在 Microsoft Defender 入口網站中調查和回應容器威脅
重要事項
本文中的某些資訊與發行前版本產品有關,可能會在正式發行前進行大幅修改。 Microsoft不針對此處提供的資訊來表示或隱含擔保
安全性作業現在可以在 Microsoft Defender 入口網站中近乎即時地調查和回應容器相關警示,並整合雲端原生回應動作和調查記錄,以搜捕相關活動。 攻擊路徑的可用性也可協助分析師立即調查並解決重大安全性問題,以防止潛在的缺口。
當組織在 Azure Kubernetes Service (AKS) 、Google Kubernetes Engine (GKE) 、ad Amazon Elastic Kubernetes Service (EKS) 等平臺上使用容器和 Kubernetes 時,攻擊面會擴大,增加安全性挑戰。 容器也可以以威脅執行者為目標,並用於惡意用途。
安全性作業中心 (SOC) 分析師現在可以使用近乎即時的警示輕鬆追蹤容器威脅,並藉由隔離或終止容器 Pod 立即回應這些威脅。 這項整合可讓分析師在按兩下時立即減輕其環境中的容器攻擊。
接著,分析師可以調查攻擊的完整範圍,並能夠在事件圖表中搜捕相關活動。 他們也可以進一步套用預防性動作,以在事件圖表中提供潛在的攻擊路徑。 使用來自攻擊路徑的資訊可讓安全性小組檢查路徑並防止可能的入侵。 此外,容器威脅和攻擊專用的威脅分析報告可供分析師取得詳細資訊,並套用容器攻擊回應和預防的建議。
必要條件
需要下列授權,才能在 Microsoft Defender 入口網站中檢視和解決容器相關警示:
注意事項
隔離 Pod 回應動作需要網路原則強制執行程式。 檢查 Kubernetes 叢集是否已安裝網路原則。
雲端安全性狀態管理計劃 Microsoft Defender 上的用戶可以在事件圖表中檢視攻擊路徑。
具有 Microsoft Security Copilot 布建存取權的使用者也可以利用引導式響應來調查和補救容器威脅。
權限
若要執行任何回應動作,用戶必須在 Microsoft Defender 全面偵測回應 統一的角色型訪問控制中,擁有適用於雲端 Microsoft Defender的下列許可權:
| 許可權名稱 | 層級 |
|---|---|
| 警示 | 管理 |
| 回應 | 管理 |
如需這些許可權的詳細資訊,請參閱 Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) 中的許可權。
調查容器威脅
若要在 Microsoft Defender 入口網站中調查容器威脅:
- 在左側導覽功能表中選 取 [調查 & 回應 > 事件和警示 ],以開啟事件或警示佇列。
- 在佇列中,選取 [篩選],然後針對 [服務來源] 下的 [容器] 選擇 [雲>端 Microsoft Defender] Microsoft Defender。
- 在事件圖表中,選取您需要調查的 Pod/服務/叢集實體。 選 取 [Kubernetes 服務詳細數據]、 [Kubernetes Pod 詳細數據]、 [Kubernetes 叢集詳細數據] 或 [容器登錄詳細 數據],以檢視服務、Pod 或登錄的相關信息。
分析人員可以使用 威脅分析 報告,利用專家Microsoft安全性研究人員的威脅情報,了解主動式威脅執行者和惡意探索容器的活動、可能會影響容器的新攻擊技術,以及影響容器的普遍威脅。
從威脅 情報 > 威脅分析存取威脅分析報告。 您也可以在事件端窗格的 [相關威脅] 下選取 [檢視威脅分析報告],從事件頁面開啟特定報告。
威脅分析報告也包含相關的風險降低、復原和預防方法,可供分析師評估並套用至其環境。 使用威脅分析報告中的資訊,可協助SOC小組防禦並保護其環境免於遭受容器攻擊。 以下是有關容器攻擊的分析師報告範例。
回應容器威脅
一旦判斷 Pod 遭到入侵或惡意攻擊,您就可以 隔離 或 終止 Pod。 在事件圖表中,選取 Pod,然後移至 [ 動作 ] 以檢視可用的回應動作。 您也可以在實體端窗格上找到這些回應動作。
一旦調查完成,您就可以從隔離釋放 Pod,並 從隔離動作釋放 。 此選項會出現在隔離 Pod 的側邊窗格上。
您可以在 控制中心檢視所有回應動作的詳細數據。 在 [控制中心] 頁面中,選取您想要檢查的響應動作,以檢視動作的詳細資訊,例如,動作執行時、動作完成時,以及檢視動作的批注。 對於隔離的 Pod,也可以在 [控制中心詳細數據] 窗格中取得隔離動作的 釋 出。
搜捕容器相關活動
若要判斷容器攻擊的完整範圍,您可以使用事件圖表中提供的 Go 搜捕 動作來進一步調查。 您可以立即從事件圖表檢視與容器相關事件相關的所有處理事件和活動。
在 [ 進階搜尋 ] 頁面中,您可以使用 CloudProcessEvents 和 CloudAuditEvents 數據表來擴充容器相關活動的搜尋。
CloudProcessEvents 數據表包含多重雲端託管環境中處理事件的相關信息,例如 Azure Kubernetes Service、Amazon Elastic Kubernetes Service 和 Google Kubernetes Engine。 另一方面,CloudAuditEvents 數據表包含來自雲端平臺的雲端稽核事件,這些平臺受到雲端 Microsoft Defender 保護。 它也包含 Kubeaudit 記錄,其中包含 Kubernetes 相關事件的相關信息。