Compartilhar via


Investigar e responder a ameaças de contentor no portal do Microsoft Defender

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado, que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias expressas ou implícitas, relativamente às informações aqui fornecidas

As operações de segurança podem agora investigar e responder a alertas relacionados com contentores quase em tempo real no portal do Microsoft Defender com a integração de ações de resposta nativas da cloud e registos de investigação para procurar atividades relacionadas. A disponibilidade de caminhos de ataque também pode ajudar os analistas a investigar e resolver imediatamente problemas de segurança críticos para evitar uma potencial falha de segurança.

À medida que as organizações utilizam contentores e o Kubernetes em plataformas como Serviço de Kubernetes do Azure (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), a superfície de ataque expande-se, aumentando os desafios de segurança. Os contentores também podem ser visados por atores de ameaças e utilizados para fins maliciosos.

Os analistas do Centro de Operações de Segurança (SOC) podem agora controlar facilmente ameaças de contentor com alertas quase em tempo real e responder imediatamente a estas ameaças ao isolar ou terminar pods de contentor. Esta integração permite aos analistas mitigar instantaneamente um ataque de contentor do respetivo ambiente num clique.

Os analistas podem então investigar o âmbito completo do ataque com a capacidade de procurar atividades relacionadas no gráfico de incidentes. Também podem aplicar ações preventivas com a disponibilidade de potenciais caminhos de ataque no gráfico de incidentes. A utilização das informações dos caminhos de ataque permite que as equipas de segurança inspecionem os caminhos e impeçam possíveis violações. Além disso, os relatórios do Threat Analytics específicos de ameaças e ataques de contentores estão disponíveis para que os analistas obtenham mais informações e apliquem recomendações para a resposta e prevenção de ataques de contentores.

Pré-requisitos

As seguintes licenças são necessárias para ver e resolve alertas relacionados com contentores no portal do Microsoft Defender:

Observação

A ação de resposta do pod isolado requer um executor de políticas de rede. Verifique se o cluster do Kubernetes tem uma política de rede instalada.

Os utilizadores no Microsoft Defender para o plano de Gestão da Postura de Segurança da Cloud podem ver caminhos de ataque no gráfico de incidentes.

Os utilizadores com acesso aprovisionado a Microsoft Security Copilot também podem tirar partido das respostas orientadas para investigar e remediar ameaças de contentor.

Permissões

Para executar qualquer uma das ações de resposta, os utilizadores têm de ter as seguintes permissões para Microsoft Defender para a Cloud no Microsoft Defender XDR controlo de acesso baseado em funções unificado:

Nome da permissão Nível
Alertas Gerenciar
Resposta Gerenciar

Para obter mais informações sobre estas permissões, veja Permissões no Microsoft Defender XDR controlo de acesso baseado em funções (RBAC) unificado.

Investigar ameaças de contentor

Para investigar ameaças de contentor no portal do Microsoft Defender:

  1. Selecione Investigação & resposta > Incidentes e alertas no menu de navegação esquerdo para abrir as filas de incidentes ou alertas.
  2. Na fila, selecione Filtrar e escolha Microsoft Defender para > Cloud Microsoft Defender para Contentores em Origem do serviço. Fila de incidentes filtrada para mostrar incidentes relacionados com contentores.
  3. No gráfico de incidentes, selecione a entidade pod/service/cluster que precisa de investigar. Selecione detalhes do serviço Kubernetes, detalhes do pod do Kubernetes, detalhes do cluster do Kubernetes ou Detalhes do registo de contentor para ver informações relevantes sobre o serviço, pod ou registo.

Com os relatórios do Threat Analytics, os analistas podem utilizar informações sobre ameaças de investigadores especialistas em segurança da Microsoft para saber mais sobre atores de ameaças ativos e campanhas que exploram contentores, novas técnicas de ataque que podem afetar contentores e ameaças predominantes que afetam os contentores.

Aceder a relatórios de análise de ameaças a partir da Análise de ameaças>. Também pode abrir um relatório específico a partir da página do incidente ao selecionar Ver relatório de análise de ameaças em Ameaças relacionadas no painel do lado do incidente.

Realçar como ver relatórios de análise de ameaças a partir da página de incidentes.

Os relatórios de análise de ameaças também contêm métodos de mitigação, recuperação e prevenção relevantes que os analistas podem avaliar e aplicar ao seu ambiente. A utilização das informações nos relatórios de análise de ameaças ajuda as equipas do SOC a defender e proteger o respetivo ambiente contra ataques de contentores. Eis um exemplo de um relatório de analista sobre um ataque de contentor.

Página de exemplo de um relatório de análise de ameaças de ataques a contentores.

Responder a ameaças de contentor

Pode isolar ou terminar um pod depois de determinar que um pod está comprometido ou malicioso. No gráfico de incidentes, selecione o pod e, em seguida, aceda a Ações para ver as ações de resposta disponíveis. Também pode encontrar estas ações de resposta no painel do lado da entidade.

Realçar as ações de resposta à cloud num incidente.

Pode libertar um pod do isolamento com a libertação da ação de isolamento assim que a investigação estiver concluída. Esta opção é apresentada no painel lateral para pods isolados.

Os detalhes de todas as ações de resposta podem ser visualizados no Centro de ação. Na página Centro de ação, selecione a ação de resposta que pretende inspecionar para ver mais informações sobre a ação, como a entidade em que foi executada, quando a ação foi efetuada e ver os comentários sobre a ação. Para pods isolados, a ação libertar do isolamento também está disponível no painel de detalhes do Centro de ação.

Exemplo de ações de resposta à cloud listadas no Centro de ação.

Para determinar o âmbito completo de um ataque de contentor, pode aprofundar a investigação com a ação de caça do Go disponível no gráfico de incidentes. Pode ver imediatamente todos os eventos e atividades do processo relacionados com incidentes relacionados com contentores a partir do gráfico de incidentes.

Realçar a ação go hunt no gráfico de incidentes.

Na página Investigação avançada , pode expandir a pesquisa de atividades relacionadas com contentores com as tabelas CloudProcessEvents e CloudAuditEvents .

A tabela CloudProcessEvents contém informações sobre eventos de processo em ambientes alojados em várias clouds, como Serviço de Kubernetes do Azure, Amazon Elastic Kubernetes Service e Google Kubernetes Engine. Por outro lado, a tabela CloudAuditEvents contém eventos de auditoria na cloud de plataformas na cloud protegidas por Microsoft Defender para a Cloud. Também contém registos do Kubeaudit, que contém informações sobre eventos relacionados com o Kubernetes.

Confira também