Freigeben über

Untersuchen und Reagieren auf Containerbedrohungen im Microsoft Defender-Portal

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt keine Ausdrücklichen oder Stillschweigenden Gewährleistungen in Bezug auf die hier bereitgestellten Informationen.

Sicherheitsvorgänge können jetzt containerbezogene Warnungen nahezu in Echtzeit im Microsoft Defender-Portal untersuchen und darauf reagieren, wobei cloudnative Antwortaktionen und Untersuchungsprotokolle integriert werden, um nach verwandten Aktivitäten zu suchen. Die Verfügbarkeit von Angriffspfaden kann Analysten auch dabei helfen, kritische Sicherheitsprobleme sofort zu untersuchen und zu beheben, um eine potenzielle Sicherheitsverletzung zu verhindern.

Da Organisationen Container und Kubernetes auf Plattformen wie Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE) und Amazon Elastic Kubernetes Service (EKS) verwenden, wächst die Angriffsfläche und erhöht die Sicherheitsprobleme. Container können auch von Bedrohungsakteuren als Ziel verwendet und für böswillige Zwecke verwendet werden.

SoC-Analysten (Security Operations Center) können Containerbedrohungen jetzt problemlos mit Warnungen nahezu in Echtzeit nachverfolgen und sofort auf diese Bedrohungen reagieren, indem sie Containerpods isolieren oder beenden. Diese Integration ermöglicht es Analysten, einen Containerangriff aus ihrer Umgebung mit einem Klick sofort zu entschärfen.

Analysten können dann den gesamten Umfang des Angriffs untersuchen und im Incidentdiagramm nach verwandten Aktivitäten suchen. Sie können auch präventive Maßnahmen anwenden, da potenzielle Angriffspfade im Incidentdiagramm verfügbar sind. Mithilfe der Informationen aus den Angriffspfaden können Sicherheitsteams die Pfade untersuchen und mögliche Sicherheitsverletzungen verhindern. Darüber hinaus sind Berichte zur Bedrohungsanalyse für Containerbedrohungen und -angriffe für Analysten verfügbar, um weitere Informationen zu erhalten und Empfehlungen für die Reaktion und Verhinderung von Containerangriffen anzuwenden.

Voraussetzungen

Die folgenden Lizenzen sind erforderlich, um containerbezogene Warnungen im Microsoft Defender-Portal anzuzeigen und aufzulösen:

Hinweis

Die Aktion zum Isolieren von Podantworten erfordert einen Netzwerkrichtlinien-Erzwingerer. Überprüfen Sie, ob in Ihrem Kubernetes-Cluster eine Netzwerkrichtlinie installiert ist.

Benutzer mit dem Plan Microsoft Defender für Cloud Security Posture Management können Angriffspfade im Incidentdiagramm anzeigen.

Benutzer mit bereitgestelltem Zugriff auf Microsoft Security Copilot können auch die geführten Antworten nutzen, um Containerbedrohungen zu untersuchen und zu beheben.

Berechtigungen

Um eine der Antwortaktionen ausführen zu können, müssen Benutzer über die folgenden Berechtigungen für Microsoft Defender für Cloud in der Microsoft Defender XDR einheitlichen rollenbasierten Zugriffssteuerung verfügen:

Berechtigungsname Ebene
Warnungen Verwalten
Antwort Verwalten

Weitere Informationen zu diesen Berechtigungen finden Sie unter Berechtigungen in Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).

Untersuchen von Containerbedrohungen

So untersuchen Sie Containerbedrohungen im Microsoft Defender-Portal:

  1. Wählen Sie im linken Navigationsmenü Untersuchung & Reaktion > Incidents und Warnungen aus, um die Incident- oder Warnungswarteschlangen zu öffnen.
  2. Wählen Sie in der Warteschlange Filtern und dann unter Dienstquelle Microsoft Defender für Cloud > Microsoft Defender für Container aus. Incidentwarteschlange gefiltert, um containerbezogene Vorfälle anzuzeigen.
  3. Wählen Sie im Incidentdiagramm die Zu untersuchende Pod-/Dienst-/Clusterentität aus. Wählen Sie Kubernetes-Dienstdetails, Kubernetes-Poddetails, Kubernetes-Clusterdetails oder Containerregistrierungsdetails aus, um relevante Informationen zum Dienst, Pod oder zur Registrierung anzuzeigen.

Mithilfe von Berichten zur Bedrohungsanalyse können Analysten Threat Intelligence von erfahrenen Microsoft-Sicherheitsexperten nutzen, um mehr über aktive Bedrohungsakteure und Kampagnen zu erfahren, die Container ausnutzen, neue Angriffstechniken, die sich auf Container auswirken könnten, und über weit verbreitete Bedrohungen, die Container betreffen.

Zugreifen auf Bedrohungsanalyseberichte aus Threat Intelligence > Threat Analytics. Sie können auch einen bestimmten Bericht auf der Incidentseite öffnen, indem Sie im Bereich "Incidentseite" unter Verwandte Bedrohungen die Option Bedrohungsanalysebericht anzeigen auswählen.

Es wird hervorgehoben, wie Bedrohungsanalyseberichte auf der Incidentseite angezeigt werden.

Bedrohungsanalyseberichte enthalten auch relevante Risikominderungs-, Wiederherstellungs- und Präventionsmethoden, die Analysten bewerten und auf ihre Umgebung anwenden können. Die Verwendung der Informationen in Bedrohungsanalyseberichten hilft SOC-Teams, ihre Umgebung vor Containerangriffen zu schützen und zu schützen. Hier sehen Sie ein Beispiel für einen Analystenbericht zu einem Containerangriff.

Beispielseite eines Berichts zur Bedrohungsanalyse für Containerangriffe.

Reagieren auf Containerbedrohungen

Sie können einen Pod isolieren oder beenden , sobald Sie feststellen, dass ein Pod kompromittiert oder böswillig ist. Wählen Sie im Incidentdiagramm den Pod aus, und wechseln Sie dann zu Aktionen , um die verfügbaren Antwortaktionen anzuzeigen. Sie finden diese Antwortaktionen auch im entitätsseitigen Bereich.

Hervorheben der Cloudreaktionsaktionen in einem Incident.

Sie können einen Pod nach Abschluss der Untersuchung mit der Aktion Release from isolation (Aus Isolation freigeben ) aus der Isolation freigeben. Diese Option wird im Seitenbereich für isolierte Pods angezeigt.

Details zu allen Antwortaktionen können im Info-Center angezeigt werden. Wählen Sie auf der Seite Info-Center die Antwortaktion aus, die Sie überprüfen möchten, um weitere Informationen zur Aktion anzuzeigen, z. B. auf welche Entität reagiert wurde, als die Aktion abgeschlossen wurde, und zeigen Sie die Kommentare zur Aktion an. Für isolierte Pods ist die Aktion Release from isolation auch im Detailbereich des Info-Centers verfügbar.

Beispiel für Cloudreaktionsaktionen, die im Info-Center aufgeführt sind.

Um den vollständigen Umfang eines Containerangriffs zu bestimmen, können Sie Ihre Untersuchung mit der Im Incidentdiagramm verfügbaren Go-Hunt-Aktion vertiefen. Sie können sofort alle Prozessereignisse und -aktivitäten im Zusammenhang mit containerbezogenen Vorfällen aus dem Incidentdiagramm anzeigen.

Hervorheben der Go-Hunt-Aktion im Incidentdiagramm.

Auf der Seite Erweiterte Suche können Sie die Suche nach containerbezogenen Aktivitäten mithilfe der Tabellen CloudProcessEvents und CloudAuditEvents erweitern.

Die Tabelle CloudProcessEvents enthält Informationen zu Prozessereignissen in multicloudgehosteten Umgebungen wie Azure Kubernetes Service, Amazon Elastic Kubernetes Service und Google Kubernetes Engine. Auf der anderen Seite enthält die Tabelle CloudAuditEvents Cloudüberwachungsereignisse von Cloudplattformen, die durch Microsoft Defender für Cloud geschützt sind. Es enthält auch Kubeaudit-Protokolle, die Informationen zu Kubernetes-bezogenen Ereignissen enthalten.

Siehe auch