Изучение угроз контейнера и реагирование на них на портале Microsoft Defender
Важно!
Некоторые сведения в этой статье относятся к предварительно выпущенном продукту, который может быть существенно изменен до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь
Операции безопасности теперь могут исследовать оповещения, связанные с контейнерами, и реагировать на них практически в режиме реального времени на портале Microsoft Defender с интеграцией облачных действий реагирования и журналов исследования для поиска связанных действий. Доступность путей атак также может помочь аналитикам немедленно исследовать и устранять критические проблемы безопасности, чтобы предотвратить потенциальное нарушение.
Так как организации используют контейнеры и Kubernetes на таких платформах, как Служба Azure Kubernetes (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS), область атаки расширяется, что увеличивает проблемы безопасности. Контейнеры также могут быть мишенью для субъектов угроз и использоваться в злонамеренных целях.
Аналитики центра управления безопасностью (SOC) теперь могут легко отслеживать угрозы контейнера с помощью оповещений практически в реальном времени и немедленно реагировать на эти угрозы, изолируя или завершая контейнеры pod. Такая интеграция позволяет аналитикам мгновенно устранять атаки контейнера из своей среды щелчком мыши.
Затем аналитики могут исследовать полный область атаки с возможностью охоты на связанные действия в графе инцидентов. Они также могут дополнительно применять профилактические действия с доступностью потенциальных путей атаки в графе инцидентов. Использование информации из путей атаки позволяет группам безопасности проверять пути и предотвращать возможные нарушения. Кроме того, аналитикам доступны отчеты аналитики угроз, относящиеся к угрозам и атакам контейнеров, чтобы получить дополнительные сведения и применить рекомендации по реагированию на атаки контейнеров и их предотвращению.
Предварительные условия
Для просмотра и разрешения оповещений, связанных с контейнерами, на портале Microsoft Defender требуются следующие лицензии:
Примечание.
Для действия ответа изолировать pod требуется средство принудительного применения политики сети. Проверьте, установлена ли в кластере Kubernetes политика сети.
Пользователи в Microsoft Defender для плана управления состоянием облачной безопасности могут просматривать пути атак в графе инцидентов.
Пользователи с подготовленным доступом к Microsoft Security Copilot также могут воспользоваться преимуществами интерактивных ответов для изучения и устранения угроз контейнера.
Разрешения
Для выполнения любого из действий ответа пользователи должны иметь следующие разрешения на Microsoft Defender для облака в Microsoft Defender XDR унифицированного управления доступом на основе ролей:
| Имя разрешения | Level |
|---|---|
| Оповещения | Управление |
| Отклик | Управление |
Дополнительные сведения об этих разрешениях см. в разделе Разрешения в Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC).
Исследование угроз контейнера
Чтобы исследовать угрозы контейнера на портале Microsoft Defender, выполните следующие действия.
- Выберите Исследование & реагирования > Инциденты и оповещения в меню навигации слева, чтобы открыть очереди инцидентов или оповещений.
- В очереди выберите Фильтр и выберите Microsoft Defender для облачных > Microsoft Defender для контейнеров в разделе Источник службы.
- В графе инцидентов выберите сущность pod, службы или кластера, для изучения. Выберите Сведения о службе Kubernetes, сведения о pod Kubernetes, сведения о кластере Kubernetes или Сведения о реестре контейнеров , чтобы просмотреть соответствующие сведения о службе, модуле или реестре.
Используя отчеты аналитики угроз , аналитики могут использовать аналитику угроз от экспертных исследователей безопасности Майкрософт, чтобы узнать об активных субъектах угроз и кампаниях, эксплуатирующих контейнеры, новых методах атак, которые могут повлиять на контейнеры, и распространенных угрозах, влияющих на контейнеры.
Доступ к отчетам аналитики угроз из аналитики > угроз Аналитика угроз. Вы также можете открыть определенный отчет на странице инцидента, выбрав Просмотреть отчет аналитики угроз в разделе Связанные угрозы на боковой панели инцидента.
Отчеты аналитики угроз также содержат соответствующие методы устранения рисков, восстановления и предотвращения, которые аналитики могут оценить и применить к своей среде. Использование информации в отчетах по аналитике угроз помогает командам SOC защищать свою среду от атак на контейнеры. Ниже приведен пример отчета аналитика об атаке на контейнер.
Реагирование на угрозы контейнера
Вы можете изолировать или завершить модуль pod после того, как определите, что он скомпрометирован или является вредоносным. В графе инцидентов выберите модуль pod, а затем перейдите в раздел Действия , чтобы просмотреть доступные действия реагирования. Эти действия ответа также можно найти на боковой панели сущности.
Вы можете освободить pod от изоляции с помощью действия освобождения от изоляции после завершения исследования. Этот параметр отображается на боковой панели для изолированных модулей pod.
Сведения обо всех действиях ответа можно просмотреть в центре уведомлений. На странице Центра уведомлений выберите действие ответа, которое нужно проверить, чтобы просмотреть дополнительные сведения о действии, например о сущности, с которой было выполнено действие, и просмотрите комментарии к действию. Для изолированных модулей pod действие "Освобождение от изоляции " также доступно в области сведений о центре уведомлений.
Поиск действий, связанных с контейнерами
Чтобы определить полный область атаки на контейнер, можно углубить исследование с помощью действия Go hunt, доступного в графе инцидентов. Вы можете сразу просмотреть все события процесса и действия, связанные с инцидентами, связанными с контейнерами, на графе инцидентов.
На странице Расширенный поиск можно расширить поиск действий, связанных с контейнерами, с помощью таблиц CloudProcessEvents и CloudAuditEvents .
Таблица CloudProcessEvents содержит сведения о событиях процессов в многооблачных размещенных средах, таких как Служба Azure Kubernetes, Amazon Elastic Kubernetes Service и Google Kubernetes Engine.
Таблица CloudAuditEvents содержит события аудита облака с облачных платформ, защищенных Microsoft Defender для облака. Он также содержит журналы Kubeaudit, которые содержат сведения о событиях, связанных с Kubernetes.