Investigación y respuesta a amenazas de contenedor en el portal de Microsoft Defender
Importante
Parte de la información de este artículo se refiere a un producto preliminar, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no ofrece ninguna garantía expresa o implícita con respecto a la información proporcionada aquí
Las operaciones de seguridad ahora pueden investigar y responder a alertas relacionadas con contenedores casi en tiempo real en el portal de Microsoft Defender con la integración de acciones de respuesta nativas de la nube y registros de investigación para buscar actividades relacionadas. La disponibilidad de las rutas de acceso de ataque también puede ayudar a los analistas a investigar y abordar inmediatamente problemas críticos de seguridad para evitar una posible vulneración.
A medida que las organizaciones usan contenedores y Kubernetes en plataformas como Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), la superficie expuesta a ataques se expande, lo que aumenta los desafíos de seguridad. Los contenedores también pueden ser dirigidos por actores de amenazas y usarse con fines malintencionados.
Los analistas del Centro de operaciones de seguridad (SOC) ahora pueden realizar un seguimiento fácil de las amenazas de contenedor con alertas casi en tiempo real y responder inmediatamente a estas amenazas mediante el aislamiento o la terminación de pods de contenedor. Esta integración permite a los analistas mitigar instantáneamente un ataque de contenedor desde su entorno con un clic.
A continuación, los analistas pueden investigar el ámbito completo del ataque con la capacidad de buscar actividades relacionadas dentro del gráfico de incidentes. También pueden aplicar acciones preventivas con la disponibilidad de posibles rutas de ataque en el gráfico de incidentes. El uso de la información de las rutas de acceso de ataque permite a los equipos de seguridad inspeccionar las rutas de acceso y evitar posibles infracciones. Además, los informes de análisis de amenazas específicos de amenazas y ataques de contenedor están disponibles para que los analistas obtengan más información y apliquen recomendaciones para la respuesta y prevención de ataques de contenedor.
Requisitos previos
Las siguientes licencias son necesarias para ver y resolver alertas relacionadas con contenedores en el portal de Microsoft Defender:
Nota:
La acción aislar la respuesta del pod requiere un agente de directivas de red. Compruebe si el clúster de Kubernetes tiene instalada una directiva de red.
Los usuarios del plan de administración de posturas de seguridad en la nube Microsoft Defender pueden ver las rutas de ataque en el gráfico de incidentes.
Los usuarios con acceso aprovisionado a Microsoft Security Copilot también pueden aprovechar las respuestas guiadas para investigar y corregir amenazas de contenedor.
Permissions
Para realizar cualquiera de las acciones de respuesta, los usuarios deben tener los siguientes permisos para Microsoft Defender for Cloud en el Microsoft Defender XDR control de acceso unificado basado en rol:
| Nombre del permiso | Nivel |
|---|---|
| Alertas | Administrar |
| Respuesta | Administrar |
Para obtener más información sobre estos permisos, consulte Permisos en Microsoft Defender XDR control de acceso basado en rol unificado (RBAC).
Investigación de amenazas de contenedor
Para investigar las amenazas de contenedor en el portal de Microsoft Defender:
- Seleccione Investigación & respuesta > Incidentes y alertas en el menú de navegación izquierdo para abrir las colas de incidentes o alertas.
- En la cola, seleccione Filtrar y elija Microsoft Defender para Cloud > Microsoft Defender for Containers en Origen del servicio.
- En el gráfico de incidentes, seleccione la entidad pod/service/cluster que necesita investigar. Seleccione Detalles del servicio Kubernetes, Detalles del pod de Kubernetes, Detalles del clúster de Kubernetes o Detalles del Registro de contenedor para ver información relevante sobre el servicio, pod o registro.
Con los informes de análisis de amenazas , los analistas pueden usar la inteligencia sobre amenazas de investigadores expertos en seguridad de Microsoft para obtener información sobre los actores de amenazas activos y las campañas que aprovechan los contenedores, las nuevas técnicas de ataque que pueden afectar a los contenedores y las amenazas frecuentes que afectan a los contenedores.
Acceso a informes de análisis de amenazas desde Análisis de amenazas de Inteligencia >de amenazas. También puede abrir un informe específico desde la página de incidentes seleccionando Ver informe de análisis de amenazas en Amenazas relacionadas en el panel del lado del incidente.
Los informes de análisis de amenazas también contienen métodos pertinentes de mitigación, recuperación y prevención que los analistas pueden evaluar y aplicar a su entorno. El uso de la información en los informes de análisis de amenazas ayuda a los equipos de SOC a defender y proteger su entorno frente a ataques de contenedor. Este es un ejemplo de un informe de analista sobre un ataque de contenedor.
Respuesta a amenazas de contenedor
Puede aislar o finalizar un pod una vez que determine que un pod está en peligro o malintencionado. En el gráfico de incidentes, seleccione el pod y, a continuación, vaya a Acciones para ver las acciones de respuesta disponibles. También puede encontrar estas acciones de respuesta en el panel del lado de la entidad.
Puede liberar un pod del aislamiento con la acción liberar de aislamiento una vez completada la investigación. Esta opción aparece en el panel lateral de los pods aislados.
Los detalles de todas las acciones de respuesta se pueden ver en el Centro de acciones. En la página Centro de acciones, seleccione la acción de respuesta que desea inspeccionar para ver más información sobre la acción como en qué entidad se actuó, cuándo se realizó la acción y ver los comentarios sobre la acción. En el caso de los pods aislados, la acción de liberación del aislamiento también está disponible en el panel de detalles del Centro de acciones.
Búsqueda de actividades relacionadas con contenedores
Para determinar el ámbito completo de un ataque de contenedor, puede profundizar la investigación con la acción De búsqueda de Go disponible en el gráfico de incidentes. Puede ver inmediatamente todos los eventos y actividades de proceso relacionados con incidentes relacionados con contenedores desde el gráfico de incidentes.
En la página Búsqueda avanzada , puede ampliar la búsqueda de actividades relacionadas con contenedores mediante las tablas CloudProcessEvents y CloudAuditEvents .
La tabla CloudProcessEvents contiene información sobre eventos de proceso en entornos hospedados en varias nubes, como Azure Kubernetes Service, Amazon Elastic Kubernetes Service y Google Kubernetes Engine. Por otro lado, la tabla CloudAuditEvents contiene eventos de auditoría en la nube de plataformas en la nube protegidas por Microsoft Defender for Cloud. También contiene registros de Kubeaudit, que contienen información sobre eventos relacionados con Kubernetes.