Wprowadzenie do usługi ochrony środowiska uruchomieniowego Ochrona punktu końcowego w usłudze Microsoft Defender

  • Artykuł

Usługa ochrony środowiska uruchomieniowego Ochrona punktu końcowego w usłudze Microsoft Defender (MDE) udostępnia narzędzia do konfigurowania ochrony środowiska uruchomieniowego dla klastra Nexus i zarządzania nią.

Interfejs wiersza polecenia platformy Azure umożliwia skonfigurowanie poziomu wymuszania ochrony środowiska uruchomieniowego oraz możliwość wyzwalania skanowania MDE na wszystkich węzłach. Ten dokument zawiera kroki wykonywania tych zadań.

Uwaga

Usługa ochrony środowiska uruchomieniowego MDE integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender, która zapewnia kompleksowe funkcje wykrywania i reagowania na punkty końcowe (EDR). Dzięki integracji Ochrona punktu końcowego w usłudze Microsoft Defender można wykrywać nieprawidłowości i wykrywać luki w zabezpieczeniach.

Zanim rozpoczniesz

  • Zainstaluj najnowszą wersję odpowiednich rozszerzeń interfejsu wiersza polecenia.

Ustawianie zmiennych

Aby ułatwić konfigurowanie i wyzwalanie skanowania MDE, zdefiniuj te zmienne środowiskowe używane przez różne polecenia w tym przewodniku.

Uwaga

Te wartości zmiennych środowiskowych nie odzwierciedlają rzeczywistego wdrożenia, a użytkownicy MUSZĄ je zmienić tak, aby były zgodne ze swoimi środowiskami.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

Wartości domyślne ochrony środowiska uruchomieniowego MDE

Ochrona środowiska uruchomieniowego ustawia wartości domyślne podczas wdrażania klastra

  • Poziom wymuszania: Disabled jeśli nie zostanie określony podczas tworzenia klastra
  • Usługa MDE: Disabled

Uwaga

Argument --runtime-protection enforcement-level="<enforcement level>" służy dwóm celom: włączaniu/wyłączaniu usługi MDE i aktualizowaniu poziomu wymuszania.

Jeśli chcesz wyłączyć usługę MDE w klastrze, użyj elementu <enforcement level>Disabled.

Konfigurowanie poziomu wymuszania

Polecenie az networkcloud cluster update umożliwia zaktualizowanie ustawień poziomu wymuszania ochrony środowiska uruchomieniowego klastra przy użyciu argumentu --runtime-protection enforcement-level="<enforcement level>".

Następujące polecenie konfiguruje enforcement level klaster.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

Dozwolone wartości dla <enforcement level>: Disabled, , OnDemandRealTime, Passive.

  • Disabled: Ochrona w czasie rzeczywistym jest wyłączona i nie są wykonywane żadne skanowania.
  • RealTime: ochrona w czasie rzeczywistym (skanowanie plików podczas ich modyfikacji) jest włączona.
  • OnDemand: Pliki są skanowane tylko na żądanie. W tym miejscu:
    • Ochrona w czasie rzeczywistym jest wyłączona.
  • Passive: uruchamia aparat antywirusowy w trybie pasywnym. W tym miejscu:
    • Ochrona w czasie rzeczywistym jest wyłączona: zagrożenia nie są korygowane przez Program antywirusowy Microsoft Defender.
    • Skanowanie na żądanie jest włączone: nadal używaj funkcji skanowania w punkcie końcowym.
    • Automatyczne korygowanie zagrożeń jest wyłączone: nie zostaną przeniesione żadne pliki, a administrator zabezpieczeń ma podjąć wymagane działania.
    • Aktualizacje analizy zabezpieczeń są włączone: alerty będą dostępne w dzierżawie administratorów zabezpieczeń.

Możesz potwierdzić, że poziom wymuszania został zaktualizowany, sprawdzając dane wyjściowe dla następującego fragmentu kodu JSON:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Wyzwalanie skanowania MDE we wszystkich węzłach

Aby wyzwolić skanowanie MDE we wszystkich węzłach klastra, użyj następującego polecenia:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

UWAGA: akcja skanowania MDE wymaga włączenia usługi MDE. Jeśli polecenie nie jest włączone, polecenie zakończy się niepowodzeniem. W tym przypadku ustaw Enforcement Level wartość inną niż Disabled w celu włączenia usługi MDE.

Pobieranie informacji o skanowaniu MDE z każdego węzła

Ta sekcja zawiera kroki pobierania informacji dotyczących skanowania MDE. Najpierw należy pobrać listę nazw węzłów klastra. Następujące polecenie przypisuje listę nazw węzłów do zmiennej środowiskowej.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Lista nazw węzłów umożliwia rozpoczęcie procesu wyodrębniania informacji o agencie MDE dla każdego węzła klastra. Następujące polecenie przygotuje informacje o agencie MDE z każdego węzła.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Wynik polecenia będzie zawierać adres URL, pod którym można pobrać szczegółowy raport skanowania MDE. Zapoznaj się z poniższym przykładem, aby uzyskać informacje o agencie MDE.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

Wyodrębnianie wyników skanowania MDE

Wyodrębnianie skanowania MDE wymaga wykonania kilku ręcznych kroków: aby pobrać raport skanowania MDE i wyodrębnić informacje o przebiegu skanowania oraz zeskanować szczegółowy raport wyników. Ta sekcja zawiera instrukcje dotyczące poszczególnych kroków.

Pobieranie raportu skanowania

Jak wskazano wcześniej, odpowiedź na informacje o agencie MDE udostępnia adres URL przechowując szczegółowe dane raportu.

Pobierz raport ze zwróconego adresu URL <url to download mde scan results>i otwórz plik mde-agent-information.json.

Plik mde-agent-information.json zawiera wiele informacji o skanowaniu i może być przytłaczający do analizowania tak długiego szczegółowego raportu. Ten przewodnik zawiera kilka przykładów wyodrębniania pewnych podstawowych informacji, które mogą pomóc w podjęciu decyzji, czy chcesz dokładnie przeanalizować raport.

Wyodrębnianie listy skanowań MDE

Plik mde-agent-information.json zawiera szczegółowy raport skanowania, ale warto skupić się najpierw na kilku szczegółach. W tej sekcji szczegółowo opisano kroki wyodrębniania listy przebiegów skanowania, które zawierają informacje, takie jak godzina rozpoczęcia i zakończenia każdego skanowania, wykryte zagrożenia, stan (powodzenie lub niepowodzenie) itp.

Następujące polecenie wyodrębnia ten uproszczony raport.

cat <path to>/mde-agent-information.json| jq .scanList

W poniższym przykładzie pokazano wyodrębniony raport skanowania z pliku mde-agent-information.json.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Możesz użyć polecenia unix date , aby przekonwertować czas w bardziej czytelnym formacie. Aby uzyskać wygodę, zobacz przykład konwertowania sygnatury czasowej systemu Unix (w milisekundach) na rok i dzień i godzinę:min:s.

Na przykład:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

Wyodrębnianie wyników skanowania MDE

W tej sekcji szczegółowo opisano kroki wyodrębniania raportu o liście zagrożeń zidentyfikowanych podczas skanowania mdE. Aby wyodrębnić raport wyników skanowania z mde-agent-information.json pliku, wykonaj następujące polecenie.

cat <path to>/mde-agent-information.json| jq .threatInformation

Poniższy przykład przedstawia raport zagrożeń zidentyfikowanych przez skanowanie wyodrębnione z mde-agent-information.json pliku.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}