Säilön uhkien tutkiminen ja niihin vastaaminen Microsoft Defender portaalissa
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen
Suojaustoiminnot voivat nyt tutkia säilöön liittyviä hälytyksiä ja vastata niihin lähes reaaliaikaisesti Microsoft Defender portaalissa integroimalla pilvinatiivit vastaustoiminnot ja tutkimuslokit liittyvien toimintojen metsästykseen. Hyökkäyspolkujen saatavuus voi myös auttaa analyytikoita tutkimaan ja ratkaisemaan kriittiset suojausongelmat välittömästi mahdollisen tietomurron estämiseksi.
Koska organisaatiot käyttävät säilöjä ja Kubernetes-alustoja, kuten Azuren Kubernetes-palvelu (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), hyökkäyspinta laajenee, mikä lisää tietoturvahaasteita. Säilöt voivat olla myös uhkatoimijoiden kohteena ja niitä voidaan käyttää haitallisiin tarkoituksiin.
Tietoturvakeskuksen (SOC) analyytikot voivat nyt helposti seurata säilön uhkia lähes reaaliaikaisilla hälytyksillä ja vastata välittömästi näihin uhkiin eristämällä tai lopettamalla säilökapseleita. Tämän integraation avulla analyytikot voivat välittömästi lieventää säilöhyökkäystä ympäristöstään yhdellä napsautuksella.
Analyytikot voivat sitten tutkia hyökkäyksen koko laajuutta kyvyllä metsästää aiheeseen liittyviä toimia tapauskaaviossa. Ne voivat myös soveltaa ennaltaehkäiseviä toimia, kun mahdolliset hyökkäyspolut ovat saatavilla tapahtumakaaviossa. Hyökkäyspolkujen tietojen avulla suojausryhmät voivat tarkastaa polut ja estää mahdolliset rikkomukset. Lisäksi analyytikot voivat käyttää uhka-analytiikkaraportteja erityisesti säilöuhkien ja hyökkäysten osalta saadakseen lisätietoja ja soveltaakseen suosituksia säilön hyökkäysvastausta ja ehkäisyä varten.
Ennakkovaatimukset
Säilöön liittyvien ilmoitusten tarkasteluun ja ratkaisemiseen Microsoft Defender portaalissa tarvitaan seuraavat käyttöoikeudet:
Huomautus
Eristä pod-vastaustoiminto edellyttää verkkokäytännön pakottajaa. Tarkista, onko Kubernetes-klusteriin asennettu verkkokäytäntö.
Pilvisuojaustilan hallinta -suunnitelman Microsoft Defender käyttäjät voivat tarkastella hyökkäyspolkuja tapauskaaviossa.
Käyttäjät, joilla on valmistelty käyttöoikeus Microsoft Security Copilot, voivat myös hyödyntää ohjattuja vastauksia säilöuhkien tutkimista ja korjaamista varten.
Käyttöoikeudet
Jotta he voivat suorittaa minkä tahansa vastaustoiminnoista, käyttäjillä on oltava seuraavat cloud-Microsoft Defender oikeudet Microsoft Defender XDR yhtenäisessä roolipohjaisessa käyttöoikeuksien hallinnassa:
| Käyttöoikeuden nimi | Taso |
|---|---|
| Ilmoitukset | Hallinta |
| Vastaus | Hallinta |
Lisätietoja näistä käyttöoikeuksista on artikkelissa Microsoft Defender XDR Unified role-based access control (RBAC) -käyttöoikeus.
Säilön uhkien tutkiminen
Säilöuhkien tutkiminen Microsoft Defender portaalissa:
- Avaa tapaus- tai hälytysjonot valitsemalla vasemmanpuoleisessa siirtymisvalikossa Tutkinta & vastaustapaukset > ja hälytykset .
- Valitse jonossa Suodata ja valitse Palvelulähde-kohdasta Microsoft Defender > pilvipalvelulle Microsoft Defender säilöille.
- Valitse tapauskaaviosta tutkittava pod/service/cluster-entiteetti. Valitse Kubernetes-palvelun tiedot, Kubernetes-kapselin tiedot, Kubernetes-klusterin tiedot tai Säilörekisterin tiedot , jos haluat tarkastella palvelun, kapselin tai rekisterin olennaisia tietoja.
Uhka-analytiikkaraporttien avulla analyytikot voivat hyödyntää Microsoftin asiantuntijoiden uhkatietoja ja saada tietoa aktiivisista uhkien toimijoista ja kampanjoista, jotka hyödyntävät säilöjä, uusia hyökkäystekniikoita, jotka saattavat vaikuttaa säilöihin, ja säilöihin vaikuttavia yleisiä uhkia.
Käytä uhka-analytiikkaraportteja Threat Intelligence > Threat -analytiikasta. Voit myös avata tietyn raportin tapaussivulta valitsemalla Näytä uhka-analytiikkaraporttikohdasta Liittyvät uhat tapauspuolen ruudussa.
Uhka-analytiikkaraportit sisältävät myös asianmukaisia lievennys-, palautus- ja ehkäisymenetelmiä, joita analyytikot voivat arvioida ja soveltaa ympäristöönsä. Tietojen käyttäminen uhka-analytiikkaraporteissa auttaa SOC-tiimejä puolustamaan ja suojaamaan ympäristöään säilöhyökkäyksiltä. Tässä on esimerkki analyytikkoraportista säilöhyökkäyksestä.
Säilön uhkiin vastaaminen
Voit eristää tai lopettaa kapselin, kun olet toteanut, että palko on vaarantunut tai pahantahtoinen. Valitse tapauskaaviossa kapseli ja siirry sitten Toiminnot-kohtaan , jotta näet käytettävissä olevat vastaustoiminnot. Löydät nämä vastaustoiminnot myös entiteetin sivuruudusta.
Voit vapauttaa kapselin eristyksestä vapauttaen eristystoiminnon , kun tutkimus on valmis. Tämä vaihtoehto näkyy eristettyjen palkojen sivuruudussa.
Kaikkien vastaustoimintojen tietoja voi tarkastella toimintokeskuksessa. Valitse Toimintokeskus-sivulla vastaustoiminto, jonka haluat tarkistaa, jotta näet lisätietoja toiminnosta, kuten missä entiteetissä toiminto suoritettiin ja milloin toiminto suoritettiin, ja tarkastellaksesi toiminnon kommentteja. Eristetyissä palkoissa vapautus eristyksestä on käytettävissä myös Toimintokeskuksen tiedot -ruudussa.
Säilöön liittyvien aktiviteettien metsästys
Voit selvittää säilöhyökkäyksen koko laajuuden syventämään tutkimuksiasi Tapauskaaviossa käytettävissä olevalla Go Hunt -toiminnolla. Voit välittömästi tarkastella tapahtumakaaviosta kaikkia säilöön liittyviin tapauksiin liittyviä prosessitapahtumia ja toimintoja.
Lisämetsästys-sivulla voit laajentaa säilöön liittyvien toimintojen hakua käyttämällä CloudProcessEvents- ja CloudAuditEvents-taulukoita.
CloudProcessEvents-taulukko sisältää tietoja prosessitapahtumista usean pilvipalvelun isännöityissä ympäristöissä, kuten Azuren Kubernetes-palvelu, Amazon Elastic Kubernetes -palvelussa ja Google Kubernetes Enginessä. Toisaalta CloudAuditEvents-taulukko sisältää pilvivalvontatapahtumia pilvipalveluympäristöistä, jotka on suojattu Microsoft Defender cloudille. Se sisältää myös Kubeaudit-lokeja, jotka sisältävät tietoja Kubernetesiin liittyvistä tapahtumista.