Partilhar via

Introdução ao serviço de proteção de tempo de execução do Microsoft Defender for Endpoint

  • Artigo

O serviço de proteção de tempo de execução do Microsoft Defender for Endpoint (MDE) fornece as ferramentas para configurar e gerenciar a proteção de tempo de execução para um cluster Nexus.

A CLI do Azure permite configurar o Nível de Imposição da proteção em tempo de execução e a capacidade de acionar a Verificação MDE em todos os nós. Este documento fornece as etapas para executar essas tarefas.

Nota

O serviço de proteção de tempo de execução MDE integra-se ao Microsoft Defender for Endpoint, que fornece recursos abrangentes de EDR (Endpoint Detection and Response). Com a integração do Microsoft Defender for Endpoint, você pode detetar anormalidades e detetar vulnerabilidades.

Antes de começar

Definição de variáveis

Para ajudar a configurar e acionar verificações MDE, defina essas variáveis de ambiente usadas pelos vários comandos ao longo deste guia.

Nota

Esses valores de variáveis de ambiente não refletem uma implantação real e os usuários DEVEM alterá-los para corresponder aos seus ambientes.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Padrões para o MDE Runtime Protection

A proteção de tempo de execução define os seguintes valores padrão quando você implanta um cluster

  • Nível de imposição: Disabled se não especificado ao criar o cluster
  • Serviço MDE: Disabled

Nota

O argumento --runtime-protection enforcement-level="<enforcement level>" serve a dois propósitos: ativar/desativar o serviço MDE e atualizar o nível de aplicação.

Se você quiser desabilitar o serviço MDE em seu cluster, use um <enforcement level> de Disabled.

Configurando o nível de imposição

O az networkcloud cluster update comando permite que você atualize as configurações para o nível de imposição de proteção de tempo de execução do cluster usando o argumento --runtime-protection enforcement-level="<enforcement level>".

O comando a seguir configura o enforcement level para seu cluster.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Valores permitidos para <enforcement level>: Disabled, RealTime, OnDemand, Passive.

  • Disabled: A proteção em tempo real está desativada e nenhuma verificação é executada.
  • RealTime: A proteção em tempo real (digitalizar ficheiros à medida que são modificados) está ativada.
  • OnDemand: Os ficheiros são digitalizados apenas a pedido. Neste:
    • A proteção em tempo real está desativada.
  • Passive: Executa o mecanismo antivírus no modo passivo. Neste:
    • A proteção em tempo real está desativada: as ameaças não são remediadas pelo Microsoft Defender Antivirus.
    • A varredura por solicitação está ativada: ainda use os recursos de varredura no ponto de extremidade.
    • A correção automática de ameaças está desativada: nenhum arquivo será movido e espera-se que o administrador de segurança tome as medidas necessárias.
    • As atualizações de inteligência de segurança estão ativadas: os alertas estarão disponíveis no locatário dos administradores de segurança.

Você pode confirmar que o nível de imposição foi atualizado inspecionando a saída para o seguinte trecho de json:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Acionando a verificação MDE em todos os nós

Para disparar uma verificação MDE em todos os nós de um cluster, use o seguinte comando:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

NOTA: a ação de verificação MDE requer que o serviço MDE esteja ativado. Apenas no caso de não estar ativado, o comando falhará. Nesse caso, defina o Enforcement Level para um valor diferente de Disabled para habilitar o serviço MDE.

Recuperar informações de varredura MDE de cada nó

Esta seção fornece as etapas para recuperar informações de verificação MDE. Primeiro, você precisa recuperar a lista de nomes de nó do cluster. O comando a seguir atribui a lista de nomes de nó a uma variável de ambiente.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Com a lista de nomes de nós, podemos iniciar o processo para extrair informações do agente MDE para cada nó do seu Cluster. O comando a seguir preparará as informações do agente MDE de cada nó.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

O resultado para o comando incluirá um URL onde você pode baixar o relatório detalhado de varreduras MDE. Consulte o exemplo a seguir para obter o resultado para obter as informações do agente MDE.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Extraindo resultados da varredura MDE

A extração da verificação MDE requer algumas etapas manuais: Para baixar o relatório de varredura MDE e extrair as informações de execução da varredura e o relatório de resultados detalhado da varredura. Esta secção irá guiá-lo em cada um destes passos.

Faça o download do relatório de verificação

Como indicado anteriormente, a resposta de informações do agente MDE fornece a URL que armazena os dados detalhados do relatório.

Transfira o relatório a partir do URL <url to download mde scan results>devolvido e abra o ficheiro mde-agent-information.json.

O mde-agent-information.json arquivo contém muitas informações sobre a verificação e pode ser esmagador analisar um relatório tão longo e detalhado. Este guia fornece alguns exemplos de extração de algumas informações essenciais que podem ajudá-lo a decidir se precisa analisar minuciosamente o relatório.

Extraindo a lista de varreduras MDE

O mde-agent-information.json arquivo contém um relatório de verificação detalhado, mas você pode querer se concentrar primeiro em alguns detalhes. Esta seção detalha as etapas para extrair a lista de verificações executadas, fornecendo informações como hora de início e término de cada verificação, ameaças encontradas, estado (bem-sucedido ou falhado), etc.

O comando a seguir extrai esse relatório simplificado.

cat <path to>/mde-agent-information.json| jq .scanList

O exemplo a seguir mostra o relatório de verificação extraído do mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Você pode usar o comando Unix date para converter o tempo em um formato mais legível. Para sua conveniência, veja um exemplo para converter o carimbo de data/hora Unix (em milissegundos) para ano-mês-dia e hora:min:secs.

Por exemplo:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Extraindo os resultados da verificação MDE

Esta seção detalha as etapas para extrair o relatório sobre a lista de ameaças identificadas durante as verificações MDE. Para extrair o relatório de resultados da verificação do mde-agent-information.json arquivo, execute o seguinte comando.

cat <path to>/mde-agent-information.json| jq .threatInformation

O exemplo a seguir mostra o relatório de ameaças identificadas pela verificação extraída do mde-agent-information.json arquivo.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}