Delen via

Inleiding tot de Microsoft Defender voor Eindpunt runtime-beveiligingsservice

  • Artikel

De Microsoft Defender voor Eindpunt runtimebeveiligingsservice (MDE) biedt de hulpprogramma's voor het configureren en beheren van runtime-beveiliging voor een Nexus-cluster.

Met de Azure CLI kunt u het afdwingingsniveau voor runtimebeveiliging configureren en de mogelijkheid om MDE-scan op alle knooppunten te activeren. Dit document bevat de stappen voor het uitvoeren van deze taken.

Notitie

De MDE Runtime Protection-service kan worden geïntegreerd met Microsoft Defender voor Eindpunt, dat uitgebreide mogelijkheden voor eindpuntdetectie en -respons (EDR) biedt. Met Microsoft Defender voor Eindpunt integratie kunt u afwijkingen herkennen en beveiligingsproblemen detecteren.

Voordat u begint

Variabelen instellen

Als u wilt helpen bij het configureren en activeren van MDE-scans, definieert u deze omgevingsvariabelen die worden gebruikt door de verschillende opdrachten in deze handleiding.

Notitie

Deze omgevingsvariabelewaarden weerspiegelen geen echte implementatie en gebruikers moeten deze wijzigen zodat ze overeenkomen met hun omgevingen.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Standaardinstellingen voor MDE Runtime Protection

De runtimebeveiliging wordt ingesteld op de volgende standaardwaarden wanneer u een cluster implementeert

  • Afdwingingsniveau: Disabled indien niet opgegeven bij het maken van het cluster
  • MDE-service: Disabled

Notitie

Het argument --runtime-protection enforcement-level="<enforcement level>" dient twee doeleinden: MDE-service in- of uitschakelen en het afdwingingsniveau bijwerken.

Als u de MDE-service in uw cluster wilt uitschakelen, gebruikt u een <enforcement level> van Disabled.

Afdwingingsniveau configureren

Met az networkcloud cluster update de opdracht kunt u de instellingen voor het afdwingingsniveau clusterruntime bijwerken met behulp van het argument--runtime-protection enforcement-level="<enforcement level>".

Met de volgende opdracht configureert u het enforcement level voor uw cluster.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Toegestane waarden voor<enforcement level>: Disabled, RealTime, OnDemand, . Passive

  • Disabled: Realtime-beveiliging is uitgeschakeld en er worden geen scans uitgevoerd.
  • RealTime: Realtime-beveiliging (scanbestanden wanneer ze worden gewijzigd) is ingeschakeld.
  • OnDemand: Bestanden worden alleen op aanvraag gescand. In dit:
    • Realtime-beveiliging is uitgeschakeld.
  • Passive: voert de antivirus-engine uit in de passieve modus. In dit:
    • Realtime-beveiliging is uitgeschakeld: bedreigingen worden niet hersteld door Microsoft Defender Antivirus.
    • Scannen op aanvraag is ingeschakeld: gebruik nog steeds de scanmogelijkheden op het eindpunt.
    • Automatisch bedreigingsherstel is uitgeschakeld: er worden geen bestanden verplaatst en de beveiligingsbeheerder verwacht dat deze actie moet ondernemen.
    • Updates voor beveiligingsinformatie zijn ingeschakeld: waarschuwingen zijn beschikbaar voor de tenant van beveiligingsbeheerders.

U kunt controleren of het afdwingingsniveau is bijgewerkt door de uitvoer voor het volgende json-fragment te controleren:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

MDE-scan activeren op alle knooppunten

Gebruik de volgende opdracht om een MDE-scan te activeren op alle knooppunten van een cluster:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

OPMERKING: voor de MDE-scanactie moet de MDE-service zijn ingeschakeld. Als deze niet is ingeschakeld, mislukt de opdracht. In dit geval stelt u de Enforcement Level waarde in op een andere waarde dan Disabled voor het inschakelen van de MDE-service.

MDE-scangegevens ophalen uit elk knooppunt

Deze sectie bevat de stappen voor het ophalen van MDE-scangegevens. Eerst moet u de lijst met knooppuntnamen van uw cluster ophalen. Met de volgende opdracht wordt de lijst met knooppuntnamen toegewezen aan een omgevingsvariabele.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Met de lijst met knooppuntnamen kunnen we het proces starten om MDE-agentgegevens voor elk knooppunt van uw cluster te extraheren. Met de volgende opdracht worden MDE-agentgegevens van elk knooppunt voorbereid.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Het resultaat voor de opdracht bevat een URL waar u het gedetailleerde rapport van MDE-scans kunt downloaden. Zie het volgende voorbeeld voor het resultaat voor de MDE-agentgegevens.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

MDE-scanresultaten extraheren

Voor het extraheren van MDE-scan zijn enkele handmatige stappen vereist: als u het MDE-scanrapport wilt downloaden en de informatie over de scanuitvoering wilt extraheren en een gedetailleerd resultaatrapport wilt scannen. In deze sectie wordt u begeleid bij elk van deze stappen.

Het scanrapport downloaden

Zoals eerder is aangegeven, levert het MDE-agentinformatieantwoord de URL voor het opslaan van de gedetailleerde rapportgegevens.

Download het rapport van de geretourneerde URL <url to download mde scan results>en open het bestand mde-agent-information.json.

Het mde-agent-information.json bestand bevat veel informatie over de scan en het kan overweldigend zijn om zo'n lang gedetailleerd rapport te analyseren. Deze handleiding bevat enkele voorbeelden van het extraheren van enkele essentiële informatie die u kan helpen beslissen of u het rapport grondig moet analyseren.

De lijst met MDE-scans extraheren

Het mde-agent-information.json bestand bevat een gedetailleerd scanrapport, maar u wilt zich misschien eerst richten op enkele details. In deze sectie worden de stappen beschreven voor het extraheren van de lijst met scans die de informatie bevatten, zoals de begin- en eindtijd voor elke scan, bedreigingen gevonden, status (geslaagd of mislukt), enzovoort.

Met de volgende opdracht wordt dit vereenvoudigde rapport geëxtraheerd.

cat <path to>/mde-agent-information.json| jq .scanList

In het volgende voorbeeld ziet u het geëxtraheerde scanrapport van mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

U kunt de Unix-opdracht date gebruiken om de tijd in een beter leesbare indeling te converteren. Zie voor uw gemak een voorbeeld voor het converteren van Unix-tijdstempels (in milliseconden) naar jaarmaanddag en uur:min:sec.

Voorbeeld:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

De MDE-scanresultaten extraheren

In deze sectie worden de stappen beschreven voor het extraheren van het rapport over de lijst met bedreigingen die tijdens de MDE-scans zijn geïdentificeerd. Voer de volgende opdracht uit om het rapport met scanresultaten uit mde-agent-information.json het bestand te extraheren.

cat <path to>/mde-agent-information.json| jq .threatInformation

In het volgende voorbeeld ziet u het rapport van bedreigingen die zijn geïdentificeerd door de scan die uit mde-agent-information.json het bestand is geëxtraheerd.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}