Microsoft Defender ポータルでコンテナーの脅威を調査して対応する
重要
この記事の一部の情報は、リリース前の製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに提供される情報に関して、明示または黙示を問わず一切の保証を行いません
セキュリティ操作では、Microsoft Defender ポータルでコンテナー関連のアラートをほぼリアルタイムで調査し、それに対応できるようになりました。また、クラウドネイティブの応答アクションと調査ログを統合して、関連するアクティビティを探すことができます。 攻撃パスの可用性は、アナリストが潜在的な侵害を防ぐために、重大なセキュリティ問題を直ちに調査して対処するのにも役立ちます。
組織が Azure Kubernetes Service (AKS)、Google Kubernetes Engine (GKE)、広告 Amazon Elastic Kubernetes Service (EKS) などのプラットフォームでコンテナーと Kubernetes を使用する場合、攻撃対象領域が拡大し、セキュリティの課題が増えます。 コンテナーは、脅威アクターの対象となり、悪意のある目的で使用されることもあります。
セキュリティ オペレーション センター (SOC) アナリストは、ほぼリアルタイムのアラートでコンテナーの脅威を簡単に追跡し、コンテナー ポッドを分離または終了することで、これらの脅威にすぐに対応できるようになりました。 この統合により、アナリストは、環境からのコンテナー攻撃をクリックで即座に軽減できます。
アナリストは、インシデント グラフ内の関連アクティビティを検索する機能を使用して、攻撃の完全な範囲を調査できます。 また、インシデント グラフ内の潜在的な攻撃パスを利用できる予防アクションをさらに適用することもできます。 攻撃パスの情報を使用すると、セキュリティ チームはパスを検査し、侵害の可能性を防ぐことができます。 さらに、コンテナーの脅威と攻撃に固有の脅威分析レポートを使用すると、アナリストは、より多くの情報を取得し、コンテナー攻撃の対応と防止に関する推奨事項を適用できます。
前提条件
Microsoft Defender ポータルでコンテナー関連のアラートを表示および解決するには、次のライセンスが必要です。
注:
ポッドの分離応答アクションには、ネットワーク ポリシーエンフォーサが必要です。 Kubernetes クラスターにネットワーク ポリシーがインストールされているかどうかを確認します。
Cloud Security Posture Management プランのMicrosoft Defenderのユーザーは、インシデント グラフで攻撃パスを表示できます。
Microsoft Security Copilotへのプロビジョニングされたアクセス権を持つユーザーは、ガイド付き応答を利用してコンテナーの脅威を調査して修復することもできます。
アクセス許可
応答アクションのいずれかを実行するには、ユーザーは、Microsoft Defender XDRの統合ロールベースのアクセス制御で、cloud のMicrosoft Defenderに対して次のアクセス許可を持っている必要があります。
| アクセス許可名 | レベル |
|---|---|
| アラート | 管理 |
| 応答 | 管理 |
これらのアクセス許可の詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)のアクセス許可」を参照してください。
コンテナーの脅威を調査する
Microsoft Defender ポータルでコンテナーの脅威を調査するには:
- 左側のナビゲーション メニューの [インシデントとアラート > 調査 & 応答 ] を選択して、インシデントまたはアラート キューを開きます。
- キューで [フィルター] を選択し、[サービス ソース] で [Cloud > Microsoft Defender for Containers] の [Microsoft Defender] を選択します。
- インシデント グラフで、調査する必要があるポッド/サービス/クラスター エンティティを選択します。 Kubernetes サービスの詳細、Kubernetes ポッドの詳細、Kubernetes クラスターの詳細、またはコンテナー レジストリの詳細を選択して、サービス、ポッド、またはレジストリに関する関連情報を表示します。
アナリストは、脅威分析レポートを使用して、Microsoft セキュリティ研究者の脅威インテリジェンスを利用して、コンテナーを悪用するアクティブな脅威アクターとキャンペーン、コンテナーに影響を与える可能性のある新しい攻撃手法、コンテナーに影響を与える一般的な脅威について学習できます。
脅威インテリジェンス>脅威分析から脅威分析レポートにアクセスします。 インシデント側ウィンドウの [関連する脅威] で [ 脅威分析レポートの表示 ] を選択して、インシデント ページから特定 の レポートを開くこともできます。
脅威分析レポートには、アナリストが自分の環境を評価して適用できる、関連する軽減策、回復方法、防止方法も含まれています。 脅威分析レポートで情報を使用すると、SOC チームがコンテナー攻撃から環境を守り、保護するのに役立ちます。 コンテナー攻撃に関するアナリスト レポートの例を次に示します。
コンテナーの脅威に対応する
ポッドが侵害されているか悪意があると判断したら、ポッドを 分離 または 終了 できます。 インシデント グラフでポッドを選択し、[ アクション] に移動して、使用可能な応答アクションを表示します。 これらの応答アクションは、エンティティ側ペインにも表示されます。
調査が完了したら、分離からの解放アクションを使用して ポッドを分離から解放 できます。 このオプションは、分離ポッドのサイド ウィンドウに表示されます。
すべての応答アクションの詳細は、 アクション センターで確認できます。 [アクション センター] ページで、検査する応答アクションを選択して、アクションが実行されたエンティティ、アクションが実行されたときなどのアクションに関する詳細情報を表示し、アクションに関するコメントを表示します。 分離ポッドの場合、 分離からの解放 アクションは、[アクション センターの詳細] ウィンドウでも使用できます。
コンテナー関連のアクティビティを検索する
コンテナー攻撃の完全な範囲を特定するには、インシデント グラフで使用可能な Go ハント アクションを使用して調査を深めることができます。 インシデント グラフから、コンテナー関連のインシデントに関連するすべてのプロセス イベントとアクティビティをすぐに表示できます。
[高度なハンティング] ページでは、CloudProcessEvents テーブルと CloudAuditEvents テーブルを使用して、コンテナー関連のアクティビティの検索を拡張できます。
CloudProcessEvents テーブルには、Azure Kubernetes Service、Amazon Elastic Kubernetes Service、Google Kubernetes Engine などのマルチクラウドホスト環境でのプロセス イベントに関する情報が含まれています。 一方、CloudAuditEvents テーブルには、クラウド用のMicrosoft Defenderによって保護されたクラウド プラットフォームからのクラウド監査イベントが含まれています。 また、Kubernetes 関連のイベントに関する情報を保持する Kubeaudit ログも含まれています。