Introdução ao serviço de proteção de tempo de execução do Microsoft Defender for Endpoint
O serviço de proteção de tempo de execução do Microsoft Defender for Endpoint (MDE) fornece as ferramentas para configurar e gerenciar a proteção de tempo de execução para um cluster Nexus.
A CLI do Azure permite configurar o Nível de Imposição da proteção em tempo de execução e a capacidade de acionar a Verificação MDE em todos os nós. Este documento fornece as etapas para executar essas tarefas.
Nota
O serviço de proteção de tempo de execução MDE integra-se ao Microsoft Defender for Endpoint, que fornece recursos abrangentes de EDR (Endpoint Detection and Response). Com a integração do Microsoft Defender for Endpoint, você pode detetar anormalidades e detetar vulnerabilidades.
Antes de começar
- Instale a versão mais recente das extensões CLI apropriadas.
Definição de variáveis
Para ajudar a configurar e acionar verificações MDE, defina essas variáveis de ambiente usadas pelos vários comandos ao longo deste guia.
Nota
Esses valores de variáveis de ambiente não refletem uma implantação real e os usuários DEVEM alterá-los para corresponder aos seus ambientes.
# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"
Padrões para o MDE Runtime Protection
A proteção de tempo de execução define os seguintes valores padrão quando você implanta um cluster
- Nível de imposição:
Disabled
se não especificado ao criar o cluster - Serviço MDE:
Disabled
Nota
O argumento --runtime-protection enforcement-level="<enforcement level>"
serve a dois propósitos: ativar/desativar o serviço MDE e atualizar o nível de aplicação.
Se você quiser desabilitar o serviço MDE em seu cluster, use um <enforcement level>
de Disabled
.
Configurando o nível de imposição
O az networkcloud cluster update
comando permite que você atualize as configurações para o nível de imposição de proteção de tempo de execução do cluster usando o argumento --runtime-protection enforcement-level="<enforcement level>"
.
O comando a seguir configura o enforcement level
para seu cluster.
az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"
Valores permitidos para<enforcement level>
: Disabled
, , , Passive
RealTime
OnDemand
.
Disabled
: A proteção em tempo real está desativada e nenhuma verificação é executada.RealTime
: A proteção em tempo real (digitalizar ficheiros à medida que são modificados) está ativada.OnDemand
: Os ficheiros são digitalizados apenas a pedido. Neste:- A proteção em tempo real está desativada.
Passive
: Executa o mecanismo antivírus no modo passivo. Neste:- A proteção em tempo real está desativada: as ameaças não são remediadas pelo Microsoft Defender Antivirus.
- A varredura por solicitação está ativada: ainda use os recursos de varredura no ponto de extremidade.
- A correção automática de ameaças está desativada: nenhum arquivo será movido e espera-se que o administrador de segurança tome as medidas necessárias.
- As atualizações de inteligência de segurança estão ativadas: os alertas estarão disponíveis no locatário dos administradores de segurança.
Você pode confirmar que o nível de imposição foi atualizado inspecionando a saída para o seguinte trecho de json:
"runtimeProtectionConfiguration": {
"enforcementLevel": "<enforcement level>"
}
Acionando a verificação MDE em todos os nós
Para disparar uma verificação MDE em todos os nós de um cluster, use o seguinte comando:
az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan
NOTA: a ação de verificação MDE requer que o serviço MDE esteja ativado. Apenas no caso de não estar ativado, o comando falhará. Nesse caso, defina o para um valor diferente de
Disabled
para habilitar oEnforcement Level
serviço MDE.
Recuperar informações de varredura MDE de cada nó
Esta seção fornece as etapas para recuperar informações de verificação MDE. Primeiro, você precisa recuperar a lista de nomes de nó do cluster. O comando a seguir atribui a lista de nomes de nó a uma variável de ambiente.
nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')
Com a lista de nomes de nós, podemos iniciar o processo para extrair informações do agente MDE para cada nó do seu Cluster. O comando a seguir preparará as informações do agente MDE de cada nó.
for node in $nodes
do
echo "Extracting MDE agent information for node ${node}"
az networkcloud baremetalmachine run-data-extract \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
--name ${node} \
--commands '[{"command":"mde-agent-information"}]' \
--limit-time-seconds 600
done
O resultado para o comando incluirá um URL onde você pode baixar o relatório detalhado de varreduras MDE. Consulte o exemplo a seguir para obter o resultado para obter as informações do agente MDE.
Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand
================================
Script execution result can be found in storage account:
<url to download mde scan results>
...
Extraindo resultados da varredura MDE
A extração da verificação MDE requer algumas etapas manuais: Para baixar o relatório de varredura MDE e extrair as informações de execução da varredura e o relatório de resultados detalhado da varredura. Esta secção irá guiá-lo em cada um destes passos.
Faça o download do relatório de verificação
Como indicado anteriormente, a resposta de informações do agente MDE fornece a URL que armazena os dados detalhados do relatório.
Transfira o relatório a partir do URL <url to download mde scan results>
devolvido e abra o ficheiro mde-agent-information.json
.
O mde-agent-information.json
arquivo contém muitas informações sobre a verificação e pode ser esmagador analisar um relatório tão longo e detalhado.
Este guia fornece alguns exemplos de extração de algumas informações essenciais que podem ajudá-lo a decidir se precisa analisar minuciosamente o relatório.
Extraindo a lista de varreduras MDE
O mde-agent-information.json
arquivo contém um relatório de verificação detalhado, mas você pode querer se concentrar primeiro em alguns detalhes.
Esta seção detalha as etapas para extrair a lista de verificações executadas, fornecendo informações como hora de início e término de cada verificação, ameaças encontradas, estado (bem-sucedido ou falhado), etc.
O comando a seguir extrai esse relatório simplificado.
cat <path to>/mde-agent-information.json| jq .scanList
O exemplo a seguir mostra o relatório de verificação extraído do mde-agent-information.json
.
[
{
"endTime": "1697204632487",
"filesScanned": "1750",
"startTime": "1697204573732",
"state": "succeeded",
"threats": [],
"type": "quick"
},
{
"endTime": "1697217162904",
"filesScanned": "1750",
"startTime": "1697217113457",
"state": "succeeded",
"threats": [],
"type": "quick"
}
]
Você pode usar o comando Unix date
para converter o tempo em um formato mais legível.
Para sua conveniência, veja um exemplo para converter o carimbo de data/hora Unix (em milissegundos) para ano-mês-dia e hora:min:secs.
Por exemplo:
date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"
2023-10-13T13:42:53
Extraindo os resultados da verificação MDE
Esta seção detalha as etapas para extrair o relatório sobre a lista de ameaças identificadas durante as verificações MDE.
Para extrair o relatório de resultados da verificação do mde-agent-information.json
arquivo, execute o seguinte comando.
cat <path to>/mde-agent-information.json| jq .threatInformation
O exemplo a seguir mostra o relatório de ameaças identificadas pela verificação extraída do mde-agent-information.json
arquivo.
{
"list": {
"threats": {
"scans": [
{
"type": "quick",
"start_time": 1697204573732,
"end_time": 1697204632487,
"files_scanned": 1750,
"threats": [],
"state": "succeeded"
},
{
"type": "quick",
"start_time": 1697217113457,
"end_time": 1697217162904,
"files_scanned": 1750,
"threats": [],
"state": "succeeded"
}
]
}
},
"quarantineList": {
"type": "quarantined",
"threats": []
}
}