Pengantar layanan perlindungan runtime Microsoft Defender untuk Titik Akhir

Artikel
02/15/2024

Layanan perlindungan runtime Microsoft Defender untuk Titik Akhir (MDE) menyediakan alat untuk mengonfigurasi dan mengelola perlindungan runtime untuk kluster Nexus.

Azure CLI memungkinkan Anda mengonfigurasi Tingkat Penegakan perlindungan runtime dan kemampuan untuk memicu Pemindaian MDE pada semua simpul. Dokumen ini menyediakan langkah-langkah untuk menjalankan tugas-tugas tersebut.

Catatan

Layanan perlindungan runtime MDE terintegrasi dengan Microsoft Defender untuk Titik Akhir, yang menyediakan kemampuan Deteksi dan Respons Titik Akhir (EDR) yang komprehensif. Dengan integrasi Microsoft Defender untuk Titik Akhir, Anda dapat menemukan kelainan dan mendeteksi kerentanan.

Sebelum Anda mulai

Instal versi terbaru ekstensi CLI yang sesuai.

Mengatur variabel

Untuk membantu mengonfigurasi dan memicu pemindaian MDE, tentukan variabel lingkungan ini yang digunakan oleh berbagai perintah di seluruh panduan ini.

Catatan

Nilai variabel lingkungan ini tidak mencerminkan penyebaran nyata dan pengguna HARUS mengubahnya agar sesuai dengan lingkungan mereka.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Default untuk Perlindungan Runtime MDE

Perlindungan runtime diatur ke nilai default berikut saat Anda menyebarkan kluster

Tingkat Penerapan: Disabled jika tidak ditentukan saat membuat kluster
Layanan MDE: Disabled

Catatan

Argumen --runtime-protection enforcement-level="<enforcement level>" melayani dua tujuan: mengaktifkan/menonaktifkan layanan MDE dan memperbarui tingkat penerapan.

Jika Anda ingin menonaktifkan layanan MDE di seluruh Kluster Anda, gunakan <enforcement level> dari Disabled.

Mengonfigurasi tingkat penerapan

Perintah ini az networkcloud cluster update memungkinkan Anda memperbarui pengaturan untuk tingkat penegakan perlindungan runtime kluster dengan menggunakan argumen --runtime-protection enforcement-level="<enforcement level>".

Perintah berikut mengonfigurasi enforcement level untuk Kluster Anda.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Nilai yang diizinkan untuk <enforcement level>: Disabled, RealTime, OnDemand, Passive.

Disabled: Perlindungan real time dimatikan dan tidak ada pemindaian yang dilakukan.
RealTime: Perlindungan real time (file pemindaian saat dimodifikasi) diaktifkan.
OnDemand: File hanya dipindai sesuai permintaan. Dalam hal ini:
- Perlindungan real time dimatikan.
Passive: Menjalankan mesin antivirus dalam mode pasif. Dalam hal ini:
- Perlindungan real time dimatikan: Ancaman tidak diperbaiki oleh Antivirus Microsoft Defender.
- Pemindaian sesuai permintaan diaktifkan: Masih gunakan kemampuan pemindaian pada titik akhir.
- Remediasi ancaman otomatis dimatikan: Tidak ada file yang akan dipindahkan dan admin keamanan diharapkan untuk mengambil tindakan yang diperlukan.
- Pembaruan inteligensi keamanan diaktifkan: Pemberitahuan akan tersedia di penyewa admin keamanan.

Anda dapat mengonfirmasi bahwa tingkat penerapan diperbarui dengan memeriksa output untuk cuplikan json berikut:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Memicu pemindaian MDE pada semua simpul

Untuk memicu pemindaian MDE pada semua simpul kluster, gunakan perintah berikut:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

CATATAN: Tindakan pemindaian MDE mengharuskan layanan MDE diaktifkan. Untuk berjaga-jaga jika tidak diaktifkan, perintah akan gagal. Dalam hal ini atur ke Enforcement Level nilai yang berbeda dari Disabled untuk mengaktifkan layanan MDE.

Mengambil informasi pemindaian MDE dari setiap simpul

Bagian ini menyediakan langkah-langkah untuk mengambil informasi pemindaian MDE. Pertama, Anda perlu mengambil daftar nama node kluster Anda. Perintah berikut menetapkan daftar nama simpul ke variabel lingkungan.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Dengan daftar nama node, kita dapat memulai proses untuk mengekstrak informasi agen MDE untuk setiap simpul Kluster Anda. Perintah berikut akan menyiapkan informasi agen MDE dari setiap simpul.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Hasil untuk perintah akan menyertakan URL tempat Anda dapat mengunduh laporan terperinci pemindaian MDE. Lihat contoh berikut untuk hasil untuk informasi agen MDE.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Mengekstrak hasil pemindaian MDE

Ekstraksi pemindaian MDE memerlukan beberapa langkah manual: Untuk mengunduh laporan pemindaian MDE dan mengekstrak informasi eksekusi pemindaian, dan memindai laporan hasil terperinci. Bagian ini akan memandu Anda pada setiap langkah ini.

Mengunduh laporan pemindaian

Seperti yang ditunjukkan sebelumnya, respons informasi agen MDE menyediakan URL yang menyimpan data laporan terperinci.

Unduh laporan dari URL <url to download mde scan results>yang dikembalikan, dan buka file mde-agent-information.json.

File berisi mde-agent-information.json banyak informasi tentang pemindaian dan bisa sangat luar biasa untuk menganalisis laporan terperinci yang panjang. Panduan ini menyediakan beberapa contoh mengekstrak beberapa informasi penting yang dapat membantu Anda memutuskan apakah Anda perlu menganalisis laporan secara menyeluruh.

Mengekstrak daftar pemindaian MDE

File mde-agent-information.json berisi laporan pemindaian terperinci tetapi Anda mungkin ingin fokus terlebih dahulu pada beberapa detail. Bagian ini merinci langkah-langkah untuk mengekstrak daftar pemindaian yang dijalankan yang menyediakan informasi seperti waktu mulai dan berakhir untuk setiap pemindaian, ancaman yang ditemukan, status (berhasil atau gagal), dll.

Perintah berikut mengekstrak laporan yang disederhanakan ini.

cat <path to>/mde-agent-information.json| jq .scanList

Contoh berikut menunjukkan laporan pemindaian yang diekstrak dari mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Anda dapat menggunakan perintah Unix date untuk mengonversi waktu dalam format yang lebih mudah dibaca. Untuk kenyamanan Anda, lihat contoh untuk mengonversi tanda waktu Unix (dalam milidetik) menjadi tahun-bulan-hari dan jam:min:detik.

Misalnya:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Mengekstrak hasil pemindaian MDE

Bagian ini merinci langkah-langkah untuk mengekstrak laporan tentang daftar ancaman yang diidentifikasi selama pemindaian MDE. Untuk mengekstrak laporan hasil pemindaian dari mde-agent-information.json file, jalankan perintah berikut.

cat <path to>/mde-agent-information.json| jq .threatInformation

Contoh berikut menunjukkan laporan ancaman yang diidentifikasi oleh pemindaian yang diekstrak dari mde-agent-information.json file.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}

Bagikan melalui

Pengantar layanan perlindungan runtime Microsoft Defender untuk Titik Akhir

Sebelum Anda mulai

Mengatur variabel

Default untuk Perlindungan Runtime MDE

Mengonfigurasi tingkat penerapan

Memicu pemindaian MDE pada semua simpul

Mengambil informasi pemindaian MDE dari setiap simpul

Mengekstrak hasil pemindaian MDE

Mengunduh laporan pemindaian

Mengekstrak daftar pemindaian MDE

Mengekstrak hasil pemindaian MDE

Saran dan Komentar

Saran dan Komentar

Sumber Daya Tambahan: