Del via


Undersøg og reager på objektbeholdertrusler på Microsoft Defender-portalen

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et forududgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her

Sikkerhedshandlinger kan nu undersøge og reagere på objektbeholderrelaterede beskeder i næsten realtid og jage efter relaterede aktiviteter med integration af cloudbaserede svarhandlinger og undersøgelseslogge på Microsoft Defender-portalen. Tilgængeligheden af angrebsstier kan også hjælpe analytikere med straks at undersøge og løse kritiske sikkerhedsproblemer for at forhindre et potentielt brud.

I takt med at organisationer bruger objektbeholdere og Kubernetes på platforme som f.eks. Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), udvides angrebsoverfladen, hvilket øger sikkerhedsudfordringerne. Objektbeholdere kan også målrettes af trusselsaktører og bruges til skadelige formål.

SOC-analytikere (Security Operations Center) kan nu nemt spore objektbeholdertrusler med vigtige beskeder i næsten realtid og straks reagere på disse trusler ved at isolere eller afslutte objektbeholderkapsler. Denne integration giver analytikere mulighed for øjeblikkeligt at afhjælpe et objektbeholderangreb fra deres miljø med et klik.

Analytikere kan derefter undersøge det fulde omfang af angrebet med muligheden for at jage efter relaterede aktiviteter i hændelsesgrafen. De kan også anvende forebyggende handlinger yderligere med tilgængeligheden af potentielle angrebsstier i hændelsesgrafen. Brug af oplysningerne fra angrebsstierne gør det muligt for sikkerhedsteams at inspicere stierne og forhindre mulige brud. Derudover er trusselsanalyserapporter, der er specifikke for objektbeholdertrusler og -angreb, tilgængelige for analytikere, så de kan få flere oplysninger og anvende anbefalinger til svar og forebyggelse af objektbeholderangreb.

Forudsætninger

Brugere på AKS-, EKS- og GKE-platforme kan drage fordel af cloudresponshandlinger, cloudrelaterede undersøgelseslogge og angrebsstier på Microsoft Defender portalen med følgende licenser:

Påkrævet licens Handlinger
Microsoft Defender til objektbeholdere Få vist objektbeholderrelaterede beskeder
Få vist objektbeholderrelaterede data, der skal undersøges i avanceret jagt
Isoler pod
Afslut pod
Microsoft Defender til administration af cloudsikkerhedsstillinger Få vist angrebsstier i hændelsesgrafen
Microsoft Security Copilot Få vist og anvend automatiserede svar for at undersøge og afhjælpe objektbeholdertrusler

Følgende Microsoft Defender til objektbeholdere er påkrævet til cloudsvarhandlinger på Microsoft Defender-portalen:

  • Defender-sensor
  • Adgang til Kubernetes API

Du kan få flere oplysninger om disse komponenter under Konfigurer Microsoft Defender til objektbeholderkomponenter.

Krav til netværkspolitik

Isoleringskapslens svarhandling understøtter Kubernetes-klyngeversion 1.27 og nyere. Følgende netværks-plug-ins er også påkrævet:

Netværks-plug-in Minimumversion kræves
Azure-NPM 1.5.34
Calico 3.24.1
Cilium 1.13.1
AWS-node 1.15.1

Isoleringssvarhandlingen for poden kræver en gennemtvinger af netværkspolitikken for kubernetes-klyngen. Følgende dokumentation indeholder specifikke trin til, hvordan du installerer og kontrollerer netværkspolitikker, afhængigt af din platform:

Hvis du vil kontrollere, at dine netværks-plug-ins understøttes, skal du følge trinnene for at få adgang til din platforms Cloud Shell og kontrollere dine netværks-plug-ins i afsnittet Fejlfinding af problemer .

Handlingen afslut pod-svar fungerer uanset tilstedeværelsen af en netværkspolitik.

Tilladelser

Hvis brugerne vil udføre en af svarhandlingerne, skal de have følgende tilladelser til Microsoft Defender til Cloud i Microsoft Defender XDR samlede rollebaserede adgangskontrol:

Tilladelsesnavn Niveau
Beskeder Administrer
Svar Administrer

Du kan få flere oplysninger om disse tilladelser under Tilladelser i Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

Undersøg objektbeholdertrusler

Sådan undersøges objektbeholdertrusler på Microsoft Defender-portalen:

  1. Vælg Undersøgelse & svarHændelser > og beskeder i navigationsmenuen til venstre for at åbne hændelses- eller beskedkøerne.
  2. I køen skal du vælge Filtrer og vælge Microsoft Defender for Cloud > Microsoft Defender for Objektbeholdere under Tjenestekilde. Hændelseskø filtreret for at vise objektbeholderrelaterede hændelser.
  3. I grafen over hændelser skal du vælge den pod/service/klyngeenhed, du skal undersøge. Vælg Oplysninger om Kubernetes-tjenesten, Oplysninger om Kubernetes-pod, Kubernetes-klyngeoplysninger eller Oplysninger om objektbeholderregistrering for at få vist relevante oplysninger om tjenesten, poden eller registreringsdatabasen.

Ved hjælp af threat analytics-rapporter kan analytikere bruge trusselsintelligens fra ekspertforskere i Microsoft-sikkerhed til at få mere at vide om aktive trusselsaktører og kampagner, der udnytter objektbeholdere, nye angrebsteknikker, der kan påvirke objektbeholdere, og udbredte trusler, der påvirker objektbeholdere.

Få adgang til rapporter om trusselsanalyser fra Threat intelligence > Threat-analyser. Du kan også åbne en bestemt rapport fra hændelsessiden ved at vælge Få vist trusselsanalyserapport under Relaterede trusler i ruden hændelsesside.

Fremhævning af, hvordan du får vist trusselsanalyserapporter fra hændelsessiden.

Rapporter over trusselsanalyser indeholder også relevante afhjælpnings-, genoprettelses- og forebyggelsesmetoder, som analytikere kan vurdere og anvende på deres miljø. Brug af oplysningerne i rapporter om trusselsanalyse hjælper SOC-teams med at forsvare og beskytte deres miljø mod objektbeholderangreb. Her er et eksempel på en analytikerrapport om et objektbeholderangreb.

Eksempelside i en rapport over objektbeholderangrebstrusler.

Reager på objektbeholdertrusler

Du kan isolere eller afslutte en pod, når du finder ud af, at en pod er kompromitteret eller ondsindet. I hændelsesgrafen skal du vælge poden og derefter gå til Handlinger for at få vist de tilgængelige svarhandlinger. Du kan også finde disse svarhandlinger i ruden på objektsiden.

Fremhævning af svarhandlinger i skyen i en hændelse.

Du kan frigive en pod fra isolation med frigivelsen fra isolationshandlingen , når din undersøgelse er fuldført. Denne indstilling vises i sideruden for isolerede bælg.

Du kan få vist detaljer om alle svarhandlinger i Løsningscenter. På siden Løsningscenter skal du vælge den svarhandling, du vil undersøge, for at få vist flere oplysninger om handlingen, f.eks. hvilken enhed der blev handlet på, hvornår handlingen blev udført, og få vist kommentarerne til handlingen. For isolerede pods er frigivelsen fra isolationshandlingen også tilgængelig i detaljeruden i Løsningscenter.

Eksempel på cloudsvarhandlinger, der er angivet i Løsningscenter.

Hvis du vil bestemme det fulde omfang af et objektbeholderangreb, kan du uddybe din undersøgelse med handlingen Gå jagt, der er tilgængelig i hændelsesgrafen. Du kan straks få vist alle proceshændelser og aktiviteter, der er relateret til objektbeholderrelaterede hændelser, fra hændelsesgrafen.

Fremhævning af jagthandlingen i hændelsesgrafen.

På siden Avanceret jagt kan du udvide din søgning efter aktiviteter relateret til objektbeholdere ved hjælp af tabellerne CloudProcessEvents og CloudAuditEvents .

Tabellen CloudProcessEvents indeholder oplysninger om proceshændelser i miljøer med flere cloudmiljøer, f.eks. Azure Kubernetes Service, Amazon Elastic Kubernetes Service og Google Kubernetes Engine.

Tabellen CloudAuditEvents indeholder cloud-overvågningshændelser fra cloudplatforme, der er beskyttet af Microsoft Defender for Cloud. Den indeholder også Kubeaudit-logge, som indeholder oplysninger om Kubernetes-relaterede hændelser.

Fejlfinding af problemer

I følgende afsnit håndteres de problemer, der kan opstå, når du undersøger og reagerer på objektbeholdertrusler.

Isoler pod-handlingen er ikke tilgængelig

Hvis isolationskapslen er nedtonet, skal du bekræfte, at du har de nødvendige tilladelser til at udføre denne handling. Se afsnittet Tilladelser for at kontrollere og validere, at du har de korrekte tilladelser.

Se Tilladelser i Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) for at få flere oplysninger.

Isoler pod-handlingen mislykkedes

  1. Kontrollér Kubernetes-klyngeversionen. Isoler pod-handlingen understøtter Kubernetes-klynger fra version 1.27 og nyere.
  2. Kontrollér, at du bruger de påkrævede netværks-plug-ins, og at det svarer til de minimumversioner, der understøttes. Hvis du vil kontrollere dine plug-ins, skal du få adgang til Cloud Shell på din platform og køre kommandoen for at kontrollere dine netværks-plug-ins.
  3. Kontrollér, at målkapslen er i en gyldig eller aktiv tilstand.

Få mere at vide om, hvordan du får adgang til Cloud Shell og kontrollerer dine netværks-plug-ins ved at følge disse trin på baggrund af din platform:

På Microsoft Azure

  1. Log på Azure Portal gå derefter til din klynge.

  2. Over de vigtige oplysninger skal du vælge Knappen Opret forbindelse og følge vejledningen.

  3. Cloud Shell åbnes nederst i din browser. Kør følgende kommando i kommandolinjegrænsefladen for at kontrollere dine netværks-plug-ins:

    kubectl get pods --all-namespaces -o json | jq -r '.items[].metadata.labels["k8s-app"]' | uniq | grep -E 'azure-npm|calico-node|cilium|aws-node' | head -n 1

Resultaterne skal nævne en af de angivne plug-ins i netværkspolitikkravet. En tom linje betyder, at den understøttede plug-in ikke er installeret.

På Google Cloud Platform

  1. Naviger i din klynge i Google Cloud Portal.

  2. Vælg Opret forbindelse over navnet på klyngen. I det lille vindue, der vises, skal du kopiere følgende kommando og køre den i din lokale terminal.

    kubectl get pods --all-namespaces -o json | jq -r '.items[].metadata.labels["k8s-app"]' | uniq | grep -E 'azure-npm|calico-node|cilium|aws-node' | head -n 1

  3. Du kan også vælge Kør i Cloud Shell for at køre en Shell-session, der åbnes nederst i browseren. Du kan kopiere kommandoen i grænsefladen for at kontrollere dine netværks-plug-ins.

Resultaterne skal nævne en af de angivne plug-ins i netværkspolitikkravet. En tom linje betyder, at den understøttede plug-in ikke er installeret.

På Amazon Web Services

  1. Naviger til din klynge i AWS Cloud Portal.

  2. Vælg CloudShell i øverste højre hjørne. Der åbnes en Cloud Shell-session nederst i browseren, som indeholder en kommandolinjegrænseflade til administration af dine AWS-ressourcer.

  3. Opret forbindelse til klyngen ved at køre følgende kommando:

    aws eks --region <cluster region> update-kubeconfig --name <cluster name>**

    Bemærk!

    Sørg for, at aws-node er slettet eller deaktiveret for Calico- og Cilium-plug-ins.

Afslutnings podhandlingen mislykkedes

Du skal bekræfte, at målkapslens tilstand er aktiv eller gyldig. Hvis du vil kontrollere, om poden er aktiv, skal du køre følgende kommando i Cloud Shell:

kubectl hent pod <pod-name>

Se også