Condividi tramite

Analizzare e rispondere alle minacce dei contenitori nel portale di Microsoft Defender

Importante

Alcune informazioni in questo articolo si riferiscono a un prodotto pre-noleggiato, che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente. Microsoft non fornisce alcuna garanzia espressa o implicita in relazione alle informazioni fornite qui

Le operazioni di sicurezza possono ora analizzare e rispondere agli avvisi correlati ai contenitori quasi in tempo reale nel portale di Microsoft Defender con l'integrazione di azioni di risposta native del cloud e log di indagine per cercare le attività correlate. La disponibilità dei percorsi di attacco può anche aiutare gli analisti a indagare immediatamente e risolvere i problemi di sicurezza critici per prevenire una potenziale violazione.

Quando le organizzazioni usano contenitori e Kubernetes su piattaforme come servizio Azure Kubernetes (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), la superficie di attacco si espande, aumentando le sfide per la sicurezza. I contenitori possono anche essere presi di mira dagli attori delle minacce e usati per scopi dannosi.

Gli analisti del Centro operazioni di sicurezza (SOC) possono ora tenere traccia facilmente delle minacce ai contenitori con avvisi quasi in tempo reale e rispondere immediatamente a queste minacce isolando o terminando i pod del contenitore. Questa integrazione consente agli analisti di attenuare immediatamente un attacco al contenitore dal proprio ambiente con un clic.

Gli analisti possono quindi analizzare l'intero ambito dell'attacco con la possibilità di cercare le attività correlate all'interno del grafico degli eventi imprevisti. Possono anche applicare ulteriormente azioni preventive con la disponibilità di potenziali percorsi di attacco nel grafico degli eventi imprevisti. L'uso delle informazioni dai percorsi di attacco consente ai team di sicurezza di esaminare i percorsi ed evitare possibili violazioni. Inoltre, i report di Analisi delle minacce specifici per le minacce e gli attacchi ai contenitori sono disponibili per gli analisti per ottenere altre informazioni e applicare raccomandazioni per la risposta e la prevenzione degli attacchi ai contenitori.

Prerequisiti

Per visualizzare e risolvere gli avvisi correlati ai contenitori nel portale di Microsoft Defender sono necessarie le licenze seguenti:

Nota

L'azione isolate pod response richiede un'applicazione dei criteri di rete. Verificare se nel cluster Kubernetes è installato un criterio di rete.

Gli utenti del piano di gestione della postura di Microsoft Defender per Cloud Security possono visualizzare i percorsi di attacco nel grafico degli eventi imprevisti.

Gli utenti con accesso con provisioning a Microsoft Security Copilot possono anche sfruttare le risposte guidate per analizzare e correggere le minacce ai contenitori.

Autorizzazioni

Per eseguire una delle azioni di risposta, gli utenti devono disporre delle autorizzazioni seguenti per Microsoft Defender per il cloud nel Microsoft Defender XDR controllo degli accessi in base al ruolo unificato:

Nome autorizzazione Livello
Avvisi Gestire
Risposta Gestire

Per altre informazioni su queste autorizzazioni, vedere Autorizzazioni in Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.

Analizzare le minacce dei contenitori

Per analizzare le minacce ai contenitori nel portale di Microsoft Defender:

  1. Selezionare Indagine & risposta > Eventi imprevisti e avvisi nel menu di spostamento a sinistra per aprire le code degli eventi imprevisti o degli avvisi.
  2. Nella coda selezionare Filtro e scegliere Microsoft Defender per Cloud > Microsoft Defender per Contenitori in Origine servizio. Coda degli eventi imprevisti filtrata per visualizzare gli eventi imprevisti correlati al contenitore.
  3. Nel grafico degli eventi imprevisti selezionare l'entità pod/servizio/cluster da analizzare. Selezionare i dettagli del servizio Kubernetes, i dettagli del pod Kubernetes, i dettagli del cluster Kubernetes o i dettagli del Registro Container per visualizzare le informazioni pertinenti sul servizio, il pod o il Registro di sistema.

Usando i report di analisi delle minacce, gli analisti possono usare l'intelligence sulle minacce di esperti ricercatori di sicurezza Microsoft per conoscere gli attori attivi delle minacce e le campagne che sfruttano i contenitori, nuove tecniche di attacco che potrebbero influire sui contenitori e le minacce prevalenti che interessano i contenitori.

Accedere ai report di analisi delle minacce da Analisi delle minacce di Intelligence > per le minacce. È anche possibile aprire un report specifico dalla pagina degli eventi imprevisti selezionando Visualizza report di analisi delle minacce in Minacce correlate nel riquadro lato evento imprevisto.

Evidenziando come visualizzare i report di analisi delle minacce dalla pagina degli eventi imprevisti.

I report di analisi delle minacce contengono anche metodi di mitigazione, ripristino e prevenzione pertinenti che gli analisti possono valutare e applicare al proprio ambiente. L'uso delle informazioni nei report di analisi delle minacce consente ai team soc di difendere e proteggere l'ambiente dagli attacchi ai contenitori. Ecco un esempio di report di un analista su un attacco al contenitore.

Pagina di esempio di un report di analisi delle minacce degli attacchi ai contenitori.

Rispondere alle minacce dei contenitori

È possibile isolare o terminare un pod dopo aver stabilito che un pod è compromesso o dannoso. Nel grafico degli eventi imprevisti selezionare il pod e quindi passare ad Azioni per visualizzare le azioni di risposta disponibili. È anche possibile trovare queste azioni di risposta nel riquadro sul lato entità.

Evidenziazione delle azioni di risposta cloud in un evento imprevisto.

È possibile rilasciare un pod dall'isolamento con l'azione di rilascio dall'isolamento una volta completata l'indagine. Questa opzione viene visualizzata nel riquadro laterale per i pod isolati.

I dettagli di tutte le azioni di risposta possono essere visualizzati nel Centro notifiche. Nella pagina Centro notifiche selezionare l'azione di risposta da esaminare per visualizzare altre informazioni sull'azione, ad esempio l'entità su cui è stata eseguita l'azione, al termine dell'azione e visualizzare i commenti sull'azione. Per i pod isolati, l'azione di rilascio dall'isolamento è disponibile anche nel riquadro dei dettagli del Centro notifiche.

Esempio di azioni di risposta cloud elencate nel Centro notifiche.

Per determinare l'ambito completo di un attacco al contenitore, è possibile approfondire l'indagine con l'azione Vai a caccia disponibile nel grafico degli eventi imprevisti. È possibile visualizzare immediatamente tutti gli eventi di processo e le attività correlate agli eventi imprevisti correlati ai contenitori dal grafico degli eventi imprevisti.

Evidenziazione dell'azione di go hunt nel grafico degli eventi imprevisti.

Nella pagina Ricerca avanzata è possibile estendere la ricerca di attività correlate al contenitore usando le tabelle CloudProcessEvents e CloudAuditEvents .

La tabella CloudProcessEvents contiene informazioni sugli eventi di elaborazione in ambienti ospitati su più cloud, ad esempio servizio Azure Kubernetes, il servizio Amazon Elastic Kubernetes e il motore di Google Kubernetes. D'altra parte, la tabella CloudAuditEvents contiene eventi di controllo cloud da piattaforme cloud protette da Microsoft Defender per il cloud. Contiene anche i log Kubeaudit, che contengono informazioni sugli eventi correlati a Kubernetes.

Vedere anche