Introduzione al servizio di protezione del runtime di Microsoft Defender per endpoint

Il servizio di protezione runtime Microsoft Defender per endpoint (MDE) fornisce gli strumenti per configurare e gestire la protezione di runtime per un cluster Nexus.

L'interfaccia della riga di comando di Azure consente di configurare il livello di imposizione della protezione di runtime e la possibilità di attivare l'analisi MDE in tutti i nodi. Questo documento illustra i passaggi per eseguire tali attività.

Nota

Il servizio di protezione del runtime MDE si integra con Microsoft Defender per endpoint, che offre funzionalità di rilevamento e risposta (EDR) complete. Con Microsoft Defender per endpoint integrazione, è possibile individuare le anomalie e rilevare le vulnerabilità.

Operazioni preliminari

• Installare la versione più recente delle estensioni dell'interfaccia della riga di comando appropriate.

Impostazione delle variabili

Per facilitare la configurazione e l'attivazione delle analisi MDE, definire queste variabili di ambiente usate dai vari comandi in questa guida.

Nota

Questi valori delle variabili di ambiente non riflettono una distribuzione reale e gli utenti devono modificarli in modo che corrispondano ai propri ambienti.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Impostazioni predefinite per la protezione del runtime MDE

La protezione di runtime imposta i valori predefiniti seguenti quando si distribuisce un cluster

• Livello di imposizione: Disabled se non specificato durante la creazione del cluster
• Servizio MDE: Disabled

Nota

L'argomento --runtime-protection enforcement-level="<enforcement level>" svolge due scopi: abilitazione/disabilitazione del servizio MDE e aggiornamento del livello di imposizione.

Se si vuole disabilitare il servizio MDE nel cluster, usare .<enforcement level>Disabled

Configurazione del livello di imposizione

Il az networkcloud cluster update comando consente di aggiornare le impostazioni per il livello di imposizione della protezione del runtime del cluster usando l'argomento --runtime-protection enforcement-level="<enforcement level>".

Il comando seguente configura l'oggetto enforcement level per il cluster.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Valori consentiti per <enforcement level>: Disabled, RealTime, OnDemand, Passive.

• Disabled: la protezione in tempo reale è disattivata e non vengono eseguite analisi.
• RealTime: la protezione in tempo reale (analizza i file durante la modifica) è abilitata.
• OnDemand: i file vengono analizzati solo su richiesta. In questo modo:
  • La protezione in tempo reale è disattivata.
• Passive: esegue il motore antivirus in modalità passiva. In questo modo:
  • La protezione in tempo reale è disattivata: le minacce non vengono risolte da Antivirus Microsoft Defender.
  • L'analisi su richiesta è attivata: usare comunque le funzionalità di analisi nell'endpoint.
  • La correzione automatica delle minacce è disattivata: non verranno spostati file e l'amministratore della sicurezza dovrebbe intraprendere le azioni necessarie.
  • Gli aggiornamenti delle funzionalità di intelligence per la sicurezza sono attivati: gli avvisi saranno disponibili nel tenant degli amministratori della sicurezza.

È possibile verificare che il livello di imposizione sia stato aggiornato esaminando l'output per il frammento json seguente:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Attivazione dell'analisi MDE in tutti i nodi

Per attivare un'analisi MDE in tutti i nodi di un cluster, usare il comando seguente:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

NOTA: l'azione di analisi MDE richiede che il servizio MDE sia abilitato. Nel caso in cui non sia abilitato, il comando avrà esito negativo. In questo caso impostare su Enforcement Level un valore diverso da Disabled per abilitare il servizio MDE.

Recuperare le informazioni di analisi MDE da ogni nodo

Questa sezione illustra i passaggi per recuperare le informazioni sull'analisi MDE. Prima di tutto è necessario recuperare l'elenco dei nomi dei nodi del cluster. Il comando seguente assegna l'elenco dei nomi dei nodi a una variabile di ambiente.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Con l'elenco dei nomi dei nodi, è possibile avviare il processo per estrarre le informazioni dell'agente MDE per ogni nodo del cluster. Il comando seguente preparerà le informazioni dell'agente MDE da ogni nodo.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Il risultato del comando includerà un URL in cui è possibile scaricare il report dettagliato delle analisi MDE. Per informazioni sull'agente MDE, vedere l'esempio seguente.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Estrazione dei risultati dell'analisi MDE

L'estrazione dell'analisi MDE richiede alcuni passaggi manuali: per scaricare il report di analisi MDE ed estrarre le informazioni sull'esecuzione dell'analisi e analizzare il report dettagliato dei risultati. Questa sezione illustra ognuno di questi passaggi.

Scaricare il report di analisi

Come indicato in precedenza, la risposta all'agente MDE fornisce l'URL che archivia i dati dettagliati del report.

Scaricare il report dall'URL <url to download mde scan results>restituito e aprire il file mde-agent-information.json.

Il mde-agent-information.json file contiene molte informazioni sull'analisi e può essere difficile analizzare un report dettagliato così lungo. Questa guida fornisce alcuni esempi di estrazione di alcune informazioni essenziali che consentono di decidere se è necessario analizzare attentamente il report.

Estrazione dell'elenco di analisi MDE

Il mde-agent-information.json file contiene un report di analisi dettagliato, ma potrebbe essere necessario concentrarsi prima su alcuni dettagli. Questa sezione descrive in dettaglio i passaggi per estrarre l'elenco di analisi eseguite fornendo le informazioni, ad esempio l'ora di inizio e di fine per ogni analisi, le minacce trovate, lo stato (riuscito o non riuscito) e così via.

Il comando seguente estrae questo report semplificato.

cat <path to>/mde-agent-information.json| jq .scanList

Nell'esempio seguente viene illustrato il report di analisi estratto da mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

È possibile usare il comando Unix date per convertire l'ora in un formato più leggibile. Per praticità, vedere un esempio per la conversione del timestamp Unix (in millisecondi) in giorno e ora:min:secs dell'anno.For your convenience, see an example for converting Unix timestamp (in milliseconds) to year-month-day and hour:min:secs.

Ad esempio:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Estrazione dei risultati dell'analisi MDE

Questa sezione descrive in dettaglio i passaggi per estrarre il report sull'elenco delle minacce identificate durante le analisi mde. Per estrarre il report dei risultati dell'analisi dal mde-agent-information.json file, eseguire il comando seguente.

cat <path to>/mde-agent-information.json| jq .threatInformation

L'esempio seguente mostra il report delle minacce identificate dall'analisi estratta dal mde-agent-information.json file.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}