A Végponthoz készült Microsoft Defender futtatókörnyezet-védelmi szolgáltatás bemutatása
Az Végponthoz készült Microsoft Defender (MDE) futtatókörnyezet-védelmi szolgáltatás biztosítja a Nexus-fürtök futtatókörnyezet-védelmének konfigurálásához és kezeléséhez szükséges eszközöket.
Az Azure CLI lehetővé teszi a futtatókörnyezet védelmének kényszerítési szintjének konfigurálását, valamint az MDE-vizsgálat aktiválását az összes csomóponton. Ez a dokumentum ismerteti a feladatok végrehajtásának lépéseit.
Feljegyzés
Az MDE futtatókörnyezet-védelmi szolgáltatás integrálható a Végponthoz készült Microsoft Defender, amely átfogó végpontészlelési és -válaszfunkciókat (Végponti észlelés és reagálás) biztosít. A Végponthoz készült Microsoft Defender integrációval észlelheti a rendellenességeket, és észlelheti a biztonsági réseket.
Mielőtt elkezdené
- Telepítse a megfelelő CLI-bővítmények legújabb verzióját.
Változók beállítása
Az MDE-vizsgálatok konfigurálásához és aktiválásához definiálja az útmutató különböző parancsai által használt környezeti változókat.
Feljegyzés
Ezek a környezeti változóértékek nem tükrözik a valós üzembe helyezést, és a felhasználóknak módosítaniuk kell őket, hogy megfeleljenek a környezetüknek.
# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"
Az MDE Runtime Protection alapértelmezett beállítása
A futtatókörnyezet-védelem az alapértelmezett értékek követésére állítja be a fürtök üzembe helyezésekor
- Kényszerítési szint:
Disabled
ha nincs megadva a fürt létrehozásakor - MDE szolgáltatás:
Disabled
Feljegyzés
Az argumentum --runtime-protection enforcement-level="<enforcement level>"
két célt szolgál: az MDE szolgáltatás engedélyezését/letiltását és a kényszerítési szint frissítését.
Ha le szeretné tiltani az MDE szolgáltatást a fürtben, használja a következőt <enforcement level>
Disabled
: .
Kényszerítési szint konfigurálása
A az networkcloud cluster update
parancs lehetővé teszi, hogy az argumentum --runtime-protection enforcement-level="<enforcement level>"
használatával frissítse a fürt futásidejű védelmi szintjének beállításait.
Az alábbi parancs konfigurálja a enforcement level
fürtöt.
az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"
A következő engedélyezett értékei<enforcement level>
: Disabled
, RealTime
, OnDemand
. Passive
Disabled
: A valós idejű védelem ki van kapcsolva, és nincs vizsgálat.RealTime
: A valós idejű védelem (a fájlok módosításakor történő vizsgálat) engedélyezve van.OnDemand
: A fájlok vizsgálata csak igény szerint lehetséges. Ebben:- A valós idejű védelem ki van kapcsolva.
Passive
: A víruskereső motort passzív módban futtatja. Ebben:- A valós idejű védelem ki van kapcsolva: A fenyegetéseket a Microsoft Defender víruskereső nem orvosolja.
- Az igény szerinti vizsgálat be van kapcsolva: Továbbra is használja a végpont vizsgálati képességeit.
- Az automatikus fenyegetés-szervizelés ki van kapcsolva: A rendszer nem helyez át fájlokat, és a biztonsági rendszergazda várhatóan végrehajtja a szükséges műveletet.
- A biztonságiintelligencia-frissítések be vannak kapcsolva: A riasztások elérhetők lesznek a biztonsági rendszergazdák bérlőjén.
A kényszerítési szint frissítését a következő JSON-kódrészlet kimenetének vizsgálatával ellenőrizheti:
"runtimeProtectionConfiguration": {
"enforcementLevel": "<enforcement level>"
}
MDE-vizsgálat aktiválása az összes csomóponton
Ha MDE-vizsgálatot szeretne indítani egy fürt összes csomópontján, használja a következő parancsot:
az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan
MEGJEGYZÉS: Az MDE vizsgálati művelethez engedélyezni kell az MDE szolgáltatást. Ha nincs engedélyezve, a parancs sikertelen lesz. Ebben az esetben állítsa be az
Enforcement Level
MDE szolgáltatás engedélyezéséhez eltérőDisabled
értéket.
MDE-vizsgálat adatainak lekérése az egyes csomópontokról
Ez a szakasz az MDE vizsgálati adatainak lekérésének lépéseit ismerteti. Először le kell kérnie a fürt csomópontneveinek listáját. Az alábbi parancs hozzárendeli a csomópontnevek listáját egy környezeti változóhoz.
nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')
A csomópontnevek listájával elindíthatjuk az MDE-ügynök információinak kinyerésének folyamatát a fürt minden csomópontjához. Az alábbi parancs előkészíti az MDE-ügynök adatait az egyes csomópontokról.
for node in $nodes
do
echo "Extracting MDE agent information for node ${node}"
az networkcloud baremetalmachine run-data-extract \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
--name ${node} \
--commands '[{"command":"mde-agent-information"}]' \
--limit-time-seconds 600
done
A parancs eredménye egy URL-címet tartalmaz, ahol letöltheti az MDE-vizsgálatok részletes jelentését. Az MDE-ügynök adatainak eredményéhez lásd az alábbi példát.
Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand
================================
Script execution result can be found in storage account:
<url to download mde scan results>
...
MDE-vizsgálat eredményeinek kinyerése
Az MDE-vizsgálat kinyeréséhez néhány manuális lépésre van szükség: Az MDE vizsgálati jelentés letöltéséhez és a vizsgálat futtatási adatainak kinyeréséhez, valamint a részletes eredményjelentés vizsgálatához. Ez a szakasz végigvezeti az egyes lépéseken.
A vizsgálati jelentés letöltése
Ahogy korábban jeleztük, az MDE-ügynök információinak válasza megadja a részletes jelentésadatokat tartalmazó URL-címet.
Töltse le a jelentést a visszaadott URL-címről <url to download mde scan results>
, és nyissa meg a fájlt mde-agent-information.json
.
A mde-agent-information.json
fájl sok információt tartalmaz a vizsgálatról, és túl sok lehet az ilyen hosszú részletes jelentés elemzése.
Ez az útmutató néhány példát mutat be néhány alapvető információ kinyerésére, amelyek segíthetnek eldönteni, hogy alaposan elemeznie kell-e a jelentést.
Az MDE-vizsgálatok listájának kinyerése
A mde-agent-information.json
fájl részletes vizsgálati jelentést tartalmaz, de érdemes lehet először néhány részletre összpontosítania.
Ez a szakasz részletesen ismerteti a futtatott vizsgálatok listájának kinyerésének lépéseit, amelyek olyan információkat tartalmaznak, mint az egyes vizsgálatok kezdési és befejezési ideje, a talált fenyegetések, az állapot (sikeres vagy sikertelen) stb.
Az alábbi parancs kinyeri ezt az egyszerűsített jelentést.
cat <path to>/mde-agent-information.json| jq .scanList
Az alábbi példa a kinyert vizsgálati jelentést mutatja be.mde-agent-information.json
[
{
"endTime": "1697204632487",
"filesScanned": "1750",
"startTime": "1697204573732",
"state": "succeeded",
"threats": [],
"type": "quick"
},
{
"endTime": "1697217162904",
"filesScanned": "1750",
"startTime": "1697217113457",
"state": "succeeded",
"threats": [],
"type": "quick"
}
]
A Unix date
paranccsal olvashatóbb formátumban konvertálhatja az időt.
Az Ön kényelme érdekében tekintse meg a Unix-időbélyeg (ezredmásodpercben) év-hónap nap és óra:perc:mps értékre konvertálására szolgáló példát.
Példa:
date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"
2023-10-13T13:42:53
Az MDE-vizsgálat eredményeinek kinyerése
Ez a szakasz az MDE-vizsgálatok során azonosított fenyegetések listájáról szóló jelentés kinyerésének lépéseit ismerteti.
A vizsgálati eredmény jelentés fájlból mde-agent-information.json
való kinyeréséhez hajtsa végre a következő parancsot.
cat <path to>/mde-agent-information.json| jq .threatInformation
Az alábbi példa a fájlból kinyert vizsgálat által azonosított fenyegetések jelentését mde-agent-information.json
mutatja be.
{
"list": {
"threats": {
"scans": [
{
"type": "quick",
"start_time": 1697204573732,
"end_time": 1697204632487,
"files_scanned": 1750,
"threats": [],
"state": "succeeded"
},
{
"type": "quick",
"start_time": 1697217113457,
"end_time": 1697217162904,
"files_scanned": 1750,
"threats": [],
"state": "succeeded"
}
]
}
},
"quarantineList": {
"type": "quarantined",
"threats": []
}
}
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: