Aracılığıyla paylaş

Uç Nokta için Microsoft Defender çalışma zamanı koruma hizmetine giriş

  • Makale

Uç Nokta için Microsoft Defender (MDE) çalışma zamanı koruma hizmeti, Bir Nexus kümesi için çalışma zamanı korumasını yapılandırmaya ve yönetmeye yönelik araçlar sağlar.

Azure CLI, çalışma zamanı koruma Zorlama Düzeyi'ni ve tüm düğümlerde MDE Taramasını tetikleme özelliğini yapılandırmanıza olanak tanır. Bu belge, bu görevleri yürütmek için gereken adımları sağlar.

Not

MDE çalışma zamanı koruma hizmeti, kapsamlı Uç Nokta Algılama ve Yanıt (EDR) özellikleri sağlayan Uç Nokta için Microsoft Defender ile tümleştirilir. Uç Nokta için Microsoft Defender tümleştirme ile anormallikleri belirleyebilir ve güvenlik açıklarını algılayabilirsiniz.

Başlamadan önce

  • Uygun CLI uzantılarının en son sürümünü yükleyin.

Değişkenleri ayarlama

MDE taramalarını yapılandırma ve tetikleme konusunda yardımcı olmak için, bu kılavuzdaki çeşitli komutlar tarafından kullanılan bu ortam değişkenlerini tanımlayın.

Not

Bu ortam değişkeni değerleri gerçek bir dağıtımı yansıtmaz ve kullanıcılar bunları ortamlarıyla eşleşecek şekilde değiştirmeLIDIR.

# SUBSCRIPTION_ID: Subscription of your cluster
export SUBSCRIPTION_ID="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
# RESOURCE_GROUP: Resource group of your cluster
export RESOURCE_GROUP="contoso-cluster-rg"
# MANAGED_RESOURCE_GROUP: Managed resource group managed by your cluster
export MANAGED_RESOURCE_GROUP="contoso-cluster-managed-rg"
# CLUSTER_NAME: Name of your cluster
export CLUSTER_NAME="contoso-cluster"

MDE Çalışma Zamanı Koruması için varsayılanlar

Bir kümeyi dağıttığınızda çalışma zamanı koruması varsayılan değerleri takip etmeye ayarlanır

  • Zorlama Düzeyi: Disabled küme oluşturulurken belirtilmezse
  • MDE Hizmeti: Disabled

Not

bağımsız değişkeni --runtime-protection enforcement-level="<enforcement level>" iki amaca hizmet eder: MDE hizmetini etkinleştirme/devre dışı bırakma ve zorlama düzeyini güncelleştirme.

Kümeniz genelinde MDE hizmetini devre dışı bırakmak istiyorsanız, bir <enforcement level> kullanın Disabled.

Zorlama düzeyini yapılandırma

komutu, az networkcloud cluster update bağımsız değişkenini --runtime-protection enforcement-level="<enforcement level>"kullanarak Küme çalışma zamanı koruma zorlama düzeyi ayarlarını güncelleştirmenizi sağlar.

Aşağıdaki komut, Kümeniz için öğesini enforcement level yapılandırılır.

az networkcloud cluster update \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--runtime-protection enforcement-level="<enforcement level>"

için <enforcement level>izin verilen değerler: Disabled, RealTime, OnDemand, Passive.

  • Disabled: Gerçek zamanlı koruma kapalıdır ve tarama yapılmaz.
  • RealTime: Gerçek zamanlı koruma (dosyaları değiştirildiği gibi tara) etkinleştirilir.
  • OnDemand: Dosyalar yalnızca isteğe bağlı olarak taranır. Burada:
    • Gerçek zamanlı koruma kapalıdır.
  • Passive: Virüsten koruma altyapısını pasif modda çalıştırır. Burada:
    • Gerçek zamanlı koruma kapalı: Tehditler Microsoft Defender Virüsten Koruma tarafından düzeltilmiyor.
    • İsteğe bağlı tarama açık: Uç noktadaki tarama özelliklerini kullanmaya devam edin.
    • Otomatik tehdit düzeltme kapalı: Hiçbir dosya taşınmaz ve güvenlik yöneticisinin gerekli işlemleri gerçekleştirmesi beklenir.
    • Güvenlik bilgileri güncelleştirmeleri açık: Güvenlik yöneticileri kiracısı üzerinde uyarılar sağlanacaktır.

Aşağıdaki json parçacığının çıktısını inceleyerek zorlama düzeyinin güncelleştirildiğini doğrulayabilirsiniz:

  "runtimeProtectionConfiguration": {
    "enforcementLevel": "<enforcement level>"
  }

Tüm düğümlerde MDE taramasını tetikleme

Bir kümenin tüm düğümlerinde MDE taraması tetikleme için aşağıdaki komutu kullanın:

az networkcloud cluster scan-runtime \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${RESOURCE_GROUP} \
--cluster-name ${CLUSTER_NAME} \
--scan-activity Scan

NOT: MDE tarama eylemi, MDE hizmetinin etkinleştirilmesini gerektirir. Etkinleştirilmemesi durumunda komut başarısız olur. Bu durumda MDE hizmetini etkinleştirmek için değerini değerinden Disabled farklı bir değere ayarlayınEnforcement Level.

Her düğümden MDE tarama bilgilerini alma

Bu bölümde MDE tarama bilgilerini alma adımları sağlanır. Öncelikle kümenizin düğüm adlarının listesini almanız gerekir. Aşağıdaki komut, düğüm adlarının listesini bir ortam değişkenine atar.

nodes=$(az networkcloud baremetalmachine list \
--subscription ${SUBSCRIPTION_ID} \
--resource-group ${MANAGED_RESOURCE_GROUP} \
| jq -r '.[].machineName')

Düğüm adları listesiyle, Kümenizin her düğümü için MDE aracısı bilgilerini ayıklama işlemini başlatabiliriz. Aşağıdaki komut, her düğümden MDE aracısı bilgilerini hazırlar.

for node in $nodes
do
    echo "Extracting MDE agent information for node ${node}"
    az networkcloud baremetalmachine run-data-extract \
    --subscription ${SUBSCRIPTION_ID} \
    --resource-group ${MANAGED_RESOURCE_GROUP} \
    --name ${node} \
    --commands '[{"command":"mde-agent-information"}]' \
    --limit-time-seconds 600
done

Komutun sonucu, MDE taramalarının ayrıntılı raporunu indirebileceğiniz bir URL içerir. MDE aracısı bilgileri için sonuç için aşağıdaki örne bakın.

Extracting MDE agent information for node rack1control01
====Action Command Output====
Executing mde-agent-information command
MDE agent is running, proceeding with data extract
Getting MDE agent information for rack1control01
Writing to /hostfs/tmp/runcommand

================================
Script execution result can be found in storage account: 
 <url to download mde scan results>
 ...

MDE tarama sonuçlarını ayıklama

MDE taramasının ayıklanması için birkaç el ile adım gerekir: MDE tarama raporunu indirmek, tarama çalıştırma bilgilerini ayıklamak ve ayrıntılı sonuç raporunu taramak için. Bu bölüm, bu adımların her birinde size yol gösterir.

Tarama raporunu indirme

Daha önce belirtildiği gibi MDE aracı bilgileri yanıtı ayrıntılı rapor verilerini depolayan URL'yi sağlar.

Döndürülen URL'den <url to download mde scan results>raporu indirin ve dosyasını mde-agent-information.jsonaçın.

Dosya mde-agent-information.json tarama hakkında birçok bilgi içerir ve bu kadar uzun ayrıntılı raporu analiz etmek zor olabilir. Bu kılavuz, raporu ayrıntılı bir şekilde analiz etmeniz gerekip gerekmediğini belirlemenize yardımcı olabilecek bazı temel bilgileri ayıklamaya ilişkin birkaç örnek sağlar.

MDE taramalarının listesini ayıklama

Dosya mde-agent-information.json ayrıntılı bir tarama raporu içeriyor, ancak önce birkaç ayrıntıya odaklanmak isteyebilirsiniz. Bu bölümde, her tarama için başlangıç ve bitiş saati, bulunan tehditler, durum (başarılı veya başarısız) vb. bilgileri sağlayarak taramaların listesini ayıklama adımları ayrıntılı olarak anlatılır.

Aşağıdaki komut bu basitleştirilmiş raporu ayıklar.

cat <path to>/mde-agent-information.json| jq .scanList

Aşağıdaki örnekte, öğesinden mde-agent-information.jsonayıklanan tarama raporu gösterilmektedir.

[
  {
    "endTime": "1697204632487",
    "filesScanned": "1750",
    "startTime": "1697204573732",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  },
  {
    "endTime": "1697217162904",
    "filesScanned": "1750",
    "startTime": "1697217113457",
    "state": "succeeded",
    "threats": [],
    "type": "quick"
  }
]

Unix date komutunu kullanarak zamanı daha okunabilir bir biçimde dönüştürebilirsiniz. Size kolaylık sağlamak için Unix zaman damgasını (milisaniye cinsinden) yıl-ay-gününe ve hour:min:secs'e dönüştürme örneğine bakın.

Örneğin:

date -d @$(echo "1697204573732/1000" | bc) "+%Y-%m-%dT%H:%M:%S"

2023-10-13T13:42:53

MDE tarama sonuçlarını ayıklama

Bu bölümde, MDE taramaları sırasında tanımlanan tehdit listesiyle ilgili raporu ayıklama adımları ayrıntılı olarak anlatılır. Tarama sonucu raporunu dosyadan mde-agent-information.json ayıklamak için aşağıdaki komutu yürütür.

cat <path to>/mde-agent-information.json| jq .threatInformation

Aşağıdaki örnekte, dosyadan mde-agent-information.json ayıklanan tarama tarafından tanımlanan tehditler raporu gösterilmektedir.

{
  "list": {
    "threats": {
      "scans": [
        {
          "type": "quick",
          "start_time": 1697204573732,
          "end_time": 1697204632487,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        },
        {
          "type": "quick",
          "start_time": 1697217113457,
          "end_time": 1697217162904,
          "files_scanned": 1750,
          "threats": [],
          "state": "succeeded"
        }
      ]
    }
  },
  "quarantineList": {
    "type": "quarantined",
    "threats": []
  }
}