukončením podů kontejnerů. Tato integrace umožňuje analytikům okamžitě zmírnit útok na kontejner ze svého prostředí jedním kliknutím.
Analytici pak můžou prozkoumat celý rozsah útoku s možností vyhledat související aktivity v grafu incidentů. Mohou také dále uplatňovat preventivní akce s dostupností potenciálních cest útoku v grafu incidentů. Použití informací z cest útoku umožňuje bezpečnostním týmům zkontrolovat cesty a zabránit možným porušením zabezpečení. Kromě toho jsou pro analytiky k dispozici sestavy analýzy hrozeb specifické pro hrozby a útoky na kontejnery, aby získali další informace a použili doporučení pro reakci na útoky na kontejnery a jejich prevenci.
Požadavky
K zobrazení a řešení výstrah souvisejících s kontejnery na portálu Microsoft Defender jsou potřeba následující licence:
Poznámka
Akce odezvy izolovat pod vyžaduje vynucování zásad sítě. Zkontrolujte, jestli je v clusteru Kubernetes nainstalované zásady sítě.
Uživatelé v plánu Microsoft Defender pro správu stavu zabezpečení cloudu můžou zobrazit cesty útoku v grafu incidentů.
Uživatelé se zřízeným přístupem k Microsoft Security Copilot můžou také využít odpovědi s asistencí k prozkoumání a nápravě hrozeb kontejnerů.
Oprávnění
Aby mohli uživatelé provádět jakékoli akce odpovědi, musí mít následující oprávnění pro Microsoft Defender for Cloud v Microsoft Defender XDR sjednoceného řízení přístupu na základě role:
| Název oprávnění | Úroveň |
|---|---|
| Upozornění | Správa |
| Odpověď | Správa |
Další informace o těchto oprávněních najdete v tématu Oprávnění v Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC).
Zkoumání hrozeb kontejnerů
Prozkoumání hrozeb kontejnerů na portálu Microsoft Defender:
- V levé navigační nabídce vyberte Vyšetřování & reakce > Incidenty a výstrahy a otevřete tak fronty incidentů nebo výstrah.
- Ve frontě vyberte Filtr a v části Zdroj služby zvolte Microsoft Defender pro Cloud > Microsoft Defender pro kontejnery.
- V grafu incidentů vyberte entitu podu, služby nebo clusteru, kterou potřebujete prozkoumat. Výběrem možnosti Podrobnosti služby Kubernetes, Podrobnosti o podu Kubernetes, Podrobnosti o clusteru Kubernetes nebo Podrobnosti registru kontejneru zobrazíte relevantní informace o službě, podu nebo registru.
Pomocí sestav analýzy hrozeb můžou analytici využít analýzu hrozeb od odborných pracovníků microsoftu v oblasti zabezpečení, aby se dozvěděli o aktivních aktérech hrozeb a kampaních, které využívají kontejnery, nových technikách útoku, které můžou ovlivnit kontejnery, a nejčastějších hrozbách, které mají vliv na kontejnery.
Získejte přístup k sestavám analýzy hrozeb z analýzy hrozeb>. Můžete také otevřít konkrétní sestavu ze stránky incidentu výběrem možnosti Zobrazit sestavu analýzy hrozeb v části Související hrozby v bočním podokně incidentu.
Sestavy analýzy hrozeb také obsahují relevantní metody zmírnění, obnovení a prevence, které analytici můžou posoudit a použít ve svém prostředí. Použití informací v sestavách analýzy hrozeb pomáhá týmům SOC chránit a chránit své prostředí před útoky na kontejnery. Tady je příklad zprávy analytika o útoku na kontejnery.
Reakce na hrozby kontejnerů
Jakmile zjistíte, že je pod napadený nebo škodlivý, můžete ho izolovat nebo ukončit . V grafu incidentů vyberte pod a pak přejděte na Akce a zobrazte dostupné akce odpovědi. Tyto akce odpovědi najdete také v podokně na straně entity.
Po dokončení šetření můžete pod z izolace uvolnit pomocí akce uvolnění z izolace . Tato možnost se zobrazí v bočním podokně pro izolované pody.
Podrobnosti o všech akcích odpovědí můžete zobrazit v Centru akcí. Na stránce Centrum akcí vyberte akci odpovědi, kterou chcete zkontrolovat, a zobrazte další informace o akci, jako je entita, se kterou byla akce provedena, a zobrazte komentáře k akci. U izolovaných podů je akce uvolnění z izolace k dispozici také v podokně podrobností centra akcí.
Vyhledávání aktivit souvisejících s kontejnery
Pokud chcete určit úplný rozsah útoku na kontejner, můžete prohloubit šetření pomocí akce Go hunt , která je k dispozici v grafu incidentů. Všechny události procesů a aktivity související s incidenty souvisejícími s kontejnery můžete okamžitě zobrazit z grafu incidentů.
Na stránce Rozšířené proaktivní vyhledávání můžete rozšířit hledání aktivit souvisejících s kontejnery pomocí tabulek CloudProcessEvents a CloudAuditEvents .
Tabulka CloudProcessEvents obsahuje informace o událostech procesů v prostředích hostovaných ve více cloudech, jako jsou Azure Kubernetes Service, Amazon Elastic Kubernetes Service a Google Kubernetes Engine. Na druhou stranu tabulka CloudAuditEvents obsahuje události auditu cloudu z cloudových platforem chráněných službou Microsoft Defender for Cloud. Obsahuje také protokoly Kubeaudit, které obsahují informace o událostech souvisejících s Kubernetes.