Undersöka och svara på containerhot i Microsoft Defender-portalen
Viktigt
Viss information i den här artikeln gäller en förhyrd produkt, som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier uttryckta eller underförstådda med avseende på den information som tillhandahålls här
Säkerhetsåtgärder kan nu undersöka och svara på containerrelaterade aviseringar nästan i realtid i Microsoft Defender-portalen med integrering av molnbaserade svarsåtgärder och undersökningsloggar för att söka efter relaterade aktiviteter. Tillgängligheten för attackvägar kan också hjälpa analytiker att omedelbart undersöka och åtgärda kritiska säkerhetsproblem för att förhindra ett potentiellt intrång.
När organisationer använder containrar och Kubernetes på plattformar som Azure Kubernetes Service (AKS), Google Kubernetes Engine (GKE), ad Amazon Elastic Kubernetes Service (EKS) expanderar attackytan, vilket ökar säkerhetsutmaningarna. Containrar kan också riktas mot hotaktörer och användas i skadliga syften.
SOC-analytiker (Security Operations Center) kan nu enkelt spåra containerhot med nästan realtidsaviseringar och omedelbart svara på dessa hot genom att isolera eller avsluta containerpoddar. Den här integreringen gör det möjligt för analytiker att omedelbart minimera en containerattack från sin miljö med ett klick.
Analytiker kan sedan undersöka hela omfattningen av attacken med möjlighet att jaga relaterade aktiviteter i incidentdiagrammet. De kan också ytterligare tillämpa förebyggande åtgärder med tillgängligheten för potentiella attackvägar i incidentdiagrammet. Med hjälp av informationen från attackvägarna kan säkerhetsteam inspektera sökvägarna och förhindra eventuella överträdelser. Dessutom är hotanalysrapporter som är specifika för containerhot och -attacker tillgängliga för analytiker för att få mer information och tillämpa rekommendationer för svar och förebyggande av containerattacker.
Förhandskrav
Följande licenser krävs för att visa och lösa containerrelaterade aviseringar i Microsoft Defender-portalen:
Obs!
Åtgärden isolera poddsvar kräver en tvingande nätverksprincip. Kontrollera om kubernetes-klustret har en nätverksprincip installerad.
Användare på Microsoft Defender för en plan för hantering av molnsäkerhetsstatus kan visa attackvägar i incidentdiagrammet.
Användare med etablerad åtkomst till Microsoft Security Copilot kan också dra nytta av de guidade svaren för att undersöka och åtgärda containerhot.
Behörigheter
Om du vill utföra någon av svarsåtgärderna måste användarna ha följande behörigheter för Microsoft Defender för molnet i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll:
| Behörighetsnamn | Nivå |
|---|---|
| Varningar | Hantera |
| Svar | Hantera |
Mer information om dessa behörigheter finns i Behörigheter i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).
Undersöka containerhot
Så här undersöker du containerhot i Microsoft Defender-portalen:
- Välj Undersökning & svar > Incidenter och aviseringar i den vänstra navigeringsmenyn för att öppna incident- eller aviseringsköerna.
- I kön väljer du Filtrera och väljer Microsoft Defender för Cloud > Microsoft Defender for Containers under Tjänstkälla.
- I incidentdiagrammet väljer du den podd-/tjänst-/klusterentitet som du behöver undersöka. Välj Kubernetes-tjänstinformation, Kubernetes-poddinformation, Kubernetes-klusterinformation eller Information om containerregister för att visa relevant information om tjänsten, podden eller registret.
Med hjälp av hotanalysrapporter kan analytiker använda hotinformation från Expert Microsofts säkerhetsforskare för att lära sig mer om aktiva hotaktörer och kampanjer som utnyttjar containrar, nya attacktekniker som kan påverka containrar och vanliga hot som påverkar containrar.
Få åtkomst till hotanalysrapporter från Hotinformation > Hotanalys. Du kan också öppna en specifik rapport från incidentsidan genom att välja Visa hotanalysrapport under Relaterade hot i fönstret på incidentsidan.
Rapporter om hotanalys innehåller också relevanta metoder för åtgärder, återställning och förebyggande som analytiker kan utvärdera och tillämpa på sin miljö. Med hjälp av informationen i hotanalysrapporter kan SOC-team skydda sin miljö mot containerattacker. Här är ett exempel på en analytikerrapport om en containerattack.
Svara på containerhot
Du kan isolera eller avsluta en podd när du har fastställt att en podd är komprometterad eller skadlig. I incidentdiagrammet väljer du podden och går sedan till Åtgärder för att visa tillgängliga svarsåtgärder. Du kan också hitta de här svarsåtgärderna i entitetsfönstret.
Du kan frigöra en podd från isolering med frisläppningen från isoleringsåtgärden när undersökningen är klar. Det här alternativet visas i sidofönstret för isolerade poddar.
Information om alla svarsåtgärder kan visas i åtgärdscentret. På sidan Åtgärdscenter väljer du den svarsåtgärd som du vill granska för att visa mer information om åtgärden, till exempel vilken entitet som utfördes, när åtgärden utfördes och visa kommentarerna om åtgärden. För isolerade poddar är frisläppningen från isoleringsåtgärden också tillgänglig i åtgärdscentrets informationsfönster.
Jaga containerrelaterade aktiviteter
För att fastställa det fullständiga omfånget för en containerattack kan du fördjupa din undersökning med go-jaktåtgärden som är tillgänglig i incidentdiagrammet. Du kan omedelbart visa alla processhändelser och aktiviteter relaterade till containerrelaterade incidenter från incidentdiagrammet.
På sidan Avancerad jakt kan du utöka sökningen efter containerrelaterade aktiviteter med hjälp av tabellerna CloudProcessEvents och CloudAuditEvents .
Tabellen CloudProcessEvents innehåller information om processhändelser i miljöer med flera moln som Azure Kubernetes Service, Amazon Elastic Kubernetes Service och Google Kubernetes Engine. Å andra sidan innehåller tabellen CloudAuditEvents händelser för molngranskning från molnplattformar som skyddas av Microsoft Defender för molnet. Den innehåller också Kubeaudit-loggar, som innehåller information om Kubernetes-relaterade händelser.