在 Microsoft Defender 门户中调查和响应容器威胁

重要

本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft对此处提供的信息不作任何明示或暗示的保证

安全操作现在可以在Microsoft Defender门户中近乎实时地调查和响应与容器相关的警报,同时集成云原生响应操作和调查日志来搜寻相关活动。 攻击路径的可用性还有助于分析师立即调查和解决关键安全问题,以防止潜在的违规行为。

当组织在 Azure Kubernetes 服务 (AKS) 、Google Kubernetes 引擎 (GKE) 、ad Amazon Elastic Kubernetes Service (EKS) 等平台上使用容器和 Kubernetes 时,攻击面不断扩大,增加了安全挑战。 容器也可能成为威胁参与者的目标,并用于恶意目的。

安全运营中心 (SOC) 分析师现在可以使用准实时警报轻松跟踪容器威胁,并通过隔离或终止容器 Pod 来立即响应这些威胁。 此集成使分析师只需单击一下即可立即缓解来自其环境的容器攻击。

然后,分析人员可以调查攻击的全部范围,并能够在事件图中搜寻相关活动。 他们还可以进一步应用预防措施,并在事件图中提供潜在的攻击路径。 使用来自攻击路径的信息,安全团队可以检查路径并防止可能的违规行为。 此外,特定于容器威胁和攻击的威胁分析报告可供分析师获取更多信息并应用容器攻击响应和预防建议。

先决条件

在Microsoft Defender门户中查看和解决与容器相关的警报需要以下许可证:

注意

隔离 Pod 响应操作需要网络策略强制程序。 检查 Kubernetes 群集是否安装了网络策略。

安全态势管理计划Microsoft Defender用户可以在事件图中查看攻击路径。

Microsoft Security Copilot具有预配访问权限的用户还可以利用引导式响应来调查和修正容器威胁。

权限

若要执行任何响应操作,用户必须在Microsoft Defender XDR统一的基于角色的访问控制中对 Microsoft Defender for Cloud 具有以下权限:

权限名称 级别
警报 管理
响应 管理

有关这些权限的详细信息,请参阅 Microsoft Defender XDR统一基于角色的访问控制 (RBAC) 中的权限

调查容器威胁

若要在 Microsoft Defender 门户中调查容器威胁,请执行以下操作:

  1. 在左侧导航菜单中选择“ 调查 & 响应 > 事件和警报 ”以打开事件或警报队列。
  2. 在队列中,选择“筛选”,然后在“服务源”下选择“Microsoft Defender”“用于容器的云>Microsoft Defender”。 事件队列经过筛选以显示与容器相关的事件。
  3. 在事件图中,选择需要调查的 Pod/服务/群集实体。 选择“Kubernetes 服务详细信息”、“Kubernetes Pod 详细信息”、“Kubernetes 群集详细信息”“容器注册表详细信息”以查看有关服务、Pod 或注册表的相关信息。

使用 威胁分析 报告,分析师可以利用专家Microsoft安全研究人员提供的威胁情报来了解利用容器的积极威胁参与者和活动、可能影响容器的新攻击技术以及影响容器的常见威胁。

从威胁情报>威胁分析访问威胁分析报告。 还可以在事件侧窗格的“相关威胁”下选择“查看威胁分析报告”,从事件页面打开特定报告。

突出显示如何从事件页查看威胁分析报告。

威胁分析报告还包含相关的缓解、恢复和预防方法,分析师可以评估这些方法并将其应用于其环境。 使用威胁分析报告中的信息可帮助 SOC 团队保护其环境免受容器攻击。 下面是有关容器攻击的分析报告的示例。

容器攻击威胁分析报告的示例页。

响应容器威胁

确定 Pod 遭到入侵或恶意后,可以 隔离终止 Pod。 在事件图中,选择 Pod,然后转到 “操作” 以查看可用的响应操作。 还可以在实体端窗格中找到这些响应操作。

突出显示事件中的云响应操作。

调查完成后,可以使用“从隔离释放”操作 来释放 Pod。 此选项显示在独立 Pod 的侧窗格中。

可以在 操作中心查看所有响应操作的详细信息。 在“操作中心”页中,选择要检查的响应操作,以查看有关操作的详细信息,例如操作所针对的实体、操作完成时间,并查看对操作的注释。 对于隔离的 Pod,“操作中心详细信息”窗格中还提供了 “从隔离释放 ”操作。

操作中心中列出的云响应操作示例。

若要确定容器攻击的全部范围,可以使用事件图中提供的 Go 搜寻 操作来深化调查。 可以从事件图中立即查看所有与容器相关事件相关的进程事件和活动。

突出显示事件图中的 go 搜寻操作。

“高级搜寻 ”页中,可以使用 CloudProcessEventsCloudAuditEvents 表扩展对容器相关活动的搜索。

CloudProcessEvents 表包含有关多云托管环境(如 Azure Kubernetes 服务、Amazon Elastic Kubernetes 服务和 Google Kubernetes 引擎)中的进程事件的信息。 另一方面,CloudAuditEvents 表包含受 Microsoft Defender for Cloud 保护的云平台的云审核事件。 它还包含 Kubeaudit 日志,这些日志保存有关 Kubernetes 相关事件的信息。

另请参阅