Megosztás a következőn keresztül:

A Végponthoz készült Microsoft Defender futtatókörnyezet-védelmi szolgáltatás bemutatása

  • Cikk

Az Végponthoz készült Microsoft Defender (MDE) futtatókörnyezet-védelmi szolgáltatás biztosítja a Nexus-fürtök futtatókörnyezet-védelmének konfigurálásához és kezeléséhez szükséges eszközöket.

Az Azure CLI lehetővé teszi a futtatókörnyezet védelmének kényszerítési szintjének konfigurálását, valamint az MDE-vizsgálat aktiválását az összes csomóponton. Ez a dokumentum ismerteti a feladatok végrehajtásának lépéseit.

Feljegyzés

Az MDE futtatókörnyezet-védelmi szolgáltatás integrálható a Végponthoz készült Microsoft Defender, amely átfogó végpontészlelési és -válaszfunkciókat (Végponti észlelés és reagálás) biztosít. A Végponthoz készült Microsoft Defender integrációval észlelheti a rendellenességeket, és észlelheti a biztonsági réseket.

Mielőtt elkezdené

Változók beállítása

Az MDE-vizsgálatok konfigurálásához és aktiválásához definiálja az útmutató különböző parancsai által használt környezeti változókat.

Feljegyzés

Ezek a környezeti változóértékek nem tükrözik a valós üzembe helyezést, és a felhasználóknak módosítaniuk kell őket, hogy megfeleljenek a környezetüknek.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Az MDE Runtime Protection alapértelmezett beállítása

A futtatókörnyezet-védelem az alapértelmezett értékek követésére állítja be a fürtök üzembe helyezésekor

  • Kényszerítési szint: Disabled ha nincs megadva a fürt létrehozásakor
  • MDE szolgáltatás: Disabled

Feljegyzés

Az argumentum --runtime-protection enforcement-level="<enforcement level>" két célt szolgál: az MDE szolgáltatás engedélyezését/letiltását és a kényszerítési szint frissítését.

Ha le szeretné tiltani az MDE szolgáltatást a fürtben, használja a következőt <enforcement level> Disabled: .

Kényszerítési szint konfigurálása

A az networkcloud cluster update parancs lehetővé teszi, hogy az argumentum --runtime-protection enforcement-level="<enforcement level>"használatával frissítse a fürt futásidejű védelmi szintjének beállításait.

Az alábbi parancs konfigurálja a enforcement level fürtöt.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

A következő engedélyezett értékei<enforcement level>: Disabled, RealTime, OnDemand. Passive

  • Disabled: A valós idejű védelem ki van kapcsolva, és nincs vizsgálat.
  • RealTime: A valós idejű védelem (a fájlok módosításakor történő vizsgálat) engedélyezve van.
  • OnDemand: A fájlok vizsgálata csak igény szerint lehetséges. Ebben:
    • A valós idejű védelem ki van kapcsolva.
  • Passive: A víruskereső motort passzív módban futtatja. Ebben:
    • A valós idejű védelem ki van kapcsolva: A fenyegetéseket a Microsoft Defender víruskereső nem orvosolja.
    • Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a végpont vizsgálati képességeit.
    • Az automatikus fenyegetés-szervizelés ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazda várhatóan végrehajtja a szükséges műveletet.
    • A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások elérhetők lesznek a biztonsági rendszergazdák bérlőjén.

A kényszerítési szint frissítését a következő JSON-kódrészlet kimenetének vizsgálatával ellenőrizheti:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

MDE-vizsgálat aktiválása az összes csomóponton

Ha MDE-vizsgálatot szeretne indítani egy fürt összes csomópontján, használja a következő parancsot:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

MEGJEGYZÉS: Az MDE vizsgálati művelethez engedélyezni kell az MDE szolgáltatást. Ha nincs engedélyezve, a parancs sikertelen lesz. Ebben az esetben állítsa be az Enforcement Level MDE szolgáltatás engedélyezéséhez eltérő Disabled értéket.

MDE-vizsgálat adatainak lekérése az egyes csomópontokról

Ez a szakasz az MDE vizsgálati adatainak lekérésének lépéseit ismerteti. Először le kell kérnie a fürt csomópontneveinek listáját. Az alábbi parancs hozzárendeli a csomópontnevek listáját egy környezeti változóhoz.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

A csomópontnevek listájával elindíthatjuk az MDE-ügynök információinak kinyerésének folyamatát a fürt minden csomópontjához. Az alábbi parancs előkészíti az MDE-ügynök adatait az egyes csomópontokról.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

A parancs eredménye egy URL-címet tartalmaz, ahol letöltheti az MDE-vizsgálatok részletes jelentését. Az MDE-ügynök adatainak eredményéhez lásd az alábbi példát.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

MDE-vizsgálat eredményeinek kinyerése

Az MDE-vizsgálat kinyeréséhez néhány manuális lépésre van szükség: Az MDE vizsgálati jelentés letöltéséhez és a vizsgálat futtatási adatainak kinyeréséhez, valamint a részletes eredményjelentés vizsgálatához. Ez a szakasz végigvezeti az egyes lépéseken.

A vizsgálati jelentés letöltése

Ahogy korábban jeleztük, az MDE-ügynök információinak válasza megadja a részletes jelentésadatokat tartalmazó URL-címet.

Töltse le a jelentést a visszaadott URL-címről <url to download mde scan results>, és nyissa meg a fájlt mde-agent-information.json.

A mde-agent-information.json fájl sok információt tartalmaz a vizsgálatról, és túl sok lehet az ilyen hosszú részletes jelentés elemzése. Ez az útmutató néhány példát mutat be néhány alapvető információ kinyerésére, amelyek segíthetnek eldönteni, hogy alaposan elemeznie kell-e a jelentést.

Az MDE-vizsgálatok listájának kinyerése

A mde-agent-information.json fájl részletes vizsgálati jelentést tartalmaz, de érdemes lehet először néhány részletre összpontosítania. Ez a szakasz részletesen ismerteti a futtatott vizsgálatok listájának kinyerésének lépéseit, amelyek olyan információkat tartalmaznak, mint az egyes vizsgálatok kezdési és befejezési ideje, a talált fenyegetések, az állapot (sikeres vagy sikertelen) stb.

Az alábbi parancs kinyeri ezt az egyszerűsített jelentést.

cat <path to>/mde-agent-information.json| jq .scanList

Az alábbi példa a kinyert vizsgálati jelentést mutatja be.mde-agent-information.json

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

A Unix date paranccsal olvashatóbb formátumban konvertálhatja az időt. Az Ön kényelme érdekében tekintse meg a Unix-időbélyeg (ezredmásodpercben) év-hónap nap és óra:perc:mps értékre konvertálására szolgáló példát.

Példa:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Az MDE-vizsgálat eredményeinek kinyerése

Ez a szakasz az MDE-vizsgálatok során azonosított fenyegetések listájáról szóló jelentés kinyerésének lépéseit ismerteti. A vizsgálati eredmény jelentés fájlból mde-agent-information.json való kinyeréséhez hajtsa végre a következő parancsot.

cat <path to>/mde-agent-information.json| jq .threatInformation

Az alábbi példa a fájlból kinyert vizsgálat által azonosított fenyegetések jelentését mde-agent-information.json mutatja be.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}